Como o Microsoft Entra pode apoiar na governança de identidades

Publicado

Por

Alfredo Santos

O trabalho híbrido nos último tempos nos conectou de formas inimagináveis, hoje nos comunicamos e colaboramos em tempo real independente de onde estamos o que permitiu que muitos profissionais fossem contratados fora dos grandes centros e inclusive de outros países. A forma como trabalhamos se transformou, e por isso quem tem acesso ao que e quando também deve se transformar.

Tradicionalmente, IGA (Identity Governance and Administration) e IAM (Identity Access Management) eram iniciativas distintas e costumavam demandar projetos longos, caros e trabalhosos. Estes projetos eram tão complexos que algumas organizações ainda tinham que recorrer ao velho método manual para auditar estes acessos e os gaps de implementação eram as janelas de oportunidade para fraudes e ataques cibernéticos. 

A proliferação de identidades não-pessoais e a dificuldade em ter uma única visão das identidades em  plataforma multi nuvem, são outros pontos importantes para serem endereçados.

Para apoiar as organizações neste tema é que o Microosft Entra Azure AD tem seu módulo de governança de identidadades com o objetivo de permitir a implantação de soluções de governança de forma mais simples e rápida, permitindo o equilíbrio entre as necessidades de segurança da organização e a produtividade dos funcionários, além de facilitar e trazer visibilidade ao processo.

A governança, em qualquer tema, só será bem sucedida quando pessoas, processos e tecnologia estão alinhados. E agora destaco 3 boas práticas que foram usadas nas implementações de sucesso que acompanhamos:

  1. Definação de expectativas e de resutados esperados e conquista do apoio dos seus stakeholders
  2. Revisão dos usuários do ambiente atual
  3. Fazer com que a governança faça parte integrante do Gerenciamento de Identidade e Acesso do usuário

Para a realização do item 1, é importante mapear as partes interessadas do negócio que estão melhor posicionadas para informar qual acesso é necessário, os quais podem ser os gerentes de equipe, patrocinadores de convidados, gerente dos aplicativos, gerentes de segurança , gerente de privacidade ou até os próprios usuários ou convidados. Neste momento também é importante identificar claramente quais os recursos (sites, aplicativos, grupos do Sharepoint, etc) precisam ser acessados e qual a criticidade/sensibilidade dos dados contidos nestes recursos. A identificação da criticidade/sensibilidade ajuda a determinar os pontos de verificação de governança, os aprovadores e demais partes interessadas. 

Passando para o item 2, é importante iniciar com o entendimento atual dos seus usuários em seu ambiente. A facilidade de colaboração de usuários de dentro da organização e com usuários externos e a conveniência de usar o autoatendimento aumentaram a necessidade de melhores recursos de gerenciamento de acesso.

É comum encontrar um volume grande de contas que não estão sendo utilizadas principlamente quando falamos em usuários convidados ou identidades não humanas, assim é importante cumprir uma primeira etapa de liberar o ambiente destas contas e/ou acessos de usuários obsoletos. 

Uma das maneiras mais fáceis para apoio nesta identificação, é através da definição de uma política de revisão de acesso.

Através das Access Reviews os próprios usuários ou tomador de decisão atestam as suas avaliações sobre a necessidade de acesso contínuo de cada usuário. 

Após esta identificação, os usuários podem ser divididos em 3 grupos:

  • Usuários ativos e com o correto nível de acesso
  • Usuários ativos com privilégios excessivos
  • Usuários inativos

Partindo para o 3º ponto, é hora de implementar o plano de governança de identidades. Os usuários devem ser acompanhados ao longo de todo seu ciclo de vida: criação, alterações de cargo ou área até sua exclusão e para que este fluxo ocorrade forma eficiente é importante contar com a automatização dos fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.

O gerenciamento desse acesso é desafiador, pois os requisitos mudam constantemente: novos aplicativos são adicionados, usuários precisam de direitos de acesso adicionais, etc. Esses problemas são ainda maiores quando pensamos em  usuários externos, que são de organizações da cadeia de fornecedores ou de outros parceiros empresariais, os quais tem mais dificuldade em identificar o que precisam para realizar o trabalho.

Uma ferramenta que pode apoiar no gerenciamento destes direitos é o Access Packet do Azure AD. Um Access Packet é um pacote de todos os recursos (grupos, aplicativos e sites) de que um usuário precisa de acesso para trabalhar. O administrador ou seu delegado do Access Packet  define quais os recursos e as funções que os usuários precisam para esses recursos.

Os Access Packet possuem políticas, as quais definem as regras para atribuição ao pacote de acesso. As políticas devem ser usadas para garantir que apenas os usuários apropriados possam ter acesso, e este deve ser limitado por tempo (o acesso expirará se não for renovado).

A medida que surgem novas necessidades, sejam por novas responsabilidades ou novo cargo, os usuários devem solicitar a atribuição a um novo Access Packet, o qual passará pelo processo de aprovação pelos gestores do Access Packet.

Um ponto fundamental também a ser tratado sobre a perspectiva da governança são os acessos privilegiados, principalmente considerando o estrago potencial que o uso indevido associado a esses direitos de administrador pode causar a uma organização.  É neste momento que entra o PIM (Azure AD Privileged Identity Management) que fornece controles adicionais adaptados para proteger direitos de acesso administrativo de recursos. O acesso Just-In-Time, as funcionalidades de alerta de mudança de função oferecidos pelo Azure AD PIM, a autenticação multifator e o Acesso Condicional fornecem um conjunto abrangente de controles de governança para proteger recursos e dados da organização. 

E para finalizar, não podemos esquecer que as organizações estão cada vez mais adotando a estratégia de várias nuvens e com isto é importante destacar a importância da visibilidade do gerenciamento de permissões de acesso atribuídas astodas as suas identidades. Para este apoio, existem as soluções de CIEM (gerenciamento de direitos da infraestrutura de nuvem) que detectam, redimensionam e monitoram continuamente as permissõe não usadas e excessivas. A Microsoft lançou o Entra Permissions management para suprir este ponto. 

O desafio de possuir uma boa governança de identidades ainda é grande visto a mudança da forma de trabalho dos últimos anos, porém é importante que haja um plano de jornada, porque, em se tratando de acesso e autorização a falta de controle pode sair muito cara para a organização.

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/

IAM Identity & Access Management

Aviso Legal: As informações apresentadas nos eventos e lives são apenas para fins educacionais. Não incentivamos nem apoiamos o uso destas técnicas para qualquer atividade ilegal. O objetivo é promover a conscientização e a melhoria das práticas de segurança cibernética. O uso inadequado das informações apresentadas é estritamente proibido e pode resultar em consequências legais.

IAM Tech Day

IAM TECH DAY

Início

Eventos

Artigos

Contato

COMUNIDADE

Canal YouTube

Newsletter

Comunidade LinkedIn

Twitter

OUTROS

Patrocine

Política de privacidade

Termos de uso

Call For Papers

© Copyright IAM Tech Day • Todos os direitos reservados • Design by