Qual a diferenca entre PAM e IAM?

IAM (Identity and Access Management) gerencia identidades e acessos de todos os usuarios. PAM e um subconjunto focado especificamente em contas privilegiadas (admins, service accounts, root). PAM adiciona controles extras como cofre de senhas, gravacao de sessoes e elevacao just-in-time que nao existem em IAM tradicional.

O que e just-in-time (JIT) access?

JIT access concede privilegios apenas quando necessario, pelo tempo minimo necessario. Em vez de admins terem acesso permanente, eles solicitam acesso, recebem aprovacao (automatica ou manual), e o privilegio e revogado automaticamente apos uso ou timeout. Reduz drasticamente a superfície de ataque.

Quais os principais fornecedores de PAM?

Lideres de mercado: CyberArk (mais completo, enterprise), BeyondTrust (forte em endpoints), Delinea (ex-Thycotic + Centrify, bom custo-beneficio), HashiCorp Vault (secrets management, DevOps), Microsoft Entra PIM (integrado ao Azure AD). Escolha depende do tamanho e ambiente.

PAM: Guia Completo de Gestao de Acessos Privilegiados

O que e PAM

PAM (Privileged Access Management) e o conjunto de estratégias, tecnologias e práticas para controlar, monitorar e auditar acessos privilegiados em uma organizacao. Contas privilegiadas - administradores, root, service accounts - sao os alvos mais valiosos para atacantes porque fornecem acesso irrestrito a sistemas críticos.

80%

dos breaches envolvem credenciais privilegiadas comprometidas (Forrester)

PAM vai alem de simplesmente armazenar senhas em um cofre. Uma solucao completa controla quem pode acessar o que, quando, por quanto tempo, e registra tudo que foi feito durante a sessao privilegiada.

Tipos de contas privilegiadas

Administradores locais: Local admin em workstations/servers
Administradores de dominio: Domain Admins, Enterprise Admins no Active Directory
Root/superuser: Acesso irrestrito em Linux/Unix
Service accounts: Contas usadas por aplicacoes para acessar recursos
Contas de emergencia: Break-glass accounts para recuperacao
Credenciais de aplicacao: API keys, connection strings, secrets
Contas cloud: IAM admins em AWS/Azure/GCP

Por que PAM e Crítico

Vetor de ataque preferido

Atacantes buscam contas privilegiadas porque uma única credencial comprometida pode dar acesso a toda a infraestrutura. Técnicas como Kerberoasting, Pass-the-Hash e credential dumping visam especificamente essas contas.

Compliance e regulamentacao

PCI-DSS: Requisito 7 - restringir acesso privilegiado
SOX: Controles sobre acessos a sistemas financeiros
LGPD: Protecao de dados exige controle de acessos
ISO 27001: Controle A.9 - gestao de acessos
NIST: PR.AC - Identity Management and Access Control

Insider threats

Administradores com acesso irrestrito e permanente representam risco mesmo sem intencao maliciosa. Erros acontecem, e contas podem ser comprometidas. PAM limita o blast radius.

Pilares do PAM

Password Vault

Cofre seguro para armazenar credenciais privilegiadas com rotacao automatica e checkout controlado.

Session Management

Proxy de sessoes privilegiadas com gravacao, monitoramento em tempo real e auditoria completa.

Just-in-Time Access

Privilegios concedidos sob demanda, pelo tempo minimo necessario, com aprovacao e revogacao automatica.

Discovery

Descoberta automatica de contas privilegiadas, service accounts e credenciais embedded em codigo.

Password Vault (Cofre de Senhas)

Armazenamento criptografado: Senhas nunca em texto claro
Checkout/checkin: Usuario solicita senha, usa, devolve
Rotacao automatica: Senhas trocadas apos cada uso ou periodicamente
Geracao de senhas: Senhas complexas geradas automaticamente
Dual control: Aprovacao de segundo usuario para acesso sensivel

Session Management

Session proxy: Usuario conecta ao PAM, PAM conecta ao alvo
Gravacao: Video e keystroke logging de toda sessao
Live monitoring: Supervisor pode observar sessoes em tempo real
Session termination: Encerrar sessao suspeita imediatamente
Command filtering: Bloquear comandos perigosos (rm -rf, DROP DATABASE)

Just-in-Time (JIT) Access

JIT access e o modelo moderno de PAM alinhado com Zero Trust. Em vez de privilegios permanentes (standing privileges), usuarios solicitam acesso quando precisam.

Como funciona

Solicitacao: Usuario solicita acesso a recurso especifico
Aprovacao: Automatica (baseada em política) ou manual (gestor)
Concessao: Privilegio ativado por tempo limitado (ex: 4 horas)
Uso: Usuario realiza tarefa com sessao monitorada
Revogacao: Privilegio removido automaticamente apos timeout ou logout

Zero Standing Privileges (ZSP)

O objetivo final e Zero Standing Privileges: nenhum usuario tem privilegios permanentes. Todos os acessos privilegiados sao JIT. Isso elimina o risco de credenciais privilegiadas comprometidas porque elas simplesmente nao existem ate serem necessarias.

Beneficios do JIT

Reduz superfície de ataque - menos credenciais ativas
Auditoria clara - quem pediu, por quê, quando
Compliance facilitado - privilegios documentados
Limita blast radius - acesso por tempo limitado

Principais Solucoes de PAM

CyberArk

Lider de mercado, solucao mais completa. Enterprise-grade com todos os pilares.

Enterprise

BeyondTrust

Forte em endpoint privilege management (EPM) e remote access.

Enterprise

Delinea

Ex-Thycotic + Centrify. Bom custo-beneficio, interface amigavel.

Mid-Market

HashiCorp Vault

Foco em secrets management para DevOps. Dynamic secrets, API-first.

DevOps

Microsoft Entra PIM

JIT para roles do Azure AD. Incluido em Azure AD P2.

Cloud

AWS IAM + Secrets Manager

Nativo AWS para roles temporarias e secrets management.

Cloud

Guia de Implementacao de PAM

Fase 1: Discovery e inventario

Descobrir todas as contas privilegiadas (AD, local, cloud, service accounts)
Identificar credenciais embedded em scripts e aplicacoes
Mapear quem tem acesso a que
Classificar por criticidade

Fase 2: Quick wins - Cofre de senhas

Implementar cofre para credenciais mais criticas (Domain Admins, root)
Habilitar rotacao automatica
Eliminar senhas compartilhadas
Remover credenciais de planilhas e documentos

Fase 3: Session management

Configurar proxy de sessoes para servidores criticos
Habilitar gravacao de sessoes
Implementar monitoramento para equipe de seguranca
Definir políticas de command filtering

Fase 4: Just-in-Time

Migrar de standing privileges para JIT
Configurar workflows de aprovação
Definir timeouts por tipo de acesso
Treinar usuarios no novo processo

Fase 5: Service accounts e secrets

Migrar service accounts para gestao pelo PAM
Implementar secrets injection em aplicacoes
Eliminar credenciais hardcoded
Integrar com pipelines CI/CD

Erros comuns

Escopo muito amplo: Comecar pequeno, expandir gradualmente
Ignorar service accounts: Sao as mais numerosas e esquecidas
Falta de buy-in: Admins resistem se nao entenderem o valor
Break-glass mal planejado: Acesso de emergencia deve existir e ser testado

Casos de Uso

Acesso de terceiros

Fornecedores que precisam acessar sistemas para manutencao recebem credenciais temporarias via PAM, com sessoes gravadas e acesso limitado ao escopo do trabalho.

DevOps e CI/CD

Pipelines de deploy recebem credenciais dinamicas do HashiCorp Vault ou similar. Secrets nunca ficam em codigo ou variaveis de ambiente estaticas.

Auditoria e compliance

Auditores podem revisar gravacoes de sessoes privilegiadas, logs de acesso e relatorios de quem acessou o que. Evidencias claras para SOX, PCI-DSS, ISO 27001.

Resposta a incidentes

Durante um incidente, equipe de IR pode revogar todos os acessos privilegiados instantaneamente e forcar re-autenticacao via PAM.

Perguntas Frequentes

PAM atrapalha a produtividade dos admins?

Inicialmente pode haver friccao, mas solucoes modernas sao projetadas para minimizar impacto. Single sign-on para o PAM, aprovacoes automaticas para acessos rotineiros, e sessoes transparentes via proxy. O tradeoff de seguranca vale o pequeno overhead.

E se o PAM ficar indisponivel?

Solucoes enterprise tem alta disponibilidade (cluster, DR). Alem disso, contas break-glass (emergencia) devem existir fora do PAM, guardadas em cofre fisico ou processo manual documentado, para situacoes extremas.

Quanto custa implementar PAM?

Varia muito. CyberArk enterprise pode custar centenas de milhares de reais. Delinea e BeyondTrust sao mais acessiveis. Microsoft Entra PIM esta incluido no Azure AD P2. Para PMEs, solucoes como Keeper ou 1Password Business oferecem funcionalidades basicas de PAM.

Conclusao

PAM e um dos controles de seguranca com maior impacto na reducao de risco. Contas privilegiadas sao o objetivo final de quase todo ataque, e controla-las adequadamente pode ser a diferenca entre um incidente contido e um breach catastrofico.

A jornada para Zero Standing Privileges e gradual. Comece com o cofre de senhas para credenciais mais criticas, expanda para session management, e evolua para JIT access. Cada passo reduz significativamente a superfície de ataque.

Lembre-se que PAM nao e apenas tecnologia - requer mudança de cultura. Administradores acostumados com acesso irrestrito precisam entender o valor da restricao. Comunique claramente os beneficios e envolva as equipes no desenho das políticas.

Precisa de Ajuda com PAM?

Oferecemos assessment de acessos privilegiados, selecao de solucao e implementacao de PAM.

Falar com Especialista

Inteligencia Brasil

Consultoria especializada em Identity Security, PAM e Controle de Acessos.