Sophos simplifica e centraliza o gerenciamento de contas da AWS usando o Centro de Identidade do AWS IAM

A Sophos, uma empresa de segurança de tecnologia da informação nativa de nuvem que fornece proteção, monitoramento e resposta contra ameaças 24 horas por dia, 7 dias por semana para ambientes de nuvem híbrida, estava crescendo rapidamente usando o Amazon Web Services (AWS). A próxima etapa em sua jornada foi simplificar a integração de contas e centralizar o gerenciamento de contas. No passado, a Sophos usava a federação de identidades baseada em conta por conta para conceder acesso à AWS. Isso possibilitou que a Sophos gerenciasse o acesso à conta da AWS de maneira simples e segura, mas a empresa desejava uma maneira ainda mais simples e escalável de gerenciar o acesso em um número crescente de contas da AWS. Ao mesmo tempo, a Sophos precisava manter um controle de acesso otimizado sobre a configuração de novas contas da AWS, os perfis de gerenciamento de identidade e acesso, as permissões e as credenciais temporárias de usuário.

Para simplificar e centralizar o gerenciamento de contas da AWS e obter opções mais flexíveis ao atribuir perfis e permissões de usuários, a Sophos implementou o Centro de Identidade do AWS IAM (sucessor do AWS Single Sign-On). O Centro de Identidade do IAM é um serviço que simplifica o gerenciamento centralizado do acesso a diversas contas e aplicações empresariais da AWS. Em vez de configurar a federação de identidades para cada conta, a Sophos configurou a federação de identidades uma vez por meio do Centro de Identidade do IAM para gerenciar o acesso em diversas contas da AWS, o que simplificou drasticamente o processo de integração de novas contas e a atribuição de perfis separados com privilégios limitados. Ao tornar-se capaz de gerenciar o acesso à conta de forma centralizada no console ou na interface de linha de comando do Centro de Identidade do IAM, a Sophos não precisa mais depender de extensões de terceiros para atribuir credenciais temporárias aos desenvolvedores. “Nossos colaboradores estão muito satisfeitos com a aparência do Centro de Identidade do IAM”, diz Guy Davies, arquiteto-chefe de nuvem da Sophos. “Além disso, o tempo de criação de contas diminuiu muito porque a maior parte agora é automatizada.”

A Sophos começou em 1985 e hoje seus produtos ajudam a proteger mais de 400 mil organizações e mais de 100 milhões de usuários em mais de 150 países contra ameaças cibernéticas avançadas. Antes de usar o Centro de Identidade do IAM, a Sophos usava a federação de identidades baseada em conta por conta para gerenciar com segurança suas 250 contas da AWS, que são acessadas por 1.500 usuários internos. O processo de integração, gerenciamento e alteração nas contas da AWS consumia muito tempo, envolvendo informações das equipes de tecnologia da informação e de desenvolvimento de nuvem. A Sophos estava procurando maneiras de escalar ainda mais rápido com a agilidade necessária.

A Sophos já usou as soluções da AWS, incluindo o AWS Organizations, um serviço que ajuda as empresas a gerenciar e controlar centralmente seus ambientes da AWS à medida que escalam os recursos da AWS. Além disso, a Sophos procurava centralizar o gerenciamento de contas da AWS e evitar etapas adicionais ao integrar novas contas e alterar as permissões de perfil. A Sophos tem mais de 500 grupos do Azure Active Directory que usa para controlar o acesso à conta. Portanto, em 2019, quando o Centro de Identidade do IAM começou a oferecer suporte à especificação System for Cross-domain Identity Management, a Sophos encontrou uma solução para simplificar a integração de contas e gerenciar o acesso em grande escala. Atualmente, a empresa pode sincronizar os grupos existentes do Azure Active Directory na AWS. “Temos as habilidades necessárias para desenvolver uma solução própria, mas também temos 1.500 pessoas qualificadas na AWS”, diz Davies. “Começar no ambiente da AWS faz com que seja mais simples fazermos coisas interessantes.”

A Sophos queria continuar usando seus provedores de serviços de identidade existentes, incluindo o Azure Active Directory, um serviço de identidade empresarial, bem como a autenticação Jira e os dispositivos de autenticação de hardware YubiKey. Essas ferramentas de identidade e o Centro de Identidade do IAM funcionam perfeitamente em conjunto, possibilitando uma autenticação multifator segura. Após realizar uma prova de conceito e receber comentários internos positivos, a Sophos prosseguiu com a transição para o Centro de Identidade do IAM. A conclusão da configuração ocorreu após algumas semanas, em setembro de 2020, e na primeira semana de outubro, a Sophos pediu a seus 1.500 usuários internos que fizessem a alteração até o final do mês. A Sophos percebeu uma aceitação inicial rápida seguida por uma transição mais lenta de alguns usuários, mas as reações foram, no geral, positivas. “Acho que não recebemos nenhum comentário negativo sobre o Centro de Identidade do IAM”, afirma Davies. “Para uma mudança que afeta o fluxo de trabalho diário de cerca de 1.500 pessoas, isso é algo sem precedentes.”

A transição para o Centro de Identidade do IAM simplificou de forma considerável todos os aspectos do gerenciamento de contas da AWS para a equipe da Sophos, diminuindo o tempo necessário para integrar novas contas da AWS de vários dias para menos de um dia e possibilitando a revogação praticamente instantânea do acesso à conta da AWS conforme os prestadores de serviços são contratados ou demitidos. No passado, revogar o acesso de um usuário exigia a combinação de todos os grupos individuais do Azure Active Directory que controlam o acesso a contas individuais para revogar completamente o acesso a cada conta e aguardar a sincronização do Azure Active Directory. Isso poderia demorar até uma hora. Após a criação de dois grupos do Azure Active Directory, um que contém todos os usuários individuais e concede acesso ao console do Centro de Identidade do IAM, e outro que é sincronizado por meio do System for Cross-domain Identity Management e concede acesso a contas e permissões da AWS, a Sophos passou a ser capaz de simplesmente retirar um usuário do grupo do Centro de Identidade do IAM e ter o acesso revogado imediatamente, sem a necessidade de esperar por uma sincronização. No geral, os desenvolvedores economizaram centenas de horas na criação de contas da AWS e não precisam mais da equipe de tecnologia da informação para realizar a integração da conta da AWS. Isso reduziu os custos de recursos e possibilitou que a Sophos escalasse com mais agilidade.

Ao usar o Centro de Identidade do IAM, a Sophos também obteve um importante benefício de segurança: agora ela pode fornecer a seus usuários a opção de criar credenciais temporárias para acessar os recursos da AWS. A Sophos não precisa alternar as credenciais ou revogá-las quando não são mais necessárias. O Centro de Identidade do IAM também possibilita aos administradores de conta alterar as permissões de um local central, oferecendo-lhes flexibilidade para ajustar as permissões de perfil rapidamente. “Agora podemos ser mais granulares com as permissões que atribuímos porque podemos criar quantos conjuntos de permissões desejarmos sem que seja algo complicado”, explica Davies. “Podemos reduzir o acesso que as pessoas têm às suas contas da AWS, o que reduz a superfície de ataque.”

Para a Sophos, a implementação do Centro de Identidade do IAM resultou em um gerenciamento de contas da AWS muito mais rápido e simplificado, liberando os desenvolvedores para dedicarem menos tempo esperando por outras equipes e mais tempo se concentrando em inovações empolgantes. No futuro, a Sophos também planeja usar as APIs do Centro de Identidade do IAM para desenvolver mais automações e acelerar ainda mais a integração de contas da AWS e os processos de acesso. Por exemplo, a empresa planeja automatizar um meio de fornecer acesso à conta, o que é útil se alguém fizer uma solicitação após o horário comercial normal.

“Esse é o tipo de coisa que procuramos fazer para termos uma abordagem mais granular e dinâmica de gerenciamento de privilégios para nossas contas da AWS”, diz Davies. “É tudo possível ao usar o Centro de Identidade do IAM.”