Skip to main content

Gerenciar credenciais do administrador

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Definir sistemas de gerenciamento de acesso privilegiado.
  • Explicar o princípio do menor privilégio.

Gerenciamento de acesso privilegiado

Embora os gerenciadores de senhas sejam ótimos para gerar e proteger suas senhas pessoais, você precisa de um sistema mais seguro para proteger as credenciais dos usuários privilegiados (também conhecidos como usuários administrativos). As credenciais privilegiadas são um subconjunto de credenciais (como senhas) que fornecem acesso elevado e permissões para contas, aplicativos e sistemas. As senhas privilegiadas podem ser associadas a humanos, aplicativos, contas de serviço e muito mais. 

As soluções de gerenciamento de acesso privilegiado (PAM) fornecem uma maneira de armazenar segredos, como senhas e chaves criptográficas (uma palavra, número ou frase que funciona em combinação com um algoritmo para criptografar [ou misturar] texto simples). As soluções de PAM usam uma ferramenta central para gerenciar, delegar e auditar o acesso privilegiado. O PAM ajuda as organizações a implementar o menor privilégio, que é o princípio de que os usuários recebem apenas o nível necessário de acesso para realizar seus trabalhos. 

Política para senhas de contas privilegiadas

Para proteger seus sistemas, sua organização deve desenvolver e impor uma política clara para senhas de contas privilegiadas e compartilhá-la com todos os terceiros relevantes que usam e gerenciam essas contas.

É uma boa ideia que as organizações desenvolvam políticas para senhas de contas privilegiadas quer para contas acessadas por pessoas quer para contas acessadas por outros sistemas. Essas políticas devem incluir o uso obrigatório de frases secretas longas e autenticação multifator (MFA) para contas humanas. 

Os padrões de rotação de senhas podem garantir a rotação sistemática de senhas para cada conta, sistema, dispositivo de hardware em rede, aplicativo e serviço. Seus padrões de rotação devem incluir a notificação automática das partes interessadas na hora de atualizar senhas. 

Implementação do menor privilégio

Não basta defender seus perímetros para garantir a segurança e proteção de dados. Assistimos repetidamente a violações de dados em sistemas governamentais e do setor privado que ocorrem porque as credenciais da rede são violadas. Nesses casos, os invasores procuram chegar a contas privilegiadas para acessar dados sigilosos e registros privados. 

Quando configurar credenciais de administração, considere implementar o princípio do menor privilégio (POLP). Falamos sobre POLP com tanta frequência nos treinamentos de segurança porque se trata de um dos métodos fundamentais para proteger nossos sistemas. Recapitulando, o princípio do menor privilégio é um princípio de design de segurança de TI que restringe direitos de acesso e privilégios de programas apenas aos necessários para o trabalho exigido. É a diferença entre ter uma chave que funciona em cada porta e uma que só abre certos cômodos.

Um aspecto da implementação do menor privilégio é que você remove o acesso total do administrador local aos pontos de extremidade do sistema. Por exemplo, uma conta de usuário que precisa de permissão apenas para criar backups, não precisa da capacidade de instalar software. Portanto, essa conta tem direitos apenas para executar aplicativos de backup e relacionados a backup. Quaisquer outros privilégios, como a instalação de novos softwares, devem ser bloqueados. 

Para facilitar o gerenciamento privilegiado, convém automatizar a concessão do menor privilégio com base em quem é o usuário, ao que ele está solicitando acesso e o contexto da solicitação. Os usuários devem poder acessar apenas os sistemas necessários para realizar seus trabalhos e não devem ter acesso geral às informações. 

Isso significa que Sally, do departamento de recursos humanos (RH), por exemplo, não deve conseguir acessar o banco de dados de Bilal, do departamento financeiro, que trata de negócios globais. Um bom gerenciamento de acesso privilegiado significa que Sally tem acesso a todos os registros de RH que ela precisa para realizar seu trabalho e Bilal tem acesso a todos os registros financeiros que ele precisa para realizar o dele, mas eles não têm acesso aos arquivos um do outro.  

Dois usuários são mostrados com diferentes níveis de acesso a vários sistemas.

Escolher soluções de Gerenciamento de acesso privilegiado (PAM)

Há diversas soluções de PAM disponíveis que fornecem vários recursos e opções de implantação. Você pode testar e avaliar algumas antes de decidir qual implementar. Um fator importante da implementação do PAM é garantir que você tenha casos de uso e perfis de usuário bem definidos. Use um PAM para atribuir níveis de acesso para gerenciamento de contas de serviço, funções de descoberta, gerenciamento e análise de ativos e vulnerabilidades, e muito mais.

Se sua organização não tiver recursos para manter a equipe de segurança treinada para instalar, configurar e gerenciar essas soluções, considere usar um provedor de serviços gerenciado (MSP) que possa executar essas funções para você. 

Realizar a descoberta contínua de contas privilegiadas

Uma das etapas mais importantes para proteger o acesso privilegiado é identificar todos os usos válidos do acesso privilegiado a servidores, serviços em nuvem, bancos de dados e outros sistemas. Isso garante que as contas privilegiadas sejam válidas, mas também identifica contas que não são. Por exemplo, é importante acompanhar não apenas a concessão, mas também a remoção de privilégios quando as pessoas trocam de cargos entre departamentos ou quando saem da empresa. 

As contas privilegiadas devem ser monitoradas o tempo todo por meio de mecanismos automatizados para identificar atividades maliciosas ou acidentais. A análise dessa atividade permite obter insights sobre o comportamento dos usuários, garante que seus sistemas de acesso estejam atualizados e verifica se o menor privilégio é aplicado corretamente.

Verificação de conhecimento

Pronto para analisar o que aprendeu? A verificação de conhecimento abaixo não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, arraste a descrição na coluna à esquerda até o termo correspondente à direita. Ao concluir a correspondência de todos os itens, clique em Enviar para verificar seu trabalho. Para recomeçar, clique em Redefinir.

Ótimo trabalho!

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback