Gerenciamento de identidade privilegiada
Um assunto que vem sendo discutido cada vez mais no mundo da segurança da informação é o de gerenciamento de identidades privilegiadas. Tenho visto clientes que estão migrando para o ambiente de nuvem, em um cenário híbrido ou não, preocupados com a gestão de privilégios.
Esse é um tópico extremamente importante, ainda mais com essa expansão rápida da computação em nuvem. Algumas perguntas frequentes que eu costumo ouvir quando estou apoiando os clientes nessa jornada de nuvem:
- Quais as funções administrativas eu possuo na nuvem Microsoft?
- Consigo ter um acesso mais controlado/granular para as aplicações de nuvem?
- A Microsoft possui algum software de gestão de identidade privilegiada?
Para essas questões, gosto de começar abordando o básico, o que já temos até no mundo local (ou on-premises, caso prefiram). Um primeiro recurso já bem conhecido nas comunidades técnicas Microsoft é o RBAC (Role Based Access Control), ou o controle de acesso baseado em função.
Com ele, você tem uma lógica de administração das permissões dos usuários baseados na função dele na companhia. Por exemplo, você tem alguém que pode administrar alguma coisa em determinado escopo. Isso pode ser representado na imagem abaixo.
Referência: https://docs.microsoft.com/pt-br/exchange/understanding-role-based-access-control-exchange-2013-help
Falando em nuvem Microsoft, você tem vários serviços e várias dessas funções que podem te ajudar a segregar a administração do seu ambiente. No link abaixo há vários exemplos de permissões que você pode conceder para administradores.
Permissões no Centro de Conformidade e Segurança do Office 365
Ótimo! Mas agora vem a pergunta mais importante:
– Como eu posso gerenciar e auditar quem concede esse acesso e quais pessoas vão receber as permissões?
Outra questão importante, como eu posso revisar se essas permissões continuam se aplicando ao meu ambiente. Pense, por exemplo, em uma pessoa que mudou de função na empresa. Quantas vezes já não vi as permissões se acumularem com o tempo. Antes eu era um Administrador do Sharepoint, mudei para a área que administra o Exchange Online e as permissões foram levadas junto comigo.
Isso que eu ainda não entrei no mérito do risco dessa credencial, que vai de encontro com outro problema comum, que é a quantidade elevada (as vezes desnecessária) de administradores globais no Office 365 e a falta de MFA (multi-factor authentication) configurado. Isso será assunto para um próximo artigo.
Mas o mais interessante é que nós já temos a solução para esse problema! Um pequeno nome que faz uma grande função: PIM (Privileged Identity Management).
O que é o PIM?
- É um serviço que permite gerenciar, controlar e monitorar o acesso a importantes recursos em sua organização. Incluindo acesso a recursos do Azure AD e outros Microsoft Online Services, como o Office 365 e o Intune.
Porque o PIM é importante?
- Primeiro porque ele te ajuda a reduzir a quantidade de administradores globais no seu ambiente, fazendo com que administradores que hoje tem essa função permanente possam se tornar elegíveis quando necessário – Conceito de JIT (Just-In-Time access)
- Garante que o administrador terá somente o acesso necessário e não mais do que isso (Just Enough Access)
- Reduz o risco do tempo de uso e roubo de credenciais que têm acesso a informações seguras ou recursos (quando usando o PIM ele força o uso do MFA para administradores)
Com o que mais o PIM pode me ajudar?
Ajuda você a gerenciar quem, o que, quando, onde e por que para os recursos com os quais você se importa, como por exemplo:
- Fornecer acesso privilegiado just-in-time ao Azure AD e aos recursos do Azure
- Atribuir acesso com limite de tempo aos recursos usando as datas de início e término
- Exigir aprovação para ativar funções com privilégios
- Impor autenticação multifator para ativar qualquer função
- Usar justificativa para entender por que os usuários ativam
- Obter notificações quando as funções privilegiadas forem ativadas
- Realizar revisões de acesso para garantir que os usuários ainda precisem de funções
- Baixar o histórico de auditoria para auditoria interna ou externa
Abaixo, uma tela do acesso administrativo do PIM.
Quais os requisitos de licença para o uso do PIM?
Em termos de licenciamento você precisa ter uma das licenças abaixo:
- Azure AD Premium P2
- Enterprise Mobility + Security (EMS) E5
- Microsoft 365 M5
Quais usuários precisam ter essas licenças?
- Administradores com funções do Azure AD gerenciadas usando o PIM
- Administradores com funções de recurso do Azure gerenciadas usando o PIM
- Administradores atribuídos à função Administrador com Função com Privilégios
- Usuários atribuídos como elegíveis para funções do Azure AD gerenciado usando o PIM
- Usuários que podem aprovar/rejeitar solicitações no PIM
- Usuários atribuídos a uma função de recurso do Azure com atribuições Just-In-Time ou diretas (por tempo limitado)
- Usuários atribuídos a uma revisão de acesso
- Usuários que executam revisões de acesso
Em dois próximos artigos irei mostrar como implantar e começar a usar o PIM para garantir o gerenciamento de identidades com altos privilégios.
Para maiores informações, consulte:
O que é o Azure AD Privileged Identity Management?
https://docs.microsoft.com/pt-br/azure/active-directory/privileged-identity-management/pim-configure
Requisitos de licença para uso do PIM
Obrigado e até a próxima!