Como implementar o princípio do menor privilégio na nuvem
O princípio do menor privilégio (PoLP) estipula que os usuários devem receber o mínimo de privilégios necessários para desempenhar sua função e é indiscutivelmente um dos princípios mais importantes da segurança de dados.
O PoLP ajuda a minimizar a superfície de ataque - limitando a quantidade de danos que podem ser causados se um invasor obtiver acesso a um conjunto de credenciais. Da mesma forma, o PoLP ajuda a proteger contra pessoas internas negligentes e mal-intencionadas.
À medida que os governos de todo o mundo introduzem os seus próprios regulamentos rigorosos de privacidade de dados, a falha na restrição adequada do acesso aos dados pessoais pode resultar em processos judiciais e multas dispendiosas.
Qual é o princípio do menor privilégio?
Em teoria, o PoLP é muito simples. Todas as identidades - humanas e não humanas - devem receber os mínimos privilégios de que necessitam, pelo menor período de tempo possível. No entanto, há uma grande diferença entre a teoria e a prática.
Tentar descobrir quais privilégios cada usuário (ou grupo de usuários) deve ter em uma rede centralizada e auto-hospedada é um desafio por si só. Com os ambientes de TI se tornando cada vez mais complexos, distribuídos e dinâmicos, o desafio é cada vez maior.
Hoje em dia, muitos ambientes de TI estão espalhados por diversas plataformas de nuvem, cada uma com seus próprios mecanismos de controle de acesso, logs de eventos e recursos de auditoria. Como resultado, as equipes de segurança muitas vezes ficam coçando a cabeça tentando descobrir quais dados possuem, onde estão localizados, quem deve ter acesso a eles e por quanto tempo.
A restrição dos direitos de acesso deve ser feita com um elevado nível de precisão, não apenas para proteger dados sensíveis, mas também para garantir que os funcionários sejam capazes de desempenhar adequadamente as suas funções sem restrições desnecessárias. É justo dizer que seus funcionários não ficarão muito impressionados se tiverem que atormentar constantemente o departamento de TI para obter acesso aos dados de que precisam, e isso também não será muito divertido para o departamento de TI.
Dicas para implementar o menor privilégio na nuvem
Atribuir os controles de acesso apropriados requer algumas tarefas iniciais, que incluem a localização de seus ativos críticos e a remoção de quaisquer dados e contas redundantes. Ao implementar o princípio de menor privilégio na nuvem, o ideal é usar uma única solução de gerenciamento de acesso de identificação (IAM) e uma única solução para monitorar permissões. A solução de auditoria escolhida deve ser capaz de agregar e correlacionar logs de eventos de várias plataformas de nuvem, bem como de ambientes híbridos.
1. Descubra e classifique seus dados confidenciais
Talvez o melhor lugar para começar seja garantir que sabemos exatamente quais dados confidenciais temos e onde eles estão localizados. As plataformas de nuvem mais populares fornecem recursos de classificação de dados prontos para uso, incluindo AWS, Azure e Google Cloud. No entanto, para ambientes multinuvem ou híbridos, existem soluções de terceiros que examinarão seus repositórios locais e remotos e descobrirão e classificarão automaticamente os dados confidenciais à medida que forem encontrados. Algumas soluções também podem classificar dados confidenciais no momento da criação. É sempre uma boa prática certificar-se de que todos os dados redundantes sejam removidos antes de tentar implementar o PoLP. Estabelecer uma compreensão profunda de quais dados você possui torna o processo de atribuição de direitos de acesso consideravelmente mais fácil.
2. Implementar controle de acesso baseado em função (RBAC)
Uma técnica comum usada para simplificar o processo de configuração do PoLP é o controle de acesso baseado em função (RBAC). Em vez de tentar atribuir direitos de acesso a indivíduos específicos, você pode definir um conjunto abrangente de funções, cada uma com seus respectivos privilégios, e atribuir usuários a essas funções de forma ad hoc. Embora o RBAC seja indiscutivelmente menos granular do que atribuir direitos de acesso por usuário, geralmente é mais seguro, pois é menos sujeito a erros. As plataformas de nuvem mais populares fornecem controle de acesso baseado em funções, incluindo AWS, Azure e Google Cloud.
3. Identifique e remova contas de usuários inativas
Você precisará garantir que todas as contas de usuário inativas sejam identificadas e removidas antes de implementar o PoLP. Como as contas de usuários inativas raramente são monitoradas, os hackers costumam atacá-las, pois isso lhes permite obter acesso persistente à rede com menos risco de serem pegos.
4. Monitore contas privilegiadas em tempo real
Você precisará garantir o máximo de visibilidade possível sobre quem já está acessando quais dados e quando. A maioria das soluções de auditoria em tempo real usa técnicas de aprendizado de máquina para monitorar o comportamento do usuário e estabelecer padrões de uso que podem ser testados para identificar anomalias. Depois de compreender os padrões de comportamento de cada usuário, você pode usar essas informações como um guia para determinar a quais dados cada usuário deve ter acesso.
5. Implementar controles de acesso dinâmicos e acesso Just In Time (JIT)
É claro que há momentos em que um usuário pode precisar de acesso a ativos aos quais normalmente não precisa. Por razões óbvias, não podemos simplesmente conceder acesso a um usuário só porque ele o solicitou. É necessário que haja um processo formal para determinar a legitimidade do seu pedido.
Também precisamos garantir que confiamos na(s) pessoa(s) que aprovam a solicitação. Em alguns casos, especialmente ao implementar o PoLP, os administradores podem precisar realizar uma entrevista cara a cara com determinados usuários privilegiados para obter uma visão mais profunda sobre quais dados eles precisam acessar e por quê.
Todas as solicitações de acesso, juntamente com seu status de aprovação, devem ser registradas e monitoradas. O registro deve incluir informações sobre o usuário que fez a solicitação de acesso, bem como sobre o usuário que aprovou/recusou a solicitação. O registro também deve incluir detalhes sobre a data e hora da solicitação/aprovação, os dispositivos utilizados e qualquer outra informação relevante.
O acesso Just In Time (JIT) é o processo que permite às organizações conceder acesso a recursos por um período limitado de tempo. Não seria aconselhável implementar o JIT manualmente, pois os humanos são propensos a erros e provavelmente se esquecerão de revogar o acesso.
Em vez disso, você deve usar uma solução automatizada que irá gerar um alerta quando os direitos de acesso expirarem ou simplesmente revogar o acesso automaticamente. Muitas plataformas de segurança de dados permitem que as organizações detectem e respondam a eventos que correspondam a uma condição de limite predefinida ou detectem anomalias no comportamento e nas tendências do usuário - inclusive quando o acesso de um usuário está para ser revogado. Por exemplo, após um determinado período de tempo, um alerta pode ser gerado ou um script pode ser executado que revogará os privilégios de um determinado usuário (ou função).
Como o Lepide ajuda
Para concluir, atribuir os direitos de acesso apropriados não é uma prática simples. Em primeiro lugar, requer estabelecer uma compreensão profunda dos seus dados. Requer uma consideração cuidadosa sobre como sua empresa está estruturada, para ajudá-lo a definir os grupos de funções aos quais você atribuirá usuários. Requer visibilidade clara de como seus dados são acessados e capacidade de aprender padrões de uso para ajudá-lo a entender quais usuários normalmente acessam quais dados. Finalmente, você precisará de processos para conceder acesso temporário e de tecnologias que possam automatizar o processo de revogação do acesso quando ele não for mais necessário.
Se você quiser ver como a plataforma de segurança de dados Lepide permite implementar privilégios mínimos por meio de classificação de dados, governança de acesso e análise comportamental, agende uma demonstração com um de nossos engenheiros ou comece seu teste gratuito hoje mesmo.