Governança de Acesso

Violações de segurança custam às organizações milhões de dólares a cada ano. A força da segurança é tão forte quanto o elo mais fraco. Você deve cumprir os requisitos regulatórios e, ao mesmo tempo, proteger as informações do cliente. A chave para impor a conformidade é obter visibilidade das informações de segurança, como o tipo de acesso permitido em toda a sua infraestrutura. Você também deve revisar as informações de acesso periodicamente para garantir que as pessoas certas tenham o nível certo de acesso aos recursos certos. Para conseguir isso, automatize tarefas relacionadas e facilite para sua organização tomar decisões relacionadas à segurança.

À medida que as empresas crescem e se movem para um ambiente multicloud, manter a postura de segurança certa se torna um desafio maior. À medida que o número de sistemas on-premises e na nuvem cresce, o controle de identidades e o acesso aos sistemas se tornam mais complexos. O controle manual não funciona mais de forma eficaz. Soluções automatizadas e inteligentes usando inteligência artificial (IA) e machine learning (ML) são necessárias para uma governança eficaz. Isso se aplica a várias tarefas relacionadas à segurança, como provisionamento e desprovisionamento de usuários, controle de acesso baseado em workflow e visibilidade de quem tem acesso, revisões de acesso e certificações.

Quando as identidades não são governadas, elas podem representar vários problemas e riscos para a empresa. As seguintes informações resumem esses desafios:

• Há falta de visibilidade sobre quem tem acesso ao quê, aumentando o risco.
• Quando desmarcada, os privilégios de acesso são acumulados.
• Políticas excessivamente permissivas e generalizadas concedem permissões amplas ou irrestritas.
• Ambientes híbridos e multicloud causam duplicação de identidades e inconsistência entre sistemas.
• Gerenciar e controlar identidades e acessar manualmente leva a problemas de complexidade e escalabilidade.
• A agregação, correlação e orquestração de dados de identidade e direitos de acesso são distribuídas em todo o seu ecossistema de TI, levando a inconsistências.
• A falta de análises em tempo real leva à tomada de decisões com base em informações obsoletas de identidade e acesso.

Para enfrentar esses desafios, implemente soluções baseadas em recursos avançados de governança e administração de identidades (IGA) que fornecem habilidades inteligentes e em tempo real (como análise prescritiva) para identificar anomalias e mitigar riscos de segurança de forma eficaz.

Governança e Administração de Identidades

O Gartner define o IGA como uma solução empresarial para gerenciar o ciclo de vida da identidade digital e controlar o acesso do usuário em ambientes on-premises e na nuvem. Para conseguir isso, as ferramentas IGA agregam e correlacionam dados de identidade e direitos de acesso diferentes que são distribuídos em todo o cenário de TI para aprimorar o controle sobre o acesso humano e à máquina.

IGA é um conjunto de políticas e tecnologias que ajudam você a gerenciar identidades digitais e direitos de acesso. A IGA adota uma abordagem ampla para gerenciar identidades digitais e direitos de acesso. O objetivo do IGA é garantir que apenas usuários autorizados tenham acesso aos recursos necessários para fazer seus trabalhos, melhorar a conformidade e agilizar os processos de negócios. As soluções IGA geralmente incluem recursos para gerenciamento do ciclo de vida de identidades, governança de acesso e relatórios e análises. As seguintes informações descrevem IGA:

• Gerenciamento do ciclo de vida da identidade: Os processos envolvidos na criação, no gerenciamento e na desativação de identidades de usuários. Isso inclui tarefas como admissão de novos funcionários, demissão de funcionários desligados e gerenciamento de alterações nas funções e permissões do usuário.
• Governança de acesso: A prática de garantir que os usuários tenham acesso apenas aos recursos necessários para executar suas tarefas. Isso inclui tarefas como atribuir permissões, impor menos privilégios e auditar atividades de acesso.
• Relatórios e análises: Fornece insights sobre sua identidade e dados de acesso. Essas informações podem ser usadas para identificar riscos potenciais, melhorar a conformidade e tomar melhores decisões sobre o gerenciamento de identidades.

A IGA é uma parte importante de sua postura de segurança geral. Ao implementar soluções IGA, os benefícios incluem:

• Riscos de segurança reduzidos: O IGA pode ajudar a reduzir os riscos de segurança, garantindo que apenas usuários autorizados tenham acesso a dados confidenciais. Isso pode ser feito implementando recursos como privilégio mínimo, controle de acesso baseado em função, insights inteligentes e segregação de funções.
• Conformidade aprimorada: A IGA pode ajudar você a melhorar a conformidade com regulamentos como Sarbanes-Oxley, 21 CFR Parte 11, Gramm-Leach-Bliley, Health Insurance Portability and Accountability Act (HIPAA), e General Data Protection Regulation (GDPR). Isso pode ser feito fornecendo recursos para gerenciar o acesso a dados confidenciais, rastrear a atividade do usuário e gerar relatórios.
• Autoatendimento simplificado: O IGA pode ajudar a simplificar os processos de negócios automatizando tarefas de gerenciamento de identidades, como integração e demissão de usuários e atribuição de permissões. Isso pode liberar a equipe de TI para se concentrar em outras tarefas e melhorar a eficiência da organização.
• Economia de custos: O IGA pode ajudar você a economizar custos e economizar tempo por meio de painéis de controle eficientes e fáceis de usar, fluxos de trabalho sem código e integração de aplicativos baseados em assistente.

O objetivo do IGA é gerenciar o complexo array de direitos de acesso e repositórios de identidades dentro das organizações, tanto on-premises quanto na nuvem. Ele garante o acesso apropriado a recursos em ambientes de TI altamente conectados.

Alguns dos principais recursos para um pacote IGA completo para atender às necessidades típicas de uma organização são:

• Gerenciamento do ciclo de vida de identidade
• Gerenciamento de direitos
• Suporte para solicitações de acesso
• Orquestração de workflow
• Certificação de acesso
• Provisionamento por meio de conectores automatizados
• Análises e geração de relatórios
• Gerenciamento de políticas e atribuições
• Gerenciamento de senhas
• Segregação de funções

Alguns desses recursos são mais essenciais para uma solução IGA do que outros. Esta lista descreve os recursos geralmente esperados em uma solução IGA.

Oracle Access Governance

O Oracle Access Governance é uma solução nativa da nuvem que ajuda a atender aos requisitos de governança de acesso e conformidade em muitos aplicativos, cargas de trabalho, infraestruturas e plataformas de identidade. Ele descobre continuamente identidades, monitora seus privilégios, aprende padrões de uso e automatiza processos de revisão de acesso e conformidade com recomendações prescritivas para fornecer maior visibilidade do acesso em toda a nuvem e no ambiente local de uma organização. O Access Governance simplifica as campanhas de certificação para conformidade e sugere ações de forma inteligente para reduzir o risco em toda a organização.

O Access Governance fornece uma solução de governança abrangente que é executada com outras soluções de identidade em um modelo de implementação híbrida. As organizações que optam por um modelo híbrido podem aproveitar os recursos avançados disponíveis nos serviços nativos da nuvem, mantendo partes do IAM Suite on-premises para requisitos de conformidade ou residência de dados. O serviço permite microcertificações ad-hoc, periódicas e automatizadas baseadas em eventos, como uma revisão de acesso acionada por uma alteração de código de cargo ou gerente. Ele pode realizar revisões de acesso quase em tempo real e fornece recomendações detalhadas, juntamente com opções para que os revisores aceitem ou revisem um direito com base no nível de risco identificado.

Para obter mais informações sobre os detalhes e o uso do Access Governance, consulte:

• Access Governance - Planilha de Dados
• Documentação do Access Governance

O Access Governance é necessário para gerenciar o acesso a vários recursos para usuários em uma organização. Em um ambiente complexo em que um usuário tem acesso a vários aplicativos em execução em um ambiente on-premises, na nuvem ou híbrido, é importante garantir que o usuário tenha a quantidade certa de acesso para executar seu trabalho sem conceder a ele acesso excessivo que pode ser mal utilizado.

As organizações precisam ter visibilidade de quem tem acesso ao quê e a capacidade de definir várias violações para evitar combinações perigosas de acesso. O Access Governance ajuda você a documentar o acesso e obter insights sobre o uso do acesso para detectar e evitar qualquer possível uso indevido.

O Oracle Access Governance oferece uma plataforma inteligente e intuitiva que permite a descoberta de identidades, o monitoramento do acesso e a mitigação de riscos em recursos multicloud e on-premise, aproveitando a IA e o machine learning. Ele automatiza ações corretivas e impõe a conformidade com as políticas corporativas, reduzindo a carga sobre as equipes de TI e segurança.

Arquitetura de Governança de Acesso

O diagrama a seguir mostra a arquitetura funcional de alto nível do Oracle Access Governance. No núcleo, ele fornece vários recursos IGA funcionais, incluindo orquestração de identidades, análises e insights, campanhas de revisão de acesso e política, controle de acesso, auditoria e conformidade. Ele fornece conectores para integração com vários sistemas on-premises, serviços de nuvem e aplicativos de software como serviço (SaaS).

As organizações geralmente têm vários aplicativos, o Oracle e-Business Employee Reconciliation (HRMS) e sistemas de gerenciamento de identidade. Esses diferentes sistemas podem ser incluídos no Access Governance, que por sua vez, correlaciona as identidades. O Access Governance ajuda a identificar como eles obtiveram o acesso, qual acesso eles têm e como eles o estão usando. Com base nisso, o risco de identidade pode ser controlado. Nas áreas de Serviços em Nuvem e Locais no lado direito do diagrama, há vários serviços em nuvem e sistemas locais com acesso que precisam ser controlados para essas identidades.

Recursos do Access Governance

As principais áreas funcionais do Oracle Access Governance são:

• Orquestração de identidade
• Controle de acesso
• Governança e conformidade
• Inteligência de identidade

O diagrama a seguir mostra os principais recursos em cada uma dessas áreas funcionais.

Orquestração de Identidade

A orquestração de identidades integra vários sistemas de identidade de uma organização em nuvens e sistemas de identidade on-premises. Ele permite identidade e acesso consistentes aos aplicativos, independentemente de onde eles sejam executados e de seu provedor de identidades. É um recurso essencial para ambientes complexos de várias nuvens e híbridos, em que um único usuário pode ter várias identidades em sistemas diferentes.

Os principais recursos relacionados à orquestração de identidades são:

• Sistemas conectados
• Integração sem código
• Personalizar atributos de identidade
• Marcação de identidade

Sistemas Conectados

O Oracle Access Governance pode ser integrado aos sistemas de identidade de destino definindo um sistema conectado. Um sistema conectado permite carregar dados de um sistema de identidade de destino remoto no Oracle Access Governance. O sistema conectado definirá parâmetros, como detalhes de conexão, necessários para acessar dados de identidade remota. Quando uma conexão direta entre o Oracle Access Governance e o sistema de identidade de destino não for possível, um agente poderá ser implantado para atuar como uma ponte entre os dois.

Um sistema conectado é a definição de volume de memória de um sistema de identidade de destino que pode ser integrado e fornecer dados ao Oracle Access Governance. Depois de definido, o sistema conectado permite a integração e a sincronização de dados entre os sistemas de identidade de destino e o Oracle Access Governance por meio de uma conexão direta ou de um agente.

O componente principal do serviço de nuvem de governança de acesso é a instância de governança de acesso que fornece separação física de dados e configuração para o Access Governance. Na área Local do lado esquerdo do diagrama, há um exemplo de sistemas conectados on-premises. Alguns desses sistemas podem ser fontes autorizadas que gerenciam informações de identidade. Alguns podem ser sistemas de destino nos quais você deseja gerenciar o acesso aos recursos.

Integração sem código

Um dos principais princípios de design do Access Governance é permitir a integração sem código e intuitiva com sistemas conectados. A maioria dos sistemas on-premises usa uma arquitetura baseada em agente para integração com o Access Governance. Para cada sistema conectado em que não há conexão direta entre AG e o sistema de destino disponível, um agente é gerado quando o sistema conectado é configurado. O agente deve ser baixado e executado para integrar o sistema conectado ao Access Governance. O agente geralmente é uma imagem de contêiner que é executada como um microsserviço. Você pode ter um ou mais desses sistemas conectados à governança de acesso.

O diagrama anterior mostra a integração do Oracle Identity Governance (OIG) e do Access Governance. O OIG é integrado ao Access Governance por meio de um agente do OIG que pode ser executado na mesma máquina virtual (VM) em que o OIG é executado ou em uma instância de VM independente com um mecanismo de contêiner compatível que seja o Docker ou o Podman.

Os sistemas conectados baseados em nuvem também podem ser fontes confiáveis ou sistemas de destino. Para muitos dos sistemas conectados baseados em nuvem, a integração direta é fornecida. Por exemplo, você pode integrar-se ao OCI IAM usando uma chave de API. O diagrama a seguir mostra a integração do Oracle OCI com o Access Governance.

Você pode estabelecer uma conexão entre o Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) e o Oracle Access Governance inserindo detalhes da conexão e configurando seu ambiente de provedor de serviços em nuvem. Para isso, use a opção Sistemas Conectados na Console do Oracle Access Governance. Essa integração é feita por meio de uma Chave de API. Uma Chave de API é criada para o usuário do AGCS e configurada na página de sistemas conectados. Depois de conectado, as revisões de política podem ser executadas para as políticas da OCI.

Personalizar Atributos de Identidade

O Oracle Access Governance extrai automaticamente atributos básicos e personalizados definidos em um sistema conectado. Os detalhes dos atributos são carregados automaticamente no Access Governance quando os dados são carregados de um sistema conectado. Se você criar outros atributos personalizados no sistema de destino, após o carregamento inicial de dados, poderá atualizar os atributos personalizados no esquema do Access Governance para que os atributos personalizados mais recentes sejam incluídos no próximo carregamento de dados.

Você pode usar esses atributos no Oracle Access Governance para executar várias funções, como executar campanhas de revisões de acesso, escolher identidades para coleções de identidades, definir certificações baseadas em eventos ou aplicar condições de atributo para ativar/desativar o conjunto de dados de identidade disponível.

Marcação de Identidade

O recurso de marcação de identidade permite que os administradores ativem ou desativem identidades dentro do serviço e sinalizem identidades como usuários da força de trabalho ou consumidores. É importante entender o significado dessa terminologia no Access Governance.

• Identidades ativas: Identidades marcadas como ativas no serviço Oracle Access Governance, que permite os principais recursos, incluindo revisões de acesso e controle de acesso.
• Identidades inativas: Identidades sinalizadas como inativas dentro do serviço Oracle Access Governance que não são regidas pelo Active Governance e não são consideradas para faturamento.
• Usuários da Força de Trabalho: Usuários que normalmente são funcionários que exigem acesso ao Access Governance e cujas identidades são ativamente governadas. Esses usuários podem realizar ativamente atividades de revisão ou gerenciamento no AG.
• Usuários do Consumidor: Os usuários que não têm acesso ao serviço Access Governance e seus privilégios de acesso precisam ser designados ou gerenciados por outras pessoas.

Um dos primeiros passos na configuração da Governança Ativa é marcar as identidades adequadamente como usuário da força de trabalho ou consumidor e ativá-las no sistema de Governança Ativa.

Controle de Acesso

O controle de acesso fornece uma maneira centralizada de gerenciar o acesso aos recursos. Ele usa uma variedade de técnicas, incluindo controle de acesso baseado em função (RBAC), controle de acesso baseado em atributo (ABAC) e controle de acesso baseado em política (PBAC) para garantir que os usuários tenham acesso apenas aos recursos de que precisam para fazer seus trabalhos. As organizações usam o controle de acesso para ajudar a melhorar a postura de segurança. O controle de acesso inclui:

• Solicitações de acesso
• Workflows de aprovação
• Coleções de identidade
• Pacotes de acesso
• Funções (RBAC)
• Políticas (PBAC)

Solicitações de Acesso

Como usuário do Oracle Access Governance, você pode solicitar acesso a recursos e atribuições. As solicitações podem ser feitas para você ou para os outros. Esse processo cria uma solicitação de acesso concedida sem ação adicional ou sujeita a um workflow de aprovação.

• O processo usa uma abordagem de autoatendimento com um catálogo de acesso simplificado.
• O Access Governance fornece uma experiência de usuário modernizada para gerar e rastrear solicitações de acesso e aprovações.
• O fluxo de trabalho de aprovação pode ser personalizado de acordo com as necessidades da organização.
• O Access Governance melhora a produtividade ao automatizar o atendimento para privilégios de acesso aprovados.

Workflows de Aprovação

Todas as permissões ou funções que precisam ser atribuídas a um usuário devem ser processadas por meio de um workflow de aprovação. Como administrador de recursos, você deve projetar o workflow especificando o nível de aprovação necessário e o número de aprovadores. Você pode usar esses workflows para obter aprovações antes de designar ou revogar privilégios de usuário.

Por exemplo, quando um usuário solicita acesso a um pacote de acesso por meio do Access Governance, o workflow de aprovação associado a esse acesso ou permissão aciona uma notificação por e-mail para os aprovadores, que, em seguida, revisam a solicitação e a aprovam, rejeitam ou podem solicitar mais informações. O resultado do processo de aprovação é atualizado no sistema de gerenciamento de permissões.

Os workflows fornecidos prontos para uso com o Oracle Access Governance incluem os seguintes recursos:

• Os revisores são notificados sobre revisões de acesso designadas e pendentes.
• O Oracle Access Governance oferece suporte a fluxos de trabalho de revisão de acesso de um nível, dois níveis e três níveis.
• As revisões de acesso podem ser aceitas ou revogadas.

Os workflows no Oracle Access Governance permitem:

• Criação de fluxo de trabalho totalmente configurável sem codificação.
• Workflows que suportam aprovações em vários estágios em que os aprovadores podem ser configurados.
• Capacidade de configurar se todos ou um dos aprovadores precisar aprovar a solicitação
• Sugestões para critérios selecionados baseados no workflow inteligente.
• Suporte para aprovadores de escalação nos casos em que os aprovadores não tomaram medidas.

Coleções de Identidade

O controle de acesso baseado em atributo (ABAC) é um método de controlar o acesso a recursos com base nos atributos do usuário e do recurso. Os atributos podem incluir a função do cargo, o departamento, o local e a hora do dia do usuário. O Access Governance usa coleções de identidades para ABAC.

Coleções de identidades são grupos de identidades com base em atributos compartilhados ou identidades nomeadas. Essas identidades são integradas a partir de sistemas conectados usando a orquestração de identidades.

O Identity Collections simplifica as tarefas permitindo que você configure recursos para uma coleção de identidades, em vez de para cada identidade. Você pode usar coleções de identidades para:

• Associe identidades a pacotes de acesso apropriados ou funções usando políticas.
• Delegar tarefas de Revisão de Acesso a uma Coleta de Identidades.
• Atribua como aprovadores nos workflows de aprovação.

Pacotes de Acesso

As empresas têm várias aplicações e serviços aos quais o acesso precisa ser controlado. Cada um desses aplicativos pode definir várias permissões que precisam ser concedidas com base na função do usuário. Às vezes, essas permissões são grossas e às vezes são grossas. Embora seja possível conceder essas permissões individualmente aos usuários, isso pode ser complexo e propenso a erros. Normalmente, com base no caso de uso, os usuários precisariam de um conjunto de permissões para executar suas tarefas. A concessão de apenas parte dessas permissões causaria problemas e atrasos no desempenho de suas funções.

Os pacotes de acesso são baseados no uso de um conjunto de permissões que são sempre agrupadas para executar as responsabilidades do usuário.

Um pacote de acesso é um conjunto de permissões que agrupam o acesso a recursos, recursos de aplicativos e funcionalidades em uma unidade solicitável. Um pacote de acesso específico está associado a um único destino. Os usuários de um recurso específico não precisam solicitar cada permissão associada a esse recurso. Em vez disso, eles solicitam o pacote de acesso para esse recurso. Isso simplifica o processo de solicitação de permissões de recursos.

Por exemplo, você pode criar um pacote de acesso para desenvolvedores usando o aplicativo de destino Oracle Integration. Você pode chamar esse pacote de Acesso do Desenvolvedor de Integração e selecionar as permissões de leitura, edição e criação necessárias para que um desenvolvedor de integração use o aplicativo. Quando um desenvolvedor em sua organização precisa solicitar acesso do desenvolvedor ao aplicativo Oracle Integration, ele só precisa solicitar o pacote, não as permissões individuais. Os pacotes de acesso são gerenciados pelos proprietários de aplicativos e podem ser solicitados no catálogo de acesso.

Depois de definir o pacote de acesso, ele poderá ser designado a atribuições ou usado em políticas para conceder o conjunto de permissões. Atribuições e políticas geralmente são gerenciadas por administradores, o que fornece uma maneira de separar tarefas.

Atribuições

O controle de acesso baseado em função (RBAC) é um método de controlar o acesso a recursos com base nas funções que os usuários têm. As funções são atribuídas aos usuários com base em sua função de cargo, departamento ou outros critérios.

No Access Governance, uma atribuição é um grupo de pacotes de acesso para um ou mais aplicativos e serviços. Os pacotes de acesso contidos em uma função podem abranger vários destinos. Um exemplo pode ser uma atribuição de administrador de banco de dados, que agrupa o Administrador do BD para a Oracle. Administrador de BD para DB2 e Administrador de BD para pacotes de acesso MySQL. Isso permite criar funções que combinam os pacotes de acesso relevantes para executar essa função. Essas funções podem ser associadas a identidades por meio de políticas. Por padrão, uma função não fornece acesso a um recurso. O acesso é concedido a uma identidade quando uma atribuição é designada a essa identidade por meio de uma política ou solicitação de autoatendimento. As atribuições são gerenciadas por administradores de atribuições e podem ser solicitadas no catálogo de acesso.

Políticas

O controle de acesso baseado em política (PBAC) é um método de controlar o acesso a recursos com base em políticas. Políticas são regras que definem quem pode acessar quais recursos e sob quais condições.

As políticas associam recursos e permissões a identidades por meio de funções e pacotes de acesso. O diagrama a seguir mostra como você pode manter políticas dentro do serviço Access Governance.

As coleções de identidades são um grupo de identidades de usuário definidas com base em atributos. Os usuários precisam de acesso aos aplicativos e serviços, e as permissões são colocadas em pacotes de acesso. As funções podem agrupar pacotes de acesso com base em casos de uso. As políticas associam as coleções de identidades a atribuições ou pacotes de acesso. O PBAC permite o acesso direto e just-in-time e fornece uma maneira de centralizar o gerenciamento de políticas e as revisões de acesso que podem ser gerenciadas por auditores internos e administradores de conformidade.

Governança e Conformidade

O Access Governance ajuda a garantir a governança e a conformidade, fornecendo uma visão centralizada de todos os dados de identidade e acesso, além de ferramentas para gerenciar políticas de acesso, conduzir avaliações de risco e auditar a conformidade.

Governança e conformidade são conceitos intimamente relacionados que são importantes para uma organização proteger seus dados e ativos.

• Governança refere-se ao conjunto de políticas, processos e procedimentos que uma organização usa para gerenciar seu ambiente de TI. Ele se concentra em garantir que os sistemas de TI da organização estejam alinhados com as metas e objetivos de negócios.
• Conformidade refere-se ao ato de seguir regras, leis e regulamentos. Ele se concentra em garantir que os sistemas de TI da organização estejam em conformidade com as regulamentações relevantes.

Governança e conformidade são conceitos relacionados. A boa governança é essencial para garantir a conformidade, e a conformidade é essencial para manter a boa governança. Os principais recursos são:

• Campanhas
• Revisões de acesso
• Revisões de políticas
• Revisões baseadas em evento
• Delegação de Atribuição

Campanhas

Uma campanha de revisão de acesso é um processo sistemático para revisar e atualizar o acesso do usuário aos recursos. As campanhas de revisão de acesso geralmente são realizadas regularmente, como anualmente ou trimestralmente, para garantir que os usuários tenham acesso apenas aos recursos necessários para executar suas tarefas.

As campanhas de revisão de acesso geralmente envolvem as seguintes etapas:

• Crie a campanha.
• Defina o escopo da campanha escolhendo o que está incluído na revisão.
• Configure o workflow de aprovação.
• Programe a campanha como uma campanha única ou periódica, o que elimina a necessidade de acompanhar manualmente essas campanhas.
• Execute a campanha.

A campanha será concluída depois que todas as tarefas de revisão forem concluídas.

As campanhas de revisão de acesso são uma parte importante da sua postura de segurança. Ao revisar regularmente o acesso do usuário, você pode ajudar a mitigar o risco de acesso não autorizado a dados e sistemas confidenciais.

As campanhas de revisão de acesso do Oracle Access Governance são usadas para revisar direitos de acesso. O Access Governance suporta os seguintes tipos de campanhas de revisão de acesso:

• Campanhas de revisão de acesso do usuário: Compreende um grupo de revisões de acesso para membros da população da sua empresa em que o acesso individual a uma origem específica é verificado e certificado ou corrigido.
• A política revisa campanhas: Compreende um grupo de revisões de política que avalia o controle de acesso das políticas do IAM (Identity and Access Management).
• Revisões de acesso baseadas em evento: Revisões de acesso iniciadas automaticamente pelo Oracle Access Governance quando um ou mais tipos de evento predefinidos ocorrem.
• Campanhas de revisão de coleta de identidades: Campanhas de revisão de acesso ocasionais ou periódicas para revisão de coleções de identidades definidas no Access Governance ou derivadas do OCI.

Revisões de Acesso

Uma revisão de acesso é a revisão de acesso e permissões de uma entidade, geralmente um usuário final, que é realizada para confirmar se o acesso e as permissões designados a essa entidade ainda são válidos.

Um administrador de campanha pode criar campanhas de revisão de acesso únicas ou periódicas na Console do Oracle Access Governance. Você pode definir critérios de seleção com base em usuários, aplicativos, permissões e funções. Também é possível definir o workflow de aprovação para selecionar o número de níveis de avaliação, a duração da avaliação e os detalhes do revisor.

O diagrama anterior mostra os critérios de seleção que abrangem as revisões de acesso. As seguintes informações descrevem os critérios:

• Quem tem acesso: Critérios para filtrar usuários com base em atributos padrão (organização, cargo, local) ou personalizados.
• O que eles estão acessando: Critérios para filtrar usuários com base nos recursos aos quais eles têm acesso.
• Quais permissões: Critérios para filtrar usuários com base em permissões individuais, como criar, atualizar, encerrar, aprovar ou acessar pacotes.
• Quais coleções de identidades: Permite que você execute a revisão da coleção de identidades.

Revisões de Política

Um administrador de campanha pode criar revisões de política sob demanda para o OCI definindo os critérios de seleção com base nas políticas associadas aos usuários. O workflow de aprovação pode ser criado selecionando-se o número de níveis de revisão, a duração da revisão e os detalhes do revisor.

O diagrama anterior mostra os critérios de seleção que abrangem as revisões da política. As seguintes informações descrevem os critérios:

• Quem tem acesso: Critérios para filtrar usuários com base em atributos padrão (organização, cargo, local) ou personalizados.
• O que eles estão acessando: Critérios para filtrar usuários com base nos recursos aos quais eles têm acesso.
• Quais tenancies: Critérios para filtrar usuários com base nas tenancies a serem incluídas no escopo.
• Quais políticas: Escolha as políticas nas quais a revisão será executada.
• Quais atribuições: Escolha as atribuições para as quais as revisões de política são executadas.

Revisões Baseadas em Evento

As revisões de acesso baseadas em evento são revisões de acesso iniciadas automaticamente pelo Oracle Access Governance quando um ou mais tipos de evento predefinidos ocorrem. O diagrama a seguir mostra como as revisões de acesso baseado em evento funcionam.

Sempre que eventos, como alteração de código de cargo, alteração de local etc., ocorrerem, as revisões de acesso baseadas em evento serão iniciadas. Os revisores podem usá-los para verificar, certificar ou remediar as atribuições, permissões ou direitos do usuário ou do aplicativo afetados. As revisões de acesso baseado em evento podem ser ativadas para os atributos principais (por exemplo, código do cargo, organização, local etc.), além de atributos personalizados (por exemplo, centro de custo, código do projeto etc.).

É possível definir o workflow da revisão em termos do número de níveis de revisão, duração e quem realiza a revisão. Vários eventos ocorrem quando o Oracle Access Governance recebe alterações para mais de um tipo de evento associado a uma única identidade. Um fluxo de trabalho compartilhado é aplicado quando vários eventos são identificados. É possível analisar informações sobre revisões de acesso baseado em evento gerando relatórios com o uso do recurso de relatório baseado em evento do Oracle Access Governance.

Delegação de Atribuição

Talvez você queira delegar aprovações ou acessar revisões a outras pessoas pelos seguintes motivos:

• Indisponibilidade por causa de férias, doença ou trabalho em outras tarefas
• Ter a pessoa mais qualificada para tomar decisões
• Desenvolver a capacidade de alguém para lidar com atribuições adicionais

O diagrama a seguir mostra o conceito de delegação.

No Oracle Access Governance, você pode configurar e gerenciar preferências. Os usuários podem delegar tarefas e atividades usando a Console do Oracle Access Governance. Você pode usar a configuração Minhas Preferências para designar tarefas e atividades a outro usuário ou coleção de identidades. Você pode escolher quando iniciar este processo de delegação e também especificar a duração da delegação.

No Oracle Access Governance, você pode delegar quem executa revisões de acesso e quem executa aprovações em seu nome. Uma tarefa pode ser delegada a um indivíduo ou a uma coleção de identidades. A coleção de identidades pode ter um ou mais membros nela. A duração da delegação pode ser definida para um intervalo de tempo ou indefinidamente.

Inteligência de Identidade

A inteligência de identidade fornece às organizações informações de segurança e risco, coletando dados de várias fontes e, em seguida, usando machine learning e IA para analisar os dados e identificar padrões e tendências. O Oracle Access Governance analisa cada identidade e seus privilégios, cria insights sobre possíveis violações de segurança e designação de alto risco e recomenda remediações. Isso permite que os revisores de acesso tomem decisões corretivas rapidamente. Esse recurso permite:

• Assimilação e análise de dados de identidade e privilégios de acesso.
• Reconhecimento de insights contextuais e identificação de pontos cegos de segurança.
• As recomendações de remediação permitem que os revisores de acesso tomem decisões corretivas rapidamente.

Os principais recursos são:

• Análise prescritiva usando IA e machine learning
• Insights de identidade
• Remediação
• Correlação

Análise prescritiva usando IA, machine learning e insights de identidade

A análise prescritiva é um tipo de análise de dados que vai além de descrever ou prever o que aconteceu ou o que pode acontecer. É preciso o próximo passo de sugerir o melhor curso de ação a tomar em uma determinada situação.

A análise prescritiva usa uma variedade de técnicas, incluindo machine learning, otimização e simulação, para analisar dados e identificar o melhor curso de ação possível. Isso pode ser usado para melhorar a tomada de decisões em uma ampla gama de áreas, como negócios, saúde e governo.

O Oracle Access Governance usa análise prescritiva baseada em IA e machine learning para fornecer insights inteligentes e gerenciamento de riscos. Análises profundas e recomendações de alta fidelidade facilitam a aprovação ou a negação do acesso dos revisores.

Insights de Identidade

O Oracle Access Governance usa IA e machine learning para fornecer análises de acesso baseadas em insights, análise de identidade e recursos de inteligência para empresas.

Algumas das maneiras pelas quais o Oracle Access Governance usa IA e machine learning são:

• Análise de grupo de pares: O Oracle Access Governance usa IA para identificar grupos de pares de usuários com privilégios de acesso semelhantes. Essas informações podem ser usadas para identificar usuários que podem ter privilégios de acesso excessivos.
• Detecção de outlier: O Oracle Access Governance usa machine learning para identificar usuários que têm padrões de acesso diferentes da norma. Essas informações podem ser usadas para identificar usuários que podem estar em risco de abusar de seus privilégios de acesso.
• Recomendações: O Oracle Access Governance usa IA para gerar recomendações para revisões de acesso e ações de correção. Essas informações podem ajudá-lo a melhorar a segurança de seus dados.
• Workflows automatizados: O Oracle Access Governance usa machine learning para automatizar tarefas como revisões de acesso e ações de remediação. Isso pode ajudá-lo a melhorar a eficiência de seus processos de gerenciamento de acesso.

O Access Governance, com a inteligência em seu núcleo, busca identidades e obtém as políticas de vários sistemas, o que o torna um sistema que pode gerenciar aplicativos e outros sistemas de identidade. Com identidades e permissões coletadas, o Access Governance mostra quem tem acesso ao quê. Com as políticas, ele também pode mostrar a inteligência de como as identidades obtiveram acesso a permissões. Com as informações sobre o uso de aplicativos, ele também pode fornecer informações sobre o que está acontecendo com o acesso de provisionamento. Isso ajuda a reduzir riscos e custos, otimizando os acessos às pessoas, bots e serviços certos.

O Access Governance usa uma variedade de técnicas para fornecer visibilidade das permissões de acesso:

• O Oracle Access Governance pode ser usado para conduzir revisões de acesso periódicas ou orientadas a eventos. Isso ajuda as organizações a garantir que os usuários tenham apenas o acesso necessário para executar suas tarefas.
• O Oracle Access Governance pode ser usado para analisar dados de identidade para identificar riscos potenciais, como usuários com privilégios de acesso excessivos ou usuários que saíram da organização, mas ainda têm acesso a dados confidenciais.
• O Oracle Access Governance pode ser usado para gerar relatórios e painéis de controle que fornecem insights sobre permissões de acesso. Esta informação pode ser utilizada para melhorar a segurança dos dados da organização.

Três painéis fornecem mais informações sobre quem tem acesso ao quê, conforme mostrado no diagrama a seguir.

Os painéis são:

• Meu Acesso
  • Os usuários podem exibir detalhes do aplicativo, recursos da nuvem, permissões e atribuições designadas a eles mesmos.
• Acesso de Meus Subordinados:
  • Os gerentes podem exibir detalhes dos aplicativos, recursos de nuvem, permissões e atribuições designadas a seus subordinados diretos.
  • Esse recurso está disponível com base no seu sistema conectado e não está disponível com todos os sistemas conectados suportados.
• Acesso em Toda a Empresa
  • Os usuários com uma atribuição de administrador podem obter uma visão de 360 graus de todos os recursos e permissões atribuídas a esses recursos na Console do Oracle Access Governance.
  • Na página Acesso de Toda a Empresa, você pode exibir uma lista de recursos e tipos de recursos de toda a organização em vários sistemas conectados com o Oracle Access Governance e extrair quais identidades estão atualmente atribuídas a esse recurso, em qual nível de permissão e como essas permissões são atribuídas ou concedidas.

Remediação

A correção de segurança é o processo de identificar e tratar vulnerabilidades de segurança. É uma parte importante da postura de segurança de uma organização porque ajuda a reduzir riscos e melhorar a conformidade. O Access Governance fornece os seguintes recursos relacionados à correção:

• Recomendações: Com base na análise de machine learning, o Access Governance ajuda a identificar e recomendar a ação apropriada. A ação de correção pode ser aceita ou revogada, conforme recomendado pelo Access Governance.
• Entrada de justificativa personalizável: Quando um revisor executa uma ação sobre a correção, ele tem a opção de fornecer justificativa. Isso é configurável no Access Governance com base no tipo de recomendação.
• Correção automática na conclusão da campanha: Quando a campanha termina, o Access Governance pode executar a remediação automaticamente na Console do Access Governance.

Correlação da Identidade

Identidades de diferentes sistemas são automaticamente correlacionadas no Access Governance. A correlação é uma capacidade que é a base para fornecer uma visão de 360 graus dos usuários.

O Access Governance executa as seguintes atividades de correlação:

• Correlacione as identidades com base no ID de email e/ou nomes de usuário.
• Combine a inteligência com base na identidade unificada e forneça insights com base nela.
• Detecte identidades incomparáveis para sistemas de destino e forneça um relatório para solução de problemas.

Melhores Práticas do Access Governance

• Crie uma instância do Access Governance em seu próprio domínio de identidades e compartimento usando o administrador do domínio de identidades. Isso permite que o Access Governance seja isolado do restante dos aplicativos e fornece a flexibilidade para adicionar ou remover qualquer usuário do Access Governance em um domínio de identidades específico do OCI.
• Crie um usuário para a administração da instância do Access Governance, designe a atribuição de administrador do Access Governance e faça com que o usuário execute todas as tarefas relacionadas à administração do Access Governance. Não use o administrador da tenancy para essas tarefas.
• Para fins de desenvolvimento ou teste, crie instâncias de serviço do Access Governance separadas para isolar dados. Cada instância de serviço é independente e mantém seus próprios dados de configuração e snapshot.
• Entenda as várias funções do Access Governance e separe as funções com base nas funções. Certifique-se de que os usuários de LOB possam executar as funções necessárias sem intervenção de TI.
• Identifique as funções e responsabilidades dos usuários e configure-os como usuários da força de trabalho ou usuários consumidores adequadamente.
• Defina e use uma convenção de nomenclatura consistente para todos os recursos do Access Governance, incluindo nome da instância, nomes de recursos de controle de acesso, nomes de campanha e sistemas conectados. Alguns exemplos são:
  1. si_presidents_office_qa
  2. campaign_ocitenancy_policy_review_oct23
  3. target_ops_database_dbum
• Controle suas identidades da OCI desde o início usando o Access Governance integrando-se ao OCI IAM.