Explicar o que é auditoria na identidade

  • 3 minutos

É necessário entender o valor e a finalidade das auditorias na sua solução de identidade. A auditoria fornece uma forma de um administrador detectar um ataque que já ocorreu ou que está em andamento. Além disso, a auditoria é uma ferramenta para conformidade e acompanhamento para descobrir qual identidade executou determinada ação. A auditoria ainda pode ajudar um desenvolvedor a depurar problemas relacionados à segurança. Por exemplo, se um erro na configuração da política de autorização ou verificação negar acidentalmente o acesso a um usuário autorizado, um desenvolvedor poderá descobrir e isolar rapidamente a causa desse erro examinando o log de eventos.

Todas as atividades, da entrada a uma alteração de senha e à configuração e ao uso da autenticação multifator, podem ser registradas em log, relatadas e monitoradas. Esses logs dão ao administrador de identidade um recurso para analisar o desempenho da solução de identidades e acesso. Práticas de auditoria benéficas mantêm suas identidades seguras, o que, por sua vez, mantém seus dados e suas soluções seguros. Alguns dos diferentes logs dos quais você deseja estar ciente para auditoria são os logs de atividades do Microsoft Entra, os logs de entrada, os logs de provisionamento e os logs de auditoria. Você pode usar várias ferramentas do Azure Monitor para o Microsoft Sentinel para relatório e monitoramento.

Entender o conceito de governança

Segundo o dicionário Merriam-Webster, governança é o ato ou o processo de supervisionar o controle e a direção de um sistema. Esse sistema pode ser um governo, um orçamento ou uma solução de identidade no Azure. A governança tem processos e controles em vigor para operar os sistemas e avaliar a execução responsável do sistema. Nunca é suficiente criar uma solução e depois esquecê-la. Você precisa monitorar a execução dela, atualizar os processos regularmente, remover ou substituir recursos desatualizados etc. Se você não fizer isso, o sistema se degradará lentamente e falhará. A governança é a mesma com uma solução de gerenciamento de identidades que você cria no Azure. Você precisa monitorar, avaliar e atualizar o sistema ao longo do tempo.

Cenário A história simples, mas provável
Mateus, o desenvolvedor de aplicativos Você tem um usuário chamado Mateus. Mateus recebe uma conta na sua empresa e trabalha nela por vários anos. Ao longo desse tempo, o usuário recebe acesso de administrador para implantar um aplicativo que Mateus ajudou a criar. Mais tarde, Mateus deixa a empresa de maneira amigável. No entanto, a conta de usuário nunca é removida do sistema. O gerente de Mateus se esqueceu de enviar a documentação para fechar a conta. Não há nenhum sistema de governança em vigor para observar que a conta não está em uso e que Mateus não está mais listado nos sistemas de RH. Um ano depois, Mateus é vítima de um email de phishing e tem um nome de usuário pessoal e uma senha roubados. Assim como muitas pessoas, Mateus usou uma senha semelhante para contas corporativas e da vida pessoal. Adivinha, agora você tem um cenário em que os seus sistemas podem ser invadidos pelo que parece ser uma conta válida.

Por que a governança? Nesse cenário, a governança pode ajudar em muitas áreas diferentes:

  • Verificar com o RH regularmente para ver se todas as contas ainda existem no banco de dados de RH como funcionários.
  • Verificar a última vez em que uma conta se conectou.
  • Verificar se a conta precisa de todos os direitos que tem atualmente.
  • Verificar se as senhas são alteradas regularmente, ou melhor, se os funcionários usam a MFA.
  • Além dessas, muitas outras.

Entender o conceito de gerenciamento do ciclo de vida de identidades

O gerenciamento do ciclo de vida de identidades é a base para o Identity Governance e a governança efetiva em escala requer modernizar a infraestrutura de gerenciamento do ciclo de vida de identidades para aplicativos. O objetivo do Gerenciamento do Ciclo de Vida de Identidades é automatizar e gerenciar todo o processo de ciclo de vida de identidade digital.

Gerenciar identidades digitais é uma tarefa complexa. Você precisa correlacionar objetos do mundo real, como uma pessoa e a relação dela com uma organização. Pense no usuário como um funcionário da organização, com uma representação digital. Em pequenas organizações, manter a representação digital de pessoas que precisam ter uma identidade pode ser um processo manual. Quando alguém é contratado ou um prestador de serviços chega, um especialista em TI pode criar uma conta para ele em um diretório. Em seguida, ele recebe o acesso de que precisam. No entanto, em organizações de médio e grande portes, a automação pode permitir que a organização use a escala. A automação permite que a TI mantenha as identidades precisas.

O processo típico para estabelecer o gerenciamento do ciclo de vida de identidades em uma organização segue estas etapas:

  1. Já existem sistemas de registro, fontes de dados, que a organização trata como autoritativos? Por exemplo, a organização pode ter um sistema de RH. Esse sistema tem autoridade para fornecer a lista atual de funcionários e algumas das propriedades deles, como nome do funcionário ou departamento.
  2. Compare o sistema de registro com um ou mais diretórios e bancos de dados usados pelos aplicativos e resolva as inconsistências entre os diretórios e os sistemas de registro.
  3. Determine os processos que podem ser usados para fornecer informações autoritativas para os visitantes. É necessário encontrar uma maneira alternativa de determinar quando uma identidade digital para um visitante não é mais necessária.

Estratégia de gerenciamento do ciclo de vida de identidades

Você precisa planejar o gerenciamento do ciclo de vida de identidades para funcionários ou outras pessoas com uma relação organizacional. Com cada prestador de serviços ou aluno, muitas organizações modelam o processo de "ingressar, mover e sair". As definições de ingressar, mover e sair são:

  • Ingressar: quando um indivíduo entra no escopo da necessidade de acesso, uma identidade é necessária para esses aplicativos, portanto, uma nova identidade digital pode precisar ser criada se ainda não estiver disponível.
  • Mover – Quando uma pessoa se move entre limites, é necessário adicionar ou remover uma autorização de acesso extra à identidade digital dela.
  • Deixar: quando um indivíduo deixa o escopo do acesso necessário, o acesso pode precisar ser removido e a identidade não é mais exigida pelos aplicativos, a não ser para fins de auditoria ou forense.

Por exemplo, se um novo funcionário ingressar na sua organização, sem nunca ter sido afiliado a ela antes, esse funcionário precisará de uma nova identidade digital, representada como uma conta de usuário no Microsoft Entra ID. A criação dessa conta se enquadrará em um processo "Ingressar", que poderá ser automatizado. Mais tarde, se a sua organização tiver um funcionário que mudou, digamos, do departamento de Vendas para o de Marketing, ele se enquadrará em um processo "Mover". Uma "movimentação" exige a remoção dos direitos de acesso que o usuário tinha na organização de Vendas, dos quais ele não precisa mais. Em seguida, a concessão de direitos na organização de Marketing dos quais ele precisa agora.

Ferramentas de monitoramento

Sempre pense em Confiança Zero: verificação explícita, uso do acesso de privilégios mínimos e suposição de violação

Serviços de monitoramento:

  • Azure Monitor
  • Application Insights
  • Integridade do Serviço do Azure
  • Azure Resource Health
  • Azure Resource Manager
  • Azure Policy