Protegendo acessos privilegiados com o Entra ID Privileged Identity Management
Com cada vez mais recursos sendo executados em sua conta do Azure, a importância de controlar o acesso à recursos privilegiados aumenta exponencialmente. Com o Entra ID PIM (Privileged Identity Management) podemos reforçar a segurança de acessos privilegiados em toda a plataforma.
Licença
Para usufruir das funcionalidades do PIM, é necessário que os usuários envolvidos tenham a licença P2 do Entra ID ou a licença de Governança do Entra ID.
Caso você esteja utilizando o período de testes das licenças fornecido pelo Entra ID (30 dias de licenças P2 e 90 dias de licenças E5), você poderá testar essa funcionalidade sem disponibilizar de forma explícita uma licença para os usuários. Uma vez que o período de testes se encerrar, a funcionalidade não estará mais disponível para os usuários que a estavam utilizando.
Que problema o PIM resolve?
Sabemos que uma das vantagens de se utilizar a nuvem pública é a capacidade de controlar os acessos utilizando RBAC (role based access control).
Dentre as funções (roles) existentes no Azure, temos:
Aquelas que permitem que o usuário realize qualquer tipo de operações dentro de um recurso;
Aquelas que fornecem ao usuário alto escopo de visualização.
Em ambos os casos, sua utilização pode ser um problema de segurança grave para a empresa, visto que o usuário terá acesso a informações possivelmente sensíveis e isso aumenta o nível de risco atrelado a identidade.
Para essas funções, podemos usufruir do PIM!
É importante frisar que o PIM deve ser utilizado para acessos privilegiados e não para qualquer acesso. A má utilização de seus recursos pode gerar transtorno aos usuários que necessitam de acessos triviais aos ambientes para realizar tarefas de seu dia a dia de trabalho. Ao utilizar o PIM, é essencial prestar atenção aos fluxos de aprovação criados, para garantir que os acessos de um usuário não fiquem dependentes de outras equipes cujas responsabilidade são outras.
Como o PIM funciona?
Na perspectiva do usuário
Esse é de forma simplificada, o fluxo de utilização do PIM.
O usuário necessita de um acesso considerado privilegiado. Acessa a console do PIM através do Portal Azure e consulta as funções que tem acesso.
No painel que contém as funções disponíveis para o usuário, ele pode escolher a função necessária (as funções disponíveis para o usuário devem ser configuradas previamente para permitir sua utilização).
Após selecionar a função desejada, o usuário entrará na fase de ativação. Essa fase consiste em definir o tempo desejado de ativação (em horas) e inserir uma justificativa para ativação da função.
Como última etapa, se configurada, o usuário pode precisar da aprovação de um outro usuário (ou de uma equipe, como é visto normalmente nas empresas) ou precisará utilizar um segundo fator de autenticação para conseguir finalizar a ativação da função.
Após feito o processo o usuário terá os privilégios necessários para realizar suas atividades!
Na perspectiva dos administradores e dos times de segurança
O papel dos administradores é operar a plataforma e criar junto dos times de segurança os controles de acesso desejados e recomendados.
Dentro do PIM podemos selecionar entre as mais diversas funções do Azure e do Azure AD. Cada função pode ser configurada de uma maneira diferente, atendendo os desejos dos times de segurança. Algumas das configurações disponíveis são:
Duração máxima da ativação — determina quanto tempo uma função que foi ativada ficará disponível para uso;
Aprovador — caso julgue necessário, os administradores podem configurar alguns aprovadores para aquela função. Quando um usuário solicitar a ativação, os aprovadores precisarão justificar o motivo de estarem aprovando/negando a ativação;
Duração qualificada — é possível especificar quanto tempo a função estará disponível para aquele usuário. Uma vez que esse tempo expirar, será necessário uma nova atribuição da função por parte dos responsáveis;
Notificações — os administradores podem configurar notificações para serem enviadas a certos usuários quando novos usuários forem atribuídos à função como qualificados, ativos ou quando a função for ativada.
Vamos à dois exemplos sobre como funções de diferentes privilégios e níveis de acesso podem ser configuradas:
Exemplo 1: as funções Desenvolvedor de aplicações e Analista de insights do Azure AD poderiam ser configuradas para exigirem que o usuário que as tenha disponível utilize o Azure MFA para confirmar a aprovação de seu uso.
Exemplo 2: as funções de Administrador como a Administrador Global, Administrador de Autenticação e Administrador de Cobrança podem ser configuradas para que o usuário elegível para sua ativação, necessite da aprovação de um outro usuário (ou equipe) antes de iniciar seu uso.
Quando os times finalizarem as configurações das funções, será hora de atribuí-las aos usuários conforme necessário.
Ao criar uma atribuição, será selecionado um escopo de acesso da função (se for uma função do Azure AD o escopo pode ser o tenant ou algum outro recurso, caso seja uma função do Azure o escopo pode ser qualquer um dentro das estruturas) e um destino da atribuição, que podem ser usuários ou grupos.
O último passo é escolher se o usuário terá a função disponível para ativação, precisando passar pelo fluxo de ativação configurado na função, ou se ela estará ativa para ele, nesse caso não requerendo a ativação através do PIM. O administrador também pode configurar um tempo de duração da atribuição, que obrigatoriamente deverá estar dentro do tempo de duração que foi configurado para a função (duração qualificada).
Nos familiarizando com o portal do PIM
Dentro do Portal do Azure você pode acessar o portal do PIM, que concentra todas as capacidades do recurso.
Ao acessar o portal, você irá se deparar com a seguinte tela:
Ao lado esquerdo abaixo de “Tarefas” podemos identificar as capacidades do PIM que permitem que o usuário:
Ative suas funções disponíveis (Minhas Funções);
Consulte os status das suas aprovações (Minhas solicitações);
Aprove solicitações de outros usuários (Aprovar solicitações);
Performe revisões de acesso (Análise de acesso);
Logo abaixo na seção “Gerenciar”, os usuários com privilégios suficientes poderão alterar as configurações de permissionamento das funções do Azure, Azure AD e funções atreladas à grupos.
Em “O meu Histórico de Auditoria” é possível visualizar os logs que representam as operações realizadas pelo usuário no PIM. Algumas dessas informações são:
Atualização da configuração da função;
Atribuição de novas funções para usuários e grupos;
O PIM é um recurso poderosíssimo para proteger seu ambiente Azure.
Suas capacidades e funcionalidades permitem inserir uma camada mais rígida de segurança para usuários que desejam acessar recursos e ambientes críticos.
Nos próximos artigos vamos realizar a configuração de algumas roles para exigir o uso do Azure MFA em sua ativação e da aprovação de outros usuários para permitir o acesso.
Em breve falaremos também sobre a revisão de acesso, recurso utilizado para reforçar a aplicação do princípio do privilégio mínimo, garantindo que os usuários tenham somente o acesso necessário e nada além disso.
Espero que tenha gostado do conteúdo e te espero no próximo.
Até logo!