O que são contas de função?
As contas de função são contas associadas a uma função específica na sua organização (ou seja, a um grupo de colaboradores ou a um sistema automatizado), e não a um indivíduo. São frequentemente utilizados para automatizar tarefas e simplificar fluxos de dados.
Por exemplo, se o seu sistema de RH precisar de comunicar com o sistema de processamento salarial, poderá configurar um utilizador “hr” para automatizar a gestão de credenciais. Pode então verificar os registos para ver quando a conta da função ”hr” acede ao sistema Payroll, proporcionando assim maior visibilidade sobre os padrões de acesso. Além disso, sabe que o tráfego causado por “hr” não é tráfego de utilizadores individuais, pelo que pode filtrá-lo ao analisar comportamentos de início de sessão irregulares. Isto pode poupar tempo nos fluxos de trabalho e melhorar a segurança.
No entanto, há algumas desvantagens. Os problemas surgem quando se começa a usar contas de função de forma inadequada com sistemas que exigem uma identidade. Partilhar uma conta de função entre vários colaboradores como início de sessão de uso múltiplo para um fornecedor (por exemplo, vendor-name@mystartup.com), usar o utilizador “ubuntu” num host Linux alojado na cloud, ou usar a conta “Administrator” nos nossos servidores Windows, seriam exemplos de utilização de contas de função contra as melhores práticas. Estes são todos sistemas em que usar uma identidade única é importante e partilhar uma conta de função compromete a segurança.
Alguns exemplos de contas de função
Quando se usa uma conta de função nestes sistemas, perde-se a capacidade de separar o tráfego. Como resultado, os registos de acesso tornam-se confusos e pouco transparentes.
Como exemplo:
Os seus registos mostram que o utilizador “ubuntu” iniciou sessão às 04:32:15 e executou o comando rm -rf */command. No entanto, não tem visibilidade sobre qual dos seus engenheiros executou efetivamente o comando, porque estava a utilizar uma conta de função partilhada!
Outro exemplo:
Todos os seus Account Reps iniciam sessão no seu CRM alojado (Customer Relationship Manager) como “vendor-name@mystartup.com” porque é muito mais barato ter apenas uma conta e isso permite uma maior transparência entre a equipa. No entanto, não é possível ver quem fez o quê, apenas que foi feito.
Estas são apenas potenciais questões administrativas e de responsabilização. O verdadeiro perigo do uso indevido de contas de função vem do enfraquecimento da segurança.
Quando se utilizam estes tipos de contas partilhadas por função, as credenciais precisam de ser alteradas sempre que alguém sai da equipa, e essas novas credenciais precisam de ser redistribuídas a todas as pessoas que necessitam de acesso. Este é um processo manual e intensivo em mão de obra, propenso a erros.
Armadilhas comuns
Embora seja possível mitigar os problemas com contas de função partilhadas através da adoção de boas práticas e da utilização de recursos únicos para aceder à conta de função, no fim de contas, continua a haver uma ocultação das identidades. Configurar as contas “ec2-user” e “Administrator” para usarem chaves ou certificados exclusivos que concedem acesso individual a contas de função é melhor, mas continua a ser apenas uma solução parcial.
Confiar nos colaboradores e colegas é uma parte importante de qualquer sistema de segurança. No entanto, sempre que adiciona alguém à equipa, está a acrescentar múltiplos vetores de ataque aos recursos a que essa pessoa tem acesso. Quando se utilizam contas de função, todos esses vetores ficam concentrados num único alvo, pelo que um atacante passa a ter várias formas de atacar o mesmo conjunto de credenciais.
Além disso, isto limita as opções de remediação quando um ataque é bem-sucedido. Não é possível simplesmente encerrar a conta de função, pois isso cortaria o acesso de toda a equipa.
Outro problema surge quando membros da equipa deixam a sua organização. Quando o seu estagiário de vendas termina o estágio e continua com acesso a todo o seu CRM, isso é mais do que simplesmente levar o seu rolodex consigo – é levar o rolodex de toda a gente consigo. Se o seu engenheiro principal sair da equipa, continuará a ter a chave privada da conta da função de utilizador “ubuntu” no portátil pessoal. Se esse ex-funcionário for trabalhar para um concorrente, pode manter acesso contínuo à sua infraestrutura sem ser detetado.
O caminho certo a seguir
Felizmente, todos estes problemas podem ser resolvidos ao atribuir identidades específicas a cada pessoa que acede às suas ferramentas. Os seus registos tornar-se-ão mais claros, e a capacidade de saber quem tem e quem não tem acesso aos sistemas ficará bem definida.
Conceder e revogar privilégios torna-se uma tarefa simples e facilmente auditável. Além disso, a direção e a equipa de segurança podem dormir mais descansadas à noite, sabendo que ninguém de fora da empresa está a causar estragos nos seus sistemas.
Tradicionalmente, era necessária uma identidade única em cada sistema que pretendesse utilizar para evitar o uso de contas de função. Assim, cada anfitrião no qual quisesse iniciar sessão e cada fornecedor ao qual quisesse aceder precisariam de contas únicas para cada funcionário. No entanto, isto só acrescenta etapas ao processo de entrada e saída de colaboradores e pode ser facilmente esquecido.
É aqui que as soluções de gestão de identidades vêm em socorro. Ao ter uma fonte de identidade central com a qual todos os outros sistemas podem integrar-se, é possível conceder ou revogar permissões com um clique. Com protocolos como OAuth e SAML, combinados com ferramentas como LDAP e AD, pode obter uma identidade abrangente em várias plataformas. Pode criá-lo internamente ou usar soluções fornecidas por fornecedores e deixar que as pessoas da equipa se destaquem, dando a cada uma a sua própria identidade.
Na Foxpass, ajudamos a manter a segurança e as melhores práticas operacionais, facilitando a manutenção de contas de utilizador separadas. Até automatizamos a criação e eliminação de contas ao sincronizar com o seu fornecedor de identidade (como Google, Office365, Okta, OneLogin ou Bitium). Também disponibilizamos funcionalidades de acesso temporário que revogam automaticamente o acesso após um período de tempo definido. Além disso, os nossos servidores alojados na cloud libertam-no de ter de lidar com um servidor LDAP ou RADIUS DIY.
Quer experimentar por si a facilidade e a eficiência do Foxpass? De que está à espera? Comece hoje uma avaliação gratuita de 30 dias:
