Ao seguir o princípio do menor privilégio, os administradores concedem aos usuários acesso apenas o suficiente para que possam realizar as atividades diárias, mas não podem fazer mais nada. Seguir esse princípio ajuda a reduzir o risco, mas pode criar atrito para os usuários quando eles precisam realizar uma ação privilegiada.
Nesses cenários, conceder as permissões apropriadas é difícil e especialmente desafiador com o Google Cloud Platform (GCP) por vários motivos:
Vamos discutir as três maneiras de criar acesso just-in-time ao GCP para agilizar operações privilegiadas em sua equipe de DevOps.
Algumas empresas já criaram soluções internas para solicitação de acesso. Uma dessas empresas, a Mednition, até publicou um artigo sobre o assunto.
Mednition tinha alguns objetivos:
Aqui está a solução que a empresa criou:
“Decidimos criar um Slackbot que seja executado no GCP Cloud Run e registre a trilha de auditoria no GCP Cloud Logging. Aproveitaremos os Grupos do Google para provisionar acesso e o Cloud Identity como mecanismo para gerenciar associações temporárias. O Cloud Identity adicionará e removerá o usuário do grupo para nós, para que não precisemos gerenciar nenhum estado (o que é incrível para evitar problemas de sincronização e casos extremos). Isso é particularmente interessante porque agora podemos fornecer acesso temporário a aplicativos de terceiros se eles puderem mapear o acesso aos Grupos do Google (fora do nosso caso de uso, mas talvez no futuro).”
O Just-In-Time Access do Google é um aplicativo de código aberto que permite implementar acesso privilegiado just-in-time aos recursos do Google Cloud. O aplicativo permite que administradores, usuários e auditores realizem as seguintes tarefas:
has({}.jitAccessConstraint)
Eles podem então ativar uma ou mais funções e fornecer uma justificativa para obter acesso:
Depois que um usuário ativa uma função, o Just-In-Time Access concede ao usuário acesso temporário ao projeto.
Os auditores podem usar o Cloud Logging para analisar quando e por que os papéis qualificados foram ativados pelos usuários.
Para proteger o aplicativo contra acesso não autorizado, o aplicativo Just-In-Time Access pode ser acessado somente por meio do Identity-Aware Proxy (IAP). Usando o IAP, um administrador pode controlar quais usuários devem ter permissão para acessar o Just-In-Time Access e quais condições adicionais esses usuários devem satisfazer para obter acesso.
Soluções gratuitas como o Apono fornecem fluxos de trabalho de autorização plug-and-play para que as empresas não precisem começar do zero. Apono serve como intermediário que conecta identidades com direitos, permitindo acesso temporário e just-in-time. A capacidade de autorização de privilégios do Apono fornece uma abordagem confiável e simplificada para o gerenciamento de permissões e mitiga as consequências de uma violação de permissões do GCP (ou de qualquer outro aplicativo em nuvem), sem comprometer a experiência e a produtividade do usuário.
A imagem abaixo apresenta um fluxo de acesso que permite aos desenvolvedores obter acesso temporário somente leitura à produção quando necessário:
Lembre-se de que o gerenciamento eficaz do controle de acesso é um aspecto crítico para manter a segurança e a integridade dos seus recursos do GCP. Revise e audite regularmente suas funções e permissões para garantir que estejam alinhadas com seus requisitos em evolução.
Navegar pelo acesso sob demanda no GCP pode ser complicado, mas com as ferramentas e estratégias certas, as organizações podem encontrar um equilíbrio entre segurança e eficiência. Quer você opte por uma abordagem DIY, use as soluções de código aberto do Google ou experimente ferramentas prontas para uso, o objetivo permanece consistente: fornecer acesso seguro, simplificado e gerenciável aos recursos.
Apono é uma plataforma de gerenciamento de acesso de autoatendimento centralizada e nativa da nuvem que mantém as organizações seguras com permissões just-in-time simples e precisas em todo o domínio DevOps. O Apono leva apenas alguns minutos para ser implantado e integrado aos seus serviços de nuvem existentes, Kubernetes, repositórios de dados e outros aplicativos de P&D. Com o Apono, visualize as permissões existentes e habilite fluxos de trabalho de acesso contextual dinâmico diretamente do Slack, Teams ou CLI.
Experimente você mesmo e confira a página de documentação para obter informações detalhadas, casos de uso e muito mais.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
