Protegendo acessos privilegiados com PIM (Privileged Identity Management)

Protegendo acessos privilegiados com PIM (Privileged Identity Management)

15/04/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na implementação e gerenciamento do Privileged Identity Management (PIM) no Microsoft Entra ID (anteriormente Azure Active Directory). O PIM é um serviço que permite gerenciar, controlar e monitorar o acesso a recursos importantes em sua organização, fornecendo acesso Just-In-Time (JIT) e Just-Enough Access (JEA) para funções privilegiadas, minimizando o risco de uso indevido de privilégios [1].

Introdução

Contas com privilégios administrativos são alvos primários para ataques cibernéticos, pois seu comprometimento pode levar a um controle total sobre os sistemas e dados de uma organização. O modelo de segurança tradicional, onde contas privilegiadas são permanentemente atribuídas, aumenta a superfície de ataque e o risco de movimentos laterais por parte de atacantes. O PIM aborda esse desafio ao introduzir o conceito de acesso "just-in-time" (JIT) e "just-enough-access" (JEA), garantindo que os usuários tenham privilégios elevados apenas quando necessário e pelo tempo estritamente exigido [2].

Este guia prático abordará a configuração do PIM no Microsoft Entra ID, desde a ativação do serviço até a atribuição de elegibilidade para funções, a configuração de políticas de ativação e o processo de ativação de uma função privilegiada. Serão fornecidas instruções passo a passo, exemplos práticos e métodos de validação para que o leitor possa implementar e fortalecer a segurança de acessos privilegiados em seu ambiente Microsoft, reduzindo a exposição a riscos e garantindo a conformidade.

Por que o Privileged Identity Management é crucial?

  • Redução da Superfície de Ataque: Minimiza o tempo que as contas privilegiadas permanecem ativas, diminuindo as oportunidades para atacantes.
  • Acesso JIT/JEA: Concede acesso temporário e com privilégios mínimos, alinhando-se aos princípios do Zero Trust.
  • Visibilidade e Auditoria: Oferece logs detalhados de todas as ativações de funções privilegiadas, facilitando a auditoria e a conformidade.
  • Fluxo de Aprovação: Permite exigir aprovação para a ativação de funções críticas, adicionando uma camada extra de segurança.
  • Revisões de Acesso: Facilita revisões periódicas de acesso para garantir que os privilégios concedidos ainda são apropriados.

Pré-requisitos

Para implementar o Privileged Identity Management (PIM), você precisará dos seguintes itens:

  1. Licenciamento: Uma licença do Microsoft Entra ID Premium P2 (anteriormente Azure AD Premium P2). O PIM é um recurso exclusivo desta licença [3].
  2. Acesso Administrativo: Uma conta com a função de Administrador Global ou Administrador de Funções Privilegiadas no Microsoft Entra ID para configurar o PIM.
  3. Usuários e Grupos: Usuários e/ou grupos de segurança no Microsoft Entra ID que precisarão de acesso privilegiado.

Passo a Passo: Configurando e Usando o PIM

Vamos configurar o PIM para uma função administrativa crítica, como Administrador Global, e demonstrar o processo de ativação.

1. Ativando o PIM no Microsoft Entra ID

Se o PIM ainda não estiver ativo em seu tenant, você precisará ativá-lo.

  1. Acesse o portal do Microsoft Entra admin center: https://entra.microsoft.com.
  2. No painel de navegação esquerdo, selecione Governança de identidade > Privileged Identity Management.
  3. Se for a primeira vez, você verá uma opção para Ativar PIM. Clique nela.

2. Atribuindo Elegibilidade para uma Função

Primeiro, vamos tornar um usuário elegível para a função de Administrador Global.

  1. No painel de navegação esquerdo do PIM, selecione Funções do Microsoft Entra > Funções.
  2. Na lista de funções, procure por Administrador Global e clique nela.

  3. Na página de detalhes da função Administrador Global, clique em Adicionar atribuições.

  4. Na seção Adicionar atribuições, clique em Selecionar membros.

  5. Pesquise e selecione o(s) usuário(s) ou grupo(s) que você deseja tornar elegível(is) para esta função. Clique em Selecionar.
  6. Em Tipo de atribuição, selecione Elegível.
  7. Em Atribuição permanente, você pode definir uma data de início e fim para a elegibilidade, ou deixá-la permanente. Para funções altamente privilegiadas, a atribuição permanente deve ser evitada, mas para o propósito de demonstração, podemos deixar como está.
  8. Clique em Atribuir.

3. Configurando as Definições da Função (Role Settings)

As definições da função controlam como os usuários podem ativar seus privilégios.

  1. No painel de navegação esquerdo do PIM, selecione Funções do Microsoft Entra > Definições.

  2. Na lista de funções, procure por Administrador Global e clique em Editar.

  3. Na seção Ativação:

    • Duração máxima de ativação: Defina o tempo máximo que um usuário pode ter a função ativa (ex: 4 horas). Recomenda-se um período curto.
    • Exigir autenticação multifator na ativação: Marque esta opção. Altamente recomendado para todas as funções privilegiadas.
    • Exigir justificativa na ativação: Marque esta opção. Os usuários deverão fornecer um motivo para a ativação.
    • Exigir aprovação para ativar: Marque esta opção para adicionar um fluxo de aprovação. Clique em Selecionar aprovadores e adicione um ou mais usuários/grupos que podem aprovar solicitações de ativação.
  4. Na seção Atribuição:
    • Permitir atribuições elegíveis permanentes: Para Administrador Global, considere desativar esta opção para forçar todas as atribuições a serem temporárias.
  5. Na seção Notificação:
    • Configure quem deve ser notificado sobre a ativação da função.
  6. Clique em Atualizar para salvar as definições.

4. Ativando uma Função Privilegiada (Experiência do Usuário)

Agora, vamos demonstrar como um usuário elegível ativa a função Administrador Global.

  1. O usuário elegível acessa o portal do Microsoft Entra admin center: https://entra.microsoft.com.
  2. Navega até Governança de identidade > Privileged Identity Management.
  3. No painel de navegação esquerdo, seleciona Minhas funções > Funções do Microsoft Entra.
  4. Na aba Atribuições elegíveis, o usuário verá a função Administrador Global.

  5. Clique em Ativar ao lado da função Administrador Global.

  6. Na janela de ativação:

    • Duração: O usuário pode especificar a duração da ativação (limitada pela duração máxima definida nas definições da função).
    • Motivo: O usuário deve fornecer uma justificativa para a ativação (ex: Realizar manutenção no servidor X).
    • (Se configurado) Verificação de segurança: O usuário pode ser solicitado a realizar uma verificação de MFA.

  7. Clique em Ativar.

  8. Se a aprovação for necessária, a solicitação será enviada aos aprovadores. O usuário verá o status como Pendente de aprovação.

5. Aprovando uma Solicitação de Ativação (Experiência do Aprovador)

Um aprovador designado receberá uma notificação (por e-mail ou no portal do PIM) sobre a solicitação de ativação.

  1. O aprovador acessa o portal do Microsoft Entra admin center: https://entra.microsoft.com.
  2. Navega até Governança de identidade > Privileged Identity Management.
  3. No painel de navegação esquerdo, seleciona Aprovar solicitações.
  4. O aprovador verá a solicitação pendente. Clique nela para ver os detalhes.

  5. O aprovador pode Aprovar ou Negar a solicitação, fornecendo uma justificativa.

  6. Após a aprovação, o usuário solicitante terá a função ativa pelo período especificado.

Validação e Teste

Validar a implementação do PIM é crucial para garantir que os controles de acesso privilegiado estejam funcionando conforme o esperado.

1. Verificando o Status da Ativação

  1. Após a ativação (e aprovação, se aplicável), o usuário pode retornar à página Minhas funções > Funções do Microsoft Entra no PIM.
  2. Na aba Atribuições ativas, a função Administrador Global deve aparecer com o status Ativa e o tempo restante.

2. Testando o Acesso com Privilégios Elevados

  1. Com a função ativada, o usuário deve tentar acessar recursos ou realizar ações que exijam a função Administrador Global (ex: criar um novo usuário no Microsoft Entra ID).
  2. A ação deve ser bem-sucedida.

3. Verificando os Logs de Auditoria do PIM

  1. No painel de navegação esquerdo do PIM, selecione Auditoria > Auditoria de funções do Microsoft Entra.
  2. Filtre os logs para ver as ativações de funções, aprovações e outras atividades relacionadas ao PIM. Isso fornece um registro completo de quem ativou qual função, quando, por quanto tempo e com qual justificativa.

4. Testando a Expiração da Ativação

Após o tempo de ativação expirar, o usuário deve perder automaticamente os privilégios elevados. Tente realizar novamente a ação privilegiada; ela deve falhar.

Dicas de Segurança e Melhores Práticas

  • Princípio do Privilégio Mínimo: Atribua apenas as funções necessárias para que um usuário execute suas tarefas. Evite atribuir Administrador Global se uma função menos privilegiada for suficiente.
  • Atribuição de Elegibilidade vs. Atribuição Ativa: Sempre que possível, use atribuições Elegíveis em vez de Ativas permanentes para funções privilegiadas.
  • MFA Obrigatória: Sempre exija MFA para a ativação de funções privilegiadas. Isso adiciona uma camada crítica de segurança.
  • Justificativa Obrigatória: Exija que os usuários forneçam uma justificativa para cada ativação. Isso ajuda na auditoria e na compreensão do propósito do acesso.
  • Fluxos de Aprovação: Para funções críticas, configure fluxos de aprovação para garantir que as ativações sejam revisadas e autorizadas por outra pessoa.
  • Revisões de Acesso: Agende revisões de acesso regulares no PIM para garantir que a elegibilidade para funções privilegiadas ainda seja apropriada e remova atribuições desnecessárias.
  • Notificações: Configure notificações para administradores quando funções privilegiadas forem ativadas ou quando ocorrerem atividades suspeitas.
  • Integração com Acesso Condicional: Use o Acesso Condicional para impor políticas adicionais durante a ativação de funções PIM (ex: exigir que a ativação ocorra de um dispositivo compatível ou de um local de rede confiável).

Troubleshooting Comum

  • Usuário não consegue ativar a função: Verifique se o usuário tem uma licença do Microsoft Entra ID Premium P2. Verifique se ele está na lista de elegíveis para a função. Verifique as definições da função (ex: se a MFA é exigida e o usuário não a configurou).
  • Ativação de função falha: Verifique os logs de auditoria do PIM para mensagens de erro. Pode ser devido a uma falha na MFA, falta de justificativa ou rejeição por um aprovador.
  • Aprovadores não recebem notificações: Verifique as configurações de notificação nas definições da função. Certifique-se de que os endereços de e-mail dos aprovadores estão corretos e que não há regras de caixa de entrada bloqueando as notificações.
  • Função não desativa automaticamente: Verifique a duração máxima de ativação nas definições da função. Se o problema persistir, pode ser um atraso na sincronização do serviço.
  • Conflitos de permissão: Se um usuário tem a mesma permissão através de uma atribuição PIM e uma atribuição regular, a atribuição regular prevalecerá. É uma boa prática remover atribuições permanentes de funções privilegiadas para usuários que também são elegíveis via PIM.

Conclusão

O Microsoft Entra Privileged Identity Management (PIM) é uma ferramenta indispensável para qualquer organização que busca proteger seus acessos privilegiados e fortalecer sua postura de segurança. Ao adotar os princípios de acesso Just-In-Time e Just-Enough Access, o PIM ajuda a reduzir significativamente a superfície de ataque, fornece uma trilha de auditoria detalhada e impõe controles rigorosos sobre as funções administrativas. A implementação cuidadosa do PIM, combinada com as melhores práticas de segurança e treinamento de usuários, capacita as equipes de TI e segurança a gerenciar privilégios de forma eficaz, mitigando os riscos associados ao comprometimento de contas privilegiadas e garantindo um ambiente mais seguro e em conformidade.

Referências:

[1] Microsoft Learn. O que é o Microsoft Entra Privileged Identity Management?. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Learn. Princípios orientadores do Zero Trust. Disponível em: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Learn. Requisitos de licenciamento para o Microsoft Entra Privileged Identity Management. Disponível em: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements