Ao seguir o princípio do menor privilégio, os administradores concedem aos usuários acesso apenas o suficiente para que possam realizar as atividades diárias, mas não podem fazer mais nada. Seguir esse princípio ajuda a reduzir o risco, mas pode criar atrito para os usuários quando eles precisam realizar uma ação privilegiada.
Nesses cenários, conceder as permissões apropriadas é difícil e especialmente desafiador com o Google Cloud Platform (GCP) por vários motivos:
As tarefas e funções não são prontamente mapeadas para cada permissão.
Os administradores de permissões específicas não são rotulados automaticamente.
Não há como incorporar contexto adicional (por exemplo, por quanto tempo um engenheiro precisa de permissões elevadas) em um único ticket.
O GCP não fornece visibilidade imediata sobre quem tem acesso a quais ambientes ou recursos.
Vamos discutir as três maneiras de criar acesso just-in-time ao GCP para agilizar operações privilegiadas em sua equipe de DevOps.
Solução 1: faça você mesmo do zero
Algumas empresas já criaram soluções internas para solicitação de acesso. Uma dessas empresas, a Mednition, até publicou um artigo sobre o assunto.
Mednition tinha alguns objetivos:
Tenha menos privilégios permanentes.
Acelere o tempo envolvido no envio de tickets solicitando acesso e obtendo aprovação.
Ajustar-se à sua pilha de tecnologia atual.
Crie uma trilha de auditoria fácil de indexar e pesquisar.
Apoie os requisitos de conformidade para auditoria e registro.
Aqui está a solução que a empresa criou:
“Decidimos criar um Slackbot que seja executado no GCP Cloud Run e registre a trilha de auditoria no GCP Cloud Logging. Aproveitaremos os Grupos do Google para provisionar acesso e o Cloud Identity como mecanismo para gerenciar associações temporárias. O Cloud Identity adicionará e removerá o usuário do grupo para nós, para que não precisemos gerenciar nenhum estado (o que é incrível para evitar problemas de sincronização e casos extremos). Isso é particularmente interessante porque agora podemos fornecer acesso temporário a aplicativos de terceiros se eles puderem mapear o acesso aos Grupos do Google (fora do nosso caso de uso, mas talvez no futuro).”
Solução 2: solução de código aberto do Google
O Just-In-Time Access do Google é um aplicativo de código aberto que permite implementar acesso privilegiado just-in-time aos recursos do Google Cloud. O aplicativo permite que administradores, usuários e auditores realizem as seguintes tarefas:
Os administradores podem conceder uma função a um usuário ou grupo e tornar a função elegível adicionando a seguinte condição de gerenciamento de identidade e acesso (IAM): has({}.jitAccessConstraint)
Os usuários podem procurar projetos e funções aos quais estão qualificados para acessar usando o aplicativo Just-In-Time Access. As capturas de tela a seguir do aplicativo Just-In-Time Access mostram uma lista de funções para as quais um usuário é elegível em um projeto:
Eles podem então ativar uma ou mais funções e fornecer uma justificativa para obter acesso:
Depois que um usuário ativa uma função, o Just-In-Time Access concede ao usuário acesso temporário ao projeto.
Os auditores podem usar o Cloud Logging para analisar quando e por que os papéis qualificados foram ativados pelos usuários.
Para proteger o aplicativo contra acesso não autorizado, o aplicativo Just-In-Time Access pode ser acessado somente por meio do Identity-Aware Proxy (IAP). Usando o IAP, um administrador pode controlar quais usuários devem ter permissão para acessar o Just-In-Time Access e quais condições adicionais esses usuários devem satisfazer para obter acesso.
Solução 3: ferramentas prontas para uso
Soluções gratuitas como o Apono fornecem fluxos de trabalho de autorização plug-and-play para que as empresas não precisem começar do zero. Apono serve como intermediário que conecta identidades com direitos, permitindo acesso temporário e just-in-time. A capacidade de autorização de privilégios do Apono fornece uma abordagem confiável e simplificada para o gerenciamento de permissões e mitiga as consequências de uma violação de permissões do GCP (ou de qualquer outro aplicativo em nuvem), sem comprometer a experiência e a produtividade do usuário.
A imagem abaixo apresenta um fluxo de acesso que permite aos desenvolvedores obter acesso temporário somente leitura à produção quando necessário:
Lembre-se de que o gerenciamento eficaz do controle de acesso é um aspecto crítico para manter a segurança e a integridade dos seus recursos do GCP. Revise e audite regularmente suas funções e permissões para garantir que estejam alinhadas com seus requisitos em evolução.
O resultado final
Navegar pelo acesso sob demanda no GCP pode ser complicado, mas com as ferramentas e estratégias certas, as organizações podem encontrar um equilíbrio entre segurança e eficiência. Quer você opte por uma abordagem DIY, use as soluções de código aberto do Google ou experimente ferramentas prontas para uso, o objetivo permanece consistente: fornecer acesso seguro, simplificado e gerenciável aos recursos.
Sobre Apono
Apono é uma plataforma de gerenciamento de acesso de autoatendimento centralizada e nativa da nuvem que mantém as organizações seguras com permissões just-in-time simples e precisas em todo o domínio DevOps. O Apono leva apenas alguns minutos para ser implantado e integrado aos seus serviços de nuvem existentes, Kubernetes, repositórios de dados e outros aplicativos de P&D. Com o Apono, visualize as permissões existentes e habilite fluxos de trabalho de acesso contextual dinâmico diretamente do Slack, Teams ou CLI.
Experimente você mesmo e confira a página de documentação para obter informações detalhadas, casos de uso e muito mais.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
Sharon Kisluk é gerente principal de produtos da Apono, responsável pelas iniciativas de produtos estratégicos de curto e longo prazo da empresa. Ela traz mais de 10 anos de experiência como tecnóloga e construtora de produtos. Antes de Apono, Sharon realizou vários produtos…
Este site utiliza cookies para melhorar sua experiência de navegação. Ao continuar, você concorda com o uso de cookies. Para mais informações, consulte nossa Política de Privacidade.
Funcional
Sempre ativo
O armazenamento ou acesso técnico é estritamente necessário para a finalidade legítima de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador, ou com a finalidade exclusiva de efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas.
Preferências
O armazenamento ou acesso técnico é necessário para o propósito legítimo de armazenar preferências que não são solicitadas pelo assinante ou usuário.
Estatísticas
O armazenamento ou acesso técnico que é usado exclusivamente para fins estatísticos.O armazenamento técnico ou acesso que é usado exclusivamente para fins estatísticos anônimos. Sem uma intimação, conformidade voluntária por parte de seu provedor de serviços de Internet ou registros adicionais de terceiros, as informações armazenadas ou recuperadas apenas para esse fim geralmente não podem ser usadas para identificá-lo.
Marketing
O armazenamento ou acesso técnico é necessário para criar perfis de usuário para enviar publicidade ou para rastrear o usuário em um site ou em vários sites para fins de marketing semelhantes.