A policy automation é o processo de diminuir a quantidade de interferências humanas nas tomadas de decisões, automatizando essas ações, aplicando regras e políticas pré-definidas. Esse processo tem o objetivo de reduzir erros, acelerar o tempo de resposta e garantir a conformidade com as diretrizes estabelecidas.
Em uma perspectiva teórica, o Credenciamento Just in Time, amplamente lastreado em automação de políticas e inteligência autoritativa, por contexto e por comportamento, é o que chamaríamos de “nirvana”. É este o modelo de concessão mais perfeitamente acabado para responder ao princípio de mínimo privilégio, e por mínimo tempo, proposto pelo pensamento Zero Trust atualmente predominante. Mas será que estamos realmente prontos para a Policy Automation?
Consta-se hoje, lado a lado com os projetos olhando para o JiT, que a comunidade internacional estuda com entusiasmo desenhos de identidade descentralizada, a exemplo dos “wallets” e dos provedores públicos, de acreditação mútua, na arquitetura IDaaS.
Ninguém pode negar que, embora difícil de se concretizar, é este o desenho que mais se coaduna com a atual realidade, na qual o perímetro de gerenciamento de todas as políticas de segurança se deslocou para o indivíduo ou máquina (a identidade).
Mas o fato é que as contradições na direção do Just in Time ainda são expressivas. A primeira delas: a realidade mostra que as soluções de autenticação inteligente e automática multifatorial experimentaram avanço e vão ganhando em centralização dos pontos de decisão, inclusive com o já comentado surgimento dos ID Providers.
Entretanto, no que se refere às instâncias de autorização, há uma dispersão generalizada das instâncias decisórias, com uma multiplicidade de autorizadores, seja dentro de cada aplicação, ou ainda dentro de cada silo de processo de negócio.
O fato é que o nosso conceito legado de identidade, cultivado até os dias de hoje, consiste numa entidade dotada de diversos atributos (que, para efeitos computacionais, são dados ou metadados), mas que residem de forma dispersa e nessa estrutura nuclear, sem que haja necessariamente uma possibilidade de correlação analítica entre as partes constituintes da identidade.
Assim, para que seja viável a aplicação de uma “Policy Automation”, será indispensável conceber um modelo de identidade em que estes seus dados constituintes – os seus diversos atributos – sejam passíveis de observação, análise e correlação flexíveis, a partir de um ponto analítico externo.
Ou seja: vamos considerar que a aplicação de Policy Automation implique, obrigatoriamente, na imposição de um modelo abstrato para o funcionamento do sistema, segundo códigos de decisão pré-definidos pela arquitetura de acesso.
Sendo isto uma verdade, só através de uma visão granular dos atributos, e sua separação da atual estrutura de identidade em bloco, seria possível a necessária abstração da camada de dados internos das identidades para a formação de um barramento de serviços de provisionamento e desprovisionamento.
Em outras palavras, a partir desta abstração, conseguimos constituir uma instância exterior com os dados de identidade, na forma de uma camada de tratamento de requisições, com base na mobilização de múltiplos atributos, por parte da instância política.
De modo que os processos autoritativos passam, agora, a ser concebidos de fora das aplicações e dos silos. E ficam subordinados apenas à inteligência das políticas de automação de provisionamento, autorização e desprovisionamento.
Da mesma forma, a explicitação de cada um desses atributos, vistos agora como dados independentes, permitiria seu gerenciamento, igualmente granular e circunstancial, permitindo-se assim a aplicação de processos não estáticos, como “Dynamics Authorization” e provisionamento efêmero.
A partir desta reestruturação da tabela de atributos e seu posicionamento na estrutura de acessos, somos capazes de pensar agora em uma real arquitetura de identidade, adequada ao novo ambiente, e livre de imposições de mercado.
Ou seja, iniciamos um movimento concreto de inovação da identidade, sem precisar esperar a abolição das estruturas legadas e – com o apoio desta “Identity Bus” – partimos para a orquestração de todas as estruturas de IAM pré-existentes ou mesmo aquelas em construção e em projeto no ambiente.
Portanto, este barramento de serviços, posicionado num nível de abstração de identidade, passa a ocupar uma camada superior aos vários domínios e repositórios “on-premise” ou em nuvem múltipla, e funcionando como interface universal para conectores de identidade que integrem o ambiente inferior à instância Identity Provider prevista na arquitetura.