GitHub acredita firmemente no uso do GitHub para construir o próprio GitHub, mantendo a experiência do desenvolvedor simplificada e integrando a plataforma diretamente nos workflows. A equipe acompanha o trabalho no Issues, planeja o trabalho em projetos e automatiza lembretes através do GitHub Actions e ChatOps. Por isso, é natural que o GitHub busque o GitOps para resolver um dos problemas mais complexos em segurança em TI: o Gerenciamento de Identidade e Acesso (IAM). A plataforma queria uma solução que funcionasse com suas ferramentas, que fosse auditável, escalável e bem compreendida pelos desenvolvedores. Neste espírito, o GitHub construiu os Entitlements, que usam um repositório Git para a Source-of-Truth, autorizações declarativas e integração perfeita com GitHub.com para aprovações e auditorias. Após anos de desenvolvimento e inúmeras contribuições de funcionários do GitHub, a plataforma vai finalmente abrir o código dos Entitlements!
Melhorando pontos do IAM com os Entitlements
Auditorias
As solicitações e aprovações de acesso são normalmente difíceis de rastrear e auditar. Sem um sistema escalável em funcionamento, desenvolvedores podem encontrar-se concedendo ou solicitando acesso que requer ações manuais de cliques. Isto dificulta o rastreamento e a comprovação dos controles de auditoria. Por exemplo, verificar a aprovação apropriada e assegurar a revogação do acesso no término ou mudança de funções.
Os Entitlements alavancam o GitHub.com, armazenando sua configuração em um repositório e fluindo todas as mudanças nessas configurações através de pull requests, de modo que haja uma trilha de auditoria durável da solicitação e de suas aprovações.
Os Entitlements também suportam tags de metadados dentro das suas configurações, o que permite digitalizar essas configurações e gerar pull requests para auditar e reaprovar periodicamente. Isto suporta auditoria aprimorada para as configurações de alto risco.
Com as expirações dentro das configurações do Entitlements é possível conceder acesso aos sistemas por um período exato de tempo com a garantia de que o acesso será apropriadamente revogado após esse período de tempo.
Reorganizações
É natural que organizações grandes e pequenas reorganizem as estruturas de equipes para se adaptarem às mudanças nas demandas do negócio. Quando as reorganizações acontecem, é comum que o acesso se acumule, deixando as pessoas com acesso tanto de seu antigo papel quanto de seu novo papel. Os Entitlements podem ajudar a evitar isso.
O GitHub periodicamente tira uma lista de seus funcionários de sua Source-of-Truth interna e a transmite a vários grupos. A empresa cria grupos automáticos por gerente, por região, por nível e por função no negócio. Referenciando esses grupos automáticos sempre que possível, é possível garantir que o acesso seja adicionado e revogado apropriadamente quando as necessidades do negócio ou organizações mudarem.
Escalabilidade
Uma equipe que administra os pedidos do IAM para uma grande empresa pode rapidamente ficar sobrecarregada com a escala. Essa equipe também precisa de acesso administrativo em cada ferramenta e serviço da empresa a fim de atender a essas solicitações de acesso.
No GitHub, os Entitlements gerenciam o acesso a mais de 500 serviços internos, centenas de organizações e milhares de equipes no GitHub.com. Os Entitlements atuam como um verdadeiro multiplicador de forças, permitindo que uma equipe relativamente pequena gerencie o IAM em larga escala.
Autogerenciamento
Uma vez que as configurações dos Entitlements são armazenadas no GitHub.com, as mudanças são autogeridas e não são bloqueadas por nenhuma equipe específica. Qualquer pessoa pode fazer um pull request e adicionar-se a uma configuração do Entitlements, obter as aprovações apropriadas e implantar seu próprio pull request. Trata-se de um auto-atendimento completo de ponta a ponta para solicitações do IAM.
Entitlements no GitHub.com
É possível usar os Entitlements com qualquer repositório Git, mas alavancá-lo com o GitHub.com desbloqueia todo o seu potencial.
Revisão do gerente
Alavancando o GitHub.com com Entitlements pode permitir verificar se cada mudança de acesso tem uma revisão do gerente que a acompanha.
Ao analisar as diferenças dos Entitlements, é possível escrever uma simples GitHub Actions para analisar as diferenças para os usuários afetados e solicitar a revisão do gerente na pull request.
Desenvolvedores agora têm uma trilha de auditoria completa da aprovação e implantação concedendo acesso.
Entitlements rigorosamente auditados
O GitHub.com pode ser usado para impor revisões periódicas das configurações dos Entitlements consideradas de alto risco.
É possível escrever um simples cron job que verifica cada configuração de alto risco dos Entitlements para uma tag de metadados, e analisa a data definida. Se essa configuração contiver uma data mais antiga que o prazo de revisão, um pull request pode ser criado para reaprovar o acesso.
Isto permite provar que o acesso é reaprovado de forma apropriada, e a aprovação e justificação são rastreadas no histórico de Git.
É possível alavancar ainda mais as expirações nos Entitlements para expirar automaticamente estas configurações de alto risco se elas não forem reaprovadas.
Atualizações automáticas a partir de dados do negócio
É possível escrever um simples cron job que verifica uma fonte de dados do negócio para atualizações e leva essas atualizações para o organograma dos Entitlements. Os Entitlements reorganizarão a afiliação do grupo com base nestes novos dados e tratarão automaticamente de desprover o acesso antigo e prover o novo acesso para cada nova função.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo