GitHub apresenta solução Open Source: Entitlements

GitHub acredita firmemente no uso do GitHub para construir o próprio GitHub, mantendo a experiência do desenvolvedor simplificada e integrando a plataforma diretamente nos workflows. A equipe acompanha o trabalho no Issues, planeja o trabalho em projetos e automatiza lembretes através do GitHub Actions e ChatOps. Por isso, é natural que o GitHub busque o GitOps para resolver um dos problemas mais complexos em segurança em TI: o Gerenciamento de Identidade e Acesso (IAM). A plataforma queria uma solução que funcionasse com suas ferramentas, que fosse auditável, escalável e bem compreendida pelos desenvolvedores. Neste espírito, o GitHub construiu os Entitlements, que usam um repositório Git para a Source-of-Truth, autorizações declarativas e integração perfeita com GitHub.com para aprovações e auditorias. Após anos de desenvolvimento e inúmeras contribuições de funcionários do GitHub, a plataforma vai finalmente abrir o código dos Entitlements!

Melhorando pontos do IAM com os Entitlements
Auditorias
As solicitações e aprovações de acesso são normalmente difíceis de rastrear e auditar. Sem um sistema escalável em funcionamento, desenvolvedores podem encontrar-se concedendo ou solicitando acesso que requer ações manuais de cliques. Isto dificulta o rastreamento e a comprovação dos controles de auditoria. Por exemplo, verificar a aprovação apropriada e assegurar a revogação do acesso no término ou mudança de funções.

Os Entitlements alavancam o GitHub.com, armazenando sua configuração em um repositório e fluindo todas as mudanças nessas configurações através de pull requests, de modo que haja uma trilha de auditoria durável da solicitação e de suas aprovações.

Os Entitlements também suportam tags de metadados dentro das suas configurações, o que permite digitalizar essas configurações e gerar pull requests para auditar e reaprovar periodicamente. Isto suporta auditoria aprimorada para as configurações de alto risco.

Com as expirações dentro das configurações do Entitlements é possível conceder acesso aos sistemas por um período exato de tempo com a garantia de que o acesso será apropriadamente revogado após esse período de tempo.

Reorganizações
É natural que organizações grandes e pequenas reorganizem as estruturas de equipes para se adaptarem às mudanças nas demandas do negócio. Quando as reorganizações acontecem, é comum que o acesso se acumule, deixando as pessoas com acesso tanto de seu antigo papel quanto de seu novo papel. Os Entitlements podem ajudar a evitar isso.

O GitHub periodicamente tira uma lista de seus funcionários de sua Source-of-Truth interna e a transmite a vários grupos. A empresa cria grupos automáticos por gerente, por região, por nível e por função no negócio. Referenciando esses grupos automáticos sempre que possível, é possível garantir que o acesso seja adicionado e revogado apropriadamente quando as necessidades do negócio ou organizações mudarem.

Escalabilidade
Uma equipe que administra os pedidos do IAM para uma grande empresa pode rapidamente ficar sobrecarregada com a escala. Essa equipe também precisa de acesso administrativo em cada ferramenta e serviço da empresa a fim de atender a essas solicitações de acesso.

No GitHub, os Entitlements gerenciam o acesso a mais de 500 serviços internos, centenas de organizações e milhares de equipes no GitHub.com. Os Entitlements atuam como um verdadeiro multiplicador de forças, permitindo que uma equipe relativamente pequena gerencie o IAM em larga escala.

Autogerenciamento
Uma vez que as configurações dos Entitlements são armazenadas no GitHub.com, as mudanças são autogeridas e não são bloqueadas por nenhuma equipe específica. Qualquer pessoa pode fazer um pull request e adicionar-se a uma configuração do Entitlements, obter as aprovações apropriadas e implantar seu próprio pull request. Trata-se de um auto-atendimento completo de ponta a ponta para solicitações do IAM.

Entitlements no GitHub.com
É possível usar os Entitlements com qualquer repositório Git, mas alavancá-lo com o GitHub.com desbloqueia todo o seu potencial.

Revisão do gerente
Alavancando o GitHub.com com Entitlements pode permitir verificar se cada mudança de acesso tem uma revisão do gerente que a acompanha.

Ao analisar as diferenças dos Entitlements, é possível escrever uma simples GitHub Actions para analisar as diferenças para os usuários afetados e solicitar a revisão do gerente na pull request.

Desenvolvedores agora têm uma trilha de auditoria completa da aprovação e implantação concedendo acesso.

Entitlements rigorosamente auditados
O GitHub.com pode ser usado para impor revisões periódicas das configurações dos Entitlements consideradas de alto risco.

É possível escrever um simples cron job que verifica cada configuração de alto risco dos Entitlements para uma tag de metadados, e analisa a data definida. Se essa configuração contiver uma data mais antiga que o prazo de revisão, um pull request pode ser criado para reaprovar o acesso.

Isto permite provar que o acesso é reaprovado de forma apropriada, e a aprovação e justificação são rastreadas no histórico de Git.

É possível alavancar ainda mais as expirações nos Entitlements para expirar automaticamente estas configurações de alto risco se elas não forem reaprovadas.

Atualizações automáticas a partir de dados do negócio
É possível escrever um simples cron job que verifica uma fonte de dados do negócio para atualizações e leva essas atualizações para o organograma dos Entitlements. Os Entitlements reorganizarão a afiliação do grupo com base nestes novos dados e tratarão automaticamente de desprover o acesso antigo e prover o novo acesso para cada nova função.