Skip to main content

Transformação Digital – Segurança na nuvem e a autenticação e autorização no Google

By 3 de março de 2021dezembro 8th, 2021Gestão de Identidade

Artigo: Transformação Digital Segurança na nuvem e autenticação no Google

Vamos lembrar? Já falamos sobre a Transformação Digital – Segurança dos dados na nuvem e sobre a Segurança na nuvem e a autenticação e autorização em AWS. Agora vamos retomar a conversa sobre os riscos aos quais as empresas se expõem nesta jornada digital, especificamente das soluções do Google para autenticação e autorização.

Falando dos recursos, por exemplo, instâncias de máquina virtual do Compute Engine, clusters do Google Kubernetes Engine (GKE) e Clusters do Cloud Storage são todos recursos do Google Cloud. Mas não apenas isto, as organizações, pastas e projetos também são recursos.

Na estrutura Google os direitos não são concedidos diretamente aos usuários. Ao invés disto os direitos são agrupados em “roles” do inglês “papéis”. Estas roles, é que são vinculadas aos usuários, quando devidamente autenticados. Os direitos de acesso aos recursos são descritos nas “policy”, e estas por sua vez vinculadas aos recursos. Quando um usuário busca acesso a um recurso, é feita uma verificação para identificar quais ações são permitidas pela “policy”.

Quais conceitos de Gestão de identidade são os mais importantes para garantir o equilíbrio no movimento para a nuvem?

Primeiramente, o conceito de “member”, que em uma tradução mais livre é a situação onde o usuário faz parte de um determinado conjunto. Vamos aos principais conjuntos onde o usuário pode ser um membro: contas Google, serviços, grupos, Google Workspace Domain, Cloud Identity Domain.

Tipos de contas

E agora vejamos um pouco da relação entre eles:

Google Account: se refere a um usuário identificado por um endereço de e-mail vinculado um domínio;

Service Account: se refere a uma aplicação e não a um usuário individual. Quando você executa um programa na nuvem da Google, este programa roda como esta conta de serviços, ou seja, utilizando os recursos autorizados a uma determinada conta de serviço;

Os grupos e domínios são similares aos conceitos disseminados, o domínio é um conjunto de contas, normalmente compartilhando um endereço de e-mail como identificador. E os grupos são os nossos conhecidos, agrupadores de pessoas e direitos.

Cloud Identity Domain: é um serviço de gestão de acesso, que permite ao Google assumir a função, por exemplo, de provedor se serviços, delegando a autenticação e autorização para um IDP ou provedor de identidade externo.

Folders e Project: os folders podemos comparar a uma estrutura, com os departamentos de uma organização, ou seja, algo como uma sub organização. As organizações e projects podem ter associados um ou mais projects e esses, por sua vez, são à base da arquitetura e são necessários para o acesso aos recursos da Google Cloud.

Agora recapitulando, quando um usuário precisa de acesso a um determinado recurso, deve concedido um Role que a devida autorização.

Os direitos podem ser concedidos para projets ou em alguns casos com maior granularidade, como por exemplo, para o acesso a uma “bucket” de dados, o que é muito útil, caso seja corretamente utilizado e lembrando do primeiro artigo, onde comentamos sobre os incidentes causados por acesso indevido.

Evidentemente o desenho da arquitetura e dos processos de gestão de acesso ao ambiente Google é consideravelmente mais complexo do que pode ser coberto em uma série de 3 artigos.

Mas, se você nos acompanhou até aqui, acredito que percebeu que os métodos e processos utilizados para gerenciar os acessos no ambiente on premise não são exatamente os mesmos para o ambiente cloud.

Mesmo parecendo semelhante à primeira vista, as estruturas dos provedores de nuvem possuem algumas diferenças não tão sutis.

O fato é que administrar os acessos e a governança nestes ambientes sem uma solução de gestão de identidades será por si só uma atividade de alto risco. E daqueles riscos que caso se materializam tem impacto em toda a organização, com prejuízos graves.

Se a sua organização está de alguma forma envolvida com projetos de nuvem e transformação digital, fique muito atento à gestão de direitos e acessos. Pode ser um ponto de falha ou um diferencial positivo.

Gostou dessa série de artigos?

Agora que você sabe da importância de uma solução de Gestão de Identidades e Acessos, que tal conhecer o HORACIUS IAM? CLIQUE AQUI e conheça!