IAM em ambientes cloud: desafios e boas práticas

Uma grande quantidade de empresas já conta com parte da operação em ambientes cloud. E quanto mais negócios se apoiam em sistemas na nuvem, mais aumenta a necessidade de uma gestão robusta de identidades e acesso.

Segundo um relatório publicado em 2024, incidentes de segurança na nuvem cresceram 154% em apenas um ano. Quando analisados, a maior parte desses incidentes não teve origem em um ataque sofisticado direto à rede, mas por meio de uma credencial mal gerenciada.

Para ajudar empresas na prevenção de ataques dessa origem, neste artigo, vamos entender o que é o IAM em ambientes cloud, por que a gestão de identidade e acesso é essencial, quais são os principais desafios e como estruturar boas práticas para proteger as identidades das organizações.

O que é IAM em ambientes cloud?

O Identity and Access Management (IAM) é o conjunto de políticas, processos e workflows que controla o que cada identidade pode acessar dentro de um ambiente de TI. Em uma tradução literal do termo em inglês, é o gerenciamento de identidades e acessos — e em ambientes cloud, ele ganha uma camada extra de complexidade.

No modelo tradicional on-premises, os ambientes de TI eram mais centralizados, previsíveis e com um perímetro de segurança físico e bem definido: servidores dentro do escritório, com acesso pelo escritório. Os riscos de exposição de credenciais já existiam, mas eram parcialmente mitigados por meio de controles compensatórios, como segmentação da rede, monitoramento restrito e menor exposição externa.

Em ambientes cloud, com um perímetro pouco delimitado, os riscos crescem exponencialmente, principalmente se as políticas de segurança da empresa forem fracas. Um colaborador pode acessar sistemas críticos em qualquer dispositivo, em qualquer lugar do mundo e em qualquer momento. Um fornecedor externo pode ter credenciais com acesso a dados sensíveis do sistema. Uma aplicação pode autenticar-se automaticamente em dezenas de serviços sem nenhuma supervisão humana.

O IAM em cloud é o responsável por definir, controlar e monitorar todas essas interações — humanas e não humanas — garantindo que cada uma seja devidamente registrada em logs e que cada identidade tenha acesso tenha acesso apenas ao que precisa, quando necessário. 

Por que o IAM é essencial para ambientes cloud?

1 em cada 2 vazamentos de dados pode ser atribuído a falhas no gerenciamento de identidades e acessos, segundo o Verizon DBIR 2024. O IAM deixou de ser uma camada extra de proteção e passou a ser o objetivo final da estratégia de segurança em ambientes cloud.

Um caso que ilustra bem o impacto de uma falha no gerenciamento de identidades foi o vazamento de uma plataforma de dados e IA baseada em nuvem em 2024. O ataque aconteceu por falta de controles de IAM bem estabelecidos: sem autenticação multifator e sem rotação de credenciais de acesso, o invasor conseguiu entrar e extrair dados confidenciais de diversas organizações que usavam a plataforma. Não houve exploração de vulnerabilidades técnicas, apenas credenciais válidas que existiam sem barreira adicional de verificação.

Esse cenário é mais comum do que parece. Imagine um funcionário do RH que, ao mudar de função na empresa, mantém acesso ao sistema de folha de pagamento, já que suas permissões não foram atualizadas para o novo escopo. Ou até mesmo um prestador de TI que já foi desligado da empresa, mas ainda tem credenciais ativas no ambiente. São esses pontos de entrada que um gerenciamento de identidades e acessos bem estruturado elimina.

80% das organizações acreditam que soluções de IAM poderiam ter evitado parte ou todos os ataques sofridos — ou seja, as organizações com um ambiente a caminho da maturidade já têm consciência do problema, mas enfrentam desafios na implementação de um programa de IAM eficiente. 

Quais são os desafios da Gestão de Identidade e Acesso em nuvem?

O gerenciamento de identidades em ambientes cloud tende a ser mais complexo do que no modelo on-premises. Confira abaixo quais são os principais desafios enfrentados pelas equipes de segurança:

Visibilidade em ambientes híbridos e multicloud

73% das organizações operam em ambiente híbrido, com sistemas tanto on-premises quanto em cloud. São diversas plataformas de gerenciamento — AWS, Azure, Google Cloud — cada uma com seus próprios modelos de permissões e consoles.

O desafio desse cenário é conseguir ter uma visão centralizada, já que o time precisa alternar entre as diferentes ferramentas para entender quem tem acesso a quê, o que abre brechas para inconsistências.

Imagine que uma empresa migra parte dos seus sistemas para o Google Cloud, mas mantém o Active Directory. O resultado são dois diretórios de identidades rodando em paralelo, com políticas diferentes e sem sincronização automática. Um colaborador desligado pode ter o acesso revogado em um ambiente e continuar ativo no outro.

Gerenciamento do ciclo de vida das identidades

As identidades têm ciclo de vida — são criadas, às vezes mudam de escopo ao longo do tempo e enfim precisam ser desativadas. Em ambientes cloud, algumas atividades são mais dinâmicas e menos controladas, por exemplo:

  • Equipes criam contas de acesso temporário para projetos e esquecem de removê-las.

  • Desenvolvedores geram chaves de API para testes e nem sempre as invalidam.

  • Sistemas de automação acumulam permissões ao longo do tempo sem revisão.

Eventualmente, o ambiente conta com dezenas ou centenas de identidades "fantasma" — ativas, com privilégios, sem dono, sem supervisão. Neste cenário, existe uma equipe de TI que possui inventários distribuídos em diversas plataformas, trabalhando para mantê-los atualizados. Além do processo cansativo, o processo manual de inventariação pode permitir que as identidades nunca terminem seu ciclo de vida.

Identidades não humanas

Em ambientes cloud, as identidades não humanas — contas de serviço, chaves de API, tokens de aplicações — frequentemente superam as humanas em volume e em risco.

97% delas tem privilégios excessivos, ampliando a superfície de ataque, já que raramente passam por revisões periódicas e, quando comprometidas, não geram alertas de comportamento suspeito imediatos.

Um exemplo seria uma conta de serviço criada para uma migração de dados entre dois ambientes cloud. Se quando concluída a migração a conta permanecer ativa, ela terá acesso irrestrito aos dois ambientes — sem dono, sem revisão e sem prazo de expiração.

Se um invasor identificar essa conta abandonada, ele passa a ter acesso equivalente ao do processo original, sem sequer precisar de uma credencial humana.

Conformidade regulatória

Diversas regulamentações, como a LGPD, a ISO 27001 e a SOC 2, exigem controle e rastreabilidade de acessos. Em ambientes cloud, comprovar quem acessou o quê e quando depende diretamente da maturidade da solução IAM implementada. Sem logs centralizados e políticas bem definidas, uma auditoria pode expor lacunas que comprometem a conformidade — e geram multas ou perda de certificações.

Imagine que um colaborador acessou informações confidenciais de clientes utilizando sua credencial com acesso privilegiado permanente. Sem o registro de cada ação realizada por ele durante a extração, a empresa não consegue identificar quais dados foram comprometidos, em quais sistemas houve acesso indevido ou quando o incidente começou, o que torna a contenção do vazamento mais lenta e desorganizada.

Quais são as boas práticas de Gestão de Identidades para ambientes cloud?

Estruturar um processo de IAM eficaz em cloud exige seguir algumas práticas que garantem a cobertura das camadas mais críticas do gerenciamento de identidades. Confira abaixo quais são elas:

Aplique o princípio do privilégio mínimo

Cada identidade — humana ou não — deve ter acesso apenas ao mínimo necessário para sua função. O Privilégio Mínimo é um modelo fundacional, ou seja, um pré-requisito de segurança. Ele fornece acesso permanente aos privilégios, mas somente aqueles realmente necessários.

Como essas permissões permanecem válidas até o próximo ciclo de verificação, devem ser revisadas periodicamente, sempre levantando questões sobre o nível de privilégio daquela identidade, como: essa conta ainda precisa desse acesso? Esse desenvolvedor ainda tem função que permite acesso ao banco de dados? Quais são as permissões necessárias para as tarefas desse colaborador?

O Least Privilege é um passo importante para tornar o gerenciamento de acessos mais maduro, mas não é o objetivo final. Mesmo com privilégios mínimos, ele ainda oferece o acesso permanente. Essa prática em um ambiente em nuvem é frequentemente considerada mais rápida e conveniente, além das equipes terem a falsa sensação de "controle", já que a facilidade de provisionar raramente vem acompanhada da disciplina de desprovisionar posteriormente.

Por isso, modelos mais avançados como o Zero Standing Privileges, abordado nas próximas seções, vão além ao eliminar o acesso permanente por completo.

Implemente MFA e autenticação adaptativa

Em ambientes cloud, onde o acesso é remoto por natureza, uma autenticação multifator é requisito obrigatório, principalmente para contas privilegiadas. É uma medida simples, com dificuldade mínima de implementação, mas com o maior retorno em segurança de identidade. O caso comentado acima, do vazamento de uma plataforma de dados e IA baseada em nuvem, mostrou o custo de não ter um MFA implementada.

Com a autenticação adaptativa, a validação de acessos vai além, já que existe uma avaliação do contexto em tempo real. Um colaborador acessando o sistema de dentro do escritório em horário comercial tem um perfil de risco diferente de alguém acessando às 3h da manhã de um país desconhecido. A própria equipe de TI pode definir quais são os comportamentos padrões, impedindo que sejam bloqueados, e programar o sistema para exigir verificação adicional automaticamente para aqueles considerados anormais. 

Gerencie com automação o ciclo de vida das identidades

Onboarding e offboarding precisam ser processos automáticos, não dependentes de checklist manual. Na prática, a automatização cuida do ciclo de vida da identidade desde sua criação até exclusão: quando um colaborador entra, recebe exatamente as permissões do seu perfil de função nas mais diversas plataformas; quando sai, todos os acessos são revogados imediatamente, em todos os ambientes. Para isso, é necessário que o inventário esteja centralizado e automatizado em um único console.

O mesmo vale para identidades não humanas: tokens e chaves de API devem ter prazo de expiração definido e rotação automatizada, sem depender de um lembrete no calendário de alguém.

Monitore e audite acessos continuamente

Imagine quantos eventos são registrados diariamente em ambientes cloud. De um clique em um botão à abertura de um documento, cada ação de cada identidade é registrada em logs de acesso, mas que só possuem valor se contextualizados e monitorados. Diante desse grande volume, realizar uma análise manual eficiente é praticamente impossível, o que torna a automação de alertas essencial.

Além do monitoramento contínuo, as ações registradas em logs ricos em contexto permitem auditorias periódicas que ajudam a identificar excessos de permissão, contas inativas e outras configurações obsoletas ao longo do tempo.

Adote o modelo Zero Trust

Nenhuma identidade deve ser considerada confiável por padrão, mesmo dentro da rede — esse é o princípio do Zero Trust. Quando falamos em ambientes cloud, as estratégias tradicionais de IAM, que foram projetadas para ambientes on-premises, não são mais suficientes. Como o perímetro de segurança do ambiente cloud não é bem delimitado, as equipes de TI tendem a ter mais dificuldade em monitorar e gerenciar permissões de forma eficaz.

O modelo de Zero Trust, em sua forma mais madura, conta também com o Zero Standing Privileges, uma estratégia de gerenciamento de identidades que elimina o acesso permanente, garantindo sessões permitidas durante um tempo específico e para um propósito definido. O Just in time (JIT) surge com um mecanismo habilitador do ZSP, sendo o intermediário que realizará o controle das sessões privilegiadas, expirando os direitos após encerradas.

Como o ManageEngine Identity360 suporta o IAM em cloud

Para implementação de um gerenciamento de identidades em ambientes cloud e híbridos, é necessária uma plataforma que abrace diversas etapas do processo — centralizar, monitorar, automatizar, autenticar e registrar as credenciais.A ManageEngine oferece duas soluções complementares para cobrir essas camadas: o Identity360 e o PAM360.

Com o Diretório Universal do Identity360, todas as identidades da organização — de diferentes diretórios e ambientes — são centralizadas em um único console. Assim, a equipe passa a ter uma visão unificada de quem tem acesso a quê, independentemente de onde o sistema está hospedado, resolvendo o desafio da visibilidade fragmentada.

Para eliminar as identidades "fantasma", aquelas que acumulam privilégios sem revisão, o gerenciamento do ciclo de vida é automatizado: quando um colaborador entra, as permissões são fornecidas automaticamente conforme seu perfil. Quando sai, o acesso é revogado em todos os sistemas conectados, sem depender de processo manual.

O Identity360 também oferece MFA resistente a phishing, além da função Single Sign-On (SSO), permitindo que os colaboradores acessem todas as aplicações necessárias com uma única autenticação segura, agindo como uma camada extra de segurança sem reduzir a produtividade.

Para os acessos que exigem controle mais granular — contas administrativas, identidades não humanas e sessões privilegiadas — o ManageEngine PAM360 complementa o IAM estruturado pelo Identity360. Com a aplicação do modelo de Zero Standing Privileges, nenhuma identidade mantêm privilégios permanentes: cada acesso é aprovado, temporário e revogado automaticamente ao fim da sessão.

O conjunto de relatórios e logs contextualizados do PAM360 fecha o ciclo: cada acesso é registrado e auditável, com relatórios prontos em conformidade com LGPD, ISO 27001 e outros padrões regulatórios.

Juntos, Identity360 e PAM360 cobrem as camadas mais críticas do IAM em cloud: identidade, acesso e privilégio.

Em um ambiente onde o perímetro não existe, você decide a delimitação de cada identidade. Clique aqui e faça um teste gratuito do ManageEngine Identity360 e do ManageEngine PAM360!

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.