Implementando revisões de acesso no Azure e Entra ID

Implementando revisões de acesso no Azure e Entra ID

What are Access Reviews in Azure AD — Windows Active Directory (windows-active-directory.com)

Conforme sua empresa cresce, o acúmulo de acessos dos usuários será uma consequência. Se quiser proteger seu ambiente do acúmulo de acessos e de possíveis problemas que pode vir a ter com o comprometimento de uma identidade, esse artigo é para você!


Entendendo melhor o problema

Como foi comentado brevemente no início do texto, o crescimento de uma organização traz consigo diversos desafios para os time de segurança. Operacionalizar um ambiente em nuvem pode se tornar complicado de acordo com a quantidade de funcionários dedicados para essa tarefa.

Conforme sua empresa realiza novas contratações, novos times vão surgindo, times vão se desfazendo e se transformando em novas equipes, pessoas encerram seus vínculos com a empresa, as coisas mudam e é importante que os times de tecnologia (engenharia, operações, segurança, etc.) consigam controlar o ciclo de vida dos “objetos” vinculados à essas partes (equipes, pessoas, etc.).

O crescimento das equipes também leva ao problema mencionado na abertura do tutorial, o acúmulo de acessos. Esse problema se deve à má gestão do ciclo de vida das permissões fornecidas aos usuários e aos times (grupos). O acúmulo de acessos acrescido do comprometimento das identidades pode parecer não apresentar tanto risco, então vamos deixar claro alguns problemas que podem ser causados por esses fenômenos:

  • Exposição de informações sensíveis: esse é um problema causado pelo comprometimento das credenciais do usuário. Uma identidade comprometida fornece grande risco aos ambientes se não for remediada automaticamente, principalmente se essa identidade em questão tiver acesso à múltiplos ambientes. O usuário por trás do acesso ilegítimo poderá realizar o conhecimento dos ambientes e executar a extração de informações valiosas e confidenciais;

  • Acesso a recursos indevidos: também potencializado pelo comprometimento das credenciais mas não causado exclusivamente por isso, o acúmulo de acessos habilita que o usuário tenha acessos a recursos que não são mais necessários. Isso pode, por displicência do usuário, impactar outras equipes, que podem ter seus recursos modificados;

  • Descumprimento do princípio do privilégio mínimo: um dos pilares da estratégia zero trust é o princípio do privilégio mínimo, que consiste em fornecer aos usuários apenas o acesso necessário para suas atividades de trabalho. É importante que as organizações se atentem a esse princípio pois uma vez garantido e aplicado, os danos causados pelo comprometimento de uma credencial podem ser reduzidos drasticamente;

  • Comprometimento de recursos: mais um ponto atrelado ao comprometimento das credenciais, usuários que contém acúmulo de acessos e acabam tendo suas credenciais comprometidas, potencializam o comprometimento dos recursos aos quais tem acessos. Tendo uma gama ampla de acessos, aumenta-se o escopo de ataques aos recursos.

Esses são alguns perigos existentes quando falamos de acessos acumulados. Pudemos perceber que os danos à organização podem ser severos e possivelmente irreversíveis.

Dito isso, termos uma estratégia eficiente de revisão de acessos pode nos poupar muita dor de cabeça no futuro e trazer mais confiança para os times de segurança e operação.


Qual a solução?

O Entra ID Governance oferece um recurso chamado Revisão de Acessos (Access Reviews). Com esse recurso é possível implementar um processo de revisões de acesso periódicas para usuários, grupos e aplicações. Essa funcionalidade habilita os administradores a selecionarem os objetos de destino, os objetos aprovadores, a frequência da revisão, as ações que devem ser tomadas de acordo com a aprovação do acesso, e mais alguns operações existentes.

Dentro do portal do ID Governance, nós temos a possibilidade de gerenciar todos os acessos existentes na plataforma. O ID Governance centraliza as atividades de gerenciamento relacionadas às identidades e às permissões existentes no Entra ID.

Dentre os recursos que podem ter seus acessos revisados, temos:

  • Grupos e equipes — grupos de segurança e do Office 365;

  • Aplicações — acesso à aplicações, controlado pela atribuição de grupos para gestão do acesso;

  • Atribuições do PIM (Funções do Azure e do Azure AD) —usuários e grupos que tenham funções privilegiadas atribuídas.

Com essas capacidades fornecidas pelo ID Governance, as empresas poderão realizar períodos recorrente de revisão de acesso, com o objetivo de garantir a segurança constante de seu ambiente e para setores onde isso se aplica, garantir a conformidade com os orgãos reguladores (nacionais e internacionais).

Uma funcionalidade, possível com o uso das Revisões de Acesso do ID Governance e visando a gestão ágil dos acessos, é a implementação do self-review.

Self-review: podemos permitir que o próprio usuário revise seus acessos e julgue os que são realmente necessários. Esse recurso pode ser interessante quando se tem uma organização com dezenas de milhares (ou até mais) de funcionários e acessos a aplicações que não são consideradas críticas. Essas aplicações não devem apresentar risco a sua organização, possibilitando que a revisão seja feita individualmente.

OBS: é necessário que os usuários que farão as revisões de acesso tenham atribuído à suas contas uma licença mínima do Entra ID P2. Caso os seja configurado um self-review, os usuários também precisarão da licença.


Implementando a revisão de acessos

Podemos iniciar a configuração através do Portal do Azure ou do Portal do Entra. Toda a experiência fornecida através do Portal do Entra, também é apresentada pelo Portal do Azure, com todos os recursos à sua disposição.

Ao acessarmos a aba do Identity Governance em qualquer um dos portais, devemos selecionar a seção “Revisões de acesso”, representadas pelo ícone abaixo:

Ícone do menu que nos permite acesso à seção de revisões de acesso

Logo após acessar a seção das revisões de acesso, você será apresentado com a tela que nos permite gerenciar as revisões existentes e criar novas.

Portal das revisões de acesso

Caso seja seu primeiro acesso, não haverão revisões criadas, então sua página estará igual à apresentada acima.

Para criação das revisões de acesso para as Funções do Azure e do Azure AD no PIM, devemos acessar diretamente o Portal do PIM, ou podemos acessar mais abaixo na barra de rolagem do menu à esquerda, as opções “Funções do Azure AD” e “Recursos do Azure”. Acessando qualquer uma delas, seremos levados ao Portal do PIM onde podemos configurar as revisões para funções do PIM.

Para este exemplo, vamos clicar em “Nova revisão de acesso” e partir para nossa primeira configuração, que será a configuração da revisão de acesso de um grupo do Azure AD.

OBS: caso você não tenha nenhum grupo criado, crie alguns usuários, crie um grupo e os insira no grupo apenas para fins de teste. Não é necessário ter um ambiente muito populado para conseguir construir as primeiras revisões de acesso.

Tipo de revisão

A primeira configuração nos habilita selecionar quais os destinos da nossa revisão. Aqui podemos escolher entre Usuários e Grupos ou Aplicações, visando controlar quem tem acesso à elas.

Para conseguir revisar aplicações, é necessário que previamente tenhas criado algum registro utilizando o Application Registration ou o Enterprise Application, caso contrário apenas a aplicação “Graph API” estará disponível para seleção.

Para este exemplo, selecionaremos a opção “Grupos e Equipes” e escolheremos um grupo qualquer existente no tenant.

Outra configuração disponível nesta etapa é a escolha de quais tipos de usuários que terão o acesso revisado. Podemos restringir a revisão à usuários convidados (guest users) ou a todos os integrantes do grupo.

Ao final da configuração, seu formulário estará semelhante a este. Executaremos a revisão de acesso em grupos específicos.

No final do formulário temos a opção de restringir o escopo apenas à usuários que estão inativos. Isso é uma boa prática nas empresas, além de ser uma configuração muito comum.

Revisões

A segunda etapa é a configuração de frequência das revisões e dos aprovadores. Aqui selecionaremos quais os responsáveis por fazer a revisão de acesso e com que frequência deve ser disparado a solicitação de revisão.

Para acessos de alta criticidade e de alto risco, é recomendado a criação de uma revisão em estágios (“cascata”). Com esse método, selecionamos dois revisores que obrigatoriamente deverão realizar as atividades de verificação. Visto que estamos implementando um exemplo básico e de uso geral (não crítico), a revisão ser realizada por apenas um agente supre nossa necessidade, então na seção de “Selecionar revisores” escolha a opção “Usuários ou grupos selecionados” e selecione um usuário (ou grupo) para realizarmos a revisão do acesso posteriormente.

Dentre os aprovadores podemos selecionar:

  • Proprietários do grupo — um cenário muito comum em organizações, é a configuração de um “dono” do grupo. Grande parte das vezes essa pessoa é o gerente ou head da área. Em uma organização que cria seus grupos baseados em equipes, faz sentido permitir que a revisão de acesso seja feita pelo responsável pelo grupo em questão;

  • Usuários e grupos selecionados — essa seleção pode ser escolhida para cenários mais críticos, onde devemos delegar à uma equipe de segurança a responsabilidade pela revisão dos acessos. Caso em sua organização, tenha usuários e grupos que contenham acessos altamente privilegiados, é uma recomendação deliberar a gestão do acesso para o time responsável pela segurança dos ambientes;

  • Self-review — caso seja um desejo permitir que os usuários tenham mais autonomia para escolher o que precisam acessar e o que não, o self-review nos fornece essa possibilidade;

  • Gerentes dos usuários — um dos atributos padrão de um usuário no Entra ID são as informações de seu gerente. Com essa funcionalidade, podemos delegar para o responsável direto pelo funcionário a capacidade de revisão de acesso, deixando o fluxo de gestão mais “limpo” e sem dependências com times externos.

As opções “Proprietários do grupo” e “Gerentes de usuário” permitem a configuração de um fallback de aprovação, garantindo que caso o aprovador principal não possa realizar a revisão, um aprovador secundário seja acionado e tenha as permissões de avaliador.

Para finalizar essa sessão devemos configurar o tempo de duração da revisão, a recorrência (de quanto em quanto tempo ela será disparada) e por último a data de início. As revisões costumam ser rotineiras (trimestralmente, semestralmente, etc.), apenas em casos específicos seu agendamento de revisão deverá ser encerrado, então podemos manter selecionado a opção “Nunca”, que determina o período de encerramento da revisão.

No final das configurações, o seu formulário se parecerá com o seguinte:

*A data inicial representa o dia que escrevi esse tutorial, só é possível configurar a revisão à partir do mesmo dia*

Configurações

Para finalizar a configuração vamos agora às propriedades opcionais.

Dentro dessa seção você poderá tomar uma ação caso os revisores não respondam a avaliação de acesso e enviar notificação ao encerrar uma revisão.

Vamos manter a configuração da forma que está e prosseguir com a criação da nossa revisão.

Examinar + criar

Por fim você deve criar um nome para sua revisão e caso queira, uma descrição que permita compreender os controles que ali estão sendo aplicados.

Essa é a última das etapas, após isso teremos a primeira revisão de acesso criada.


Revisando o acesso

Para iniciar a revisão dos acessos é importante saber duas coisas:

  • Após a criação, devemos esperar alguns minutos até que o status da revisão esteja atualizado para Ativo;

  • Os revisores (sejam dedicados ou self-reviewers) receberão um e-mail quando chegar a data inicial prevista para a revisão. Não será necessário que os mesmos acessem o Portal do Azure ou o do Entra. Para fins de simplicidade, a Microsoft disponibiliza um portal próprio para revisão de acessos, o My Access. Esse portal contém todas as ações de revisão que deverão ser feitas pelo usuário em questão.

O uso de um portal específico para a revisão dos acessos retira a necessidade de que todos os usuários tenham acesso aos portais administrativos.

Abaixo temos uma imagem da página principal do portal My Access:

Você deverá clicar sobre o acesso pendente e será direcionado para a página que permitirá realizar a revisão.

Clicando em “Detalhes” ao final de cada linha, temos acesso a um formulário unificado que nos permite Aprovar, Negar ou responder que não conseguimos avaliar a necessidade do acesso (opção “Não sei”). Junto da avaliação do acesso, também temos a necessidade de inserir uma justificativa (configurada na fase de “Configuração” da revisão). A avaliação de acesso pode ser alterada até a data final de duração (nesse caso, nossa revisão dura 3 dias, então você poderá alterar os resultados até 3 dias após o início da revisão).

Para executar essa tarefa mais rápido, temos a opção “Aceitar recomendações”. Essa opção responderá as avaliações com as recomendações fornecidas pela Microsoft, recomendações que podem ser visualizadas na coluna do meio da lista de usuários para revisão.


Agora você já sabe como gerenciar todo o ciclo de vida de um acesso, desde a deliberação desse acesso até a revisão do mesmo (e possivelmente o cancelamento). Esse recurso é muito útil para manter seu ambiente seguro e em conformidade com as regulamentações existentes que se apliquem à sua empresa.

Espero que tenha gostado e que agora se sinta confortável com essa funcionalidade.

Até mais!