Segurança no acesso à nuvem: conceitos básicos

*Por Eduardo Bortoluzzi Júnior

Os conceitos de segurança básicos já são de total conhecimento e amplamente aplicados nos sistemas. Não são mais aceitáveis sistemas que não controlem a complexidade das senhas ou que não bloqueiem os usuários se houver muitas tentativas mal sucedidas de acesso à conta. E já está virando um requisito a exigência de um segundo fator de autenticação, principalmente para os sistemas que contenham informações mais críticas. Mas, ainda se vê alguma dificuldade de manter o controle de quem tem permissão de entrar nos sistemas.

Analise o processo de desligamento de um colaborador na sua empresa. Você se sente no controle? Não adianta ter todo o processo de senhas fortes e segundo fator de autenticação se, quando o colaborador for desligado, ele não for desprovisionado de todos os sistemas. O token virtual, que é o segundo fator de autenticação mais utilizado, poderá estar ainda configurado no smartphone do colaborador, ou seja, esse profissional poderá ter acesso aos sistemas caso o processo de desprovisionamento não for bem realizado.

Autenticação federada ou identidade federada, é um meio de vincular a identidade eletrônica e os seus atributos, que estão espalhados por múltiplos sistemas de identidade. O Single Sign-On (SSO, ou, login único) é um subconjunto da identidade federada, o que damos ênfase neste artigo. O ganho com a autenticação federada é haver uma experiência única para o usuário e um controle centralizado da identidade deles.

Por isso que um serviço de autenticação federada é importante. Nesta era de serviços em nuvem, todos os sistemas devem utilizar uma autenticação federada. Isto é importante por alguns motivos:

1.Somente os usuários autenticados pelo sistema federado terão acesso:

  • isso significa que quem estiver desabilitado, não irá acessar

2.O processo de autenticação será padronizado para todos em todos os serviços:

  • login e senha únicos para todos os sistemas
  • mesmos requisitos de segurança na autenticação para todos os serviços

3.Um lugar único para desabilitar o usuário quando ele for desligado:

  • o desprovisionamento nos sistemas poderá ser realizado mais tarde

A simples adoção de um serviço de autenticação federada proporciona um aumento de controle e confiança no processo de desligamento de um colaborador. O padrão de federação mais comumente utilizado é o SAML 2.0 e é suportado pelos principais serviços em nuvem como Amazon AWS, Microsoft Office 365, Azure, entre outros.

Na federação com o padrão SAML 2.0, o usuário é redirecionado para um provedor de identidade, que foi configurado no serviço, onde todo o processo de autenticação do usuário, junto com a verificação se o usuário existe e está habilitado, é realizado e a asserção ou confirmação que o usuário foi autenticado é informada, de forma segura e confiável para o provedor de serviços. Normalmente é utilizado um serviço de diretório, como o Active Directory, para realizar as validações de autenticação.

Federação na Amazon AWS

Com a federação na Amazon AWS, você não precisa criar um login e senha para todos os usuários que acessam a conta na Amazon AWS. Eles se autenticam pelo sistema federado e têm as “Roles” da Amazon AWS, com as permissões necessárias, associadas de acordo com algum atributo que o sistema federado envia na resposta. Nos logs da Amazon AWS, os usuários são identificados individualmente.

Com a federação configurada, os usuários podem acessar a console ou acessar alguma API com as suas credenciais, usando as regras de autenticação que o sistema de federação impõe, inclusive o segundo fator de autenticação, e somente com as permissões que o papel associado ao usuário permite. É possível associar mais de um papel para cada usuário.

Federação no Microsoft Office 365

A federação é realizada no Windows Azure AD e os usuários são associados às suas contas no Microsoft Office 365 por um ID único, que nunca muda para o usuário: o usuário pode mudar de email, mas o ID deve ser mantido.

O usuário deve ser criado no Office 365, normalmente pelo DirSync, que usa o mesmo Active Directory que o sistema de federação utiliza para realizar a autenticação do usuário, para que seja associado um ID único para este usuário. O ID único e o email do usuário são utilizados para validar o usuário no serviço.

Vantagens de um sistema de federação

Os sistemas de federação, como o Dedalus Authentication Tool, o DAT, realizam todo o processo de validação do usuário e senha em um sistema de diretório, por exemplo, e enviam ao provedor de serviço as informações do usuário autenticado.

Além disto, os sistemas de federação podem realizar outras verificações, que os serviços não realizam. O DAT tem as seguintes configurações adicionais disponíveis:

  • Identificação do local onde o usuário está se autenticando, através do IP público;
  • Faixa de horários e dias que o usuário pode entrar nos serviços;
  • Segundo fator de autenticação, por token virtual, token físico, SMS;
  • Validação se o usuário ainda está habilitado através de outros sistemas, não o sistema de diretório;
  • Outros, e ainda existe a possibilidade de se solicitar novas verificações a serem desenvolvidas.

Aumente a segurança da sua empresa e dos seus ativos, garantindo de forma efetiva que somente seus colaboradores em exercício possam acessar as informações e os serviços que eles precisam, e com uma interface segura e comum, utilizando um sistema de federação em todos os seus serviços. Assim, você terá garantia que, em uma única etapa, como a desabilitação do usuário no sistema de diretório, o usuário não poderá mais acessar os serviços.

*Eduardo Bortoluzzi Júnior é gerente de Desenvolvimento na Dedalus Prime

Posts mais lidos

Microsoft Viva Insights: como melhorar sua gestão pessoal?

O Microsoft Viva Insights fornece, basicamente, algumas informações pessoais sobre dois fatores de extrema importância na gestão pessoal: o seu tempo e a sua produtividade. Ou seja, ele ajuda as pessoas a entenderem como gastam seu tempo e com que o gastam. Com ele, você pode ver – e gerenciar – como gastou seu tempo […]

Gestão de equipes: ajude o seu time a prosperar com o Microsoft Viva

Você já ouviu falar no Microsoft Viva para Gestão de Equipes? Para aqueles que ainda não conhecem, o Viva é uma plataforma de gestão de equipes e experiência de colaboradores, baseado na Microsoft 365 e usado no Microsoft Teams. Além disso, ele reúne comunicações, conhecimentos, aprendizados, recursos e insights para otimizar o fluxo de trabalho. […]

Segurança de dados e mercado de e-Learning: qual a relação?

Com o distanciamento social causado pela pandemia do coronavírus, as edtechs e o mercado de e-Learning, como um todo, tiveram um crescimento acelerado, sobretudo nos dois últimos anos. Mas, a boa notícia é que essa tendência de educação à distância deve continuar em alta, em ambos os segmentos, mesmo agora no pós-pandemia. Pelo menos, é […]

Assine a Newsletter