Skip to main content

Transformação Digital – Segurança na nuvem e a autenticação e autorização em AWS

By 12 de fevereiro de 2021maio 9th, 2022Acessos e SSO

Vamos retomar a conversa sobre os riscos ao qual a empresa se expõe na jornada digital.

Na parte I deste artigo, Transformação Digital – Segurança dos dados na nuvem, tratamos o alto nível dos principais riscos e, apresentamos alguns casos onde intrusos, materializando um risco através da exploração de vulnerabilidades, causam enormes prejuízos para as empresas.

Neste artigo, confira uma forma de evitar esses prejuízos.

Provedores de serviços na nuvem

Vamos então aos detalhes mais técnicos dos principais provedores de serviços na nuvem. Iniciaremos com a AWS Amazon, no próximo artigo trataremos das alternativas oferecidas pelo Google.

A Amazon possui uma estrutura denominada IAM, que cuida exatamente do processo de autenticação e autorização para os recursos que ela disponibiliza. Os componentes principais dessa estrutura são: usuários, grupos, roles e policies. E vamos falar um pouquinho de cada um deles.

Usuários: são as entidades, normalmente vinculadas a uma pessoa ou uma aplicação que pode ter direitos no ambiente AWS;

Grupos: O objetivo do uso de grupos é evitar que os direitos precisem ser concedidos individualmente para cada usuário. Quando os direitos são concedidos para um grupo, automaticamente os usuários membros do grupo passam a ter esse direito. É igualmente importante lembrar que ao retirar o direito do grupo, os usuários também não terão mais acesso ao recurso. Uma boa prática de administração é conceder direitos para grupos e não aos usuários, de forma que você possa ter um controle vinculado a funções ou regras de negócio;

Roles: Diretamente do inglês “roles”, são os papéis que podem ser assumidos por usuários ou aplicações. A AWS recomenda que não se concedam direitos diretamente para as pessoas e muito menos para uma aplicação. No caso das aplicações, a recomendação é que sejam definidas roles, e estas roles sejam vinculadas às aplicações que durante sua execução tem acesso aos recursos definidos pelas policies;

Policies: São regras de acesso, ou seja, as definições de quais recursos e de que forma estes podem ser acessados por usuários, grupos ou roles. As policies podem ser criadas pelo usuário ou podem ser fornecidas como padrão no ambiente a AWS. Qualquer que seja o caso, a recomendação de boas práticas é que sejam utilizadas policies que garantam os direitos necessários para a função, e não mais do que isso. Essas policies são vinculadas preferencialmente a roles e grupos. Apenas em casos muito especiais devem ser concedidas diretamente aos usuários.

A grande diferença com relação às boas práticas normais dos sistemas utilizados on premise, é a utilização das roles. Entenda que as roles são como grupos temporários, uma aplicação quando vinculada a uma role, poderá utilizar os recursos vinculados a esta, durante a sua execução. Os direitos associados às roles são os descritos nas policies, que são vinculadas a role.

Características do ambiente AWS

Uma característica interessante do ambiente AWS, é que você pode utilizar os usuários atualmente cadastrados, por exemplo: no seu diretório de rede como AD ou LDAP, sem necessidade de criar novos usuários na estrutura de IAM da AWS. Isso é feito utilizando a funcionalidade de federação, redirecionando o processo de autenticação e autorização, para um provedor de autenticação. Este provedor, ou IDP, supre esta função de intermediar a autorização e autenticação, utilizando um protocolo SSO, como por exemplo, o SAML.

Ambientes na nuvem

Como fazer então para gerenciar os ambientes na nuvem, garantindo minimamente os controles de segurança de acesso às informações e aplicações críticas?

Tomando como base os ataques bem-sucedidos que causaram graves prejuízos às empresas vamos listar algumas recomendações que podem ser úteis ao seu planejamento:

  • Avalie a possibilidade de contratar uma solução de SSO, que como mencionado acima, permite que você utilize os usuários e senhas já cadastrados no seu AD ou LDAP, de forma que você não criará uma nova variável de risco que pode expor o seu ambiente. De quebra, os usuários terão o benefício de utilizar a mesma senha para diversas aplicações;
  • Implante um sistema de autenticação multifator, ou seja, para acesso ao sistema, deve ser necessário fornecer, além da senha, algum artefato adicional. Alguns exemplos de multifator são: autenticadores como Google ou Microsoft, bem como tokens e biometria;
  • Avalie com cuidado as roles e as policies que são vinculadas, sempre que possível utilize policies diferentes para evitar que, em caso de falha de aplicação de uma determinada role, possa expor todo o ambiente a um acesso indevido;
  • Sempre lembrar que os direitos devem ser concedidos a grupos e não individualmente para os usuários;
  • Por fim, inclua em seu planejamento a automatização do processo de gestão de acesso e identidades na nuvem, utilizando ferramentas da identidade governança, bem como SSO. Estudos comprovam que o retorno de investimento utilizando ferramentas é extremamente favorável às empresas, sem contar a redução dos riscos financeiros e de imagem.

Gostou do artigo? Então que tal continuar sua trilha de conhecimento lendo nossas sugestões abaixo:

O que é gestão de identidades e acessos? (Parte 1)

Entenda os principais benefícios do SSO

Garanta a segurança dos dados no acesso remoto

Quanto custa uma senha?