Proteção da infraestrutura

Concluído

Imagine que sua organização enfrentou recentemente uma interrupção significativa em um aplicativo Web voltado para o cliente. Um engenheiro recebeu acesso completo a um grupo de recursos que contém o aplicativo Web de produção. Esse engenheiro excluiu acidentalmente o grupo de recursos e todos os recursos filho, incluindo o banco de dados que hospeda os dados dinâmicos do cliente.

Felizmente, o código-fonte do aplicativo e os recursos estavam disponíveis no controle do código-fonte e backups regulares de banco de dados eram executados automaticamente de acordo com uma agenda. O serviço foi restabelecido com relativa facilidade. Aqui, vamos explorar como a organização poderia ter evitado essa interrupção usando as funcionalidades do Azure para proteger o acesso à infraestrutura.

Nível de importância da infraestrutura

A infraestrutura de nuvem está se tornando uma parte essencial de muitas empresas. É crítico garantir que as pessoas e os processos tenham apenas os direitos de que precisam para realizar seus respectivos trabalhos. A atribuição do acesso incorreto pode resultar na perda, no vazamento de dados ou na indisponibilidade dos serviços.

Os administradores do sistema podem ser responsáveis por um grande número de usuários, sistemas e conjuntos de permissões, portanto, conceder acesso corretamente pode se tornar incontrolável rapidamente e pode levar a uma abordagem generalizada. Essa abordagem pode reduzir a complexidade da administração, mas facilita muito a concessão inadvertida de mais acesso permissivo do que o necessário.

Controle de acesso baseado em função

O RBAC (controle de acesso baseado em função) oferece uma abordagem ligeiramente diferente. As funções são definidas como coleções de permissões de acesso. As entidades de segurança são mapeadas para funções diretamente ou por meio da associação a um grupo. A separação das entidades de segurança, das permissões de acesso e dos recursos fornece gerenciamento de acesso simplificado e um controle mais detalhado.

No Azure, os usuários, os grupos e as funções são todos armazenados no Azure AD (Azure Active Directory). A API do Azure Resource Manager usa o controle de acesso baseado em função para proteger todo o gerenciamento de acesso a recursos no Azure.

Ilustração que mostra a implementação do controle de acesso baseado em função.

Funções e grupos de gerenciamento

As funções são conjuntos de permissões, como somente leitura ou colaborador, que os usuários podem receber para acessar uma instância de serviço do Azure. As funções podem ser concedidas no nível da instância de serviço individual, mas também fluem por toda a hierarquia do Azure Resource Manager. As funções atribuídas em um escopo superior, como uma assinatura inteira, são herdadas por escopos filho, como instâncias de serviço.

Os grupos de gerenciamento são um nível hierárquico adicional recentemente introduzido no modelo RBAC. Os grupos de gerenciamento adicionam a capacidade de agrupar assinaturas e aplicar a política em um nível ainda superior.

A capacidade de fluxo de funções por uma hierarquia de assinaturas definida arbitrariamente também permite aos administradores conceder acesso temporário a um ambiente inteiro de usuários autenticados. Por exemplo, um auditor pode precisar ter acesso temporário somente leitura a todas as assinaturas.

Ilustração que mostra a representação hierárquica do acesso baseado em função em um grupo de gerenciamento.

Privileged Identity Management

Além de gerenciar o acesso aos recursos do Azure com o RBAC, uma abordagem abrangente para a proteção da infraestrutura deve considerar a inclusão da auditoria contínua de membros da função, conforme a organização muda e evolui. O Azure AD PIM (Privileged Identity Management) é uma oferta paga adicional que fornece supervisão de atribuições de função, autoatendimento, ativação de função JIT (Just-In-Time).

Captura de tela do painel do Privileged Identity Management.

Com o serviço Azure AD PIM, você pode gerenciar, controlar e monitorar o acesso aos recursos importantes da sua organização. Isso inclui o acesso a recursos no Azure AD, no Azure e em outros Microsoft Online Services, como o Microsoft 365 ou o Microsoft Intune. Esse controle não elimina a necessidade de os usuários realizarem operações privilegiadas no Azure AD, no Azure, no Microsoft 365 e em aplicativos SaaS (software como serviço).

As organizações podem fornecer aos usuários acesso privilegiado JIT aos recursos do Azure e ao Azure AD. É necessário supervisionar o que esses usuários fazem com seus privilégios de administrador. O PIM ajuda a reduzir o risco representado por direitos de acesso excessivos, desnecessários ou mal utilizados.

Veja alguns dos principais recursos do PIM:

  • Fornecer acesso privilegiado just-in-time ao Azure AD e a recursos do Azure
  • Atribuir acesso com limite de tempo aos recursos usando datas de início e término
  • Exigir aprovação para ativar funções com privilégios
  • Impor a autenticação multifator do Azure AD para ativar qualquer função
  • Usar uma justificativa para entender por que os usuários ativam
  • Obter notificações quando funções com privilégios são ativadas
  • Realizar revisões de acesso para garantir que os usuários ainda precisem das funções
  • Baixar uma histórico de auditoria para auditoria interna ou externa

Para usar o PIM, é necessário ter uma das licenças pagas ou de versão de avaliação a seguir:

  • Azure AD Premium P2
  • Enterprise Mobility + Security (EMS) E5

Fornecendo identidades aos serviços

Geralmente, é importante que os serviços tenham identidades. Muitas vezes e contrariando as melhores práticas, as informações de credenciais são inseridas em arquivos de configuração. Sem nenhuma segurança em torno desses arquivos de configuração, qualquer pessoa com acesso aos sistemas ou aos repositórios pode acessar essas credenciais e colocar em risco a exposição.

O Azure AD resolve esse problema por meio de dois métodos: entidades de serviço e identidades gerenciadas de serviços do Azure.

Entidades de serviço

Para entender as entidades de serviço, é útil compreender primeiro as palavras identidade e entidade de segurança, pois são usadas na área de gerenciamento de identidades.

Uma identidade é apenas algo que pode ser autenticado. Obviamente, isso inclui usuários com nomes de usuário e senhas. Mas também pode incluir aplicativos ou outros servidores, que podem ser autenticados com chaves secretas ou certificados. Como uma definição extra, uma conta são dados associados a uma identidade.

Uma entidade de segurança é uma identidade que atua com determinadas funções ou declarações. Considere o uso do sudo em um prompt do Bash ou no Windows por meio da opção Executar como administrador. Em ambos os casos, você ainda está conectado como a mesma identidade que antes, mas alterou sua função.

Portanto, uma entidade de serviço é literalmente nomeada. É uma identidade usada por um serviço ou um aplicativo. Como outras identidades, ela pode receber funções.

Por exemplo, sua organização pode atribuir os scripts de implantação dela para que sejam executados autenticados como uma entidade de serviço. Se essa é a única identidade com permissão para executar ações destrutivas, sua organização se esforçou para que a exclusão acidental de recursos não ocorra novamente.

Identidades gerenciadas dos recursos do Azure

A criação de entidades de serviço pode ser um processo entediante. Também há muitas questões que podem dificultar a manutenção das entidades de serviço. Identidades gerenciadas para recursos do Azure são muito mais fáceis e farão a maior parte do trabalho para você.

Uma identidade gerenciada pode ser criada instantaneamente para qualquer serviço do Azure que dê suporte a ela. (A lista aumenta constantemente.) Quando você cria uma identidade gerenciada para um serviço, você está criando uma conta no locatário do Azure AD. A infraestrutura do Azure cuidará da autenticação do serviço e do gerenciamento da conta automaticamente. Em seguida, você pode usar essa conta como qualquer outra conta do Active Directory, incluindo a permissão de que o serviço autenticado acesse outros recursos do Azure com segurança.

Verificar seu conhecimento

1.

Qual dos seguintes escopos não pode ser protegido com o controle de acesso baseado em função do Azure?

2.

Verdadeiro ou falso: uma identidade gerenciada para recursos do Azure pode ser atribuída a uma máquina virtual para conceder a ela direitos para iniciar e parar outras máquinas virtuais.