As seis principais considerações ao escolher uma solução de identidade como serviço (IDaaS) para Zero Trust

[tiagotoledo]

As seis principais considerações ao escolher uma solução de identidade como serviço (IDaaS) para Zero Trust

http://tiagobigode.com.br/as-seis-princ ... ro-trust/
Sumário executivo
Hoje, a crescente dependência da infraestrutura em nuvem e o crescente número e variedade de aplicativos que estão sendo adotados pelas organizações – de aplicativos locais, aplicativos baseados na nuvem a aplicativos móveis – são os principais impulsionadores das empresas que se afastam de um ambiente tradicional baseado no perímetro abordagem de segurança. Em vez disso, está sendo substituído por uma nova estratégia de segurança baseada no modelo “Zero Trust”, com a identidade em seu núcleo. A abordagem Zero Trust começa identificando com segurança o usuário e seu dispositivo com recursos como logon único (SSO), autenticação multifatorial (MFA) e gerenciamento de mobilidade corporativa (EMM) – depois aplica a política de reconhecimento de contexto e aplica menos privilégios para garantir que apenas os usuários certos acessem os recursos certos no momento certo. Enquanto procuramos redefinir a segurança onde todos os acessos são autenticados e autorizados, a seleção do fornecedor certo de IDaaS se torna uma decisão crítica a ser tomada. O Identity-as-a-Service (IDaaS) como serviço é uma categoria de solução emergente para gerenciar e simplificar o acesso a aplicativos, mas há várias considerações sobre recursos, arquitetura e maturidade ao selecionar um IDaaS. Este artigo discutirá seis das principais considerações.

Introdução
As empresas e as organizações governamentais têm claramente um problema doloroso: os usuários de hoje precisam lembrar e auto-gerenciar muitas senhas. A necessidade de acessar aplicativos no local ou na nuvem, enquanto viaja a partir de dispositivos móveis (onde é mais difícil digitar senhas), torna o problema ainda pior para os trabalhadores remotos e móveis. De fato, os funcionários de um estudo realizado pelo NIST (Instituto Nacional de Padrões e Tecnologia) registraram uma média de 23 eventos de autenticação por dia em uma variedade de sistemas e aplicativos. O estudo do NIST e muitos outros descobriram que a frustração resultante – apelidada de “fadiga de senha” – faz com que os usuários contornem boas práticas de segurança.

Os trabalhadores geralmente lidam usando:

O endereço de e-mail deles como o login em vários sites;
A mesma senha no maior número possível de aplicativos (61% fazem isso);
Senhas simples (incluindo o uso de dispositivos mnemônicos simples);
Planilhas (ou mesmo anotando suas senhas em notas adesivas);

Permitir que os usuários gerenciem automaticamente suas próprias senhas abre as portas para maus hábitos e sobrecarrega a TI de várias maneiras. O número e a frequência de chamadas para o suporte técnico para redefinir senhas esquecidas sobrecarregam os caros recursos de TI e os impedem de investir em objetivos mais importantes. Os usuários também podem tentar simplificar seu fluxo de trabalho diário, criando senhas simples e fáceis de lembrar (e também fáceis de invadir), expondo a organização a uma postura de segurança reduzida e aumentando o risco de exploração. Por fim, quando os funcionários saem da empresa, há uma probabilidade significativamente reduzida de aprovisionar consistentemente seu acesso a aplicativos como Office 365, Salesforce, WebEx, sistemas de RH e outros aplicativos.

Para resolver efetivamente esses problemas, as empresas tentaram sincronizar senhas estendendo ou implementando soluções de Gerenciamento de Identidade e Acesso (IAM). No entanto, muitas dessas abordagens do IAM foram projetadas e implementadas sem as considerações apropriadas para aplicativos em nuvem ou casos de uso móvel. O resultado foi uma variedade de soluções IAM que podem ser difíceis ou frustrantes de integrar com aplicativos em nuvem e falham em integrar efetivamente o acesso móvel. O que é necessário é uma solução IDaaS simples e pronta para uso que faz parte de uma estratégia geral para obter o Zero Trust Security em que o acesso aos serviços deve ser concedido com base no que se sabe sobre o usuário e seu dispositivo. A solução IDaaS deve suportar todos os aplicativos de uma organização, unificar políticas de acesso entre aplicativos e dispositivos e é integrada a todas as plataformas de dispositivos (laptops, smartphones, tablets).

Com esse pano de fundo em mente, aqui estão as 6 principais coisas a serem consideradas ao selecionar um IDaaS (Gerenciamento de Identidades e Acesso como Serviço):

1. Vá para Logon único em todos os lugares
O logon único (SSO) é a capacidade de fazer login em um aplicativo (baseado na nuvem, local ou aplicativo móvel) sempre usando uma identidade única/federada. Para os consumidores, essa identidade pode ser sua identidade de mídia social, como Facebook ou Google, enquanto uma identidade corporativa é normalmente o ID do Active Directory do usuário. Sem o SSO, os usuários precisam lembrar senhas complexas para cada aplicativo. Ou pior, eles usam senhas comuns ou facilmente lembradas (ou seja, fracas). Para os usuários, o resultado é um fluxo de trabalho fragmentado, que pode incluir o login em dezenas de aplicativos diferentes durante o dia de trabalho. Para a TI, os problemas de muitas senhas ou senhas inseguras são óbvios – com uma violação de dados dispendiosa classificada no topo entre as preocupações. Um SSO adequadamente arquitetado aumenta a produtividade do usuário e a segurança do aplicativo corporativo.


Então, o que você deve procurar ao implantar o SSO? Na melhor das hipóteses, uma solução deve permitir melhorar a satisfação do usuário final e otimizar os fluxos de trabalho, fornecendo uma identidade única para acessar todos os aplicativos de negócios – sejam eles residindo na nuvem ou no local atrás do firewall. Ele também precisa unificar e fornecer acesso a aplicativos de todas as plataformas de usuário final – desktops, laptops e dispositivos móveis.

Em um sistema arquitetado adequadamente, depois que os usuários se autenticam efetuando login com seu ID corporativo (por exemplo, Active Directory), eles devem ter acesso com um clique a aplicativos em nuvem, locais ou móveis.

A ativação do “Zero Sign-On” para aplicativos móveis e da Web também é importante, especialmente para aplicativos móveis avançados, pois a autenticação silenciosa economiza tempo. Depois que um usuário é autenticado inicialmente, ele nunca mais precisa digitar o ID quando um aplicativo é iniciado. O acesso remoto a aplicativos locais deve ser tão simples quanto acessar aplicativos em nuvem: sem a necessidade de hardware VPN ou software cliente. Esse tipo de SSO – usando padrões como SAML – não apenas reduz a frustração do usuário e melhora a produtividade, mas também aumenta a segurança. O SSO federado é melhor porque não transmite o nome de usuário e a senha para o aplicativo pela rede, mas envia um token seguro e com limite de tempo, verificando se o usuário que está tentando acessar é conhecido e confiável.

Além disso, ao eliminar o uso de senhas e sua transmissão nas redes, você pode reduzir a probabilidade de os usuários bloquearem suas contas e telefonarem para o suporte técnico, eliminar riscos de senha, como senhas não compatíveis e gerenciadas pelo usuário, e possibilitar instantaneamente revogar ou alterar o acesso de um usuário a aplicativos sem que um administrador precise acessar todos os aplicativos.

2. Acesso Seguro a Todas as Identidades Corporativas
Hoje, os cibercriminosos estão violando sistemas com acesso direto por meio de uma credencial comprometida – a senha.

De acordo com o último relatório de incidentes de violação de dados (DBIR) de 2017 da Verizon, mais de 80% dos ataques foram causados ​​por credenciais comprometidas. A abordagem baseada no perímetro em que historicamente confiamos, que se concentra na proteção de terminais, firewalls e redes, ignora completamente a vulnerabilidade de identidades e senhas.

Quando se trata de proteger o acesso, as organizações precisam adotar uma estratégia de segurança Zero Trust, removendo a confiança no perímetro da rede e assumir tudo – usuários, endpoints e recursos não são confiáveis ​​e devem ser verificados primeiro. Eles devem garantir que a segurança total da identidade seja fornecida a todos os tipos de usuários. Procure soluções que forneçam segurança de identidade completa para funcionários, clientes e parceiros. O acesso a senhas e credenciais de hackers pode levar a uma catástrofe, uma vez que os invasores obtêm acesso, eles podem aumentar seus privilégios e passar pela rede corporativa para comprometer dados confidenciais. Garanta que a solução que você investe possa abordar todo o espectro, garantindo o acesso de todos os usuários a aplicativos e terminais por meio de autenticação única, autenticação multifatorial baseada em risco e acesso baseado em comportamento.

3. Escolha Gerenciamento completo do ciclo de vida do acesso a aplicativos
Quando um usuário é novo na organização ou assume uma função diferente na empresa, uma solução IDaaS deve facilitar – e automaticamente – o fornecimento de usuários para aplicativos na nuvem ou no local com criação automática de conta, licença baseada em função e gerenciamento de autorização, logon único, gerenciamento de clientes de aplicativos móveis e provisionamento automático de contas. Essa automação libera seus preciosos poucos recursos de TI e capacita o usuário a ser produtivo mais cedo do que através de listas de verificação de integração existentes e frequentemente manuais.

O gerenciamento completo do ciclo de vida do acesso a aplicativos oferece os principais benefícios, permitindo que as organizações de TI economizem tempo e dinheiro criando automaticamente contas de usuário em aplicativos na nuvem para novos funcionários. O provisionamento pode eliminar as chamadas do suporte técnico, permitindo que você implante os aplicativos certos – com o acesso certo – desde a primeira vez. O provisionamento elimina qualquer tarefa subsequente da TI para habilitar o usuário e também elimina a confusão do usuário. A federação automática de identidade fornece logon único para esses aplicativos, sem exigir várias senhas que podem ser facilmente perdidas, roubadas ou esquecidas. O gerenciamento baseado em funções de licenciamento e autorização para aplicativos importantes, como Office 365, SalesForce, Box e outros, reduz ainda mais sua carga de TI e permite que você obtenha produtividade rapidamente. Os mesmos recursos tornam possível excluir usuários automaticamente (desativar ou remover usuários de um grupo aciona o provisionamento de contas de usuários), garantindo segurança e conformidade, removendo o acesso imediatamente, removendo aplicativos clientes móveis e seus dados, desativando instantaneamente contas de aplicativos e liberando licenças de aplicativos.


4. Não economize no gerenciamento de acesso móvel
O celular tornou-se a maneira de fato de acessar aplicativos em nuvem, exigindo que você garanta a segurança e ative a funcionalidade dos dispositivos dos usuários. Isso inclui a implantação de aplicativos clientes apropriados no dispositivo certo e a garantia uma experiência móvel adequadamente otimizada. Infelizmente, a maioria das soluções existentes de Gerenciamento de Identidade e Acesso como Serviço (IDaaS) ficam aquém quando se trata de suporte móvel, porque elas foram criadas e arquitetadas antes de ficar claro que os dispositivos móveis (smartphones e tablets) se tornariam os meios mais importantes para acessar aplicativos. Em vez disso, eles são muito centrados no navegador da web – ou seja, sua experiência com o IDaaS móvel suporta apenas aplicativos baseados na Web e também oferece suporte a aplicativos móveis avançados e segurança do dispositivo.

Eles também não fornecem meios para garantir que o dispositivo móvel do usuário seja confiável e seguro e, embora possam provisionar um usuário no serviço de nuvem, eles ignoram fornecer ao usuário final o aplicativo correspondente em seu dispositivo.


Consequentemente, você deve procurar uma solução IDaaS que permita que seus usuários registrem seus dispositivos móveis e forneçam mecanismos de autenticação fortes (usando certificados PKI).

A solução deve permitir a aplicação de políticas de grupo específicas de dispositivos móveis para garantir a segurança do dispositivo subjacente (por exemplo, garantir que um PIN seja necessário para desbloquear o telefone etc.), detectar dispositivos com jailbreak ou rooted devices e permitir bloquear remotamente, cancelar a inscrição ou limpar um dispositivo perdido ou roubado.

Depois de associar o dispositivo a um usuário e confiar nele, você pode aproveitá-lo como um fator de identificação para o usuário nos casos em que fatores adicionais são necessários para autenticação multifatorial e de avanço.

A solução também deve fornecer gerenciamento unificado de aplicativos para aplicativos clientes móveis e baseados na Web. Isso garante que os usuários não tenham acesso parcial ou definido e gerenciado em silos separados de gerenciamento de acesso, como soluções de gerenciamento de dispositivo móvel (MDM). O gerenciamento de aplicativos e dispositivos móveis deve compartilhar as mesmas funções, identidades, ferramentas de gerenciamento, relatórios e logs de eventos. Essa unificação do gerenciamento de acesso móvel e de aplicativos reduz ferramentas, processos e habilidades redundantes.

5. Insista na autenticação multifatorial adaptativa e baseada no risco (MFA) em qualquer lugar
Hoje você vive os riscos de os usuários acessarem muito mais serviços fora do perímetro da rede corporativa, bem como os usuários que transportam muito mais dispositivos para acessar esses serviços. Os usuários têm muitas senhas e as senhas são inerentemente fracas. Na verdade, as senhas tornaram-se mais um impedimento para os usuários do que a proteção contra hackers e outros indivíduos e organizações malévolos. Em resumo, em muitos casos, não é possível confiar apenas em senhas para identificar usuários de maneira adequada e segura, o que é um conceito essencial na abordagem Zero Trust Security da Idaptive.

Consequentemente, você precisa de uma solução melhor que incorpore autenticação forte e que ofereça uma experiência multifatorial comum em todos os seus aplicativos – SaaS, nuvem, móvel e local. A solução também precisa ter políticas de acesso que levem em consideração o contexto completo da solicitação de acesso e ajudem a superar esses novos riscos de segurança. Além disso, você precisa da capacidade de estabelecer políticas de acesso flexíveis para cada aplicativo, para um controle mais granular e adaptável. Por exemplo, se um usuário estiver acessando um aplicativo comum a partir de um dispositivo confiável na rede corporativa de seu país de origem durante o horário comercial, simplesmente permita que ele acesse SSO silencioso aos aplicativos. Mas se o mesmo usuário estiver acessando um aplicativo fora da rede corporativa a partir de um dispositivo não confiável, fora do horário comercial e de um país estrangeiro, negue o acesso – ou pelo menos exija fatores adicionais de autenticação.

Especificamente, você precisa de uma solução IDaaS que garanta a autenticação de segurança, combinando a autenticação multifator (MFA) e políticas de autenticação por aplicativo ricos e flexíveis. Você também precisa de uma solução na qual possa simplificar o acesso de um usuário legítimo com uma política baseada em perfis de comportamento do usuário.

Os métodos de autenticação multifatorial devem incluir pelo menos:

Token flexível com autenticação de um botão para simplificar a experiência
Código de acesso único (OTP) sobre texto SMS ou e-mail
Telefone interativo para o dispositivo móvel do usuário e requisito de confirmação antes que a autenticação possa prosseguir
Pergunta de segurança configurável pelo usuário para atuar como uma segunda senha As políticas de autenticação por aplicativo devem permitir, negar ou intensificar a autenticação com base em um entendimento abrangente do contexto da solicitação com base em qualquer combinação de:

Horário de trabalho
Rede corporativa dentro/fora
Função ou atributos do usuário
Atributos do dispositivo (tipo, status de gerenciamento)
Localização da solicitação ou localização dos outros dispositivos do usuário
Atributos do cliente do aplicativo
Lógica personalizada baseada em necessidades organizacionais específicas
Autenticação multifatorial baseada em risco

Procure soluções MFA que aproveitem o aprendizado de máquina integrado e sejam baseadas no comportamento do usuário. Dependendo do nível de risco, um usuário pode ter permissão, solicitar mais autenticação ou bloquear totalmente. O acesso baseado em risco não apenas fornece segurança em tempo real, mas também sinaliza eventos de alto risco e os eleva à atenção da TI – agilizando a análise e minimizando bastante o esforço necessário para avaliar o risco no atual ambiente de TI híbrido.

Aproveite as integrações com análises e aprendizado de máquina para definir e aplicar políticas de acesso, com base no comportamento do usuário e também melhorar a experiência do usuário sem comprometer a segurança com políticas de autenticação flexíveis. Identificar soluções com o MFA adaptável com base no risco cria políticas automatizadas que apenas desafiam a autenticação quando o comportamento do usuário está fora das normas típicas.

6. Mantenha a identidade onde quiser
Uma solução IDaaS também precisa ser flexível, fornecendo acesso robusto às identidades corporativas gerenciadas no local (por exemplo, Active Directory ou LDAP), um serviço de diretório na nuvem para usuários não-AD, como parceiros ou clientes e, quando apropriado, um híbrido dos diretórios locais e na nuvem. Isso contrasta fortemente com outros fornecedores de IDaaS iniciantes que permitem apenas armazenar dados de identidade em seus diretórios na nuvem. Para aproveitar os dados do usuário armazenados e gerenciados no Active Directory, eles primeiro exigem que uma parte desses dados seja replicada na nuvem e fora do seu controle.

Essa abordagem apenas de nuvem pode não atrair algumas organizações que – com ou sem razão – têm preocupações em perder o controle das proverbiais chaves do reino. As organizações também podem ter reservas para criar outro silo de identidade para gerenciar, preocupações exclusivas de segurança ou privacidade ou preocupações legítimas sobre a viabilidade a longo prazo do fornecedor.

Para habilitar essa “identidade onde você quiser”, uma solução IDaaS bem projetada deve oferecer integração robusta com o Active Directory ou LDAP local, deve oferecer suporte a implantações somente na nuvem que consistem em identidades de usuário não baseadas no Active Directory ou LDAP, como bem como um híbrido de implantação do Active Directory, LDAP e/ou nuvem.

O suporte ao Active Directory deve oferecer autenticação integrada do Windows (IWA) sem infraestrutura separada e deve carregar automaticamente o equilíbrio e o failover sem nenhuma infraestrutura ou configuração adicional. Mais importante ainda, ele não deve replicar dados do Active Directory para a nuvem onde está fora de controle da organização – mesmo se você optar por gerenciar alguns de seus usuários por meio de um modelo de nuvem.

O diagrama abaixo mostra as opções de implantação que uma solução IDaaS deve oferecer suporte. Como você pode ver, essa abordagem híbrida oferece o melhor dos dois mundos em termos de flexibilidade.


Conclusão
Uma solução IDaaS é uma tecnologia fundamental que ajuda a obter garantia de identidade, que é uma prática recomendada essencial do Zero Trust. Também pode ser uma tremenda economia de tempo, melhorar a satisfação do usuário e a produtividade de TI, além de solucionar muitas das deficiências associadas à expansão de senhas. Ao considerar uma solução IDaaS, faça parceria com um fornecedor que possa cumprir todas as principais considerações sobre IDaaS discutidas neste documento e selecione uma solução IDaaS que possa autenticar centralmente os usuários com sua identidade do Active Directory sem replicar na nuvem, que unifica dispositivos móveis e aplicativos O gerenciamento de acesso está pronto para a sua empresa em todo o mundo e oferece a TI informações valiosas sobre quais aplicativos e como os dispositivos são usados ​​e quando – restaurando a visibilidade e o controle perdidos. Ao fazer isso, você obterá muitos benefícios importantes, incluindo:

Maior produtividade e satisfação do usuário: torne os usuários produtivos no primeiro dia, sem listas de verificação manuais extensas e chamadas demoradas do suporte técnico. Reduza o número de vezes que um usuário precisa se lembrar e gerenciar as senhas e facilite o acesso de autoatendimento a todos os aplicativos, dispositivos e identidade.
Custos reduzidos de assistência técnica: retorne valor em produtividade aprimorada e uma redução de 95% nas chamadas de redefinição de conta e senha de aplicativos.
Custos mais baixos do ciclo de vida de aplicativos: por meio do provisionamento pronto para uso de aplicativos e da integração estrita com o Active Directory, a entrega de logon único e segurança móvel é mais econômica porque a TI usa a tecnologia, os conjuntos de habilidades e os processos existentes.
Segurança aprimorada: a TI pode remover o acesso dos usuários a todos os aplicativos locais e de nuvem de propriedade da empresa, simplesmente desativando sua conta do Active Directory, que já é uma prática comum no momento em que um funcionário sai da empresa. E, diferentemente de outras soluções, ele não duplica seus dados de identidade existentes na nuvem e fica fora de seu controle – permanece seguro dentro de sua corporação.
Custos reduzidos de conformidade: libere recursos de TI caros com relatórios fáceis e completos sobre quem na organização tem acesso a quais aplicativos na nuvem e no local e o que eles fizeram com o acesso.
Demonstre rapidamente a conformidade com os regulamentos e as melhores práticas do setor.

O Idaptive alcança a segurança do Zero Trust através do poder do acesso da próxima geração, unificando exclusivamente a segurança móvel e o gerenciamento de acesso a aplicativos, cumprindo todas as considerações importantes discutidas neste documento.

Tradução do documento: Link

Palavras chaves: idaptive, single sing on, SSO, Identity-as-a-Service, IDaaS, active directory, zero trust, MFA, MDM, nuvem,

active directory, IDaaS, idaptive, Identity-as-a-Service, MDM, mfa, nuvem, single sing on, SSO, zero trust