Como realizar provisionamento dinâmico Just-In-Time (JIT) de segredos

Para garantir um alto nível de segurança em ambientes de nuvem elástica, o DevOps Secret Manager (DSM) permite o provisionamento e desprovisionamento automático de segredos JIT em provedores de nuvem, ambientes e sistemas. Esse cenário é normalmente utilizado em ambientes efêmeros e dinâmicos, onde há criação de segredos JIT.

Mais informações em Sobre o provisionamento dinâmico e Sobre perfis de provisionamento dinâmico.

Requisitos

Acesso ao DevOps Secret Manager.
Para o provisionamento dinâmico de credenciais: PAM Core.
Para o provisionamento dinâmico em ambientes de nuvem: Cloud IAM.

Passo 1: Configurar o perfil de provisionamento dinâmico

O primeiro passo é realizar a configuração do perfil de provisionamento dinâmico. Os perfis de provisionamento dinâmico são definições pré-configuradas que permitem que o DSM automatize a criação e o gerenciamento de credenciais de acesso.

Configurar o perfil de provisionamento dinâmico de chaves de acesso em provedores de nuvem

Para configurar o perfil de provisionamento dinâmico JIT de segredos em provedores de nuvem, veja os passos a seguir:

Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Cloud IAM.
No menu lateral, selecione Gerenciamento de identidade > Provisionamento dinâmico e clique em Perfis.
No relatório Perfis, clique em Adicionar.
Selecione a conta em nuvem onde deseja configurar o provisionamento dinâmico.
Na aba Configurações, preencha os seguintes campos:
1. No campo Identificador *, insira um nome para o perfil.
2. No campo Ativo *, selecione para ativar ou desativar o perfil.
3. Opcional: No campo Descrição, insira uma descrição para o perfil.
4. Clique em Continuar.
Na aba Revisão, verifique todas as informações inseridas na aba anterior e clique em Salvar.

Após configurar e criar o perfil de provisionamento dinâmico para chaves de acesso, veja Passo 2: Criar aplicação.

Configurar o perfil de provisionamento dinâmico de credenciais

O DSM permite o provisionamento dinâmico de credenciais em diversos sistemas e dispositivos, como bancos de dados (MySQL, Oracle e SQL Server), servidores Linux e Windows, entre outras tecnologias.

Para configurar o perfil de provisionamento dinâmico JIT de credenciais, veja os passos a seguir:

Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione PAM Core.
No menu lateral, selecione Gerenciamento > Credenciais dinâmicas e clique em Perfis.
No relatório Perfis, clique em Adicionar.
No campo Identificador *, insira um nome para o perfil.
No campo Status *, selecione para ativar ou desativar o perfil.
No campo Tipo *, selecione o tipo do dispositivo.
Opcional: No campo Utilizar uma credencial cadastrada para acessar todos os dispositivos, selecione para utilizar uma credencial específica para acessar todos os dispositivos.
Opcional: No campo Credencial de acesso cadastrada do sistema, selecione a credencial para ser utilizada. Este campo só estará disponível caso a caixa de seleção Utilizar uma credencial cadastrada para acessar todos os dispositivos esteja habilitada.
Opcional: No campo Username da credencial, insira o username da credencial.
No campo Template de criação de credencial *, selecione o template de criação da credencial. Mais informações em Templates de execuções.
No campo Template de remoção de credencial *, selecione o template de remoção da credencial. Mais informações em Templates de execuções.
Opcional: No campo Papéis, insira todos os papéis ou grupos que você deseja adicionar ao usuário.
Opcional: No campo Segundos, defina o tempo de vida da credencial. Após o término desse período, ela será automaticamente excluída pela Segura® Platform no dispositivo de destino.

Após configurar e criar o perfil de provisionamento dinâmico para credenciais, veja Passo 2: Criar aplicação.

Passo 2: Criar aplicação

Após criar os perfis de provisionamento dinâmico desejados, é necessário criar uma aplicação para que esse perfil de provisionamento dinâmico seja atribuído.

Para criar uma aplicação, veja os passos a seguir:

Na Segura® Platform, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione DevOps Secret Manager.
No menu lateral, selecione Gestão de aplicações > Aplicações.
No relatório Aplicações, clique em Adicionar.
Na aba Configurações, preencha os seguintes campos:
1. No campo Nome da aplicação *, insira um nome para a aplicação.
2. No campo Método de autenticação *, selecione o método desejado.
3. No campo Linha de negócios, selecione a linha de negócios daquela aplicação.
4. No campo Tipo de aplicação, selecione o tipo de aplicação que está sendo cadastrada.
5. No campo Status *, selecione para definir o estado da aplicação.
6. No campo Tags, você pode adicionar tags à sua aplicação. Elas devem ser separadas por vírgulas.
7. No campo Descrição, insira uma descrição para a aplicação.
8. No campo Amazon AWS ARNs, clique em + Adicionar para criar uma nova entrada na tabela. Nesta tabela, preencha com o ARN do recurso que será registrado junto à aplicação.
9. Clique em Continuar.
Na aba Provisionamento automático, preencha os seguintes campos:
1. No botão Provisionamento automático de secrets, selecione para ativar o provisionamento na aplicação.
2. Na tabela Perfil de provisionamento em cloud, clique em + Adicionar e, na coluna Profile, selecione o perfil criado na seção Configurar o perfil de provisionamento dinâmico de chaves de acesso em provedores de nuvem.
3. Na tabela Perfil de provisionamento de credencial, clique em + Adicionar e, na coluna Profile, selecione o perfil criado na seção Configurar o perfil de provisionamento dinâmico de credenciais.
4. Clique em Continuar.
Na aba Revisão, verifique todas as informações inseridas nas abas anteriores e clique em Salvar.

Após criar a aplicação e atribuir o perfil criado, o provisionamento e desprovisionamento automático JIT de segredos em provedores de nuvem, ambientes e sistemas está configurado.