Desenvolver ou comprar pronto? 20 perguntas sobre a gestão de identidades.
A gestão de identidades é bem compreendida, pois ela ocorre desde os primeiros computadores. Qual é a dificuldade dela? Mais difícil do que você pensa - faça o teste Desenvolver ou comprar pronto!
“Sou um grande defensor de permitir que os especialistas façam o que fazem de melhor. Se você errar na gestão de identidades, poderá haver consequências terríveis, e você aparecerá na primeira página do jornal por ter exposto um grande número de pessoas a experiências realmente ruins. Eu não queria precisar desenvolvê-la por nossa conta.
— David Bernick, Harvard Medical School
Por que desenvolver a gestão de identidades?
A gestão de identidades é um componente básico do software desde o início da computação: os trabalhos em lote com cartões perfurados e sistemas de compartilhamento do passado eram protegidos por autenticação de nome de usuário/senha. Com uma história tão antiga, você pensaria que a gestão de identidades seria um problema resolvido.
- Talvez você esteja fazendo algo simples: nenhuma informação confidencial ou problemas de privacidade, e seus requisitos de segurança são modestos, não há muitos usuários ou vários tipos diferentes de usuários, somente algumas aplicações.
- E você é um desenvolvedor experiente ou faz parte de uma equipe altamente qualificada, criando autenticação para aplicações, sites, APIs e serviços há anos.
- Seu orçamento é reduzido ao mínimo necessário. É preciso fazer algumas escolhas – parece óbvio guardar o dinheiro para algo mais estratégico.
Seremos honestos: se você estiver usando apenas um ou dois provedores sociais para uma aplicação da Web simples, sem precisar de um banco de dados de nomes de usuário/senhas ou qualquer outro recurso mais elaborado, é fácil fazer você mesmo. De qualquer forma, aproveite as bibliotecas básicas de autenticação que você pode encontrar em qualquer estrutura de software livre e pronto.
Por que comprar a gestão de identidades?
Muitas vezes, ouvimos de equipes de desenvolvimento que pensam em usar a Auth0:
Se você for competente, parece difícil justificar gastar dinheiro com a gestão de identidades se suas necessidades forem simples.
Vamos analisar isso.
Habilidades
A gestão de identidades realmente parece simples. Mas o fracasso é assustador. Muita coisa pode dar errado e, quando isso acontece, sua reputação é seriamente prejudicada. Diante de tentativas persistentes de invasão e um fluxo interminável de vulnerabilidades a serem mitigadas, você sabe se está sendo eficiente o suficiente para proteger os usuários e a empresa?
Recursos
Fazer por conta própria não sai de graça – há um custo de oportunidade ao comprometer recursos para a gestão de identidades. A autenticação é realmente o que você deseja fazer? Concentre-se nos negócios principais e agregue valor. Você não escreveria seu próprio RDBMS. A gestão de identidades é como um RDBMS. Por que construir uma infraestrutura como a gestão de identidades quando você pode pagar um dinheiro razoável para delegar esse trabalho pesado não essencial a especialistas? E com o custo de uma violação de identidade potencialmente chegando aos milhões de dólares, quanto vale a segurança? Considere esses fatores ao avaliar o ROI da compra da gestão de identidades!
Complexidade
Aplicações e produtos geralmente começam de modo simples. Mas depois de passar da versão inicial, talvez seja necessário oferecer suporte a uma ampla variedade de provedores de serviços de identificação. Você pode ter parcerias. Você pode implantar aplicações móveis e uma API. Esperamos que sua base de usuários cresça. Você pode estar em um setor regulamentado com demandas de conformidade. Nunca é tão simples quanto parece à primeira vista. O custo de manter sua própria gestão de identidades pode ser muito maior do que você espera.
O teste
Algumas dessas perguntas você já deve ter respondido. Algumas podem ser irrelevantes, outras podem ser problemas que você enfrentará ao trabalhar na implementação do IAM. Mas convidamos você a pensar sobre elas de forma realista, com base em seu estado atual e onde você pensa que estará nos próximos meses e anos. E clique nos links para entender como a Auth0 responde a essas questões de gestão de identidades e a complexidade com que estamos lidando como parte de nossa oferta abrangente.
Usuários
1. | Você já pensou em como vaiimplementar o gerenciamento de usuários? Autoatendimento ou gerenciado pelo administrador? Qual é a experiência do usuário? |
2. | Você tem usuários que serão autenticados com mais de um IdP? Como você saberá que é o mesmo usuário? |
3. | Você tem várias aplicações que precisam ser autenticadas? Em caso afirmativo, todas usam a mesma pilha de desenvolvimento? |
“Em comparação com os custos e recursos necessários para construir, hospedar e proteger uma solução personalizada, o investimento associado a um serviço de autenticação de terceiros como a Auth0 foi uma escolha sensata.” — Cris Concepcion, Safari |
4. | De qual análise você precisará para eventos de criação e autenticação de conta? Como você coletará, analisará e visualizará esses dados? |
5. | Como você vai sinalizar e mitigar anomalias no gerenciamento de usuários e em eventos de autenticação? |
Aplicações
6. | Como você pode usar para ficar por dentro das possíveis vulnerabilidades de segurança? Como você lidará com os atrasos de patches para as bibliotecas das quais você depende? |
“Antes de qualquer site de notícias relatar a vulnerabilidade de dia zero Heartbleed do ano passado, a Auth0 nos enviou um e-mail para nos alertar sobre a situação. Já havia um patch para eliminar a ameaça Heartbleed dos sistemas da Auth0, seguido de um e-mail de confirmação de que a Auth0 já havia instalado esse patch na instância Schneider Electric do serviço da Auth0.” — Stephen Berard, Schneider Electric |
7. | E as inevitáveis incompatibilidades de padrões e alterações de atributos e permissões para diferentes IdPs sociais?? Diferenças de implementação entre IdPs empresariais? Para diferentes pilhas de desenvolvimento e bibliotecas de autenticação? Como você vai lidar com tudo isso? |
“Não precisei escrever um código difícil para cada IdP com o qual precisávamos nos integrar. Foi simplesmente escrever algo muito simples e pronto: foi só implementar a autenticação segura.” — David Bernick, Harvard Medical School |
8. | Sua equipe de operações pode ficar por dentro das práticas recomendadas para configurar com segurança a infraestrutura de autenticação? Instâncias locais e em nuvem privada? |
9. | Qual é a sua estratégia de MFA? Como você vai integrá-la em diferentes clientes? Quer que seus usuários de dispositivos móveis usem o Touch ID em seus dispositivos IOS para se autenticar em suas aplicações? |
10. | Você considerou os requisitos de escalabilidade, desempenho e replicação/disponibilidade para seu repositório de usuários? |
“A Auth0 forneceu o ajuste perfeito de recursos prontos para uso, flexibilidade e serviço de nível empresarial. A equipe da Auth0 foi além para acomodar nossos testes de desempenho malucos e necessidades de prazo.” — AKQA, parceiro de marketing para Marks & Spencer |
IdPs e padrões
11. | Ao migrar bancos de dados UN/PW herdados para uma gestão de identidades mais moderna, como você oferecerá uma boa experiência de usuário sem redefinições de senha? |
“A Auth0 trouxe uma série de conectores prontos para uso, o que tornou muito simples que ela se conectasse ao nosso sistema de CRM, usasse o banco de dados existente como um repositório de usuários e atuasse como um provedor de identidade.” — Amol Date, JetPrivilege |
12. | Como você vai integrar novos clientes B2B que desejam adotar SSO para seu produto ou serviço? Você pode criar federações com parceiros que usam o Active Directory por trás do firewall? |
“A configuração de nossa aplicação para integração com um parceiro e depois ter esse mesmo parceiro atuando como um hub de serviços para dezenas de sistemas de identidade ajuda a simplificar o trabalho das nossas equipes de programação, ao mesmo tempo que permite à nossa base de clientes crescer exponencialmente.” — Cris Concepcion, Safari |
13. | Diferentes IdPs SAML podem armazenar e entregar claims em vários formatos. Você tem um método direto para normalizar claims? |
14. | O OpenID Connect é um novo padrão popular para autenticação: REST/JSON, baseado em OAuth2, amigável ao desenvolvedor. Mas a dificuldade da interoperabilidade está nos detalhes. Como você vai implementá-lo em pilhas de desenvolvimento e clientes? |
Segurança e conformidade
15. | Os sistemas de identidade são um alvo atraente para ataques. Você já pensou em implementar proteções contra ataques de força bruta? Prevenção e mitigação de DDoS em endpoints? |
16. | Você deve planejar usar consultorias de segurança de terceiros para fazer testes de penetração independentes, revisões e auditorias de código e revisões de arquitetura para validar a segurança e as práticas recomendadas? |
17. | Como você lidará com relatórios da comunidade de segurança sobre vulnerabilidades em sua implementação de identidade? |
“Toda tecnologia tem vulnerabilidades, e se você não tiver um processo público para que hackers responsáveis possam divulgá-las, só vai ficar sabendo por meio de ataques no mercado negro.” — Alex Rice, Facebook, em “HackerOne Connects Hackers With Companies, and Hopes for a Win-Win”, The New York Times, 7 de junho de 2015 |
18. | Você precisará de autenticação contextual avançada? Por exemplo – Intervalo de IPs ou associação a um grupo do Active Directory? Políticas de senha? Ou a autenticação passwordless faria sentido para seus usuários? |
No prazo, abaixo do orçamento
19. | De quanto pessoal você precisará, incluindo operações de TI, desenvolvedores e serviços externos, como perícia forense? Essas pessoas são difíceis de encontrar e caras de contratar. Onde você obterá esse talento e quanto custará? |
“A demanda por profissionais de segurança está crescendo, mas a oferta dos profissionais não está crescendo na mesma proporção. O resultado é o aumento dos salários.” — “The 2015 (ISC)2 Global Information Security Workforce Study”, Frost & Sullivan, 16 de abril de 2015 |
20. | Quando é a data prevista para entrar em produção? Quanto tempo/quantas iterações sua solução IAM exigirá para ser implementada? |
“Enquanto outros fornecedores estabeleciam cronogramas de implementação de meses, a Auth0 prometeu um cronograma de apenas algumas semanas.” — Amol Date, JetPrivilege |
Inscreva-se gratuitamente
Comece a construir e proteja suas aplicações com a plataforma de identidade Auth0 hoje mesmo.
