ARTIGO TÉCNICO
Práticas recomendadas para
o gerenciamento privilegiado
de identidades na empresa
moderna
WWW.CENTRIFY.COM
Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna
Conteúdo
Introdução4
Tendências5
Violações de dados
5
Big Data
6
A empresa moderna híbrida
7
Práticas recomendadas
7
Consolidação de identidade
7
Gerenciamento privilegiado de sessão (PSM)
9
Gerenciamento de privilégios do superusuário (SUPM)
10
Gerenciamento de senha de conta compartilhada (SAPM) 12
Integração de soluções
14
Conclusão15
As informações contidas neste documento, inclusive URL e outras referências de Website da Internet, estão sujeitas a
alterações sem aviso prévio. Salvo se houver um observação em contrário, todas as empresas, organizações, produtos,
nomes de domínios, endereços de e-mail, locais e eventos usados como exemplo e descritos aqui são fictícios, não se
pretendendo, nem devendo ser inferida, nenhuma associação com nenhuma empresa, organização, produto, nome de
domínio, endereço de e-mail, logotipo, pessoa, local ou evento. A conformidade com todas as leis de direitos autorais aplicáveis
é responsabilidade do usuário. Sem limitação dos direitos de autoria, nenhuma parte deste documento deve ser reproduzida,
armazenada ou introduzida em um sistema de recuperação, ou transmitida de qualquer forma ou por quaisquer meios
(eletrônicos, mecânicos, fotocópia, gravação, ou outro), ou para qualquer objetivo, sem a permissão expressa por escrito da
Centrify Corporation.
A Centrify deve ter patentes, pedidos de patentes, marcas registradas, direitos autorais, ou outros direitos de propriedade
intelectual que abrangem o tema deste documento. Exceto conforme expressamente previsto em qualquer contrato de licença
por escrito da Centrify, a entrega deste documento não lhe proporcionará qualquer licença de uso de tais patentes, marcas
registradas, direitos autorais e outras propriedades intelectuais.
©2015 Centrify Corporation. Todos os direitos reservados.
Centrify, DirectControl e DirectAudit são marcas registradas e Centrify Suite, DirectAuthorize, DirectSecure, DirectManage e
Privilege Service são marcas da Centrify Corporation nos Estados Unidos e/ou em outros países. Microsoft, Active Directory,
Windows, Windows NT e Windows Server são marcas registradas ou direitos registrados da Microsoft Corporation nos Estados
Unidos e/ou outros países.
Os nomes das empresas e produtos reais mencionados neste documento podem ser marcas registradas dos seus respectivos
proprietários.
2
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
ARTIGO TÉCNICO
Resumo
As violações de dados continuam sendo a principal preocupação das organizações de grande e
pequeno porte. Duas dinâmicas importantes estão tornando esse desafio muito mais difícil —
a nuvem e a sofisticação crescente dos invasores.
Neste documento, exploramos a empresa moderna — uma organização híbrida com
disseminação de infraestrutura em centros de dados no local, bem como hospedada na nuvem
e uma onde as funções de TI são divididas entre administradores internos e de terceiros. Nós
analisamos estas e as tendências relacionadas que impactam a segurança de nossos dados
e, especificamente, as práticas recomendadas sobre como gerenciar e controlar o acesso
privilegiado dos usuários para reduzir esses riscos.
3
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna
Introdução
“Estamos incrivelmente agradecidos por ter uma solução PIM que proporciona aos Departamentos
de TI, de Risco e de Conformidade a proteção e auditoria contra violação de dados que eles necessitam,
bem como a facilidade de uso que nossos usuários finais e administradores esperam, tudo enquanto
dão suporte a nossa meta corporativa de crescimento progressivos nos negócios na nuvem”
Este é o tipo de declaração “Posso finalmente dormir tranquilamente à noite” que todos os
gerentes de TI, de Risco ou de Conformidade Nível C sonham em ter.
No entanto, a triste realidade é que a geração atual de soluções de Gerenciamento de
identidades privilegiadas (PIM) ainda são incrivelmente míopes para a evolução dos
negócios e, principalmente, de TI. Eles continuam abordando a segurança de TI como órbita
exclusiva do centro de dados tradicional; uma coleção de servidores que armazenam muitas
informações para a organização e dispositivos de rede que mantêm a infraestrutura disponível,
tudo gerenciado no local pela equipe interna de TI. Quando eles precisam de uma solução para
implantações em nuvem e casos de uso híbridos, o método comum é adaptar a tecnologia
mais antiga no local, simplesmente colocando o mesmo código em um aparelho virtual e
hospedando-o em um IaaS em nuvem.
Eles continuam usando projetos da geração anterior de TI, ignorando efetivamente os milhares
de cargas de trabalho que migram para a nuvem em uma taxa crescente e um novo conjunto
de dinâmicas comerciais e operacionais que entram em ação como resultado.
Na economia atual, é impossível tentar encontrar uma organização de TI que NÃO tenha
presença na nuvem, NÃO tenham dados confidenciais que residam nela e que NÃO tenham
contas privilegiadas compartilhadas entre administradores. É um exercício de futilidade.
A empresa moderna é uma empresa híbrida, o que significa que ela precisa de soluções
modernas para protegê-la da crescente sofisticação de criminosos cibernéticos que sabem
como explorá-la.
A nuvem chegou para ficar — o júri não está mais fora. Uma nova abordagem para o PIM
é necessária, uma abordagem alinhada com a empresa moderna. Assim como a nuvem
foi saudada por sua elasticidade — sua capacidade de se adaptar às novas necessidades
dos negócios — o PIM deve se adaptar da mesma forma aos desafios da hibridização da
infraestrutura de TI, às equipes administrativas que incluem usuários internos e terceirizados
por terceiros e às exigências de acesso local e remoto em recursos hospedados em nuvem e
no local.
Este documento descreve as práticas recomendadas de PIM que levam em consideração esta
nova dinâmica para a empresa moderna.
4
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
ARTIGO TÉCNICO
Tendências
As macrotendências realmente não mudaram nos últimos anos, mas foram aceleradas. Nuvem
(*aaS), Móvel, Big Data, BYOD — estão todos crescendo em adoção e investimento. Até mesmo
o novato relativo — Big Data — está, de acordo com o grupo de analistas Gartner, acima do
Pico proverbial das expectativas exageradas.
O negócio digital é um imperativo essencial. Ele continua impulsionando mudanças enormes
e fundamentais em tecnologia, comportamento de compra e entrega/consumo de serviços
comerciais. Os provedores de serviços de aplicativo, infraestrutura e suporte, bem como de
serviços do processo de negócios, estão reinventando para satisfazer essas necessidades e
assegurar o próprio crescimento sustentável e rentável.
A partir da perspectiva de segurança em geral e, especificamente, do Gerenciamento de
identidades privilegiadas, as violações de dados ainda são as principais preocupações.
Elas continuam sendo tendências ascendentes e as principais manchetes e são o principal
responsável na insônia de nível C. A seguir estão algumas das maiores tendências que impactam
os negócios de nossos clientes e porque elas são importantes de uma perspectiva de PIM.
Violações de dados
O PIM é imensamente mais importante neste novo mundo híbrido de recursos distribuídos e
administração. Historicamente, não foram muitas empresas que analisaram o PIM como um
problema que “deve ser solucionado”. O pensamento era, “desde que eu tenha um cofre para
minhas senhas raiz e de administrador, bem como minhas senhas para contas de serviço, sou
bom”. Porém, remova o Band-Aid™ e você encontrará problemas fundamentais de segurança,
conforme é evidenciado pelos ataques de violação que tiram vantagem e descobrem contas
privilegiadas que eles podem explorar, que exigem uma solução moderna e holística, em vez
de uma abordagem única para todos os casos.
O crime cibernético agora é uma atividade criminosa profissional e altamente organizada;
em alguns casos, até mesmo patrocinado pelo governo. O Governo dos EUA reconheceu a
importância, categorizando o espaço cibernético como o 5º domínio de batalha, depois dos
tradicionais terra, mar, ar e espaço.
Figura 1: Gasto de TI de Gartner — a Terceirização
de TI está aumentando e a proteção e a auditoria
de seu acesso a nossas contas mais privilegiadas
são a principal prioridade
Tabela 1. Gasto de TI por segmento, mundial, 2012-2018 (milhões de dólares americanos)
CARD (%)
2013-2018
Terceirização de TI
5
10,633
12,094
13,838
15,914
18,275
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
20,985
24,119
14,8
WWW.CENTRIFY.COM
Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna
Até certo grau, as organizações híbridas modernas estão caindo acidentalmente nas mãos
dos criminosos cibernéticos. Com a disseminação da infraestrutura no local e em nuvem e
com a terceirização da administração e das operações, eles estão se expondo a uma enorme
superfície de ataque e impulsionando o risco. A Verizon, em seu Relatório anual sobre
Investigações de violação de dados, nos alerta de um impacto ainda maior nos negócios
proveniente de violações de dados que envolvem contratados externos do que aqueles que
envolvem funcionários internos.
As identidades privilegiadas são claramente o alvo principal dos criminosos cibernéticos
profissionais. Quando você compromete contas raízes ou de administrador em um servidor
principal, você tem as chaves para o reino. Você consegue explorar tudo com facilidade nesse
servidor e pode usá-lo como uma base para conduzir uma campanha mais extensiva para a
pirataria de entidades privilegiadas em toda a rede.
Big Data
As organizações estão movimentando agressivamente seus experimentos de laboratório
do Big Data na produção. O que isso significa para os riscos relacionados à identidade na
organização?
O tipo de escala de cálculo necessária para a implantação do Big Data em uma empresa ser
algo além do esperado. Um grupo simples de laboratório com 4 ou 5 nós pode se transformar
facilmente em dezenas de grupos com centenas ou, até mesmo, milhares de nós necessários
para a produção completa.
Com base em uma perspectiva de segurança, as distribuições de Hadoop da MapR, Cloudera,
HortonWorks, entre outras, assumem como padrão nenhuma segurança para identidade e
autenticação. A ativação do modo seguro para Hadoop significa que é necessário configurar
uma infraestrutura de Kerberos para autenticar os vários usuários/contas de serviços
e negócios no sistema. Isso não se trata de um empreendimento pequeno, e é por este
motivo que a maioria das organizações opta por adiar isso até depois que o laboratório
tenha comprovado o conceito. Obviamente, isso resulta em um trabalho urgente para ser
implementado para se obter uma rápida expansão da produção, com a possível consequência
de um novo risco significativo de segurança para os negócios.
O tempo e o esforço necessário para possibilitar o Hadoop seguro é significativo. Considerando
a complexidade de configurar uma realm Kerberos, o Centro de distribuição principal (KDC,
Key Distribution Center), o repositório de identidades, gerenciar arquivos keytab, etc., a
produção não é o momento de fazer descobertas.
Além da complexidade, os ambientes Hadoop apresentam, por natureza, um modelo de
confiança e segurança que é sutilmente diferente das infraestruturas de servidor mais
tradicionais. Os trabalhos analíticos são disseminados em vários nós para execução. Outros
nós são responsáveis pelo mapeamento e redução de funções, orquestração e controle. Todos
eles se comunicam e devem executar seus deveres combinados em nome do usuário que
envia o trabalho. Considerando o potencial para informações confidenciais, é imperativo que
os controles de acesso adequados baseados em função estejam em vigor para administração,
acesso do analista e auditoria.
Em qualquer implantação do Big Data, você tem alguns desafios importantes de segurança,
risco e conformidade para superar, principalmente em relação à identidade. Inclua na nuvem
tudo isso que está fora de seu centro de dados no local, fora do alcance de, até mesmo, suas
soluções tradicionais de PIM e IAM, e os riscos se tornam realmente muito sérios.
6
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
ARTIGO TÉCNICO
A empresa moderna híbrida
“Os usuários não estão mais
exclusivamente dentro do firewall,
nem são sua infraestrutura”.
As organizações estão migrando os aplicativos existentes, eliminado-os do hardware antiquado
e de baixo desempenho no local e colocando-os em equipamentos modernos no Amazon,
CenturyLink/Savvis, Azure e outros provedores de IaaS. A migração de aplicativos não se trata
apenas de empilhar o software de um servidor para outro. Há muitas considerações, incluindo
segurança e acesso privilegiado. Os problemas parecem semelhantes àqueles no local, exceto
que você geralmente não pode usar a tecnologia PIM local na nuvem. Você precisa de uma
solução de PIM que também seja híbrida, uma solução projetada para proteger implantações
híbridas de TI.
Os administradores de TI privilegiados precisam de acesso à interface de usuário
administrador do serviço de nuvem (por exemplo, o AWS Console) para acessar e gerenciar
suas infraestruturas e servidores. No entanto, isso não é apenas sobre administradores.
Os servidores estão lá para dar suporte a aplicativos — como acessamos com segurança os
aplicativos? Você desejará o login baseado em SAML de seu IDP corporativo? Você desejará
usar grupos do Active Directory para controlar a função e os direitos que o administrador
obtém depois de fazer login no AWS?
Também há uma linha entre a segurança do S.O. e a segurança de aplicativos que as
organizações precisam levar em consideração. Com cada vez mais dados confidenciais sendo
armazenados em aplicativos e organizações SaaS que criam contas de login compartilhadas
na empresa para aplicativos, como o Facebook e o Twitter, todos os usuários devem ser
considerados um usuário privilegiado — é apenas uma questão de nível.
A TI precisa assegurar que os usuários regulares e privilegiados podem obter acesso a suas
infraestruturas, servidores e aplicativos e que ambos têm acesso seguro de qualquer local e
de qualquer dispositivo.
Práticas recomendadas
Para se concentrar na muitas partes móveis de uma abrangente implementação de PIM, é útil
dividi-la em subconjuntos funcionais. Neste documento, nossa divisão é:
• Consolidação de identidade — gerenciar identidades, funções, privilégios em recursos
heterogêneos
• Gerenciamento de sessões privilegiadas — o serviço que gerencia a sessão privilegiada e
o gravador de vídeo mantendo a atenção sobre ele
• Gerenciamento de privilégios do superusuário — as ferramentas de elevação de
privilégios que possibilitam tarefas administrativas granulares para usuários autorizados
• Gerenciamento de senha de conta compartilhada — para cenários “break glass”
herdados e de emergência em que você não pode elevar o privilégio e precisa permitir o
login direto como (por exemplo) raiz
• Acesso remoto seguro sem VPN — acesso remoto baseado em nuvem a recursos de IaaS
no local e em nuvem sem uma VPN
Consolidação de identidade
“Obter usuários para fazer login como
eles mesmos”
7
Os usuários estão no centro de ambos: dos desafios e da solução; mais especificamente, o
gerenciamento de identidades do usuário e suas funções e titulações associadas. O objetivo
aqui é direto — unificar a identidade em todas as plataformas de negócios (Windows, UNIX,
Linux e Mac), reduzindo silos e a complexidade geral.
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna
Este aspecto do PIM geralmente é negligenciado. Como um dos recursos inaugurais no
macrocosmo do PIM, agora ele é considerado “fundamental” para qualquer solução viável de
PIM. Ele não é ignorado per-se; apenas não é aproveitado para maximizar o valor dos negócios e,
geralmente, não é dada a atenção que ele merece.
Por definição, o Active Directory Bridging permite que uma solução de PIM funcione como
um ponto de um ambiente não pertencente ao Windows para o Active Directory. Por
quê? Para aproveitar os muitos benefícios que o Active Directory oferece com relação ao
gerenciamento de identidades, a autenticação baseada em Kerberos e o gerenciamento de
privilégios baseados em funções reais que expandem todas as suas plataformas. Em um nível
básico, isso significa consolidar suas identidades em UNIX, Linux, Mac e Windows no Active
Directory, evitando assim o enorme esforço administrativo, bem como os riscos de segurança
de gerenciar silos de identidade (por exemplo, /etc/passwd) em cada endpoint. Ainda mais
importante é fazer com que os usuários façam login como eles mesmos (isto é, seus IDs do
Active Directory), em vez de fazer login com uma conta compartilhada, garantindo assim
melhor responsabilidade de todos os seus sistemas de auditoria e log de aplicativos e de
sistema operacional.
Escolher o Active Directory como seu repositório central faz sentido para a maioria das
empresas que já têm grandes investimentos de capital e humanos na tecnologia. Ele evita
o apoio de um silo paralelo de identidades (por exemplo, o Oracle OID) com os desafios
inerentes em sincronizá-las e sincronizar suas senhas com o novo silo, instalando agentes em
controladores de domínio, mudando esquemas e, geralmente, mudando o comportamento
do usuário forçando-os a redefinir senhas em uma nova ferramenta, em vez de na sua tela de
login do laptop.
Prática recomendada: Consolide as identidades de UNIX, Linux e Mac em um único ID
exclusivo no Active Directory para identidade centralizada, função e gerenciamento de
privilégio, bem como autenticação baseada em Kerberos.
As violações de dados são sobre como comprometer contas privilegiadas existentes e usá-las
para saltar de servidor para servidor na rede procurando dados para rentabilizar. Portanto, antes
dessa consolidação e na preparação para gerenciamento de privilégio de Superusuário baseado
em host (consulte abaixo), é uma boa prática inicial recomendada restringir o mínimo possível de
contas privilegiadas, simplificando a administração e limitando a superfície de ataque.
Prática recomendada: Exclua ou desative quantas contas privilegiadas forem possíveis
para reduzir a superfície de ataque.
Os benefícios do Active Directory não devem parar por aí. Procure soluções que possam ativar
o gerenciamento centralizado de computadores, bem como de usuários. Ao estender o modelo
Política de Grupo do Active Directory, você pode aproveitar ainda mais seu investimento no
Active Directory e nos conjuntos de habilidades de administração do Active Directory, aplicando
a política de grupo ao UNIX, Linux e Macs. Os exemplos dessas políticas incluem regras de
firewall baseadas em host (iptables), políticas de acesso à rede (openSSH) ou gerenciamento
de certificado de computador (autoemissão e renovação automática) para serem usadas pelos
aplicativos em execução nele.
Prática recomendada: Além de gerenciar identidades no Active Directory, procure uma
solução que seja compatível com máquinas e que possa estender a política de grupo a
servidores que não têm Windows.
8
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
ARTIGO TÉCNICO
Porém, há mais ainda! Comprimir ainda mais a estrutura de gerenciamento de objetos do
Active Directory pode proporcionar a você a capacidade de unir com mais eficácia máquinas,
usuários e funções, permitindo a delegação, a separação de deveres e o suporte temporário
para vários perfis UNIX de usuários no caminho para um único perfil racionalizado pela
prática recomendada. Essa capacidade de “zoneamento” hierárquico pode melhorar muito
a produtividade e a conformidade (por exemplo, limitando o acesso administrativo a uma
coleção de máquinas “PCI”).
Uma solução ideal de Consolidação de identidade permitirá tudo isso sem ser invasivo no
Active Directory, isto é, nenhuma alteração no esquema e nenhuma dependência de software
em controladores de domínio.
Prática recomendada: Procure avanços que estendem o modelo do Active Directory para
apresentar mais eficiências e segurança, como zonas hierárquicas e que não exigem
alterações no esquema do Active Directory nem agentes nos controladores de domínio.
Para terminar. Ao explorar a Consolidação de identidades, veja se a solução do fornecedor
pode dar suporte ao login do aplicativo, bem como ao login do usuário em plataformas que
não pertencem ao Windows. Por exemplo, se seu desenvolvedor UNIX estiver criando um
aplicativo, uma abordagem comum poderá ser criar a lógica de autenticação e autorização de
usuário diretamente no código e manter as informações de identidade em um silo separado
(como o Oracle OID). Em seguida, há o problema de alteração de senha e sincronização entre
as duas; colocar um agente em cada Controlador de domínio para sincronizar uma redefinição
de senha a partir da estação de trabalho do usuário.
Em vez disso, use o que já está no local como um repositório autoritativo. Una o servidor ao
Active Directory e o código poderá solicitar que o sistema operacional autentique o usuário e
evite toda essa sobrecarga. É possível estender esse modelo para os aplicativos UNIX, Linux,
Mac por meio de PAM, LDAP, GSSAPI ou SAML.
Prática recomendada: Forneça aos desenvolvedores de aplicativos um meio centralizado
(Active Directory) de externalizar a autenticação do usuário, a autorização e a lógica de
gerenciamento de identidade.
Gerenciamento privilegiado de sessão (PSM)
“Confie, mas verifique”
A gravação da sessão é um elemento crítico de qualquer implantação do PIM. Considerando
o poder das contas privilegiadas e a sensibilidade dos sistemas, aplicativos e dados, eles
podem acessar o que é muito importante para Audi torar e monitorar suas atividades.
A gravação da sessão envolve a gravação real da sessão, bem como a reprodução para
investigações de conformidade e violação de dados.
Assim como qualquer conjunto de controles de segurança em um ambiente complexo, há
sempre a questão do que deve ser implantado primeiro. Naturalmente, suas circunstâncias
individuais variarão, mas observe que o PSM foi implantado primeiro por algumas
organizações como inteligência inicial em seu plano de projetos do PIM. Em comparação com
outros recursos do PIM, pode ser relativamente simples implantar e rápido valorizar. Portanto,
enquanto (por exemplo) sua implementação principal de gerenciamento do privilégio de
Superusuário está em ação e você está limpando e consolidando suas identidades de usuário,
a colocação da gravação da sessão em seus servidores privilegiados podem lhe proporcionar
a visibilidade imediata do que seus usuários privilegiados estão fazendo em seu ambiente
aceitarão rapidamente suas atividades de auditoria e conformidade.
Prática recomendada: O PSM implantado primeiro pode fornecer perspectivas valiosas.
Considere os possíveis benefícios a sua organização de implantar primeiro o PSM para
um ganho rápido.
9
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna
As opções de fornecedores geralmente são incluídas em dois campos: gravação de sessão
centralizada em um gateway ou proxy, e gravação de sessão em cada máquina host. A prática
recomendada descreve a última como a opção mais segura e eficaz. Como uma analogia, se
você colocar uma câmera de segurança somente em sua porta dianteira e eu quebrar por
meio de uma janela lateral, terei acesso a sua casa sem que você saiba. Para equipe remota
ou terceirizada, a porta frontal é a única maneira de eles entrarem (legitimamente). Porém, os
invasores maliciosos sempre encontrarão maneiras de ignorar um monitor central. Portanto,
a prática recomendada é uma câmera de vídeo com vários recursos sensíveis.
Além disso, embora os dois métodos capturem informações da sessão, informações mais
abrangentes e detalhadas podem ser capturadas no host versus um gateway (especificamente
quando combinadas com uma abordagem de privilégio mínimo para gerenciamento de
privilégio de Superusuário que vincula atividades a um usuário real, em vez de um ID de
usuário compartilhado/anônimo). No host, você consegue capturar fielmente os comandos e as
ações executadas para um nível mais detalhado. Isso permite uma transcrição muito precisa da
sessão que produz metadados precisos que permitem procurar gravações e indicar atividades
rapidamente. Em um gateway, você não tem tal acesso, o que significa que geralmente não
pode obter os mesmos metadados completos que um agente de auditoria baseado em host.
Você pode capturar o fluxo de dados visuais para uma sessão de gerenciamento no servidor ou
no gateway. A resolução de gravação do vídeo pode e deve ser comparável para ambos; eles
estão usando a mesma tecnologia para captura de vídeo. Algumas soluções “retratam” dados
em resoluções relativamente baixas, dificultando a atividade da sessão de auditoria ou, no pior
caso, perdendo informações importantes da tela. As melhores soluções capturam vídeo para
todas as alterações em pixels, capturando com eficácia as diferenças em estruturas de forma
mais precisa do que as soluções de “captura de tela”.
Prática recomendada: Use uma solução PSM com base na “alteração de pixels” para
cobertura máxima, resiliência máxima e pormenores mais detalhados. O PSR baseado
em host, quando apropriado, pode lhe dar mais informações, melhor pesquisa e
indexação e uma trilha de auditoria de atividade mais completa.
“Atribua direitos onde você pode;
compartilhe contas onde você deve”
Gerenciamento de privilégios do superusuário (SUPM)
O SUPM refere-se à prática de restringir o valor do privilégio para uma determinada conta ao
menor valor possível, geralmente em sistemas Unix, Linux e Windows. Conforme mencionado,
os invasores têm foco de laser no ataque de contas com privilégios muito altos, portanto, eles
podem possuir a máquina e, a partir daí, se disseminar para localizar contas com privilégios
ainda mais altos na rede. Se as contas tiverem pouco privilégio por padrão, os criminosos
podem usá-las para atacar sua infraestrutura.
As abordagens do fornecedor de segurança tendem a cair em dois campos principais. Um
campo se defende mantendo as contas privilegiadas no lugar e, simplesmente, controla o
acesso a suas senhas. Isso é pouco para reduzir a superfície de ataque. Implementado em
um gateway ou proxy central, ele pode conectar um usuário a um servidor, mas não pode
controlar ações privilegiadas individuais nesse servidor. Depois que você fizer login, estará
com todos os privilégios do usuário (por exemplo) raiz. Dessa forma, todas as suas atividades
nesse servidor são registradas anonimamente — como raiz. Mesmo com shells privilegiados ou
listagens brancas, ele protege o servidor se foi acessado por meio do proxy. Provavelmente, o
maior desafio com esta abordagem é quando os administradores encontram uma maneira de
ignorar o proxy e vão direto ao servidor, perdendo qualquer proteção que a solução ofereça de
outra forma.
O outro campo se defende por uma abordagem de “privilégio mínimo” no nível do host
sempre que possível, e uma abordagem de gerenciamento de senha no gateway em que
uma abordagem de privilégio mínimo não pode funcionar (geralmente, por motivos técnicos).
10
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
ARTIGO TÉCNICO
Ele defende que não deve ser usado login direto em contas com privilégios altos removendoos ou desativando-os — reduzindo assim a superfície de ameaça). Você faz login como você
mesmo com um valor baixo de privilégio. Quando precisa executar uma tarefa privilegiada
(como parar um daemon de servidor da Web), você solicita explicitamente um privilégio
adicional. Se concedida (por função), essa tarefa funcionará como raiz, mas os trilhos de
auditoria serão vinculados ao ID de usuário real para responsabilidade total. Ainda melhor,
a conta não poderá ser pirateada por malware e utilizada para “aterrar e expandir” na rede.
Isso é consistente com a orientação regulatória, como PCI e NIST SP 800-53, que recomendam
acesso mínimo ao conjunto de servidores com base na necessidade de saber e o privilégio
mínimo para controlar o que você pode fazer quando está na máquina.
Qualquer abordagem para gerenciamento de senhas, login de usuário e gravação de sessão
centralmente em um gateway é potencialmente vulnerável ao desvio da “porta dianteira” que
discutimos na Gravação da sessão, acima. As soluções baseadas em host não são prejudicadas
a partir deste possível ponto de violação.
Prática recomendada: Minimize o número de contas compartilhadas. Reduza/desative
o número de contas privilegiadas. Use o SUPM baseado em host para login de privilégio
mínimo com ID exclusivo e elevação explícita de privilégio sempre que possível, e use o
SAPM para contas onde você não pode usar o SUPM.
Quase como um corolário para isso é que implementando o SUPM real, você pode eliminar
o conhecimento ou o uso de senhas de contas privilegiadas, concedendo amplos direitos de
iniciar e reduzir gradualmente esses direitos com o passar do tempo, conforme você aprende
os direitos necessários para uma função de trabalho específica.
Prática recomendada: Aproveite o SUPM para ajustar seu modelo de titulações.
Prática recomendada: Vincular isso à Consolidação de identidade no Active Directory
proporcionará mais economias, permitindo que você gerencie centralmente as funções
e titulações desses usuários e efetue alterações globais de forma rápida e consistente
em Windows, Linux e UNIX.
Qualquer que seja sua abordagem, quando os usuários precisam acessar a contas privilegiadas
e sistemas críticos, procuram uma solução que oferece suporte à garantia da identidade
contextual. Isso envolve a Autenticação multifator (MFA) e o contexto de usuário para avaliar
o risco e fornecer garantia de identidade mais forte. Por exemplo, um celular pode relatar a
localização do GPS, além de gerar uma senha única para melhor garantia. Observe que isso
também pode ser um contador altamente eficaz para “transmitir os ataques confusos” que
são usados para comprometer servidores sem precisar usar força bruta para tentar adivinhar
as senhas.
Prática recomendada: Procure soluções que oferecem suporte à autenticação de etapa
acima usando um segundo fator ao autenticar usuários privilegiados. Para maior
garantia de identidade, procure uma solução que considere o contexto também.
Tudo o que foi mencionado acima é muito relevante para os recursos dentro de seu firewall.
Porém, como sabemos, a empresa híbrida moderna tem servidores na parte externa. Um método
é apoiar um domínio do Active Directory em seu ambiente de nuvem e unir seus servidores que
não têm Windows para isso por sua solução SUPM. Em seguida, você pode gerenciar todos os
usuários híbridos do mesmo repositório de identidade autoritativo. Os fornecedores líderes do
IaaS, como Amazon Web Services e Microsoft, documentaram a orientação sobre como implantar
o Active Directory nesse local e confiar no Active Directory interno.
11
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna
De maneira semelhante, você pode implantar uma nuvem virtual privada em um provedor de
serviços gerenciado (MSP), ou com um IaaS que hospeda fornecedor, como o Azure ou o AWS.
Conectado ao centro de dados com uma VPN de alta velocidade dedicada, uma nuvem privada
funciona como uma extensão de seu centro de dados existente e aproveita seu Active Directory
existente, tornando-o um excelente local para implantar uma solução baseada no SUPM nos
servidores.
Prática recomendada: Use uma solução SUPM/Consolidação de identidade na nuvem
para unir servidores que não têm Windows a um Domínio local do Active Directory e
gerenciar identidade. Use o SUPM em servidores dentro de uma nuvem privada virtual
conectada ao seu Active Directory no local.
Gerenciamento de senha de conta compartilhada (SAPM)
Com base em uma perspectiva de segurança, ativar e facilitar contas compartilhadas
privilegiadas é a maneira mais fácil de introduzir risco — o que é exatamente o oposto do que
desejamos. Em seguida, de maneira ideal, eliminamos todas essas contas e lançamos uma
chave importante no processo para os invasores. No entanto, há situações em que você precisa
fazer login com tais contas. Nesse caso, como profissionais de segurança e risco, devemos
estar limitando essas situações ao mínimo absoluto possível.
Portanto, quais são estas situações? São ocasiões em que você não pode excluir ou
desativar uma conta privilegiada, como administradores locais, raiz, administrador, contas
administrativas de aplicativo herdado ou contas de dispositivo da rede. Há também a clássica
situação “break glass”, em que (por exemplo) a rede está desativada e uma máquina Linux
importante travou e está acessível apenas por meio do modo de usuário único e do login raiz.
Prática recomendada: A redução da violação de dados é mais eficaz ao reduzir a
superfície de ataque — reduzir o número de contas privilegiadas o mais próximo possível
de zero e usar o SAPM apenas para cenários de login raiz do “break glass” de emergência
e para fazer login em dispositivos da rede e aplicativos herdados que dão suporte apenas
ao login de conta compartilhada.
No entanto, soluções modernas do SAPM devem ser fornecidas como aplicativos SaaS e se
estendem além do gerenciamento básico de senha para acomodar infraestruturas de nuvem
híbrida modernas e casos de uso que o SAPM no local tradicional não pode. Esses casos de
uso incluem acesso remoto a qualquer momento e em qualquer lugar a recursos baseados no
local e em nuvem, acesso seguro de recurso sem VPN (consulte abaixo), login de contratado
e de TI terceirizado e suporte a vários provedores de identidade (IDP). No clássico break-glass
explicado acima, a solução SAPM no local herdada será inacessível se a rede estiver inativa.
Um SAPM na nuvem é resiliente para suas interrupções de rede, acessível a todos os usuários
válidos, a qualquer momento, de qualquer dispositivo.
Dito isso, seja cauteloso com as soluções que são chamadas de nuvem. Algumas soluções
SaaS chamadas dessa forma para PIM não foram realmente projetadas para a nuvem; elas
são apenas um código herdado colocado em um aparelho virtual e que se tornou acessível
por meio de um navegador. Geralmente, o fornecedor usa um serviço de terceiro para
hospedar suas soluções e, em seguida, o oferece em uma base de assinatura, chamando-o
de nuvem. Essa “lavagem de nuvem” não é apenas enganosa. Ela custará mais a você sem as
eficiências de SaaS inerentes e as economias de escala.
Prática recomendada: Uma solução SAPM baseada em SaaS projetada especificamente
para a nuvem é a prática recomendada para dar suporte a infraestruturas de empresa
híbrida moderna e cenários de caso de uso remoto. Ele deve estar disponível para todos
os usuários válidos, de qualquer local, a qualquer momento, de qualquer dispositivo
para segurança e eficiências máximas de TI.
12
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
ARTIGO TÉCNICO
Para organizações que usam o Active Directory, não é uma prática recomendada misturar
identidades de funcionários com identidades externas. Na realidade, essas organizações
não precisariam gerenciar identidades externas de forma alguma. A solução SAPM que você
escolher deve ser compatível com vários IDPs para acomodar isso. Para usuários internos, isso
pode significar exclusivamente o Active Directory. No entanto, uma fusão, uma aquisição ou
um aplicativo personalizado pode exigir a autenticação de alguns usuários com relação a um
repositório de usuário separado adicional, e pode não ser prático ativar relacionamentos de
confiança entre eles. Para usuários externos, se você for o IDP, a prática recomendada será
armazenar essas identidades em um diretório de nuvem do SAPM. Se seu parceiro aceitar a
federação de identidade, isso poderá absolvê-lo da sobrecarga de gerenciamento de identidade
(e aceitar o logon único como um subproduto).
Prática recomendada: Assegure que sua solução SAPM aceita vários IDPs, como o Active
Directory e o LDAP no local, um diretório de nuvem do SAPM e parceiros federados por
meio do SAML.
Uma solução SAPM baseada em SaaS é uma adaptação natural durante o suporte a uma força
de trabalho de TI remota — uma situação que se torna muito comum com recursos de TI que
viajam, trabalham de casa ou são terceirizados de organizações de terceiros. Mas, é claro, o
acesso remoto introduz os desafios de proteção de tal acesso. Tradicionalmente, isso tem
sido realizado com uma VPN. A implementação do servidor e de clientes VPN nas máquinas
do usuário, o gerenciamento delas, o ajuste de regras de firewall e a abertura de portas são
dispendiosos, expõem a rede a riscos e impactam o comportamento do usuário final.
Uma alternativa de prática recomendada é estabelecer uma conexão segura sem VPN com
o endpoint. Dessa forma, o usuário e a sessão são conectados diretamente ao endpoint sem
expor a rede mais ampla para o usuário.
Prática recomendada: Assegure que sua solução SAPM não exponha toda a rede exigindo
uma VPN para acesso de recurso remoto, mas implementa um mecanismo seguro sem
VPN que coloca o usuário direto no servidor alvo.
Com este recurso, observe que você pode estender este serviço a todos os usuários,
privilegiados ou não. Em seguida, o SAPM gerenciará as senhas para acesso à conta
compartilhada privilegiada ao mesmo tempo que fornecerá um login interativo aos usuários
não privilegiados — com a conveniência de um serviço SaaS por meio de um mecanismo de
acesso sem VPN altamente seguro.
Prática recomendada: Assegure que o acesso remotor seguro sem VPN do seu SAPM
possa estender a usuários privilegiados e não privilegiados.
Com as funções de TI sendo terceirizadas para contratados de terceiros, precisamos ser muito
cautelosos sobre como permitir o acesso dele a nossos recursos importantes. O princípio
básico aqui é NUNCA fornecer a eles o login raiz a seus servidores. No entanto, isso pode não
ser possível para roteadores, hubs e comutadores.
Principalmente para servidores, permita que eles façam login via SAPM com um ID de usuário
exclusivo e privilégio mínimo. Em seguida, no servidor de destino, eles podem solicitar a
elevação de privilégios para tarefas administrativas específicas por meio de controles SUPM
baseados em host. A auditoria baseada em host e a gravação de sessão vincularão todas as
atividades de volta para o usuário real para fins de auditoria à prova de críticas.
13
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
Práticas recomendadas para o gerenciamento privilegiado de identidades na empresa moderna
Muitas organizações desativam o login de SSH remoto com a conta raiz. Portanto, procure uma
solução SAPM que aceite isso e permita a configuração de uma conta de “proxy” alternativa
para login com privilégio mínimo e, em seguida, a elevação do privilégio no servidor.
Prática recomendada: Para TI terceirizada, ative o login com privilégio mínimo para
servidores via SAPM, use o SUPM para elevar o privilégio baseado em funções, registre
a sessão no servidor e aproveite a autenticação multifator para garantia de identidade.
Integração de soluções
É ainda mais importante hoje, com um ambiente híbrido, ter uma solução totalmente integrada
que abrange todos os aspectos do PIM descritos acima. Esses recursos serão divididos em
camadas em toda a sua infraestrutura de TI estendida e, como tal, precisam ser perfeitamente
integrados e combinados, apresentar interfaces consistentes a operadores e administradores
e oferecer consistentemente a promessa de segurança, eficiências de TI e conformidade
sustentável. Com a maioria dos fornecedores de PIM em parceria para concluir seus portfólios,
você precisa prestar mais atenção a isso.
Alguns benefícios importantes de uma única fonte são:
• Problemas de compatibilidade mínima: o fornecedor arquiteta e projeta suas soluções
de PIM para que funcionem juntas, idealmente sem uma plataforma de identidade
consistente que liga a nuvem e o centro de dados. Os benefícios incluem menos problemas
de integração, mais recursos de aplicativos cruzados e ciclo de atualização de recursos
mais rápido.
• Novos recursos, mais depressa: você tem a infraestrutura já no local para implementar
novos produtos e recursos rapidamente desse fornecedor. Para aplicativos SaaS, isso pode
ser feito rapidamente, de 4-6 semanas
• Breve aquisição: encontrar um fornecedor em quem você possa confiar para integrar
novos produtos desenvolvidos por eles. Mesmo se eles licenciarem/fornecerem OEM
da tecnologia de terceiros para completar seus portfólios, você não terá garantia desse
mesmo grau de qualidade
• Tempo mais rápido para instalar: o software do mesmo fornecedor oferece
consistências—na experiência da interface de usuário, integração de produto, abordagem
de design, interface do fornecedor, treinamento de equipe e licenciamento
• Responsabilidade do fornecedor: o velho ditado que diz “one throat to choke” é
incrivelmente importante. Um fornecedor, um número de telefone, uma fatura, um
parceiro confiável. O fornecedor do PIM nunca será tão proficiente com tecnologia
de terceiros quanto os desenvolvedores originais. Haverá dependências difíceis para
atualizações, integrações, suporte e manutenção
Procure soluções de um só fornecedor, desenvolvidas organicamente. Elas devem ser movidas
pela mesma plataforma de identidade baseada em nuvem, aquela que centraliza recursos
comuns e torna-os consistentemente disponíveis para as soluções criadas nela. Se você
começar com um e, em seguida, adotar recursos adicionais com o passar do tempo, todos
eles devem se encaixar como peças de um único quebra-cabeça, sem incorrer mudanças
dramáticas em operações, comportamento de usuário ou contenções de manutenção/suporte.
Prática recomendada: Obtenha suas soluções PIM de um único fornecedor, um que o
desenvolveu organicamente versus uma colcha de retalhos de ofertas de terceiros e da
cidade natal para preencher seus portfólios. Avalie para garantir a consistência, a forte
integração e o suporte na nuvem + no local.
14
©2015 CENTRIFY CORPORATION TODOS OS DIREITOS RESERVADOS
WWW.CENTRIFY.COM
ARTIGO TÉCNICO
Conclusão
Limites organizacionais são perfurantes. Infraestrutura e aplicativos estão se equilibrando na
IaaS no local e em nuvem. Novos modelos operacionais estão expandindo, envolvendo serviços
internos terceirizados e de TI. A empresa moderna é híbrida e permanecerá nesse estado para
o futuro próximo.
Combater as violações de dados protegendo o acesso a seus recursos e dados confidenciais
requer uma abordagem igualmente moderna para controlar o uso da identidade privilegiada
e monitorar tal uso. Soluções tradicionais que simplesmente gerenciam senhas e que se
estabelecem no local são insuficientes. “Responder” aos clientes colocando uma ferramenta
herdada no local em um aparelho virtual na nuvem não satisfaz todas essas exigências
modernas e expõe você a riscos desnecessários.
Práticas recomendadas, uma combinação coesiva de arquiteturas baseadas em host e em
gateway e tecnologias baseadas em nuvem novas e inovadoras são requisitos fundamentais
que permitem que a equipe de TI e a empresa tenham sucesso em um mundo no local/
de nuvem híbrida onde a superfície de ataque é maior do que nunca foi antes. Eles são os
requisitos fundamentais de uma solução PIM para a empresa moderna.
A Centrify oferece um gerenciamento de identidade seguro e unificado para
S A N T A C L A R A , C A L I F ÓR N I A usuários finais e privilegiados em ambientes de nuvem, móveis ou centro de dados.
EMEA O software de gerenciamento de identidade unificada e as soluções de identidade
como um serviço (IDaaS) baseadas em nuvem da Centrify aproveitam a infraestrutura
existente de identidade de uma organização para permitir logon único, autenticação
multifator, gerenciamento de identidades privilegiadas, gerenciamento de senha da
ÁSIA PACÍFICO
+61 1300 795 789
BRASIL
+55 11 3958 4876
A MÉR I C A L A T I N A conta compartilhada, auditoria para conformidade e gerenciamento de mobilidade
E-MA I L empresarial.
WEB WHP001583PT-04212015
© 2015 CENTR IF Y CO R PO R AT I ON. T ODOS L OS DERECHOS RESERV A D OS . +1 (669) 444 5200
+44 (0) 1344 317950
+1-305-900-5354
sales@centrify.com
www.centrify.com
WWW. C EN T R I F Y . C OM
+1 ( 669) 444- 5200
Download

Práticas recomendadas para o gerenciamento privilegiado