ARTIGO TÉCNICO Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna WWW.CENTRIFY.COM Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna Conteúdo Introdução4 Tendências5 Violações de dados 5 Big Data 6 A empresa moderna híbrida 7 Práticas recomendadas 7 Consolidação de identidade 7 Gerenciamento privilegiado de sessão (PSM) 9 Gerenciamento de privilégios do superusuário (SUPM) 10 Gerenciamento de senha de conta compartilhada (SAPM) 12 Integração de soluções 14 Conclusão15 As informações contidas neste documento, inclusive URL e outras referências de Website da Internet, estão sujeitas a alterações sem aviso prévio. Salvo se houver um observação em contrário, todas as empresas, organizações, produtos, nomes de domínios, endereços de e-mail, locais e eventos usados como exemplo e descritos aqui são fictícios, não se pretendendo, nem devendo ser inferida, nenhuma associação com nenhuma empresa, organização, produto, nome de domínio, endereço de e-mail, logotipo, pessoa, local ou evento. A conformidade com todas as leis de direitos autorais aplicáveis é responsabilidade do usuário. Sem limitação dos direitos de autoria, nenhuma parte deste documento deve ser reproduzida, armazenada ou introduzida em um sistema de recuperação, ou transmitida de qualquer forma ou por quaisquer meios (eletrônicos, mecânicos, fotocópia, gravação, ou outro), ou para qualquer objetivo, sem a permissão expressa por escrito da Centrify Corporation. A Centrify deve ter patentes, pedidos de patentes, marcas registradas, direitos autorais, ou outros direitos de propriedade intelectual que abrangem o tema deste documento. Exceto conforme expressamente previsto em qualquer contrato de licença por escrito da Centrify, a entrega deste documento não lhe proporcionará qualquer licença de uso de tais patentes, marcas registradas, direitos autorais e outras propriedades intelectuais. ©2015 Centrify Corporation. Todos os direitos reservados. Centrify, DirectControl e DirectAudit são marcas registradas e Centrify Suite, DirectAuthorize, DirectSecure, DirectManage e Privilege Service são marcas da Centrify Corporation nos Estados Unidos e/ou em outros países. Microsoft, Active Directory, Windows, Windows NT e Windows Server são marcas registradas ou direitos registrados da Microsoft Corporation nos Estados Unidos e/ou outros países. Os nomes das empresas e produtos reais mencionados neste documento podem ser marcas registradas dos seus respectivos proprietários. 2 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM ARTIGO TÉCNICO Resumo As violações de dados continuam sendo a principal preocupação das organizações de grande e pequeno porte. Duas dinâmicas importantes estão tornando esse desafio muito mais difícil — a nuvem e a sofisticação crescente dos invasores. Neste documento, exploramos a empresa moderna — uma organização híbrida com disseminação de infraestrutura em centros de dados no local, bem como hospedada na nuvem e uma onde as funções de TI são divididas entre administradores internos e de terceiros. Nós analisamos estas e as tendências relacionadas que impactam a segurança de nossos dados e, especificamente, as práticas recomendadas sobre como gerenciar e controlar o acesso privilegiado dos usuários para reduzir esses riscos. 3 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna Introdução “Estamos incrivelmente agradecidos por ter uma solução PIM que proporciona aos Departamentos de TI, de Risco e de Conformidade a proteção e auditoria contra violação de dados que eles necessitam, bem como a facilidade de uso que nossos usuários finais e administradores esperam, tudo enquanto dão suporte a nossa meta corporativa de crescimento progressivos nos negócios na nuvem” Este é o tipo de declaração “Posso finalmente dormir tranquilamente à noite” que todos os gerentes de TI, de Risco ou de Conformidade Nível C sonham em ter. No entanto, a triste realidade é que a geração atual de soluções de Gerenciamento de identidades privilegiadas (PIM) ainda são incrivelmente míopes para a evolução dos negócios e, principalmente, de TI. Eles continuam abordando a segurança de TI como órbita exclusiva do centro de dados tradicional; uma coleção de servidores que armazenam muitas informações para a organização e dispositivos de rede que mantêm a infraestrutura disponível, tudo gerenciado no local pela equipe interna de TI. Quando eles precisam de uma solução para implantações em nuvem e casos de uso híbridos, o método comum é adaptar a tecnologia mais antiga no local, simplesmente colocando o mesmo código em um aparelho virtual e hospedando-o em um IaaS em nuvem. Eles continuam usando projetos da geração anterior de TI, ignorando efetivamente os milhares de cargas de trabalho que migram para a nuvem em uma taxa crescente e um novo conjunto de dinâmicas comerciais e operacionais que entram em ação como resultado. Na economia atual, é impossível tentar encontrar uma organização de TI que NÃO tenha presença na nuvem, NÃO tenham dados confidenciais que residam nela e que NÃO tenham contas privilegiadas compartilhadas entre administradores. É um exercício de futilidade. A empresa moderna é uma empresa híbrida, o que significa que ela precisa de soluções modernas para protegê-la da crescente sofisticação de criminosos cibernéticos que sabem como explorá-la. A nuvem chegou para ficar — o júri não está mais fora. Uma nova abordagem para o PIM é necessária, uma abordagem alinhada com a empresa moderna. Assim como a nuvem foi saudada por sua elasticidade — sua capacidade de se adaptar às novas necessidades dos negócios — o PIM deve se adaptar da mesma forma aos desafios da hibridização da infraestrutura de TI, às equipes administrativas que incluem usuários internos e terceirizados por terceiros e às exigências de acesso local e remoto em recursos hospedados em nuvem e no local. Este documento descreve as práticas recomendadas de PIM que levam em consideração esta nova dinâmica para a empresa moderna. 4 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM ARTIGO TÉCNICO Tendências As macrotendências realmente não mudaram nos últimos anos, mas foram aceleradas. Nuvem (*aaS), Móvel, Big Data, BYOD — estão todos crescendo em adoção e investimento. Até mesmo o novato relativo — Big Data — está, de acordo com o grupo de analistas Gartner, acima do Pico proverbial das expectativas exageradas. O negócio digital é um imperativo essencial. Ele continua impulsionando mudanças enormes e fundamentais em tecnologia, comportamento de compra e entrega/consumo de serviços comerciais. Os provedores de serviços de aplicativo, infraestrutura e suporte, bem como de serviços do processo de negócios, estão reinventando para satisfazer essas necessidades e assegurar o próprio crescimento sustentável e rentável. A partir da perspectiva de segurança em geral e, especificamente, do Gerenciamento de identidades privilegiadas, as violações de dados ainda são as principais preocupações. Elas continuam sendo tendências ascendentes e as principais manchetes e são o principal responsável na insônia de nível C. A seguir estão algumas das maiores tendências que impactam os negócios de nossos clientes e porque elas são importantes de uma perspectiva de PIM. Violações de dados O PIM é imensamente mais importante neste novo mundo híbrido de recursos distribuídos e administração. Historicamente, não foram muitas empresas que analisaram o PIM como um problema que “deve ser solucionado”. O pensamento era, “desde que eu tenha um cofre para minhas senhas raiz e de administrador, bem como minhas senhas para contas de serviço, sou bom”. Porém, remova o Band-Aid™ e você encontrará problemas fundamentais de segurança, conforme é evidenciado pelos ataques de violação que tiram vantagem e descobrem contas privilegiadas que eles podem explorar, que exigem uma solução moderna e holística, em vez de uma abordagem única para todos os casos. O crime cibernético agora é uma atividade criminosa profissional e altamente organizada; em alguns casos, até mesmo patrocinado pelo governo. O Governo dos EUA reconheceu a importância, categorizando o espaço cibernético como o 5º domínio de batalha, depois dos tradicionais terra, mar, ar e espaço. Figura 1: Gasto de TI de Gartner — a Terceirização de TI está aumentando e a proteção e a auditoria de seu acesso a nossas contas mais privilegiadas são a principal prioridade Tabela 1. Gasto de TI por segmento, mundial, 2012-2018 (milhões de dólares americanos) CARD (%) 2013-2018 Terceirização de TI 5 10,633 12,094 13,838 15,914 18,275 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS 20,985 24,119 14,8 WWW.CENTRIFY.COM Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna Até certo grau, as organizações híbridas modernas estão caindo acidentalmente nas mãos dos criminosos cibernéticos. Com a disseminação da infraestrutura no local e em nuvem e com a terceirização da administração e das operações, eles estão se expondo a uma enorme superfície de ataque e impulsionando o risco. A Verizon, em seu Relatório anual sobre Investigações de violação de dados, nos alerta de um impacto ainda maior nos negócios proveniente de violações de dados que envolvem contratados externos do que aqueles que envolvem funcionários internos. As identidades privilegiadas são claramente o alvo principal dos criminosos cibernéticos profissionais. Quando você compromete contas raízes ou de administrador em um servidor principal, você tem as chaves para o reino. Você consegue explorar tudo com facilidade nesse servidor e pode usá-lo como uma base para conduzir uma campanha mais extensiva para a pirataria de entidades privilegiadas em toda a rede. Big Data As organizações estão movimentando agressivamente seus experimentos de laboratório do Big Data na produção. O que isso significa para os riscos relacionados à identidade na organização? O tipo de escala de cálculo necessária para a implantação do Big Data em uma empresa ser algo além do esperado. Um grupo simples de laboratório com 4 ou 5 nós pode se transformar facilmente em dezenas de grupos com centenas ou, até mesmo, milhares de nós necessários para a produção completa. Com base em uma perspectiva de segurança, as distribuições de Hadoop da MapR, Cloudera, HortonWorks, entre outras, assumem como padrão nenhuma segurança para identidade e autenticação. A ativação do modo seguro para Hadoop significa que é necessário configurar uma infraestrutura de Kerberos para autenticar os vários usuários/contas de serviços e negócios no sistema. Isso não se trata de um empreendimento pequeno, e é por este motivo que a maioria das organizações opta por adiar isso até depois que o laboratório tenha comprovado o conceito. Obviamente, isso resulta em um trabalho urgente para ser implementado para se obter uma rápida expansão da produção, com a possível consequência de um novo risco significativo de segurança para os negócios. O tempo e o esforço necessário para possibilitar o Hadoop seguro é significativo. Considerando a complexidade de configurar uma realm Kerberos, o Centro de distribuição principal (KDC, Key Distribution Center), o repositório de identidades, gerenciar arquivos keytab, etc., a produção não é o momento de fazer descobertas. Além da complexidade, os ambientes Hadoop apresentam, por natureza, um modelo de confiança e segurança que é sutilmente diferente das infraestruturas de servidor mais tradicionais. Os trabalhos analíticos são disseminados em vários nós para execução. Outros nós são responsáveis pelo mapeamento e redução de funções, orquestração e controle. Todos eles se comunicam e devem executar seus deveres combinados em nome do usuário que envia o trabalho. Considerando o potencial para informações confidenciais, é imperativo que os controles de acesso adequados baseados em função estejam em vigor para administração, acesso do analista e auditoria. Em qualquer implantação do Big Data, você tem alguns desafios importantes de segurança, risco e conformidade para superar, principalmente em relação à identidade. Inclua na nuvem tudo isso que está fora de seu centro de dados no local, fora do alcance de, até mesmo, suas soluções tradicionais de PIM e IAM, e os riscos se tornam realmente muito sérios. 6 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM ARTIGO TÉCNICO A empresa moderna híbrida “Os usuários não estão mais exclusivamente dentro do firewall, nem são sua infraestrutura”. As organizações estão migrando os aplicativos existentes, eliminado-os do hardware antiquado e de baixo desempenho no local e colocando-os em equipamentos modernos no Amazon, CenturyLink/Savvis, Azure e outros provedores de IaaS. A migração de aplicativos não se trata apenas de empilhar o software de um servidor para outro. Há muitas considerações, incluindo segurança e acesso privilegiado. Os problemas parecem semelhantes àqueles no local, exceto que você geralmente não pode usar a tecnologia PIM local na nuvem. Você precisa de uma solução de PIM que também seja híbrida, uma solução projetada para proteger implantações híbridas de TI. Os administradores de TI privilegiados precisam de acesso à interface de usuário administrador do serviço de nuvem (por exemplo, o AWS Console) para acessar e gerenciar suas infraestruturas e servidores. No entanto, isso não é apenas sobre administradores. Os servidores estão lá para dar suporte a aplicativos — como acessamos com segurança os aplicativos? Você desejará o login baseado em SAML de seu IDP corporativo? Você desejará usar grupos do Active Directory para controlar a função e os direitos que o administrador obtém depois de fazer login no AWS? Também há uma linha entre a segurança do S.O. e a segurança de aplicativos que as organizações precisam levar em consideração. Com cada vez mais dados confidenciais sendo armazenados em aplicativos e organizações SaaS que criam contas de login compartilhadas na empresa para aplicativos, como o Facebook e o Twitter, todos os usuários devem ser considerados um usuário privilegiado — é apenas uma questão de nível. A TI precisa assegurar que os usuários regulares e privilegiados podem obter acesso a suas infraestruturas, servidores e aplicativos e que ambos têm acesso seguro de qualquer local e de qualquer dispositivo. Práticas recomendadas Para se concentrar na muitas partes móveis de uma abrangente implementação de PIM, é útil dividi-la em subconjuntos funcionais. Neste documento, nossa divisão é: • Consolidação de identidade — gerenciar identidades, funções, privilégios em recursos heterogêneos • Gerenciamento de sessões privilegiadas — o serviço que gerencia a sessão privilegiada e o gravador de vídeo mantendo a atenção sobre ele • Gerenciamento de privilégios do superusuário — as ferramentas de elevação de privilégios que possibilitam tarefas administrativas granulares para usuários autorizados • Gerenciamento de senha de conta compartilhada — para cenários “break glass” herdados e de emergência em que você não pode elevar o privilégio e precisa permitir o login direto como (por exemplo) raiz • Acesso remoto seguro sem VPN — acesso remoto baseado em nuvem a recursos de IaaS no local e em nuvem sem uma VPN Consolidação de identidade “Obter usuários para fazer login como eles mesmos” 7 Os usuários estão no centro de ambos: dos desafios e da solução; mais especificamente, o gerenciamento de identidades do usuário e suas funções e titulações associadas. O objetivo aqui é direto — unificar a identidade em todas as plataformas de negócios (Windows, UNIX, Linux e Mac), reduzindo silos e a complexidade geral. ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna Este aspecto do PIM geralmente é negligenciado. Como um dos recursos inaugurais no macrocosmo do PIM, agora ele é considerado “fundamental” para qualquer solução viável de PIM. Ele não é ignorado per-se; apenas não é aproveitado para maximizar o valor dos negócios e, geralmente, não é dada a atenção que ele merece. Por definição, o Active Directory Bridging permite que uma solução de PIM funcione como um ponto de um ambiente não pertencente ao Windows para o Active Directory. Por quê? Para aproveitar os muitos benefícios que o Active Directory oferece com relação ao gerenciamento de identidades, a autenticação baseada em Kerberos e o gerenciamento de privilégios baseados em funções reais que expandem todas as suas plataformas. Em um nível básico, isso significa consolidar suas identidades em UNIX, Linux, Mac e Windows no Active Directory, evitando assim o enorme esforço administrativo, bem como os riscos de segurança de gerenciar silos de identidade (por exemplo, /etc/passwd) em cada endpoint. Ainda mais importante é fazer com que os usuários façam login como eles mesmos (isto é, seus IDs do Active Directory), em vez de fazer login com uma conta compartilhada, garantindo assim melhor responsabilidade de todos os seus sistemas de auditoria e log de aplicativos e de sistema operacional. Escolher o Active Directory como seu repositório central faz sentido para a maioria das empresas que já têm grandes investimentos de capital e humanos na tecnologia. Ele evita o apoio de um silo paralelo de identidades (por exemplo, o Oracle OID) com os desafios inerentes em sincronizá-las e sincronizar suas senhas com o novo silo, instalando agentes em controladores de domínio, mudando esquemas e, geralmente, mudando o comportamento do usuário forçando-os a redefinir senhas em uma nova ferramenta, em vez de na sua tela de login do laptop. Prática recomendada: Consolide as identidades de UNIX, Linux e Mac em um único ID exclusivo no Active Directory para identidade centralizada, função e gerenciamento de privilégio, bem como autenticação baseada em Kerberos. As violações de dados são sobre como comprometer contas privilegiadas existentes e usá-las para saltar de servidor para servidor na rede procurando dados para rentabilizar. Portanto, antes dessa consolidação e na preparação para gerenciamento de privilégio de Superusuário baseado em host (consulte abaixo), é uma boa prática inicial recomendada restringir o mínimo possível de contas privilegiadas, simplificando a administração e limitando a superfície de ataque. Prática recomendada: Exclua ou desative quantas contas privilegiadas forem possíveis para reduzir a superfície de ataque. Os benefícios do Active Directory não devem parar por aí. Procure soluções que possam ativar o gerenciamento centralizado de computadores, bem como de usuários. Ao estender o modelo Política de Grupo do Active Directory, você pode aproveitar ainda mais seu investimento no Active Directory e nos conjuntos de habilidades de administração do Active Directory, aplicando a política de grupo ao UNIX, Linux e Macs. Os exemplos dessas políticas incluem regras de firewall baseadas em host (iptables), políticas de acesso à rede (openSSH) ou gerenciamento de certificado de computador (autoemissão e renovação automática) para serem usadas pelos aplicativos em execução nele. Prática recomendada: Além de gerenciar identidades no Active Directory, procure uma solução que seja compatível com máquinas e que possa estender a política de grupo a servidores que não têm Windows. 8 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM ARTIGO TÉCNICO Porém, há mais ainda! Comprimir ainda mais a estrutura de gerenciamento de objetos do Active Directory pode proporcionar a você a capacidade de unir com mais eficácia máquinas, usuários e funções, permitindo a delegação, a separação de deveres e o suporte temporário para vários perfis UNIX de usuários no caminho para um único perfil racionalizado pela prática recomendada. Essa capacidade de “zoneamento” hierárquico pode melhorar muito a produtividade e a conformidade (por exemplo, limitando o acesso administrativo a uma coleção de máquinas “PCI”). Uma solução ideal de Consolidação de identidade permitirá tudo isso sem ser invasivo no Active Directory, isto é, nenhuma alteração no esquema e nenhuma dependência de software em controladores de domínio. Prática recomendada: Procure avanços que estendem o modelo do Active Directory para apresentar mais eficiências e segurança, como zonas hierárquicas e que não exigem alterações no esquema do Active Directory nem agentes nos controladores de domínio. Para terminar. Ao explorar a Consolidação de identidades, veja se a solução do fornecedor pode dar suporte ao login do aplicativo, bem como ao login do usuário em plataformas que não pertencem ao Windows. Por exemplo, se seu desenvolvedor UNIX estiver criando um aplicativo, uma abordagem comum poderá ser criar a lógica de autenticação e autorização de usuário diretamente no código e manter as informações de identidade em um silo separado (como o Oracle OID). Em seguida, há o problema de alteração de senha e sincronização entre as duas; colocar um agente em cada Controlador de domínio para sincronizar uma redefinição de senha a partir da estação de trabalho do usuário. Em vez disso, use o que já está no local como um repositório autoritativo. Una o servidor ao Active Directory e o código poderá solicitar que o sistema operacional autentique o usuário e evite toda essa sobrecarga. É possível estender esse modelo para os aplicativos UNIX, Linux, Mac por meio de PAM, LDAP, GSSAPI ou SAML. Prática recomendada: Forneça aos desenvolvedores de aplicativos um meio centralizado (Active Directory) de externalizar a autenticação do usuário, a autorização e a lógica de gerenciamento de identidade. Gerenciamento privilegiado de sessão (PSM) “Confie, mas verifique” A gravação da sessão é um elemento crítico de qualquer implantação do PIM. Considerando o poder das contas privilegiadas e a sensibilidade dos sistemas, aplicativos e dados, eles podem acessar o que é muito importante para Audi torar e monitorar suas atividades. A gravação da sessão envolve a gravação real da sessão, bem como a reprodução para investigações de conformidade e violação de dados. Assim como qualquer conjunto de controles de segurança em um ambiente complexo, há sempre a questão do que deve ser implantado primeiro. Naturalmente, suas circunstâncias individuais variarão, mas observe que o PSM foi implantado primeiro por algumas organizações como inteligência inicial em seu plano de projetos do PIM. Em comparação com outros recursos do PIM, pode ser relativamente simples implantar e rápido valorizar. Portanto, enquanto (por exemplo) sua implementação principal de gerenciamento do privilégio de Superusuário está em ação e você está limpando e consolidando suas identidades de usuário, a colocação da gravação da sessão em seus servidores privilegiados podem lhe proporcionar a visibilidade imediata do que seus usuários privilegiados estão fazendo em seu ambiente aceitarão rapidamente suas atividades de auditoria e conformidade. Prática recomendada: O PSM implantado primeiro pode fornecer perspectivas valiosas. Considere os possíveis benefícios a sua organização de implantar primeiro o PSM para um ganho rápido. 9 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna As opções de fornecedores geralmente são incluídas em dois campos: gravação de sessão centralizada em um gateway ou proxy, e gravação de sessão em cada máquina host. A prática recomendada descreve a última como a opção mais segura e eficaz. Como uma analogia, se você colocar uma câmera de segurança somente em sua porta dianteira e eu quebrar por meio de uma janela lateral, terei acesso a sua casa sem que você saiba. Para equipe remota ou terceirizada, a porta frontal é a única maneira de eles entrarem (legitimamente). Porém, os invasores maliciosos sempre encontrarão maneiras de ignorar um monitor central. Portanto, a prática recomendada é uma câmera de vídeo com vários recursos sensíveis. Além disso, embora os dois métodos capturem informações da sessão, informações mais abrangentes e detalhadas podem ser capturadas no host versus um gateway (especificamente quando combinadas com uma abordagem de privilégio mínimo para gerenciamento de privilégio de Superusuário que vincula atividades a um usuário real, em vez de um ID de usuário compartilhado/anônimo). No host, você consegue capturar fielmente os comandos e as ações executadas para um nível mais detalhado. Isso permite uma transcrição muito precisa da sessão que produz metadados precisos que permitem procurar gravações e indicar atividades rapidamente. Em um gateway, você não tem tal acesso, o que significa que geralmente não pode obter os mesmos metadados completos que um agente de auditoria baseado em host. Você pode capturar o fluxo de dados visuais para uma sessão de gerenciamento no servidor ou no gateway. A resolução de gravação do vídeo pode e deve ser comparável para ambos; eles estão usando a mesma tecnologia para captura de vídeo. Algumas soluções “retratam” dados em resoluções relativamente baixas, dificultando a atividade da sessão de auditoria ou, no pior caso, perdendo informações importantes da tela. As melhores soluções capturam vídeo para todas as alterações em pixels, capturando com eficácia as diferenças em estruturas de forma mais precisa do que as soluções de “captura de tela”. Prática recomendada: Use uma solução PSM com base na “alteração de pixels” para cobertura máxima, resiliência máxima e pormenores mais detalhados. O PSR baseado em host, quando apropriado, pode lhe dar mais informações, melhor pesquisa e indexação e uma trilha de auditoria de atividade mais completa. “Atribua direitos onde você pode; compartilhe contas onde você deve” Gerenciamento de privilégios do superusuário (SUPM) O SUPM refere-se à prática de restringir o valor do privilégio para uma determinada conta ao menor valor possível, geralmente em sistemas Unix, Linux e Windows. Conforme mencionado, os invasores têm foco de laser no ataque de contas com privilégios muito altos, portanto, eles podem possuir a máquina e, a partir daí, se disseminar para localizar contas com privilégios ainda mais altos na rede. Se as contas tiverem pouco privilégio por padrão, os criminosos podem usá-las para atacar sua infraestrutura. As abordagens do fornecedor de segurança tendem a cair em dois campos principais. Um campo se defende mantendo as contas privilegiadas no lugar e, simplesmente, controla o acesso a suas senhas. Isso é pouco para reduzir a superfície de ataque. Implementado em um gateway ou proxy central, ele pode conectar um usuário a um servidor, mas não pode controlar ações privilegiadas individuais nesse servidor. Depois que você fizer login, estará com todos os privilégios do usuário (por exemplo) raiz. Dessa forma, todas as suas atividades nesse servidor são registradas anonimamente — como raiz. Mesmo com shells privilegiados ou listagens brancas, ele protege o servidor se foi acessado por meio do proxy. Provavelmente, o maior desafio com esta abordagem é quando os administradores encontram uma maneira de ignorar o proxy e vão direto ao servidor, perdendo qualquer proteção que a solução ofereça de outra forma. O outro campo se defende por uma abordagem de “privilégio mínimo” no nível do host sempre que possível, e uma abordagem de gerenciamento de senha no gateway em que uma abordagem de privilégio mínimo não pode funcionar (geralmente, por motivos técnicos). 10 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM ARTIGO TÉCNICO Ele defende que não deve ser usado login direto em contas com privilégios altos removendoos ou desativando-os — reduzindo assim a superfície de ameaça). Você faz login como você mesmo com um valor baixo de privilégio. Quando precisa executar uma tarefa privilegiada (como parar um daemon de servidor da Web), você solicita explicitamente um privilégio adicional. Se concedida (por função), essa tarefa funcionará como raiz, mas os trilhos de auditoria serão vinculados ao ID de usuário real para responsabilidade total. Ainda melhor, a conta não poderá ser pirateada por malware e utilizada para “aterrar e expandir” na rede. Isso é consistente com a orientação regulatória, como PCI e NIST SP 800-53, que recomendam acesso mínimo ao conjunto de servidores com base na necessidade de saber e o privilégio mínimo para controlar o que você pode fazer quando está na máquina. Qualquer abordagem para gerenciamento de senhas, login de usuário e gravação de sessão centralmente em um gateway é potencialmente vulnerável ao desvio da “porta dianteira” que discutimos na Gravação da sessão, acima. As soluções baseadas em host não são prejudicadas a partir deste possível ponto de violação. Prática recomendada: Minimize o número de contas compartilhadas. Reduza/desative o número de contas privilegiadas. Use o SUPM baseado em host para login de privilégio mínimo com ID exclusivo e elevação explícita de privilégio sempre que possível, e use o SAPM para contas onde você não pode usar o SUPM. Quase como um corolário para isso é que implementando o SUPM real, você pode eliminar o conhecimento ou o uso de senhas de contas privilegiadas, concedendo amplos direitos de iniciar e reduzir gradualmente esses direitos com o passar do tempo, conforme você aprende os direitos necessários para uma função de trabalho específica. Prática recomendada: Aproveite o SUPM para ajustar seu modelo de titulações. Prática recomendada: Vincular isso à Consolidação de identidade no Active Directory proporcionará mais economias, permitindo que você gerencie centralmente as funções e titulações desses usuários e efetue alterações globais de forma rápida e consistente em Windows, Linux e UNIX. Qualquer que seja sua abordagem, quando os usuários precisam acessar a contas privilegiadas e sistemas críticos, procuram uma solução que oferece suporte à garantia da identidade contextual. Isso envolve a Autenticação multifator (MFA) e o contexto de usuário para avaliar o risco e fornecer garantia de identidade mais forte. Por exemplo, um celular pode relatar a localização do GPS, além de gerar uma senha única para melhor garantia. Observe que isso também pode ser um contador altamente eficaz para “transmitir os ataques confusos” que são usados para comprometer servidores sem precisar usar força bruta para tentar adivinhar as senhas. Prática recomendada: Procure soluções que oferecem suporte à autenticação de etapa acima usando um segundo fator ao autenticar usuários privilegiados. Para maior garantia de identidade, procure uma solução que considere o contexto também. Tudo o que foi mencionado acima é muito relevante para os recursos dentro de seu firewall. Porém, como sabemos, a empresa híbrida moderna tem servidores na parte externa. Um método é apoiar um domínio do Active Directory em seu ambiente de nuvem e unir seus servidores que não têm Windows para isso por sua solução SUPM. Em seguida, você pode gerenciar todos os usuários híbridos do mesmo repositório de identidade autoritativo. Os fornecedores líderes do IaaS, como Amazon Web Services e Microsoft, documentaram a orientação sobre como implantar o Active Directory nesse local e confiar no Active Directory interno. 11 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna De maneira semelhante, você pode implantar uma nuvem virtual privada em um provedor de serviços gerenciado (MSP), ou com um IaaS que hospeda fornecedor, como o Azure ou o AWS. Conectado ao centro de dados com uma VPN de alta velocidade dedicada, uma nuvem privada funciona como uma extensão de seu centro de dados existente e aproveita seu Active Directory existente, tornando-o um excelente local para implantar uma solução baseada no SUPM nos servidores. Prática recomendada: Use uma solução SUPM/Consolidação de identidade na nuvem para unir servidores que não têm Windows a um Domínio local do Active Directory e gerenciar identidade. Use o SUPM em servidores dentro de uma nuvem privada virtual conectada ao seu Active Directory no local. Gerenciamento de senha de conta compartilhada (SAPM) Com base em uma perspectiva de segurança, ativar e facilitar contas compartilhadas privilegiadas é a maneira mais fácil de introduzir risco — o que é exatamente o oposto do que desejamos. Em seguida, de maneira ideal, eliminamos todas essas contas e lançamos uma chave importante no processo para os invasores. No entanto, há situações em que você precisa fazer login com tais contas. Nesse caso, como profissionais de segurança e risco, devemos estar limitando essas situações ao mínimo absoluto possível. Portanto, quais são estas situações? São ocasiões em que você não pode excluir ou desativar uma conta privilegiada, como administradores locais, raiz, administrador, contas administrativas de aplicativo herdado ou contas de dispositivo da rede. Há também a clássica situação “break glass”, em que (por exemplo) a rede está desativada e uma máquina Linux importante travou e está acessível apenas por meio do modo de usuário único e do login raiz. Prática recomendada: A redução da violação de dados é mais eficaz ao reduzir a superfície de ataque — reduzir o número de contas privilegiadas o mais próximo possível de zero e usar o SAPM apenas para cenários de login raiz do “break glass” de emergência e para fazer login em dispositivos da rede e aplicativos herdados que dão suporte apenas ao login de conta compartilhada. No entanto, soluções modernas do SAPM devem ser fornecidas como aplicativos SaaS e se estendem além do gerenciamento básico de senha para acomodar infraestruturas de nuvem híbrida modernas e casos de uso que o SAPM no local tradicional não pode. Esses casos de uso incluem acesso remoto a qualquer momento e em qualquer lugar a recursos baseados no local e em nuvem, acesso seguro de recurso sem VPN (consulte abaixo), login de contratado e de TI terceirizado e suporte a vários provedores de identidade (IDP). No clássico break-glass explicado acima, a solução SAPM no local herdada será inacessível se a rede estiver inativa. Um SAPM na nuvem é resiliente para suas interrupções de rede, acessível a todos os usuários válidos, a qualquer momento, de qualquer dispositivo. Dito isso, seja cauteloso com as soluções que são chamadas de nuvem. Algumas soluções SaaS chamadas dessa forma para PIM não foram realmente projetadas para a nuvem; elas são apenas um código herdado colocado em um aparelho virtual e que se tornou acessível por meio de um navegador. Geralmente, o fornecedor usa um serviço de terceiro para hospedar suas soluções e, em seguida, o oferece em uma base de assinatura, chamando-o de nuvem. Essa “lavagem de nuvem” não é apenas enganosa. Ela custará mais a você sem as eficiências de SaaS inerentes e as economias de escala. Prática recomendada: Uma solução SAPM baseada em SaaS projetada especificamente para a nuvem é a prática recomendada para dar suporte a infraestruturas de empresa híbrida moderna e cenários de caso de uso remoto. Ele deve estar disponível para todos os usuários válidos, de qualquer local, a qualquer momento, de qualquer dispositivo para segurança e eficiências máximas de TI. 12 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM ARTIGO TÉCNICO Para organizações que usam o Active Directory, não é uma prática recomendada misturar identidades de funcionários com identidades externas. Na realidade, essas organizações não precisariam gerenciar identidades externas de forma alguma. A solução SAPM que você escolher deve ser compatível com vários IDPs para acomodar isso. Para usuários internos, isso pode significar exclusivamente o Active Directory. No entanto, uma fusão, uma aquisição ou um aplicativo personalizado pode exigir a autenticação de alguns usuários com relação a um repositório de usuário separado adicional, e pode não ser prático ativar relacionamentos de confiança entre eles. Para usuários externos, se você for o IDP, a prática recomendada será armazenar essas identidades em um diretório de nuvem do SAPM. Se seu parceiro aceitar a federação de identidade, isso poderá absolvê-lo da sobrecarga de gerenciamento de identidade (e aceitar o logon único como um subproduto). Prática recomendada: Assegure que sua solução SAPM aceita vários IDPs, como o Active Directory e o LDAP no local, um diretório de nuvem do SAPM e parceiros federados por meio do SAML. Uma solução SAPM baseada em SaaS é uma adaptação natural durante o suporte a uma força de trabalho de TI remota — uma situação que se torna muito comum com recursos de TI que viajam, trabalham de casa ou são terceirizados de organizações de terceiros. Mas, é claro, o acesso remoto introduz os desafios de proteção de tal acesso. Tradicionalmente, isso tem sido realizado com uma VPN. A implementação do servidor e de clientes VPN nas máquinas do usuário, o gerenciamento delas, o ajuste de regras de firewall e a abertura de portas são dispendiosos, expõem a rede a riscos e impactam o comportamento do usuário final. Uma alternativa de prática recomendada é estabelecer uma conexão segura sem VPN com o endpoint. Dessa forma, o usuário e a sessão são conectados diretamente ao endpoint sem expor a rede mais ampla para o usuário. Prática recomendada: Assegure que sua solução SAPM não exponha toda a rede exigindo uma VPN para acesso de recurso remoto, mas implementa um mecanismo seguro sem VPN que coloca o usuário direto no servidor alvo. Com este recurso, observe que você pode estender este serviço a todos os usuários, privilegiados ou não. Em seguida, o SAPM gerenciará as senhas para acesso à conta compartilhada privilegiada ao mesmo tempo que fornecerá um login interativo aos usuários não privilegiados — com a conveniência de um serviço SaaS por meio de um mecanismo de acesso sem VPN altamente seguro. Prática recomendada: Assegure que o acesso remotor seguro sem VPN do seu SAPM possa estender a usuários privilegiados e não privilegiados. Com as funções de TI sendo terceirizadas para contratados de terceiros, precisamos ser muito cautelosos sobre como permitir o acesso dele a nossos recursos importantes. O princípio básico aqui é NUNCA fornecer a eles o login raiz a seus servidores. No entanto, isso pode não ser possível para roteadores, hubs e comutadores. Principalmente para servidores, permita que eles façam login via SAPM com um ID de usuário exclusivo e privilégio mínimo. Em seguida, no servidor de destino, eles podem solicitar a elevação de privilégios para tarefas administrativas específicas por meio de controles SUPM baseados em host. A auditoria baseada em host e a gravação de sessão vincularão todas as atividades de volta para o usuário real para fins de auditoria à prova de críticas. 13 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna Muitas organizações desativam o login de SSH remoto com a conta raiz. Portanto, procure uma solução SAPM que aceite isso e permita a configuração de uma conta de “proxy” alternativa para login com privilégio mínimo e, em seguida, a elevação do privilégio no servidor. Prática recomendada: Para TI terceirizada, ative o login com privilégio mínimo para servidores via SAPM, use o SUPM para elevar o privilégio baseado em funções, registre a sessão no servidor e aproveite a autenticação multifator para garantia de identidade. Integração de soluções É ainda mais importante hoje, com um ambiente híbrido, ter uma solução totalmente integrada que abrange todos os aspectos do PIM descritos acima. Esses recursos serão divididos em camadas em toda a sua infraestrutura de TI estendida e, como tal, precisam ser perfeitamente integrados e combinados, apresentar interfaces consistentes a operadores e administradores e oferecer consistentemente a promessa de segurança, eficiências de TI e conformidade sustentável. Com a maioria dos fornecedores de PIM em parceria para concluir seus portfólios, você precisa prestar mais atenção a isso. Alguns benefícios importantes de uma única fonte são: • Problemas de compatibilidade mínima: o fornecedor arquiteta e projeta suas soluções de PIM para que funcionem juntas, idealmente sem uma plataforma de identidade consistente que liga a nuvem e o centro de dados. Os benefícios incluem menos problemas de integração, mais recursos de aplicativos cruzados e ciclo de atualização de recursos mais rápido. • Novos recursos, mais depressa: você tem a infraestrutura já no local para implementar novos produtos e recursos rapidamente desse fornecedor. Para aplicativos SaaS, isso pode ser feito rapidamente, de 4-6 semanas • Breve aquisição: encontrar um fornecedor em quem você possa confiar para integrar novos produtos desenvolvidos por eles. Mesmo se eles licenciarem/fornecerem OEM da tecnologia de terceiros para completar seus portfólios, você não terá garantia desse mesmo grau de qualidade • Tempo mais rápido para instalar: o software do mesmo fornecedor oferece consistências—na experiência da interface de usuário, integração de produto, abordagem de design, interface do fornecedor, treinamento de equipe e licenciamento • Responsabilidade do fornecedor: o velho ditado que diz “one throat to choke” é incrivelmente importante. Um fornecedor, um número de telefone, uma fatura, um parceiro confiável. O fornecedor do PIM nunca será tão proficiente com tecnologia de terceiros quanto os desenvolvedores originais. Haverá dependências difíceis para atualizações, integrações, suporte e manutenção Procure soluções de um só fornecedor, desenvolvidas organicamente. Elas devem ser movidas pela mesma plataforma de identidade baseada em nuvem, aquela que centraliza recursos comuns e torna-os consistentemente disponíveis para as soluções criadas nela. Se você começar com um e, em seguida, adotar recursos adicionais com o passar do tempo, todos eles devem se encaixar como peças de um único quebra-cabeça, sem incorrer mudanças dramáticas em operações, comportamento de usuário ou contenções de manutenção/suporte. Prática recomendada: Obtenha suas soluções PIM de um único fornecedor, um que o desenvolveu organicamente versus uma colcha de retalhos de ofertas de terceiros e da cidade natal para preencher seus portfólios. Avalie para garantir a consistência, a forte integração e o suporte na nuvem + no local. 14 ©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS WWW.CENTRIFY.COM ARTIGO TÉCNICO Conclusão Limites organizacionais são perfurantes. Infraestrutura e aplicativos estão se equilibrando na IaaS no local e em nuvem. Novos modelos operacionais estão expandindo, envolvendo serviços internos terceirizados e de TI. A empresa moderna é híbrida e permanecerá nesse estado para o futuro próximo. Combater as violações de dados protegendo o acesso a seus recursos e dados confidenciais requer uma abordagem igualmente moderna para controlar o uso da identidade privilegiada e monitorar tal uso. Soluções tradicionais que simplesmente gerenciam senhas e que se estabelecem no local são insuficientes. “Responder” aos clientes colocando uma ferramenta herdada no local em um aparelho virtual na nuvem não satisfaz todas essas exigências modernas e expõe você a riscos desnecessários. Práticas recomendadas, uma combinação coesiva de arquiteturas baseadas em host e em gateway e tecnologias baseadas em nuvem novas e inovadoras são requisitos fundamentais que permitem que a equipe de TI e a empresa tenham sucesso em um mundo no local/ de nuvem híbrida onde a superfície de ataque é maior do que nunca foi antes. Eles são os requisitos fundamentais de uma solução PIM para a empresa moderna. A Centrify oferece um gerenciamento de identidade seguro e unificado para S A N T A C L A R A , C A L I F ÓR N I A usuários finais e privilegiados em ambientes de nuvem, móveis ou centro de dados. EMEA O software de gerenciamento de identidade unificada e as soluções de identidade como um serviço (IDaaS) baseadas em nuvem da Centrify aproveitam a infraestrutura existente de identidade de uma organização para permitir logon único, autenticação multifator, gerenciamento de identidades privilegiadas, gerenciamento de senha da ÁSIA PACÍFICO +61 1300 795 789 BRASIL +55 11 3958 4876 A MÉR I C A L A T I N A conta compartilhada, auditoria para conformidade e gerenciamento de mobilidade E-MA I L empresarial. WEB WHP001583PT-04212015 © 2015 CENTR IF Y CO R PO R AT I ON. T ODOS L OS DERECHOS RESERV A D OS . +1 (669) 444 5200 +44 (0) 1344 317950 +1-305-900-5354 [email protected] www.centrify.com WWW. C EN T R I F Y . C OM +1 ( 669) 444- 5200