O que Identity Governance e Privileged Access Management tem a ver com DevOps e Automação de carga de trabalho?

Publicado

Por

Alfredo Santos

Iniciativas que envolvem orquestração de serviços, automação de releases, entrega contínua e automação de carga de trabalho normalmente são executadas sem um cuidado que pode dar abertura para incidentes de segurança e falhas operacionais internas.

Imagine que tudo que se automatiza depende de contas de serviço onde uma aplicação acessa outra (Sistema acessa banco de dados por exemplo) ou eram executadas por operadores que possuem contas privilegiadas para fazer um deploy de uma aplicação web.

Qual seria o risco de um operador ter o conhecimento de uma senha, por exemplo do root de um servidor, após a implantação de um projeto de DEVOPS?

Estas são as boas práticas que recomendo para vocês:

Com apoio de uma ferramenta de governança de identidades:

  1. Realize um inventário das contas privilegiadas;
  2. Realize uma limpeza prévia de contas órfãs, contas com muito privilégio, contas com acessos direto a recursos sem ser por meio de grupos/perfis;
  3. Realize uma recertificação dos acessos junto aos gestores dos ativos (Donos dos servidores, application servers, banco de dados);
  4. Defina dentro da TI se existem regras de segregação de função;
  5. Estabelecer uma governança contínua dos acessos.

Após isso, com o apoio de uma ferramenta de gestão de acessos privilegiados:

  1. Mapeamento das contas dentro do Cofre;
  2. Remoção do conhecimento da senha do operador, ficando a guarda da senha no cofre;
  3. Ativação da auditoria e gravação dos acessos;
  4. Definição das políticas de controle de comandos;
  5. Ajuste das contas de serviço dos aplicativos para que os mesmos resgatem do cofre.

Feito isso vamos a implantação dos projetos de DEVOPS e AUTOMAÇÃO:

  • Onde a tecnologia permitir, o ferramental de DEVOPS e AUTOMAÇÃO pode por meio de APIs resgatar a credencial para uso no ambiente da empresa;
  • Onde a tecnologia não permitir, uma pessoa com alçada para isso, utilizará a ferramenta de gestão de acessos privilegiados para obter e cadastrar a credencial manualmente (Neste ponto eventualmente com um Multi Fator de Autenticação apoiando a segurança);
  • Os acessos que não devem mais ocorrer fora da automação, devem ser removidos dos operadores.

Com isso seu projeto será mais efetivo e sua operação terá uma diminuição grande no risco de fraudes e falhas operacionais.

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/