Além do "EU SOU ROOT"

A maioria das empresas ainda é a favor da adoção da nuvem híbrida. É fato que elas atingiram um nível de virtualização, mas ainda precisam se libertar dos controles de acesso de dispositivos de rede e de servidores/SO que interrompem as aplicações quando as medidas de segurança são inseridas. Enquanto isso, os projetos de nuvem SaaS e PaaS não-sancionados proliferam à medida que as organizações tentam acompanhar as crescentes demandas de produtividade em meio a implantações de tecnologias em toda a empresa. Além disso, convencer um administrador raiz de que deveria desistir do acesso direto/backdoor aos sistemas em nome da segurança é sempre um desafio.

Abaixo, descrevo três estratégias para proteger sua infraestrutura de TI híbrida com acesso privilegiado restrito e, ao mesmo tempo, aumentar a produtividade. Cada uma depende da autenticação unificada IDaaS (Identity as a Service) com controles de gerenciamento de contas privilegiadas (PAM) para oferecer a todos os funcionários uma maneira melhor de interagir com sua infraestrutura e aplicativos SaaS.

1. Ponte de acesso à infra-estrutura

Se você perguntar a qualquer administrador qual é a parte mais lenta, menos segura ou mais irritante do seu acesso ao sistema, eles geralmente dirão a seguinte ladainha: vários logins / senhas, sessões de área de trabalho remota, servidores Linux com protocolo aberto SSH e SCP desejável por hackers portas, firewalls, roteadores e switches que impedem o acesso e certificados perdidos / expirados.

Com a autenticação IDaaS moderna e os controles de gestão de contas privilegiadas trabalhando em conjunto, esses sistemas podem ser reorganizados para acesso com privilégios mínimos. Na melhor das hipóteses, eles podem ser substituídos por microsserviços orquestrados, Docker e projetos de segmentação de rede - representando uma evolução para aqueles que buscam redução de custos de CAPEX para OPEX. Enquanto isso, uma solução PAM protegendo os servidores e uma solução IDaaS hospedando um LDAP virtual – com comunicação RADIUS - pode aliviar a dor de vários modelos de segurança de acesso privilegiado, enquanto fornece uma ponte para a tecnologia de substituição.

2. Conquiste a confiança do administrador root

Conflitos em relação a políticas de privilégio mínimo geralmente ocorrem quando o acesso direto do administrador root à Internet, à nuvem e à rede é ajustado. Suas credenciais perdidas, ou roubadas, apresentam um risco enorme para uma organização, mas muitas vezes, na pressa de mitigar, a produtividade pode ser sacrificada. Combinar o PAM e o IDaaS por meio de single sign on (SSO) é uma prática recomendada porque separa o administrador de suas credenciais conhecidas, mas ainda permite seu acesso. Para atrair a cooperação do administrador root, também é importante oferecer:

- Menos logins e senhas para não correr o risco de esquecimentos (um login é ótimo)

- Hospedagem de acesso privilegiado na nuvem usando autenticação moderna; removendo assim um ônus de encapsulamento VPN. Isso também oferece melhor acesso ao hardware em rede

- Aproveitando essas ferramentas de nuvem, o administrador pode trabalhar com mais segurança e em qualquer lugar, com todo o acesso a recursos de um único painel.

O PAM e o IDaaS juntos fornecem melhor segurança ao permitir o acesso entre os aplicativos de um administrador e suas credenciais. A maioria dos ataques cibernéticos que visam usuários privilegiados é frustrada com essa etapa bloqueada (normalmente um desafio contextual de vários fatores), forçando o administrador a provar sua identidade com algo que tem em mãos. Com uma auditoria baseada em comportamento de todas as atividades escaladas/autorizadas, todas as marcas de verificação de conformidade se encaixam. O melhor de tudo, a solução mais segura é também a mais conveniente!

Figura 1: O PAM plus IDaaS com SSO oferecem redefinição de senha de autoatendimento, redundância de nuvem, multifatores e acesso sem VPN. Combinadas, as soluções aproveitam conexões IdP confiáveis para fornecer autenticação moderna e acesso a aplicativos para todos os usuários - tanto privilegiados quanto não-privilegiados.

3. Equilíbrio entre segurança e simplicidade

Atingir o equilíbrio adequado entre controles de segurança maiores na adoção da nuvem facilita o acesso administrativo a esses recursos poderosos. Isso torna a era da nuvem híbrida mais segura e determina o sucesso ou o fracasso da transformação de uma organização de "status quo vulnerável" para "autenticação moderna".

As ferramentas PAM / IDaaS protegem as credenciais do administrador, mesmo que ele seja ameaçado. Os backdoors, as URLs de serviço e a necessidade de lembrar senhas são todos desnecessários por um portal SSO de acesso total para todos os servidores e prompts de comando do administrador. Um administrador nem precisa lembrar a senha do portal se tiver um certificado de desktop instalado.

A nuvem traz confiabilidade e redundância, que é exatamente o que um administrador que enfrenta uma indisponibilidade requer. Mesmo saindo da organização ou de férias, ele poderá ficar tranquilo sabendo que seus aplicativos críticos são acessados com segurança ou revogados por meio de um local delegável. Ao agrupar a redefinição de senha de autoatendimento com o SSO, a maioria dos bloqueios e das chamadas ao suporte técnico é eliminada, portanto, o administrador nem sequer é incomodado. Até mesmo o CIO pode intuitivamente encontrar o "botão certo".

Figura 2: O provisionamento e o desprovimento vinculam um sistema PAM e IDaaS juntos, porque os relógios PAM usam. E quando comportamentos inseguros são bloqueados ou sessões são encerradas, as ações podem ser realimentadas para bloquear ou encerrar sessões vinculadas a esse usuário do IDaaS - não apenas para o sistema privilegiado, mas também para as sessões desse usuário em todos os outros sistemas.

Um especialista inteligente em transformação de TI unirá as soluções PAM e IDaaS para incentivar os administradores root a encontrar o equilíbrio perfeito entre melhor segurança e melhor conveniência para eles mesmos. Se o usuário "Sou root" aprovar; todos são capazes de aproveitar os benefícios também.

Quer insights mais profundos sobre como manter as contas privilegiadas seguras, além de simplificar o gerenciamento de acesso? Assista ao webinar no dia 2 de maio, às 10h PT, com apresentação de Dave Shackleford - Consultor de Segurança da Voodoo, Shaun Pressley - Senior SE na BeyondTrust, e eu! Inscreva-se aqui!