As abordagens de IAM não param de se ajustar ao dinamismo dos fluxos de negócio e às configurações efêmeras dos elementos em jogo na nuvem híbrida. É neste ambiente, muito distante da estabilidade dos data centers, onde mais de 80% das transações de processam. As identidades impessoais se proliferam de forma exponencial. Atualmente, elas superam em milhares de vezes as representadas pelo usuário humano, que é algo mais previsível e passível de ser mapeado.
E aqui comparecem não só as identidades estáveis, como os objetos IoT, os endpoints, os conectores físicos e os componentes operacionais de software. Entidades de computação intuitiva, dotadas de inteligência e aprendizado de máquina, se configuram como RPAs e máquinas virtuais de existência circunstancial.
Em grande parte, eles são hoje meios de ataque, evidenciando uma situação precária dos modelos de segurança de acesso e proteção tradicionais de recursos da rede. Tudo isto faz aumentar o risco relacionado à identidade a um nível até pouco tempo impensável.
Muitas estruturas de IAM, talvez até a maioria, ainda mantém os vínculos de origem com o modo de funcionamento das intranets e sua afinidade inquestionável com o gerenciamento exclusivo da identidade da força de trabalho interna. Mas em grande parte elas falha também no gerenciamento da identidade humana, que se tornou mais complexa nos últimos anos.
Em muitos casos, esta força de trabalho ainda é encarada numa perspectiva anterior à da pandemia e das novas regulações de contratos trabalho on-demand, mediados pela realidade das APIs e do relacionamento móvel entre trabalhador e empresa.
Identity First e Zero Trust
Em sua recente conferência global sobre IAM, o Gartner expressou o diagrama de uma estrutura “identity first”, posicionando a identidade como principal superfície de risco e como alvo preferencial dos ataques internos e externos. Um movimento integralmente em linha com a abordagem pragmática da arquitetura Zero Trust, segundo a qual somente o que pode ser claramente isolado e identificado pode ser passível de controle real.
A Netbr, mesmo anteriormente a isto, já vinha encarando a necessidade de priorização da identidade, e hoje já podemos dispor de um modelo de entrega de segurança integrado, visando à implementação de WIAM e CIAM e da governança da identidade, de modo a endereçar o gerenciamento e a proteção de todas as identidades participantes da cadeia produtiva.
Nossa proposta Identity First resulta numa arquitetura de IAM única, lastreada por confiança zero, e assistida por um modelo de console unificado. Este console é operado colaborativamente por todos os profissionais de TI, segurança e owners de negócio, sem excluir a responsabilidade do usuário: algo semelhante ao paradigma do SOC (Security Operating Center) e a ele devidamente conectado.
Estamos seguros de que esta proposta leva a discussão sobre IAM para num nível superior às estratégias isoladas de autenticação e autorização convencionais, ou mesmo as abertas. Ela se direciona a uma esteira de autenticação, e resolução dinâmica, contínua e baseada em risco adaptável.
Ela envolve elementos como a autenticação mútua, no nível da infraestrutura, o gerenciamento de privilégios suportado por contingenciamento e descontigenciamento automatizados, com base análise de contexto e referenciando-se em políticas. O que implica também em estratégias de privilégio igualmente adaptativas.
A ideia não é, porém, a de olhar para as “tendências” como se fosse isto um horizonte utópico da IAM futura. Mas sim a de manter um referencial de chegada condizente com a realidade de cada empresa, e em sintonia com um roadmap realístico financeiramente justificado e em prazos tangíveis. Por exemplo, estudando de que maneira, a partir da infraestrutura legada, é possível introduzir, de forma realística, rápida e paulatina, estratégias de Identidade Descentralizada (DID) e ITDR (Identity Threat Detection and Response).
Ou descobrindo em que áreas de aplicação, ou em que processos de negócio, é possível começar a implementação imediata da segmentação de acesso por funções (RBAC) e por atributo granular de identidade (ABAC), introduzindo-se políticas de IAM autorreplicáveis em toda a estrutura.
A partir dessas evoluções, passo a passo, vamos começar a ver, a concretização de estratégias como BYOID, identidades “wallets” e a normalização da identidade federada em níveis público e privado. De tal maneira que as estruturas de WIAM e CIAM se traduzam no traçado de uma experiência do usuário compatível com o marketing customer centric, aumentando a produtividade do trabalhado e maximizando a jornada do cliente. Numa abordagem de IAM focada em segurança, tudo isto que depende da realização de uma estratégia “confiança zero” que seja válida para os ambientes atual e futuro da nuvem híbrida, sem precisar esperar a substituição completa do legado.