Como traçar a estratégia de IAM – Identity and Access Management para sua organização?
Confira o que diz o consultor da AET Europe, líder global em gerenciamento de identidades
Em um mundo cada vez mais digital, mais conectado e com processos cada vez mais complexos estabelecer confiança pode ser um desafio.
Com isso, surge a necessidade das pessoas e máquinas se identificarem para que as transações tenham elementos de identificação e sigilo de forma que as partes envolvidas numa transação eletrônica confiem umas nas outras.
É aqui que as identidades eletrônicas (eIDs) ou certificados digitais têm um papel fundamental, no entanto, com todo este crescimento digital muitas vezes gerenciar estas identidades pode tornar-se um desafio. Hoje estima-se que 70% das organizações não sabem quantos certificados e chaves têm que gerenciar.
A AET Europe é uma empresa global focada em tecnologias e soluções para geração e gestão de grandes volumes de eIDs das organizações, através da sua plataforma BlueX eID Management.
Para conhecermos mais em detalhe o BlueX conversamos com o Miguel Martins, engenheiro em computação, consultor de segurança e líder de equipe de serviços da AET Europe.
Crypto ID: Em outras oportunidades em que conversamos com os executivos da AET Europe, falamos sobre as soluções da sua empresa entre elas o BlueX, mas não podemos deixar de falar com você sobre as características técnicas dessa ferramenta. Vamos iniciar nossa conversa justamente sobre isso, ok? Você poderia falar sobre quais são as principais propriedades do BlueX?
Miguel Martins: Claro, é o que eu mais faço no meu dia a dia de trabalho e será uma oportunidade incrível poder falar com a audiência do Crypto ID sobre o BlueX.
Os desenvolvedores da AET Europe desenharam o BlueX com total foco em segurança e confiança fazendo uso do framework mais seguro nos dias de hoje, Public Key Infrastructure (PKI), em português Infraestrutura de Chaves Públicas (ICP).
O BlueX é uma plataforma PKI para gerenciamento do ciclo de vida de certificados digitais para usuários, dispositivos e infraestruturas.
Mais à frente podemos falar um pouco mais de outras credenciais de eIDs que o BlueX gerencia, mas eu gostaria de me concentrar em falar primeiramente sobre a relação da solução com os certificados digitais, ok?
Crypto ID: Claro, depois voltaremos a falar sobre as outras eIDs.
Miguel Martins: O BlueX utiliza uma arquitetura cliente-servidor e suporta os principais sistemas de gerenciamento de bancos de dados relacionais do mercado (PostgreSQL, Oracle e Microsoft SQL Server) e os protocolos standard de mercado (PKCS#1, 7,10, 11, 12; SSL & TLS; CMP, CMC, SOAP, REST, CRMF).
É capaz de integrar-se com os principais softwares utilizados pelas Autoridades Certificadoras do mercado mundial como por exemplo, Ascertia ADSS CA Server, Microsoft Windows AD Certificate Services, EJBCA / PrimeCA, Verisign CA, Entrust CA e OpenTrust CA. É importante referir que temos uma parceria muito próxima com a Ascertia, na forma de um bundle BlueX/ADSS, solidamente implementada em vários projetos na ICP Brasil.
O BlueX suporta ainda integração com diversos fornecedores de HSM – hardware security module, como Thales/Gemalto, NCipher, Utimaco e Atos através do padrão PKCS#11 e, também, vários middlewares criptográficos como SafeSign IC, Gemalto/SafeNet, IDemia/Morpho, Athena e Atos.
Com o seu motor de desenvolvimento de workflows customizados, o BlueX fornece a possibilidade de criação de fluxos de trabalho personalizáveis para cada etapa do ciclo de vida de um certificado digital e para as mídias associadas, smartcards e tokens.
Crypto ID: Como o BlueX está preparado para atender aos requisitos técnicos da ICP-Brasil?
Miguel Martins: O BlueX tem certificações CWA 14167-1: 2003, CEN/TS 419261 e ANSSI CSPN que o classifica como um sistema confiável para gerenciamento de certificados digitais qualificados.
Com estas certificações e com seu motor de workflow que permite a implementação de processos, o BlueX não só atende todos os requisitos da ICP-Brasil, mas, também, aos requisitos de outros QTSPs (Qualified Trust Service Providers), CSPs (Certificate Service Providers), Autoridades Certificadoras (ACs) e Autoridades de Registro (ARs) a nível mundial.
O motor de desenvolvimento de workflow permite implementar processos totalmente ajustados ao negócio dos nossos clientes dando assim liberdade de definir todos os estados e regras pelas quais os certificados digitais passam desde a sua criação/registro no sistema, validação com ou sem princípio four-eyes, aplicação de assinaturas digitais, emissão e revogação.
O BlueX permite ainda integração com servidores de e-mails tornando possível a comunicação via e-mail com os administradores de sistema e com os usuários finais podendo estes serem alertados quando os seus certificados digitais estão prestes a expirar ou tiverem sido revogados.
Crypto ID: E quanto aos requisitos regulatórios ICP-Brasil, o BlueX atende?
Miguel Martins: Sim, claro. Até mesmo um dos mais recentes requisitos da ICP-Brasil que é, a possibilidade de fazer validações remotas utilizando o recurso de videoconferência. Para atender a este requisito, o BlueX disponibiliza a possibilidade de integração através da criação entry points específicos ou chamadas SOAP ou REST com este e outros tipos de sistema como por exemplo, sistemas PSBio , e-commerces, sistemas de faturamento e dispositivos IoT.
Crypto ID: Além do ciclo de vida dos certificados digitais, de que forma o BlueX é útil para uma Autoridade Certificadora?
Miguel Martins: O BlueX carrega um robusto workflow que é customizável de acordo com a estratégia de segurança e regras de negócios de cada organização. A AET Europe já entrega o BlueX com um workflow básico, o que vocês chamam aí no Brasil de “feijão com arroz”, e dependendo dessas regras de negócios e políticas da empresa isso vai se desenhando de forma definitiva.
O BlueX pode ser utilizado para a geração de certificados digitais de todos os tipos, inclusive os certificados TLS – Transport Layer Security ou os mais específicos como de assinatura de código e os certificados para equipamento IoT, por exemplo. E, também, pode emitir os certificados de atributos e certificados corporativos de Autoridade Certificadora Privada.
Crypto ID: Miguel, nós gostaríamos de combinar com você uma outra entrevista para tratarmos de certificados de atributos e de certificados para equipamento IoT, porque são temas muito procurados por nossa audiência e gostaríamos de mais detalhes sobre isso, combinado?
Miguel Martins: Sim claro, complementando o que estava dizendo, o BlueX pode agregar muito as Autoridades Certificadoras, e acabei não mencionando que o BlueX também emite os certificados em nuvem e até mesmo os certificados temporários. Os certificados temporários aqui na Europa são muito utilizados, por exemplo, em sistemas de saúde quando as pessoas esquecem suas mídias e poderiam ser impedidos de trabalhar se não fosse o recurso do certificado temporário.
Crypto ID: Mas no caso de certificados digitais qualificados, como são chamados na Europa, e aqui em nosso país, certificados digitais ICP-Brasil, isso seria mais complexo, não?
Miguel Martins: Essa é uma boa questão. No caso dos certificados qualificados sim, na maioria dos casos não seria prática a emissão de um certificado temporário para esse tipo de situação a não ser que o certificado estivesse armazenado em nuvem. Desta forma, poderia ocorrer uma reemissão em outra mídia.
Considerando que as normas e políticas dos certificados qualificados são muito restritas este é um cenário que se ajusta mais as Autoridades Certificadoras privadas que têm um pouco mais de liberdade em definir as suas políticas de certificados e para estes casos a emissão de um certificado temporário é possível e muito simples de ser gerenciados.
Crypto ID: Como é a implementação da Plataforma? Vocês fazem a consultoria de implementação?
Miguel Martins: A implementação vai depender do número de processos e sistemas que a empresa vai ligar ao BlueX. Normalmente, quando há muitas customizações a serem feitas, nós fazemos esses levantamentos junto com o cliente para agilizar a implantação e depois quando o BlueX está rodando no ambiente do cliente fazemos os últimos reajustes.
Crypto ID: Qual é o perfil de profissionais que implementam os processos?
Miguel Martins: O BlueX utiliza um motor gráfico que implementa processos de forma sequencial, não utilizamos linhas de código e isso acaba simplificando bastante. Um profissional que domine a linguagem de processos e que tenha um mindset tecnológico e de segurança terá muita facilidade para trabalhar com o BlueX.
Crypto ID: Aqui no Brasil existem empresas especializadas em implementar, por exemplo, ferramentas de ERP. Eles poderiam auxiliar nessa tarefa?
Miguel Martins: Não seria necessário. Aqui na Europa também existem empresas que prestam esse tipo de serviço, mas se o cliente precisa contratar esse tipo de trabalho, preferimos nós mesmos executarmos essa tarefa.
Para empresas menores como escritórios de advocacia, por exemplo, e empresas de varejo os processos são mais simples e menos críticos, mas quando falamos de clientes com operações críticas como bancos, seguradoras, usinas nucleares, empresas bélicas, organizações de governo, forças armadas entre outras operações críticas existe a questão de segurança muito forte e, então, trabalhamos direto com a equipe de segurança do cliente.
Crypto ID: A AET presta a consultoria in company? E hoje em dia, com a pandemia, vocês estão fazendo, remotamente?
Miguel Martins: Fazemos remotamente, não precisa ser on-site. O que acontece é que, por norma, em nossos projetos, existe uma fase de levantamento de requisitos, depois existe a fase de execução desses requisitos. Elaboramos uma proposta técnica e um desenho da arquitetura junto com o cliente, aprovamos esse projeto e depois nós fazemos tudo de forma remota e ágil junto do cliente.
Em alguns clientes até podemos realizar reuniões presenciais, mas mesmo antes da pandemia para clientes críticos não podíamos acessar seus ambientes físicos por questões de segurança. Então, já havíamos desenvolvido processos de implementação totalmente remotos. Mas, agora com a pandemia praticamente100% dos nossos projetos estão sendo gerenciados remotamente.
Crypto ID: E como vocês atendem o mercado brasileiro? A partir do time da Europa?
Miguel Martins: Desde meados de 2019 quea AET Brasil já está atendendo o mercado Brasileiro com profissionais capacitados para esse tipo de consultoria e internamente temos especialistas que dão suporte a todos os projetos que estão sendo desenvolvidos em diversos países.
Somos a AET Europe. Por mais de 25 anos, diversas organizações, abrangendo setores como defesa, saúde e governo, recorreram a nós para garantir a comunicação segura do ponto A ao B. Como especialistas em infraestrutura de chave pública (PKI), criamos soluções de software pensadas para ajudar as organizações a alcançarem suas aspirações.
Leia outros artigos da AET Europe aqui!
- Are You Doing Digital Trust Right? By AET Europe – Part 2
- Are You Doing Digital Trust Right? By AET Europe – Part 1
- Criptografia Quântica: Você está tratando a confiança digital corretamente?
- A AET Europe especialista em Identificação e Autenticação se Une à Your.Online
- AET Europe e o Sistema eID do Governo Sérvio: Um Estudo de Caso sobre Identidade Digital Segura