O que Identity Governance e Privileged Access Management tem a ver com DevOps e Automação de carga de trabalho?

Por Dezembro 6, 2017

Iniciativas que envolvem orquestração de serviços, automação de releases, entrega contínua e automação da carga de trabalho normalmente são executadas sem cuidado, o que pode dar abertura para incidentes de segurança e falhas operacionais internas.

Imagine que tudo que se automatiza depende de contas de serviço onde uma aplicação acessa outra, como um banco de dados, por exemplo, sendo executada por operadores que possuem contas privilegiadas para fazer um deploy de uma aplicação web.

Qual seria o risco de um operador ter o conhecimento de uma senha do root de um servidor, após a implantação de um projeto de DevOps?

Estas são algumas das boas práticas que recomendo para vocês:

Com apoio de uma ferramenta de governança de identidades:

  1. Realize um inventário das contas privilegiadas;
  2. Realize uma limpeza prévia de contas órfãs, contas com muito privilégio, contas com acessos a recursos que não sejam por meio de grupos ou perfis;
  3. Realize uma recertificação dos acessos junto aos gestores dos ativos (donos dos servidores, application servers ou banco de dados);
  4. Defina dentro da TI se existem regras de segregação de função;
  5. Estabeleça uma governança contínua dos acessos.

Após isso, com o apoio de uma ferramenta de gestão de acessos privilegiados:

  1. Mapeie as contas dentro do cofre;
  2. Remova do conhecimento da senha do operador, ficando a guarda da senha no cofre;
  3. Ative a auditoria e gravação dos acessos;
  4. Defina as políticas de controle de comandos;
  5. Ajuste as contas de serviço dos aplicativos para que eles resgatem do cofre.

Feito isso, vamos à implantação dos projetos de DevOps e Automação:

  • Onde a tecnologia permitir, o ferramental de DevOps e Automação pode, por meio de APIs, resgatar a credencial para o uso no ambiente da empresa;
  • Onde a tecnologia não permitir, uma pessoa utilizará a ferramenta de gestão de acessos privilegiados para obter e cadastrar a credencial manualmente – neste ponto,  eventualmente com um multi fator de autenticação apoiando a segurança;
  • Os acessos que não devem mais ocorrer fora da automação, devem ser removidos dos operadores.

Com isso, seu projeto será mais efetivo e o risco de fraudes e falhas operacionais em sua operação irá diminuir bastante.

Escrito por Alfredo Santos
Ajudando clientes a planejar e executar suas iniciativas estratégicas de transformação digital
LinkedIn: @alfredosantos