Identidade é a nova infraestrutura crítica

1. O perímetro saiu do firewall e foi parar no IAM

A ideia de perímetro fixo perdeu relevância. Hoje o ataque mais rentável não precisa romper uma borda bem definida; basta encontrar uma identidade válida com privilégios suficientes. Isso vale para usuários humanos, contas de serviço, integrações, bots, pipelines e chaves de API.

O modelo atual exige responder, com objetividade: quem acessa o quê, por qual motivo, por quanto tempo, sob qual contexto e como isso é revogado.

2. Inventário de identidades: o que você não enxerga já é risco

Antes de falar em zero trust, RBAC ou política de menor privilégio, é preciso saber o que existe. Uma empresa costuma ter muito mais identidades do que consegue nomear de cabeça.

• Usuários humanos

• Contas administrativas

• Contas de serviço

• Integrações entre sistemas

• Tokens de CI/CD

• Chaves de acesso à cloud

• Credenciais de observabilidade, backup e automação

• Contas locais em servidores e appliances

• Identidades em SaaS

Se uma conta existe sem responsável claro, ela já é um passivo operacional.

3. Menor privilégio não é slogan: é disciplina contínua

Na prática, o least privilege costuma ser abandonado toda vez que alguém pede "só por hoje" um acesso de admin para resolver uma urgência. O problema não é liberar acesso emergencial; o problema é não transformar isso em evento rastreável, temporário e reversível.

Uma política séria precisa ter separação de funções, escopo mínimo viável e tempo de vida controlado. Se o acesso elevado não expira, ele deixa de ser exceção e vira privilégio permanente disfarçado de temporário.

4. Contas de serviço e segredos são onde a operação falha em silêncio

Muitos incidentes não vêm de um usuário humano. Vêm de uma integração antiga, de um token esquecido ou de um segredo que continuou funcionando depois que a pessoa que o criou saiu da empresa.

Contas de serviço precisam de dono, escopo estrito, rotação programada, monitoramento de uso e segregação por ambiente. O mesmo vale para segredos: se eles ficam espalhados em repositório, arquivo local, variável compartilhada ou chat, ninguém sabe quantas cópias existem.

5. Automação de acesso reduz erro humano, mas aumenta a exigência de disciplina

Automatizar provisionamento e desprovisionamento é um avanço real. Mas automação mal desenhada só acelera o erro.

Deveria ser automatizado: criação de contas, associação a papéis, concessão temporária, revogação ao desligar ou trocar de função, auditoria de privilégios, expiração de chaves e alertas de uso fora do padrão.

6. Observabilidade e auditoria precisam responder perguntas reais

Log não é sinônimo de observabilidade. Em identidade, o monitoramento precisa responder: quem autenticou, de onde autenticou, em que horário, com qual privilégio, por qual mecanismo e qual ação executou depois do login.

O que importa é detectar comportamento fora da curva: acesso administrativo fora do expediente, origem geográfica incomum, aumento súbito de tentativas, conta inativa voltando a operar e elevação de privilégio sem justificativa.

7. Revisão de acesso é operação, não ritual anual

Quando a revisão de acesso vira evento anual, o resultado costuma ser superficial. Revisões melhores são orientadas por risco e integradas ao ritmo do time.

A pergunta certa não é só "quem tem acesso?". É: esse acesso ainda faz sentido agora?

Checklist acionável

• Catalogar todas as identidades humanas, de serviço e de integração

• Definir dono, finalidade e prazo para cada identidade

• Remover contas órfãs e inativas

• Separar papéis administrativos de leitura, operação e auditoria

• Implantar acesso temporário com expiração automática

• Revisar permissões de contas de serviço e tokens de CI/CD

• Centralizar segredos em cofre apropriado

• Rotacionar credenciais críticas com periodicidade definida

• Registrar origem, horário e ação de acessos privilegiados

• Criar alertas para uso anômalo de identidades e segredos

Conclusão

Empresas que crescem sem governança de identidade acabam pagando duas vezes: primeiro pela complexidade acumulada; depois pelo incidente que essa complexidade permite. Identidade precisa ser tratada como infraestrutura crítica: inventariada, protegida, auditada, automatizada e continuamente revista.

Artigo originalmente publicado no Dado Seguro, por Franklin Bravos (CGO). Republicado no Bravos Consult com autorização.