Przejdź do treści

Przeglądy uprawnień w Azure Active Directory

0
(0)

W ostatnim czasie wpisy pojawiające się na Blogu niezmiennie dotyczą kwestii uprawnień. Mówiliśmy przecież o Prawach systemowych w Windows 10, udostępnianiu danych z OneDrive, uprawnieniach w SharePoint, czy pakietach dostępu. Wszystkie one dotyczyły jednak odpowiedniego nadawania uprawnień, zgodnie z powszechnie przyjętymi zasadami bezpieczeństwa. Dbałość o odpowiednie nadawanie uprawnień jest oczywiście bardzo istotna, ale nie realizuje w pełni często przytaczanej zasady „najniższych możliwych uprawnień”. Nie możemy tutaj zapomnieć o tym, aby cyklicznie przeprowadzać przegląd uprawnień, które zostały nadane użytkownikom. To, że nadawane uprawnienia zawsze odpowiadają faktycznym potrzebom nie oznacza, że takie potrzeby z biegiem czasu się nie zmieniają. A wtedy tylko regularne przeglądy uprawnień pozwolą zapewnić faktyczną realizację zasad bezpieczeństwa.

Przegląd uprawnień w małych środowiskach z pewnością nie będzie tak wymagający, jak w przypadku firm zatrudniających choćby kilkaset czy kilka tysięcy osób. Nad taką ilością uprawnień ciężko zapanować, jeżeli listę takich uprawnień chcemy weryfikować bez wsparcia dedykowanych narzędzi. Dodatkowym ograniczeniem jest również kwestia wiedzy, na temat faktycznie niezbędnych do wykonywania pracy uprawnień. Administratorzy czy inne osoby z IT nie mają przecież wiedzy na temat zakresu wykonywanej aktualnie pracy każdego pracownika. Taką wiedzę posiada sam pracownik czy jego przełożony, którzy realnie jest w stanie określić aktualnie wymagane uprawnienia. Docieranie do każdego z pracowników, managerów, TL itd. z prośbą o przegląd uprawnień jest często z góry skazane na porażkę. A nawet jeżeli jest to zadanie wykonalne, to na pewno niezwykle pracochłonne.

Z tego względu w środowisku Microsoft dostępne mamy dedykowane narzędzia, które pozwolą nam zadbać o aktualność nadanych uprawnień. Narzędzia te, oprócz wymuszania regularnych przeglądów, pozwolą również ustanowić pewien proces w naszej organizacji. Przeglądu będą dokonywały określone osoby, będą miały na to określoną ilość czasu. Jeżeli tego nie zrobią – przegląd zostanie automatycznie eskalowany. Pracownicy czy ich przełożeni będą mogli potwierdzać uprawnienia lub dawać rekomendację, a administratorzy będą mieli nad tym kontrolę.

Kiedy przeglądy uprawnień są faktycznie potrzebne?

Żeby odpowiedzieć sobie na takie pytanie posłużmy się przykładem. Na poniższym grafie/osi czasu przedstawiona została przykładowa, teoretyczna droga, jaką może przechodzić pracownik w danej firmie:

Na początku pracownik dołącza do danej organizacji, co wiąże się oczywiście z założeniem konta i nadaniem określonych uprawnień. Po pewnym czasie wdrożony pracownik dołącza do pierwszego, a później do kolejnych projektów. W zależności od specyfiki wykonywanej pracy każdy projekt może posiadać np. własne repozytorium dokumentów czy kodu. Dostęp do takiego repozytorium czy innych związanych z projektem elementów również wiąże się z nadaniem kolejnych uprawnień. Po dłuższym okresie pracy przychodzi czas na zmianę stanowiska. załóżmy, że pracownik awansuje na wyższe stanowisko, co wiąże się zwykle z szerszym zakresem obowiązków. Szerszy zakres obowiązków oznacza zwykle kolejne uprawnienia, które od teraz będą pracownikowi dostępne do wykonywania jego pracy. Może się również zdarzyć tak, że pracownik zmieni swój zespół czy nawet cały dział. W takim przypadku pracownikowi zwykle potrzebna jest masa nowych uprawnień, aby mógł on wykonywać nowe obowiązki.

Jak łatwo zauważyć istnieje wiele sytuacji, w których wymagane jest nadanie nowych uprawnień. Takie nadanie jest jak najbardziej uzasadnione potrzebą biznesową i zgodne z przyjętymi zasadami bezpieczeństwa. Pytanie, gdzie jest miejsce na, nie tyle nadawanie, co odbieranie niepotrzebnych uprawnień? Ten proces może być obecny w zasadzie na każdym etapie. Czy pracownikowi, który zmienia swój dział niezbędne są uprawnienia związane z poprzednim stanowiskiem, w poprzednim dziale? Czy pracownikowi podejmującemu kolejne nowe projekty niezbędne są dostępy związane z projektami, w których już nie uczestniczy? Może zdarzyć się, że tak. W większości przypadków odpowiedź będzie jednak brzmiała nie. A niezależnie od tego jaka będzie finalna odpowiedź, zanim ją uzyskamy, najpierw należy dokonać przeglądu takich uprawnień.

Konfiguracja mechanizmu przeglądu dostępu

Po krótkim wstępie teoretycznym czas wreszcie przejść do praktyki. Zaczniemy oczywiście od skonfigurowania mechanizmu przeglądu uprawnień dla grup, aplikacji czy pakietów dostępu. Należy tutaj zaznaczyć, że przegląd uprawnień może być wykonywany również np. dla kont/ról uprzywilejowanych. Do tego jednak dojdziemy w dalszej części artykułu.

Aby przygotować przegląd uprawnień w Azure Active Directory przechodzimy do Identity Governance:

A następnie do Access reviews:

W górnej części ekranu znajdziemy możliwość utworzenia nowego przeglądu dostepu:

W pierwszym kroku określamy czego będzie dotyczył przegląd. Na potrzeby tego przykładu wybierzmy przegląd grup/zespołów. Niżej określamy czy przegląd ma dotyczyć wszystkich grup, czy tylko konkretnych grup, które zostaną przez nas wskazane. Mamy również opcję określenia, czy będzie on dotyczył wszystkich użytkowników, czy gości dodanych do naszego AAD:

W kolejnym kroku określamy szczegóły dotyczące osób wykonujących przegląd. Możemy tutaj wskazać konkretne osoby, ale także wybrać opcję samodzielnego przeglądu przez użytkowników, przeglądu realizowanego przez właścicieli grup lub przełożonych określonych osób. W przypadku braku zrealizowania przeglądu wskazujemy również użytkownika, który będzie mógł podjąć taką decyzję za nich. Niżej określamy szczegóły dotyczące częstotliwości oraz długości trwania przeglądów. W tym przypadku konfigurujemy przeglądy co pół roku, a czas na podjęcie decyzji ustawiamy na 7 dni:

Następnie determinujemy szczegóły dotyczące wpływu podjętych przez wskazanych wcześniej właścicieli grup decyzji.

  • Pierwszy checkbox pozwala nam określić, czy ich decyzje mają być wiążące, czy mają być rekomendacją dla administratora.
  • Poniżej określamy co ma się dziać w przypadku braku odpowiedzi. Mechanizm może zatwierdzić lub odebrać uprawnienia, przyjąć wygenerowane przez system rekomendacje lub nie wykonać żadnych czynności.
  • Kolejne pole pozwala określić osoby, które mają zostać powiadomione o zakończeniu przeglądu
  • Następnie wskazujemy, czy chcemy aby wyświetlone zostały systemowe rekomendacje. Bazują one na tym, czy użytkownik logował się w ciągu ostatnich 30 dni.
  • W opcjach zaawansowanych znajdziemy możliwość wymuszenia podania uzasadnienia podejmowanych decyzji, a także opcje dotyczące notyfikacji oraz przypomnień związanych z trwającymi/zakończonymi przeglądami

W ostatnim kroku określamy nazwę przeglądu, a po weryfikacji skonfigurowanych w poprzednich korkach ustawień możemy utworzyć przegląd:

Dokonanie przeglądu przez użytkownika

W momencie, gdy nadejdzie wskazana w konfiguracji data przeglądu, użytkownik otrzyma informację mailową o konieczności jego dokonania. W mailu znajduje się informacja o tym, jakiego przeglądu dotyczy notyfikacja oraz do kiedy należy go dokonać:

Po kliknięciu w link w mailu użytkownik kierowany jest na stronę https://myaccess.microsoft.com/. W sekcji przeglądy dostępu widoczne będą wszystkie przeglądy, których aktualnie musi dokonać dany użytkownik. W tym przypadku mówimy tutaj oczywiście o właścicielu grupy, który otrzymał powyższą notyfikację:

Po wejściu w wybrany przegląd widzimy wszystkich użytkowników, dla których należy przejrzeć uprawnienia względem tej grupy. Widzimy również wygenerowane przez system rekomendacje wygenerowane na podstawie daty ostatniego logowania. Decyzję wraz z uzasadnieniem właściciel grupy może podjąć zarówno indywidualnie dla każdego użytkownika, jak i grupowo dla wszystkich. Na potrzeby tego przykładu wskażmy, że uprawnienia nie są potrzebne wybranemu użytkownikowi:

A dla pozostałych użytkowników potwierdźmy konieczność przynależności do wskazanej grupy:

Wyniki przeglądu są oczywiście widoczne dla administratora w AAD. Na ich podstawie może on odebrać uprawnienia wskazanym osobom:

Przeglądu uprawnień dla pakietów dostępu

Uważni czytelnicy na pewno zauważyli, że użytkownik dokonujący przeglądu uprawnień oprócz grup czy aplikacji, mógł również dokonać przeglądu pakietów dostępu. O samych pakietach dostępu, w tym opcji poświęconej przeglądowi uprawnień pisałem w poprzednim artykule. Nie możemy jednak pominąć tego elementu w tym artykule, dlatego też zobaczmy gdzie możemy skonfigurować przegląd w przypadku pakietów dostępu.

Przegląd uprawnień konfigurujemy na jednym z ostatnich kroków, przy okazji tworzenia pakietu dostępu. Pozwala on określić jak często dokonywany ma być przegląd oraz kto będzie odpowiedzialny za jego wykonanie. Naturalnie określamy również czas na dokonanie takiego przeglądu oraz osobę, która będzie mogła to zrobić w przypadku braku odpowiedzi:

Sam proces dokonania przeglądu takich uprawnień również dokonywany jest z poziomu https://myaccess.microsoft.com/. Z uwagi na niewielkie różnice w tym procesie, pozwolę sobie pominąć jego przedstawienie i przejść od razu do kolejnej części.

Konfiguracja przeglądu kont uprzywilejowanych

Kolejnym miejscem, w którym możemy zdefiniować przeglądu uprawnień są konta uprzywilejowane. Mówiąc o kontach uprzywilejowanych mówimy oczywiście o kontach, które posiadają różnego typu uprawnienia administracyjne. Dedykowanym mechanizmem do zarządzania kontami uprzywilejowanymi jest PIM (Privileged Identity Management), o którym w najbliższym czasie przygotuję osobny artykuł. Na tą chwilę w kontekście PIM istotna jest możliwość konfiguracji przeglądu uprawnień dla wskazanych przez nas ról.

W Identity Governance znajdziemy sekcję zatytułowaną właśnie Privileged Identity Management. W ramach tej sekcji przejdźmy do Azure AD roles:

Następnie w sekcji Manage przechodzimy do Azure AD roles:

W ramach sekcji Manager znajdziemy Access Reviews:

Klikając „New” dostępne w górnej części ekranu rozpoczynamy konfigurację przeglądu uprawnień dla kont uprzywilejowanych:

Określamy tutaj standardowe informacje, podobnie jak w przypadku konfiguracji poprzednich „typów” przeglądu dostępu. Wskazujemy datę rozpoczęcia oraz częstotliwość wykonywania przeglądu, osobę która będzie dokonywała przeglądu oraz jego zakres. Określamy również konkretną rolę, dla której chcemy wykonywać przegląd:

Poniżej mamy jeszcze dostępne dodatkowe opcje, które pokrywają się z tym, co widzieliśmy w przypadku przeglądów dostępu dla grup/zespołów:

Na koniec zostaje nam oczywiście weryfikacja konfiguracji oraz utworzenie przeglądu dla wskazanej roli.

Przegląd kont uprzywilejowanych w praktyce

Przegląd kont uprzywilejowanych pozwoli nam upewnić się, że dostęp do wrażliwych dla środowiska uprawnień posiadają tylko osoby, którym jest on faktycznie niezbędny. W tym przypadku mówimy o szczególnie krytycznej roli globalnego administratora, która daje użytkownikowi niemalże nieograniczone uprawnienia w kontekście środowiska.

Przeglądu kont uprzywilejowanych dokonujemy z poziomu AAD. W Privileged Identity Management, w sekcji Tasks, znajdziemy opcję Review Access. Znajdziemy tam wszystkie niezbędne do wykonania przeglądy, w tym ten utworzony przed chwilą:

Naturalnie o konieczności wykonania przeglądu wskazany użytkownik zostanie również poinformowany mailowo:

Przejdźmy do samego przeglądu. W ramach utworzonego przeglądu widzimy wszystkich użytkowników, którzy posiadają lub mogą aktywować uprawnienia globalnego administratora. W moim testowym środowisku jest ich sporo, czym zdecydowanie nie należy się sugerować w realnych środowiskach produkcyjnych. 3-4 konta z uprawnieniami globalnego administratora (więcej niż 1 administrator, „break glass account”, ew. konto dla Partnera MS zajmującego się wdrożeniem i utrzymaniem środowiska) to zwykle maksymalna liczba niezbędnych kont, choć oczywiście mogą pojawić się specyficzne scenariusze, gdy niezbędne będzie posiadanie nieco większej ilości. Zdecydowanie jednak im mniej, tym lepiej.

Decyzje możemy podejmować dla wybranego użytkownika/użytkowników. Zgodnie z domyślną konfiguracją niezbędne jest również podanie uzasadnienia swojej decyzji. Po podjętej decyzji administrator widzi wyniki przeprowadzonego przeglądu, na podstawie których może podjąć kolejne decyzje dotyczące utrzymania lub odebrania określonych uprawnień.

Czy ten wpis był dla Ciebie przydatny?

Zostaw ocenę!

Średnia ocena 0 / 5. 0

Nikt nie ocenił jeszcze tego wpisu. Bądź pierwszym, który to zrobi!

Przykro mi, że post nie był dla Ciebie przydatny ...

Podziel się proszę swoją opinią

Twoja opinia jest dla mnie niezwykle ważna

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.