Fase 2: ajustar permissões e automatizar o princípio do privilégio mínimo
Esta seção do guia de referência de operações do Gerenciamento de Permissões do Microsoft Entra descreve as verificações e ações que você deve executar para corrigir as principais conclusões no seu ambiente e implementar o acesso JIT com Permissions On-Demand.
Corrigir e ajustar permissões continuamente
Proprietário recomendado: operações de segurança da informação
Determinar as responsabilidades de correção e monitoramento
Para operar o produto de forma ideal, o Gerenciamento de Permissões do Microsoft Entra requer a execução contínua das principais tarefas operacionais e processos. Configure as principais tarefas e proprietários para manter seu ambiente.
| Tarefa | Proprietário |
|---|---|
| Monitorar e manter o PCI com base em metas | Operações de Segurança da Informação |
| Fazer triagem e investigar conclusões de relatório | Operações de Segurança da Informação |
| Fazer triagem e investigar alertas | Operações de Segurança da Informação |
| Examinar consultas de auditoria | Garantia de segurança e auditoria |
| Acompanhar e relatar o progresso | Operações de Segurança da Informação |
Reduzir PCI aos níveis de destino
É importante reduzir as pontuações de PCI entre sistemas de autorização com base nos limites de PCI e nas políticas definidas pela sua organização. Atuar de acordo com as conclusões ajuda a tornar seu ambiente mais seguro. As três conclusões com maior impacto na redução das pontuações de PCI são superidentidades, identidades inativas e identidades superprovisionadas.
Superidentidades
As superidentidades têm as permissões de privilégio mais altas em um sistema de autorização. Elas incluem identidades humanas e não humanas, como usuários, Entidades de Serviço e funções sem servidor. Muitas superidentidades podem criar riscos excessivos e aumentar o raio de explosão durante uma violação.
Melhor prática: recomendamos cinco ou menos superidentidades de usuário e/ou grupo por sistema de autorização. Use um pequeno número de superaplicativos, Entidades de Serviço, funções sem servidor e contas de serviço. Forneça motivo e justificativa claros para usá-los.
Diretrizes de correção
- Para superidentidades esperadas, como administradores de infraestrutura, use as marcas ck_exclude_from_pci e ck_exclude_from_reports.
- A menu ck_exclude_from_pci remove a identidade da pontuação de PCI do sistema de autorização
- A marca ck_exclude_from_reports remove a identidade do Relatório de Análise de Permissões. Portanto, ela não é chamada como uma superidentidade
- Ajustar outras permissões de superidentidades e usar um modelo de acesso JIT
- Usar ferramentas de correção do Gerenciamento de Permissões para ajustar
- Configurar permissão sob demanda para obter o modelo de acesso JIT
Identidades inativas
Essas identidades não executam ações há 90 dias.
Melhor prática: ajustar regularmente as permissões de identidades inativas, que podem ser possíveis vetores de ataque para invasores.
Diretrizes de correção
Examine as identidades inativas para determinar a correção:
- Se a identidade inativa for necessária, aplique a marca ck_exclude_from_reports para remover a identidade do Relatório de Análise de Permissões. Portanto, ela não será chamada como uma identidade inativa.
- Se a identidade inativa não for necessária no seu ambiente, recomendamos que você revogue as permissões não utilizadas da identidade ou atribua o status somente leitura. Saiba como revogar o acesso a tarefas de alto risco e não utilizadas ou atribuir o status somente leitura.
Identidades superprovisionadas
Identidades superprovisionadas ou identidades superautorizadas não utilizam muitas das respectivas permissões há 90 dias.
Melhor prática: ajustar regularmente as permissões dessas identidades para reduzir o risco de uso indevido de permissões, sejam acidentais ou mal-intencionadas. Essa ação diminui o possível raio de explosão durante um incidente de segurança.
Diretrizes de correção
Corrija identidades superprovisionadas usando funções internas com privilégios mínimos ou funções personalizadas ajustadas.
Observação
Observe os limites da função personalizada. Recomendamos a abordagem de função interna menos privilegiada, se sua organização estiver perto de atingir esses limites.
Para funções internas com privilégios mínimos, recomendamos que você use o Gerenciamento de Permissões do Microsoft Entra para determinar quais permissões a identidade usa e, em seguida, atribua a função interna alinhada a esse uso.
Para funções personalizadas ajustadas, recomendamos que você corrija identidades superprovisionadas por equipes ou grupos:
Identifique uma equipe ou grupo que precise de permissões ajustadas. Por exemplo, os administradores ou desenvolvedores de um serviço Web.
Crie uma nova função ajustada com base no que a equipe usa atualmente.
Vá para Correção>Funções/Políticas>Criar Função/Política.
Selecione os usuários de uma equipe ou grupo.
Clique em Avançar e, em Tarefas Selecionadas, valide as permissões na nova função. Elas serão preenchidas automaticamente com base no histórico de atividades dos usuários/grupos selecionados.
Adicione outras expressões conforme necessário.
Crie a nova função/política.
Revogue as permissões de equipe atuais.
Atribua aos membros da equipe a função/política ajustada.
Observação
Recomendamos que você comece ajustando identidades não humanas, como entidades de serviço e contas de computador. É menos provável que a atividade de identidades não humanas varie no dia-a-dia, tornando o risco baixo para possíveis interrupções de serviço causadas pelo ajuste.
Para saber mais sobre as ferramentas de correção disponíveis no Gerenciamento de Permissões do Microsoft Entra:
- Criar uma função/política
- Clonar uma função/política
- Modificar uma função/política
- Excluir uma função/política
- Anexar e desanexar políticas de identidades da AWS
- Adicionar e remover funções e tarefas de identidades do Microsoft Azure e do GCP
- Revogar o acesso a tarefas de alto risco e não utilizadas ou atribuir o status somente leitura para as identidades do Azure e do GCP
Acompanhar o progresso e medir o sucesso
Para atender às metas organizacionais, habilite os processos para acompanhar e relatar o progresso. Algumas ferramentas do Gerenciamento de Permissões do Microsoft Entra são:
- Relatório de Histórico de PCI: receba uma visão geral regular e detalhada de como as pontuações de PCI em sistemas de autorização e pastas mudam ao longo do tempo. Meça se sua organização está atendendo e mantendo as metas de PCI. Recomendamos que você agende um Relatório de Histórico de PCI recorrente para os principais stakeholders. Verifique se a cadência corresponde às revisões de progresso internas.
- Relatório de Análise de Permissões: meça o progresso da correção e agende o relatório a ser enviado aos principais stakeholders e/ou exporte uma versão em PDF do relatório para os sistemas de autorização regularmente. Essa prática permite que sua organização meça o progresso da correção ao longo do tempo. Por exemplo, com essa abordagem, você pode ver quantas identidades inativas são limpas a cada semana e qual impacto isso teve nas pontuações de PCI.
- Painel de Gerenciamento de Permissões: obtenha uma visão geral dos sistemas de autorização e das pontuações de PCI. Use a seção Lista de alterações do PCI mais alto para classificar sistemas de autorização por pontuação de PCI para priorizar a atividade de correção. Veja também Alteração de PCI nos últimos sete dias para ver quais sistemas de autorização tiveram mais progresso e quais podem precisar de mais revisão. Selecione sistemas de autorização na seção Mapa de Calor de PCI para acessar o Gráfico de Tendências de PCI para esse sistema de autorização. Observe como o PCI muda durante um período de 90 dias.
Operacionalizar Permissions On-Demand
Proprietário recomendado: arquitetura de segurança da informação
O Permissions On-Demand conclui a imagem JIT e just-enough-access, permitindo que as organizações concedam aos usuários permissões de limite de tempo, quando necessário.
Para operacionalizar o Permissions On-Demand, crie e mantenha um processo bem definido para implementar o Permissions On-Demand no seu ambiente. A tabela a seguir descreve as tarefas e os proprietários recomendados.
| Tarefa | Proprietário recomendado |
|---|---|
| Determinar quais sistemas de autorização usar com o Permissions On-Demand | Arquitetura de segurança da informação |
| Defina os processos de administração para integrar novos sistemas de autorização ao modelo Permissions On-Demand. Selecione e treine Aprovadores e Solicitantes e, em seguida, delegue permissões. Confira a seção a seguir para obter mais detalhes. | Arquitetura de segurança da informação |
| Atualizar procedimentos de modelo operacional padrão para atribuições iniciais de permissões de usuário e um processo de solicitação para permissões ad hoc | Arquitetura de segurança da informação |
Determinar aprovadores
Os aprovadores examinam as solicitações do Permissions On-Demand e têm autoridade para aprovar ou negar solicitações. Selecione Aprovadores para os sistemas de autorização que você deseja usar com o Permissions On-Demand. Recomendamos pelo menos dois Aprovadores para cada sistema de autorização.
Criar grupos de segurança do Microsoft Entra para aprovadores
Para delegar permissões, sua equipe do IAM cria grupos de segurança do Microsoft Entra que são mapeados para seus Aprovadores. Verifique se os Aprovadores com responsabilidades e posse compartilhada estão no mesmo grupo de segurança.
Recomendamos que você use PIM para Grupos. Isso fornece acesso JIT às permissões do Aprovador para aprovar ou negar solicitações do Permissions On-Demand.
Para criar grupos de segurança do Microsoft Entra ID, consulte gerenciar grupos e associação de grupo.
Atribuir permissões a Aprovadores
Depois que os grupos de segurança do Microsoft Entra são criados, um Administrador de Gerenciamento de Permissões concede aos grupos de segurança suas permissões de Aprovador no Gerenciamento de Permissões. Verifique se os grupos de segurança receberam permissões de Aprovador para os sistemas de autorização pelos quais são responsáveis. Saiba mais sobre Funções e níveis de permissões do Gerenciamento de Permissões do Microsoft Entra.
Determinar e criar um grupo de segurança do Administrador Solicitante
Designe pelo menos dois Administradores Solicitantes que criam as solicitações do Permissions On-Demand em nome das identidades no seu ambiente. Por exemplo, para identidades de computador. Crie um grupo de segurança do Microsoft Entra para esses administradores solicitantes.
Recomendamos que você use PIM para Grupos. Isso fornece acesso JIT às permissões do Solicitante necessárias para fazer solicitações do Permissions On-Demand em nome de outros usuários.
Para criar grupos de segurança do Microsoft Entra ID, consulte gerenciar grupos e associação de grupo.
Permitir que os usuários façam solicitações do Permissions On-Demand
Um Administrador de Gerenciamento de Permissões adiciona identidades de Solicitante ao grupo de segurança do Administrador Solicitante para cada sistema de autorização. A adição de uma identidade do Solicitante permite que ele faça solicitações do Permissions On-Demand para qualquer sistema de autorização, para o qual ele tem permissões. Os membros do grupo de segurança do Administrador Solicitante podem solicitar permissões em nome das identidades para o sistema de autorização especificado. Saiba mais sobre Funções e níveis de permissões do Gerenciamento de Permissões do Microsoft Entra.
Determinar políticas organizacionais para Permissions On-Demand
Você pode definir as configurações do Permissions On-Demand para se alinhar às necessidades organizacionais. Recomendamos que você estabeleça políticas para:
- Funções e políticas disponíveis para os usuários solicitarem: use filtros de função e política para especificar o que os usuários podem solicitar. Impeça que usuários não qualificados solicitem funções de alto risco e altamente privilegiadas, como Proprietário da Assinatura.
- Limites de duração da solicitação: especifique a duração máxima permitida para permissões adquiridas por meio do Permissions On-Demand. Concorde com um limite de duração alinhado à forma como os usuários solicitam e obtêm acesso às permissões.
- Política de OTP (Senha de Uso Único): você pode exigir OTPs de email para que os solicitantes criem solicitações. Além disso, você pode exigir OTPs de email para Aprovadores para aprovar ou rejeitar solicitações. Use essas configurações para um ou ambos os cenários.
- Aprovações automáticas paraAWS: como opção para o Permissions On-Demand para AWS, você pode configurar solicitações de política específicas para serem aprovadas automaticamente. Por exemplo, você pode adicionar políticas comuns e de baixo risco à sua lista de aprovação automática e ajudar a economizar tempo para Solicitantes e Aprovadores.
Saiba como fazer seleções de configuração para solicitações e aprovações automáticas.
Criar modelos de função/política personalizados para a organização
No Gerenciamento de Permissões do Microsoft Entra, modelos de função/política são conjuntos de permissões que você pode criar para o Permissions On-Demand. Crie modelos que mapeiem para as ações comuns executadas no seu ambiente. Em seguida, os usuários têm modelos para solicitar conjuntos de permissões, em vez de selecionar continuamente permissões individuais.
Por exemplo, se a criação de VM (máquina virtual) for uma tarefa comum, faça um modelo Criar uma VM com as permissões necessárias. Os usuários não precisam saber ou selecionar manualmente todas as permissões necessárias para a tarefa.
Para aprender a criar modelos de função/política, confira Exibir funções/políticas e solicitações para permissão no painel Correção.