O projeto usa tecnologia de código aberto e um novo formato de política comum para gerenciar políticas de acesso de identidade em várias nuvens
Um novo projeto de código aberto visa unificar sistemas de identidade em nuvem incompatíveis, como Azure, AWS e Google, dando aos usuários a capacidade de aplicar políticas consistentes de identidade e acesso em plataformas multinuvem. Anunciado pela empresa de orquestração de identidade Strata Identity, o projeto consiste em Hexa, uma tecnologia de código aberto, e IDQL, um novo formato de política comum que define políticas de acesso de identidade, que se combinam para gerenciar políticas de acesso em várias nuvens, sistemas locais, e fornecedores, disse a empresa. A notícia vem na sequência de pesquisas que revelaram os riscos de segurança em torno de identidades de nuvem mal gerenciadas e excessivamente permissivas que abrem as portas para invasores que visam a infraestrutura de nuvem.
O padrão aborda silos de identidade de várias nuvens, orquestra políticas em todos os sistemas
Em um comunicado à imprensa, a Strata Identity afirmou que as plataformas de nuvem populares atuais usam sistemas de identidade proprietários com linguagens de políticas individuais, todas incompatíveis entre si. Além disso, cada aplicativo deve ser codificado para funcionar com um sistema de identidade específico, acrescentou. O Hexa foi projetado para usar IDQL para permitir que qualquer número de sistemas de identidade funcionem juntos como um todo unificado, sem fazer alterações neles ou em aplicativos, disse a Strata Identity. Ele funciona abstraindo políticas de identidade e acesso de plataformas de nuvem, sistemas de autorização, recursos de dados e redes de confiança zero para descobrir quais políticas existem e depois as traduz de sua sintaxe nativa para a política declarativa IDQL genérica, continuou o fornecedor. Em seguida, ele orquestra instruções de identidade e acesso em sistemas em nuvem e em aplicativos, recursos de dados, plataformas e redes, traduzindo de volta em políticas nativas e imperativas de sistemas de destino por meio de uma arquitetura baseada em nuvem.
“Pela primeira vez, você pode unificar e gerenciar centralmente suas políticas não apenas de Norte a Sul, mas também de Leste a Oeste em qualquer CSP [provedor de serviços em nuvem] ou praticamente qualquer endpoint em sua arquitetura de solução”, comentou Tom Malta, Líder Global de Gerenciamento de Identidade e Acesso, membro do grupo de trabalho IDQL. “O IDQL permite que você gerencie centralmente políticas de acesso díspares em uma camada de abstração em vez de individualmente em cada CSP”. Assim como o Kubernetes transformou a computação ao permitir que os aplicativos se movam de forma transparente de uma máquina para outra, o IDQL permite que as políticas de acesso se movam livremente entre sistemas de identidade proprietários, acrescentou Eric Olden, CEO da Strata Identity.
Jack Poller, Analista Sênior do Enterprise Strategy Group, disse ao CSO que o uso do IDQL como língua franca para políticas de autorização é uma nova abordagem para unificar identidade e acesso em arquiteturas de TI modernas e híbridas de várias nuvens. “Além disso, a Hexa, usando IDQL, parece pronta para ajudar as organizações a orquestrar e automatizar políticas de acesso em todo o ambiente de TI, garantindo a consistência das políticas e preenchendo as inevitáveis lacunas de segurança que ocorrem com o gerenciamento manual de políticas”.
Identidades de nuvem mal gerenciadas representam um risco significativo de segurança cibernética
As identidades na nuvem representam ameaças de segurança significativas para as organizações que lutam para gerenciar e configurar com eficiência o gerenciamento de identidade e acesso (IAM) em ambientes de nuvem. Em ‘Identity and Access Management: The First Line of Defense’, pesquisadores da Unit 42, de Palo Alto, analisaram mais de 680.000 identidades em 18.000 contas de nuvem e mais de 200 organizações diferentes para entender suas configurações e padrões de uso, revelando que 99% dos usuários de nuvem, funções, serviços e recursos concedem permissões excessivas que não são utilizadas. Os adversários que comprometem essas identidades podem aproveitar as permissões para se mover lateralmente ou verticalmente e expandir o raio de ataque, segundo o relatório.
