À medida que as organizações adotam mais infraestrutura e aplicativos baseados em nuvem, a identidade se tornou uma camada crítica para proteger sistemas e dados. A plataforma da Okta oferece às equipes de segurança as ferramentas de que precisam para ajudar a proteger o acesso em todas as etapas da jornada do usuário: antes, durante e após a autenticação.
Recursos como Gerenciamento de Postura de Segurança de Identidade e Proteção contra Ameaças de Identidade permitem a avaliação contínua e a mitigação de riscos de acesso. Isso ajuda a garantir que apenas usuários confiáveis, incluindo identidades não humanas, possam acessar recursos confidenciais.
A Okta vai muito além do SSO e do MFA. Ela integra os principais recursos de identidade em uma camada de segurança unificada, orquestrada, integrada e criada para suportar qualquer ambiente.
Gerenciamento de Postura de Segurança de Identidade Okta
Antes que a autenticação comece, as organizações devem implementar uma postura de segurança contínua e um modelo de governança de acesso para garantir que apenas as identidades corretas sejam autorizadas e ativas.
O Okta Identity Security Posture Management ajuda na visibilidade, gerenciamento e correção de identidades. Isso oferece um "balcão único" para identificar e priorizar o risco de identidade. Além disso, seus recursos de contextualização mostram contas de usuário junto com seus privilégios, atividades e estágios necessários no ciclo de vida do funcionário para mitigar ameaças e apoiar a conformidade.
O mecanismo de gráfico de identidade do Identity Security Posture Management se conecta a uma variedade de dados de identidade, quebrando os silos e construindo uma visibilidade rica em contexto. Isso capacita as equipes de segurança a tomar decisões que melhorarão sua postura geral de segurança de identidade.
À medida que as organizações adotam ambientes multinuvem e SaaS, as equipes de segurança geralmente lutam para manter a visibilidade e o controle sobre seu panorama de identidade e postura de segurança de identidade.
Novos desafios resultam em uma superfície de ataque aumentada e maior exposição a violações de segurança.
Dados de identidade fragmentados em vários sistemas criam pontos cegos, dificultando a identificação e a mitigação de riscos potenciais.
A proliferação de contas inativas e/ou a falha em desprovisionar contas contribui para potenciais vulnerabilidades.
As soluções modernas de IAM oferecem ferramentas eficazes, como MFA e estruturas de conformidade, para proteger o acesso, mas os clientes não têm confiança de que estes sejam implantados corretamente.
O Identity Security Posture Management capacita as organizações a adotar uma postura proativa para reduzir suas superfícies de ataque de identidade e aborda esses desafios, fornecendo:
Uma visão centralizada da postura de segurança de identidade em todo o seu ecossistema
Uma abordagem proativa para detectar vulnerabilidades, configurações incorretas e violações de política
Um caminho rápido para a priorização e resolução dos problemas de segurança de identidade mais críticos, como a aplicação inconsistente de MFA ou o acesso privilegiado excessivo
O Okta Identity Security Posture Management ajuda os clientes a proteger ativos críticos da empresa e dados de clientes em aspectos-chave da superfície de ataque. O diagrama abaixo representa os principais aspectos relacionados às publicações do NIST.
Mas o Identity Security Posture Management não para na identificação de problemas. Com os recursos combinados da plataforma Unified Okta, a Okta pode corrigi-los automaticamente.
Okta Identity Governance
Okta Identity Governance fortalece a postura de pré-autenticação com controles robustos de governança de acesso. Ele permite:
Acesso com o mínimo privilégio, atribuindo apenas o que é necessário, quando é necessário
Acesso just-in-time (JIT) por meio de fluxos de trabalho de provisionamento automatizados
Revisão contínua do acesso de todos os direitos para identificar e corrigir privilégios permanentes
Desprovisionamento baseado em política para evitar contas órfãs ou obsoletas
Juntos, o Identity Security Posture Management e o OIG garantem que o acesso seja rigidamente definido, continuamente gerenciado e consciente do risco — mesmo antes que um usuário tente se autenticar.
Autenticação Okta
O diagrama abaixo descreve como a plataforma Okta oferece defesa em profundidade em todos os estágios de acesso — antes, durante e após a autenticação. Vamos dar uma olhada mais de perto em como cada camada funciona.
Antes da autenticação: Fortalecendo as defesas desde o início
A jornada de segurança começa antes mesmo que um usuário tente autenticar. Na pré-autenticação, o Okta aplica verificações em nível de rede para bloquear atividades suspeitas antecipadamente e garantir que apenas usuários legítimos possam iniciar o processo de autenticação.
Veja como funciona.
Roteador de borda
Nessa camada, a Okta impõe limites de taxa e fornece proteção integrada contra ataques de negação de serviço distribuído (DDoS). A seguir, apresentamos uma análise de como a plataforma se defende contra ameaças de DDoS.
A Okta emprega técnicas avançadas para ajudar a mitigar ataques DDoS.
Integração com AWS Shield Advanced: A Okta utiliza o AWS Shield Advanced para detecção e proteção abrangentes contra DDoS, cobrindo ataques nas camadas de infraestrutura e aplicativo, incluindo inundações HTTP.
AWS WAF para filtragem aprimorada: O Okta emprega o AWS WAF para filtragem automática com base em endereços IP, bloqueio geográfico e informações de cabeçalho HTTP.
Proteção multicamadas do cliente: A Okta implementa várias medidas de proteção no nível da célula/organização do cliente, incluindo
Células Okta separadas, limitando o impacto de ataques DDoS
Filtragem de solicitações de URL de entrada no nível do proxy da web
Limitação de taxa para evitar DoS por meio da utilização de recursos
Detecção de bloqueio causada por dispositivos desconhecidos
Limitação de Taxa: as APIs da Okta estão sujeitas a limites de taxa para proteger o serviço para proteção adicional contra ataques de bots. Esses limites de taxa são aplicados para cada cliente, endpoint de API e nível de organização.
Lista de permissão/negação
Okta oferece suporte a mais de 19.000 clientes e protege dezenas de bilhões de logins todos os meses, dando à Okta ampla visibilidade das ameaças baseadas em identidade em todos os setores e ambientes. Para aumentar a proteção, a plataforma monitora continuamente sua superfície de ataque global e usa sinais anônimos para melhorar os modelos de detecção. Esses insights fortalecem a abordagem de defesa em profundidade da Okta sem comprometer os dados ou a privacidade do cliente.
Uma das principais ferramentas nesta estratégia é a lista dinâmica de permissão/bloqueio, que fornece uma camada adicional de proteção para todos os clientes. Ao detectar ameaças em tempo real e ajustar os protocolos de segurança de acordo, a Okta ajuda a garantir uma defesa proativa contra uma variedade de ameaças cibernéticas, incluindo credential stuffing, phishing e ataques de força bruta. Essa estrutura de segurança coletiva fortalece a proteção de cada cliente Okta.
Okta ThreatInsight
O Okta ThreatInsight analisa padrões na atividade de login em toda a plataforma para identificar endereços IP potencialmente maliciosos e ajudar a evitar ataques baseados em credenciais. Essa proteção é alimentada por sinais anônimos e projetada para fortalecer as defesas sem expor os dados do cliente.
Exemplos de ameaças que ajuda a detectar e bloquear incluem
Password spraying
Preenchimento de credenciais
Ataques criptográficos de força bruta
Como o ThreatInsight avalia a origem das tentativas de login em todos os endpoints Okta, ele ajuda a estabelecer uma linha de base de segurança que beneficia todos os clientes.
Políticas de rede no nível da organização
Uma zona de rede é um limite configurável que um cliente pode usar para conceder ou restringir o acesso a computadores e dispositivos em sua organização com base no endereço IP que solicita o acesso. Você pode definir uma zona de rede especificando um ou mais endereços IP individuais, intervalos de endereços IP ou localizações geográficas.
Depois de definir uma ou mais zonas de rede, você pode usá-las nas políticas de logon do Okta, nas políticas de logon de aplicativos, nas notificações de VPN e nas regras de roteamento para fornecer decisões de pré-autenticação. Por exemplo, criar uma lista de bloqueio bloqueará automaticamente o acesso de endereços IP ou geolocalizações específicos.
Durante a autenticação: As políticas no nível da organização durante a autenticação são baseadas no contexto
O diagrama acima é um diagrama de referência influenciado pelos modelos CISA e NIST. Agora, vamos dar uma olhada em um diagrama de referência que representa o ZTA através das lentes da segurança baseada em identidade. Em alto nível, queremos controlar o acesso dos ativos à esquerda para os recursos à direita, e queremos que esse acesso seja sustentado pelas capacidades na parte inferior.
Esta arquitetura reflete os pilares do modelo de maturidade da CISA: identidade, dispositivos, redes, aplicativos e dados. Automação, orquestração, visibilidade e análise abrangem todos os cinco.
Com o Okta servindo como o plano de controle de identidade, as equipes de segurança podem aproveitar os sinais de objetos de identidade e dispositivos à medida que se movem pela rede. Vamos explorar como isso funciona na próxima seção, onde verificaremos duas políticas principais dentro do Okta durante a fase de autenticação.
Políticas de sessão globais
As políticas de sessão global fornecem o contexto que o Okta precisa para determinar a próxima etapa no fluxo de autenticação. Depois que um usuário é identificado, essas políticas avaliam vários sinais — como dispositivo, rede, comportamento do usuário, nível de risco e o recurso que está sendo acessado — para decidir qual ação tomar.
As ações podem incluir permitir o acesso, solicitar um desafio ou definir o tempo antes da próxima solicitação. Comportamentos como velocidade de login, uso de novo dispositivo ou geolocalização inesperada também são avaliados durante esta fase.
Você pode configurar políticas de sessão globais para exigir quaisquer fatores suportados pelo seu ambiente. As condições de fator primário e secundário na regra da política determinam quais etapas de autenticação são acionadas.
Todas as organizações têm uma política de sessão global padrão que se aplica a todos os usuários. As políticas podem ser categorizadas agrupando usuários de níveis altos a baixos com base em seu acesso ou no local de onde acessam, por exemplo, uma rede confiável versus uma não confiável.
Para fortalecer ainda mais as decisões de acesso, a política de sessão global impõe o nível de garantia definido na política de autenticação para o recurso específico que está sendo acessado. Isso garante que os usuários atendam aos padrões de autenticação exigidos com base na confidencialidade do recurso.
A política de sessão global também controla o gerenciamento de sessão global da Okta. A Okta oferece suporte a serviços CAPTCHA para aumentar a segurança da organização e evitar tentativas automatizadas de login. Você pode integrar um de dois provedores: hCaptcha ou reCAPTCHA v2.
As implementações de fornecedores suportadas pela Okta são ambas invisíveis. Cada um executa um software de análise de risco em segundo plano durante o login do usuário para determinar a probabilidade de o usuário ser um bot. Essa análise de risco é baseada nas configurações que você configura com o provedor escolhido.
Políticas de autenticação de aplicativos
As políticas de autenticação aplicam os requisitos de fator quando os usuários fazem login em aplicativos ou executam ações específicas. Embora essas políticas compartilhem algumas condições com as políticas de sessão global, elas servem a propósitos distintos. Os usuários que obtêm acesso ao Okta por meio da política de sessão global não têm acesso automaticamente aos seus aplicativos.
Você pode criar uma política exclusiva para cada aplicativo em sua organização ou criar algumas políticas que podem ser compartilhadas entre vários aplicativos. Além disso, a Okta fornece políticas predefinidas para aplicativos com requisitos de logon padrão. Se você precisar alterar os requisitos de logon de um aplicativo posteriormente, poderá modificar facilmente sua política ou mudar para uma diferente.
As políticas de autenticação de aplicativos são baseadas em vários contextos dentro do Okta. Vamos nos aprofundar em cada seção abaixo.
Okta Adaptive MFA
À medida que os níveis de usuário e de risco evoluem continuamente, sua segurança deve se adaptar de acordo. O Okta Adaptive MFA permite mudanças dinâmicas de política e autenticação step-up em resposta a mudanças no comportamento do usuário, contexto do dispositivo, localização e outros fatores. O Adaptive MFA suporta detecção e desafios de autenticação para situações mais arriscadas, tais como:
- Uso de senhas fracas ou violadas
- Uso de proxy
- Localização geográfica ou mudanças de zona
- Ataques de força bruta e de negação de serviço
- Uso de dispositivos novos ou não confiáveis
- Indicadores de comportamento anômalo
A Okta suporta uma ampla gama de métodos de autenticação multifator (MFA), alinhados com os níveis de garantia do NIST. Estes incluem fatores de posse, combinações biométricas, fatores de conhecimento e abordagens combinadas. A tabela abaixo categoriza cada fator por tipo.
Características do fator de autenticação
Os fatores de autenticação podem ser categorizados com base em suas características de método:
Vinculado ao dispositivo: vinculado a um dispositivo específico
Protegido por hardware: requer um dispositivo físico para autenticação
Resistente a phishing: impede o compartilhamento de dados de autenticação, protegendo os usuários contra ataques de phishing. Para mais informações, consulte Autenticação resistente a phishing e as soluções de resistência a phishing da Okta.
Presença do usuário: exigir interação humana.
Verificação do usuário: confirme a identidade da pessoa que está autenticando.
Okta FastPass é um autenticador resistente a phishing e sem senha que garante acesso seguro a aplicativos protegidos pela Okta. Como um cliente Okta Verify instalado localmente em um dispositivo, o Okta FastPass atua como um autenticador vinculado ao dispositivo que monitora continuamente possíveis ameaças. Ele determina se um dispositivo é gerenciado ou não gerenciado com base na validação do dispositivo por meio dos recursos Device Assurance e Device Trust.
O FastPass também pode impor políticas de higiene do dispositivo para dispositivos não gerenciados para garantir o acesso seguro aos aplicativos corporativos. Além disso, ele se integra aos sinais de Endpoint Detection and Response (EDR), coletando-os e enviando-os para a Okta para avaliação durante o processo de login.
As soluções de gerenciamento de acesso contextual Okta Device Trust permitem que as organizações protejam recursos corporativos confidenciais, permitindo o acesso apenas de dispositivos gerenciados e confiáveis. Com o desaparecimento dos perímetros corporativos tradicionais, os usuários agora acessam aplicativos de vários clientes, plataformas e navegadores.
Como parte do modelo de segurança Zero Trust da Okta, o Device Trust garante que os usuários acessem aplicativos de dispositivos confiáveis. Dispositivos gerenciados são considerados de maior confiança, exigindo garantia mínima, enquanto dispositivos não gerenciados exigem um nível mais alto de confiança.
Com as polóticas de Device Assurance, você pode verificar conjuntos de atributos de dispositivo relacionados seguran a como parte de suas políticas de autentica ção. Por exemplo, você pode configurar uma política para verificar se uma versão específica do sistema operacional ou patch de seguran a est instalado antes de permitir o acesso a recursos protegidos pelo Okta. A integra ção de verificações de dispositivo em suas políticas de autenticação permite que você defina requisitos mínimos de segurança para dispositivos que tentam acessar os sistemas e aplicativos de sua organização.
Você pode integrar o Okta Verify com a solução EDR da sua organização. Quando os usuários tentam acessar um recurso protegido, o Okta Verify sonda seu dispositivo em busca de contexto e sinais de confiança. Esses sinais são então avaliados em relação às políticas de autenticação configuradas no Okta Admin Console. Essa integração estende a avaliação da postura do dispositivo, aproveitando os sinais capturados pelo seu cliente EDR em execução no mesmo dispositivo.
As políticas de aplicativo definem o nível de garantia que um usuário deve atender para autenticar em um recurso específico. Essas políticas são baseadas em integrações detalhadas e vários fatores, como identidade do usuário, tipo de dispositivo e geolocalização.
Após a autenticação: monitoramento contínuo e Identity Threat Protection
A batalha não termina quando o usuário é autenticado. Na fase pós-autenticação, a Okta continua monitorando a atividade do usuário, aplicando estratégias de proteção contra ameaças de identidade (ITP) para detectar e responder aos riscos contínuos.
Monitoramento contínuo
A Okta monitora continuamente os sinais de identidade após a autenticação para detectar anomalias. Isso inclui alterações no comportamento do usuário, como tentativas de acesso inesperadas ou desvios dos padrões de uso típicos, ajudando as equipes de segurança a responder a ameaças em tempo real. Se forem detectadas anomalias, a Okta pode acionar ações de correção automática, como logout universal, ou executar um fluxo de trabalho para bloquear temporariamente a conta para investigação posterior.
Identity Threat Protection
No mundo digital de hoje, a segurança de identidade é fundamental, e o Identity Threat Protection da Okta oferece uma abordagem dinâmica e focada no usuário. Em sua essência, no diagrama acima, você pode ver que o Identity Threat Protection coleta sinais de terceiros de uma variedade de superfícies de ameaças (por exemplo, endpoint, ZTNA, e-mail) e sinais primários de plataformas Okta como Okta Verify. Isso ajuda a avaliar continuamente o risco e monitorar quaisquer alterações no contexto que possam indicar uma ameaça à segurança.
O mecanismo de risco desempenha um papel crucial, avaliando os riscos da sessão durante o login e analisando fatores como IP e contexto do dispositivo. Mas não para por aí. O Identity Threat Protection rastreia a identidade geral de um usuário por meio do risco do usuário da entidade, que engloba o perfil de risco do usuário em todos os pontos de contato, incluindo dispositivo, aplicação, rede e dados. Essa abordagem holística é semelhante a uma pontuação de crédito, avaliando o risco geral de um usuário com base em sinais de risco nativos e de terceiros, como malware ou invasões de conta.
No lado direito do sistema, as políticas ditam ações específicas com base em avaliações de risco em tempo real. Estes podem incluir logout universal ou step-up MFA para cenários de maior risco e streaming de contexto de risco downstream usando o mesmo Shared Signals Framework (SSF).
Com o SSF, você pode configurar uma integração de receptor de sinal compartilhado com provedores de eventos de segurança para informar as configurações de detecção de risco de entidade de seus usuários para uma política de risco de entidade. Isso permite que o provedor de eventos de segurança transmita sinais de risco para a Okta. Você pode descobrir mais ameaças potenciais à identidade, recebendo sinais de risco de provedores de eventos de segurança.
Uma abordagem holística para a segurança cibernética
O Identity Security Fabric da Okta é uma abordagem moderna e orquestrada para a defesa cibernética, construída para proteger cada fase do ciclo de vida da identidade, começando muito antes de um usuário se autenticar. Começa com a governança e o Identity Security Posture Management, estabelecendo o menor privilégio, aplicando o acesso just-in-time e revisando continuamente os direitos para eliminar os privilégios permanentes e reduzir a superfície de ataque. Essa postura proativa garante que apenas as identidades certas existam e apenas quando necessário.
A partir daí, a autenticação é contextual e adaptável, alimentada por estruturas de políticas fortes, métodos resistentes a phishing como o FastPass e inteligência granular de dispositivos e sessões. As decisões de acesso não são estáticas; elas refletem o contexto em tempo real, os níveis de risco e os sinais de confiança em usuários e dispositivos.
A segurança não para após o login. Com o Identity Threat Protection, a Okta monitora continuamente a atividade pós-autenticação, correlacionando sinais de risco em todo o ambiente e permitindo a remediação automática para comportamentos suspeitos — seja aplicando autenticação step-up, revogando acesso ou acionando fluxos de trabalho de segurança.
Esses recursos não são controles isolados — eles funcionam como uma estrutura de segurança de identidade interconectada. O acesso governado, a autenticação segura e o monitoramento contínuo trabalham em conjunto para fornecer uma camada de defesa resiliente, escalável e inteligente.
Em um mundo onde as identidades são o novo perímetro, a Okta capacita as organizações a fazer da identidade a base de sua estratégia de segurança, fornecendo a visibilidade, o controle e a adaptabilidade necessários para proteger o acesso em ambientes dinâmicos e distribuídos de hoje.
