PIM e Access Review – Melhores Juntos

Tópicos:

Publicado por: Nathan Npinotti 12 Fevereiro, 2025

PIM, Privileged Identity Management, Access Review, Entra ID, Azure, Identity, Identidade

Faaala galera, 100%!?

Facilitar a vida para focar no que de fato importa é um dos lemas que devemos seguir para trazer inovação e garantir que o melhor está sendo entregue. Longe de mim cogitar que o tema do nosso artigo de hoje não seja importante, mas eu tenho certeza de que você vai curtir ter uma ajuda do Entra ID para te lembrar de rodar aquela verificação semestral de acessos.

A revisão de acessos é um ponto crítico na gestão de segurança da informação, principalmente quando se trata de acessos administrativos. O artigo de hoje vista compartilhar uma solução de revisão que utiliza o PIM (Privileged Identity Management) e o Access Review, dois recursos presentes na licença M365 E5 ou add-ons de compliance.

Antes de pular para a solução em si, obviamente, vamos começar do começo, definindo o que é cada recurso e como juntar as duas peças.

RBAC

Na nuvem Microsoft temos o conceito de acesso baseado em função, o famoso RBAC (Role based access). A ideia desse tipo de acesso é flexibilizar e granulizar as permissões existentes em cada workload. No Entra ID, por exemplo, ao invés de entregar a permissão de global admin, podemos ter o acesso específico para user administrators ou grupos. A ideia é trabalhar sempre considerando a maxima do zero trust de entregar a menor permissão necessária (least privilege access).

Além das funções padrões, é possível criar as custom roles, atribuindo ou removendo o que for necessário para seu cenário. Complexo, mas funcional.

PIM

Ainda considerando o Zero Trust, framework que deve ser seu guia, temos o conceito de just-in-time access (Acesso quando necessário). A ideia aqui é que administradores tenha acesso administrativo apenas quando for necessário e não o tempo todo, como era o padrão em ambientes ADDS.

O conceito busca manter o ambiente o mais fechado possível, considerando que uma conta administrativar não é e não deve ser utilizada o tempo todo.

A solução de PIM permite que você solicite elevação de privilegio, atrás de uma role, apenas quando for necessário e por um tempo determinado. Essa solicitação é feita via Entra ID e pode ter efeito imediato ou exigir uma aprovação antes de surtir efeito. A aprovação funciona como um segundo filtro, em que, caso a conta seja comprometida, o atacante não conseguirá executar nada visto que para ter o privilegio Global Admin uma segunda pessoa deve aprovar.

O PIM pode ser aplicado a usuário e grupos que estão habiltiados a receberem Roles do Entra.

Lembre-se que para adicionar uma role a um grupo a flag que permite essa configuração deve ser ativada no momento da criação do grupo.

Access Review

Parte do processo de governança inclui a revisão acesso a grupos e aplicações em seu ambiente. Como já comentado, embora simples, é um processo que pode ser moroso e nem sempre é tido como prioridade.

Para faciltiar a vida de todos, com o Access Review você pode escolher quais grupos ou aplicações farão parte da revisão de acesso e definir qual a peridiocidade e quem deve realizar a revisão.

Na data configurada, o Entra ID informará ao revisor ou revisores, a depender da configuração, para acessarem o portal e informar quem continuar tendo acesso (sendo membro) do grupo ou aplicação definido. E se ninguem responder? É possível definir uma ação automatica, sendo essa não realizar nada ou seguir o que a analise do Entra julga como correta.

Juntando as peças

Você já deve ter entendido onde quero chegar mas seguirei escrevendo, just in case.

Considerando que podemos adicionar grupos ao PIM, por que não incluir revisões periódicas utilizando o Acces Review? Dessa forma teremos o processo de revisão de acessos administrativos automatizado e garantiremos que apenas as pessoas corretas terão a possibilidade de solicitar elevação de privilegio via PIM.

O processo, de forma macro seria:

  1. Crie um grupo que permita atribuição de roles
  2. Configure as roles no PIM utilizando esse grupo
  3. Adicione os usuários que pode soclitiar elevação de privilegio a esse grupo (obviamente, um grupo por role)
  4. Crie uma politica no Access Review para esse grupo

Com essa estratégia você garantirá que periodicamente os usuários serão revisados e manutenção no grupo e de acesso privilegiado estará em dia.

 

Proximos passos

Agora que já temos a solução desenhada, vamos a implantação!

Meu proximo artigo será um passo a passo mostrando como encaixar todas as peças e entregar essa solução. Da criação do usuário até a configuração final e teste do Access Review.

Espero que esse artigo tenha te ajudado!

Grande abraço \,,/

Faça o primeiro comentário a "PIM e Access Review – Melhores Juntos"

Comentar

O seu endereço de email não será publicado.


*


This site uses Akismet to reduce spam. Learn how your comment data is processed.