Manual do Administrador de Operações
Task Manager
Em um cenário corporativo, é importante que se tome medidas para prevenir que o erro de um indivíduo acabe impactando no todo. A perda de uma senha de administrador compartilhada, por exemplo, podendo retirar o acesso de todas as pessoas a um servidor, ou até a execução de um comando incorreto que derrube um serviço e gere indisponibilidade para toda a empresa. Este tipo de caso deve ser evitado.
Através da sua funcionalidade de cofre de senhas, o senhasegura elimina os riscos relacionados ao compartilhamento de senhas de credenciais privilegiadas, senhas críticas fracas, obsoletas etc. Contudo, resta ainda o risco de um funcionário autorizado, com devido acesso a uma credencial administrativa, ao utilizar deste acesso para executar alguma tarefa em um dispositivo crítico do sistema, por acidente ou até má intenção, acabar realizando algum comando além do que deveria que acabe sendo prejudicial para o sistema.
Para entender melhor este cenário, vamos imaginar a seguinte situação: a empresa X possui um datacenter com servidores funcionando 24/7, com serviços essenciais para o negócio sendo executados nestes servidores. A empresa possui um time de TI operando também 24/7 para cuidar desta infraestrutura. Foi planejada uma manutenção para ocorrer durante a madrugada, horário em que o contingente operacional é menor e, portanto, é o mais adequado para esse tipo de manutenção. O funcionário que realizará a manutenção é um analista júnior que recebeu acesso a uma credencial administrativa no servidor para realizar a manutenção. A manutenção consiste em executar 3 comandos predefinidos no terminal e então reiniciar os serviços.
No dia da execução, o funcionário, por inexperiência, acaba errando um dos comandos necessários e, ao reiniciar os serviços, ele descobre que estes deixaram de funcionar. Naquele momento, não há nenhum analista sênior de plantão e a indisponibilidade acaba durando horas, gerando um grande prejuízo à organização.
Para lidar com este tipo de problema, o senhasegura desenvolveu o Task Manager. Através desse módulo é possível programar comandos e até macros e permitir o acesso para que estes, e somente estes, sejam executados, sem que mais nada possa ser feito através da credencial administrativa utilizada para executá-los. Além disso, estas Tasks são executadas ao se clicar em botões, anulando assim o risco que comandos sejam inseridos de forma errada no sistema por falta de conhecimento ou até erros de digitação. Ademais, as funcionalidades de grupos de acesso, aprovações e auditoria do senhasegura se aplicam ao Task Manager, oferecendo assim todo o gerenciamento granular e monitoramento já conhecidos do senhasegura .
Neste capítulo abordaremos, em um primeiro momento, as configurações do Task Manager, como grupos de acesso, motivos para execução e Templates e, posteriormente, demonstraremos a visualização e execução das Tasks em si.
Entradas de Suporte
Dentro do senhasegura , as entradas de suporte são entidades que têm como objetivo auxiliar na organização e na segregação de políticas e permissionamento. Assim, além das regras por grupos de acesso, também é possível cadastrar ambientes e sistemas, de acordo com as necessidades da organização.
Além desses, é possível cadastrar Motivos para execução, com o objetivo de facilitar a organização e controle da execução de tarefas.
Ambientes e Sistemas
Os Ambientes atuam como uma entidade de segregação de regras e tarefas. Como exemplo, alguns clientes usam ambientes virtuais como Produção, Homologação e Legado para segregar a localização de seus sistemas. Eles podem ser registrados no menu Configurações ➔ Parâmetros do sistema ➔ Segmentação ➔ Ambientes.
Sistemas representam os sistemas em que as tarefas refletem suas ações, atuando também como uma entidade segregadora. Seu preenchimento é de livre escolha do cliente. Como exemplo, sistemas como Pagamento, Fabricação, Monitoramento. Eles podem ser registrados no menu Configurações ➔ Parâmetros do sistema ➔ Segmentação ➔ Sistemas.
Não confunda Ambientes e Sistemas com Site, entidade registrada nos Dispositivos, que atua como um atributo segregador para Credenciais.
Motivos para execução
Esses motivos representam os fatores que levam uma tarefa a ser executada. Eles são usados na descrição de justificativas e pedidos de autorização. Como exemplo, você pode registrar Manutenção Programada, Manutenção Não Planejada, Monitoramento etc. Use o menu Task Manager ➔ Configurações ➔ Motivos para listar os motivos que você cadastrou e para incluir e edita-los.
Grupos de acesso
Os grupos de acesso do Task Manager são diferentes dos grupos de acesso de Credenciais. Portanto, o fato de um usuário ter acesso usando uma credencial em particular no Task Manager não garante acesso à mesma credencial para saque de senhas ou sessão proxy.
Através do menu Task Manager ➔ Configurações ➔ Grupos de acesso você poderá ter acesso a todos os grupos criados, poder criar um novo ou editar grupos que já existem.
Cadastro de grupos de acesso
O formulário de cadastro de grupos de acesso segue o mesmo princípio do cadastro de grupos de acesso de Credenciais. Você irá configurar o fluxo de aprovação e possíveis ações na aba Configurações, cadastrar as segregações de acesso na aba Critérios, configurar os usuários que pertencem ao grupo na aba Usuários e listar os aprovadores na aba Aprovadores.
Configurações
| Campo | Descrição |
|---|---|
| Nome do grupo de acesso | Nome do grupo de acesso |
| Ativo | Indicador se o grupo estará ativo no senhasegura |
| Requer justificativa para executar tarefa | Indicador se o usuário precisa justificar por que quer executar a tarefa |
| Requer aprovação para executar tarefa | Indicador se uma aprovação será necessaria para autorizar a execução de uma tarefa |
| Aprovações necessárias para executar | Número de aprovações necessárias para exeuctar a tarefa |
| Reprovações necessárias para cancelar | Número de reprovações necessárias para que a execução seja cancelada |
| Aprovação em níveis | Indica se o senhasegura irá envolver aprovadores nível por nível a medida que as aprovações sejam concedidas. |
| Usuário pode baixar arquivos resultantes da task | Usuários executores poderão fazer download do dos arquivos resultantes da execução. |
| Usuário deve fornecer motivo para baixar arquivos resultadas da task | Usuário deverá indicar por que quer fazer download dos arquivos resultantes da execução. |
| Obrigatório especificar código de governança ao justificar? | Solicita ao usuário o número do ticket de manutenção vinculado |
| Sempre adicionar o gestor do usuário aos aprovadores? | Indicador se o administrador do Departamento ao qual o usuário pertence será adicionado como aprovador no momento da solicitação. |
Critério
| Campo | Descrição |
|---|---|
| Dispositivos (sep. por vírgula) | Hostname dos dispositivos considerados na segregação. Use o wildcard character * para criar um padrão. |
| Ambientes | Marque quais Ambientes serão considerados na segregação |
| Sistemas | Marque quais Sistemas serão considerados na segregação |
Usuários
Nesta aba você verá quais usuários admitiram as configurações deste grupo de acesso. Clique no botão Adicionar no rodapé para abrir a caixa de diálogo de usuários disponíveis. Clique no botão Remover para remover usuários desta relação.
Aprovadores
Nesta aba você verá quais usuários são considerados aprovadores deste grupo. Através da coluna Nível você indicará a estpa de aprovação em que este usuário será notificado. Use o mesmo botão no rodapé para gerenciar os participantes.
Templates de execução
Os Templates de execução consistem nos comandos em si que serão executados ao se realizar uma tarefa. Estes Templates podem ser cadastrados através do menu Execuções ➔ Configurações ➔ Templates. Cadastre os templates com o tipo "Task Manager".
Veja o manual de "Execuções" para mais detalhes de como cadastrar um template.
Tasks
Através do menu Task Manager ➔ Tasks você poderá acessar todas as tarefas registradas, asim como os controles cadastrar uma nova tarefa e executar manutenções em tarefas já existentes.
Informações da task
| Campo | Descrição |
|---|---|
| Nome de identificação da task | Nome da task |
| Ambiente | Ambiente que a task pertence. Usado nos segreagadores de acesso. |
| Sistema | Sistema que a task pertence. Usado nos segreagadores de acesso. |
| Tags | Tags para controle. |
Variáveis para execução (grid)
Variáveis são valores que podem ser usados em Templates de exeucção como valores substitutivos. Use os caracteres [# e #] para usar.
Como exemplo, se inserir uma variável LOREM com o valor Lorem ipsum dolor sit amet, pode ser usado no seguinte Template de Execução:
echo '\[#LOREM#\]'
Quando for executado, a variavél de marcação será substituida por seu valor.
echo 'Lorem ipsum dolor sit amet'
| Campo | Descrição |
|---|---|
| Nova variável | Adiciona uma nova entrada na lista de variáveis. |
| Identificador | Nome da variável. Este é o nome que deverá ser usado nos templates |
| Valor | Valor que irá recever a variável. |
Credencial para execução
Voce deverá listar a Credencial que será usada para executar a task.
| Campo | Descrição |
|---|---|
| Utilizar uma credencial cadastrada para acessar todos os dispositivos | Indicador para trocar entre a credencial cadastrada ou o username que está lincado ao dispositivo remoto. |
| Credencial de acesso cadastrada do sistema | Permite selecionar uma credencial existente para executar a task. |
| Username da credencial | Permite que um username seja inserido. Uma credencial vinculada ao dispositivo que contém o nome de usuário desejado será usada. |
Dispositivos para execução
Você deve selecionar em quais dispositivos a task será executada. Quando a execução da tarefa iniciar, cada dispositivo terá uma operação própria e apartada. Ou seja, cada dispositivo terá seu próprio log de execução. O sucesso ou falha da execução da tarefa em um dispositivo não impede ou afeta a execução no próximo dispositivo.
Executando Tasks e monitorando
Depois de todas as etapas de configuração e criação de tasks, usuários tem acesso para executar tasks a partir de atalhos no Desktop do usuário.
Aprovadores
Quando solicitado a execução, se essa ação exigir aprovação, os aprovadores serão notificados. E somente após sua aprovação a ação será executada. Você pode rastrear aprovações pendentes executadas a partir do menu Task Manager ➔ Minhas aprovações.
Execuções e Operações
A partir do menu Task Manager ➔ Execuções você poderá acessar todas as taks executadas. Se vocÊ desejar mais detalhes destas execuções, clique no botão de ação do relatório Visualizar operações.
Este relatório de operações, o qual pode também ser acessado através do menu Task Manager, Operações, demosntra o resultado das tasks em cada dispositivo em que foi atribuída. Clique no botão de ação do registro Detalhes para exibir os detalhes da execução.
Agendamento de execuções
Você pode agendar a execução de uma tarefa a partir do relatório de tarefas do menu Task Manager ➔ Tasks. Clique na ação de registro mtelAgendamentos para ter acesso aos agendamentos ativos desta tarefa. Para cadastrar novos agendamentos, clique no botão de rodapé Agendar execução para abrir o formulário de cadastro de uma nova execução.
Ao alterar o registro da tarefa todos agendamentos serão automaticamente inativados, evitando que automações de procedimentos ainda não aprovados sejam executados.
Multi-Tenant
As credenciais gerenciadas através do senhasegura são de extrema importância para uma empresa. Muitas delas, para um conjunto de departamentos em específico. Tão importantes, que, outros departamentos não podem ter conhecimento da existência de tais credenciais.
A função Multi-Tenant local do senhasegura facilita a segregação de acessos às credenciais, permitindo que uma instância do software seja usada por vários "clientes" compartilhando da mesma estrutura física e lógica.
Em outras palavras, os dados de um cliente interno não são visíveis para os outros, como exemplifica a figura multi-0001-ptbr.
Desta forma, podemos dizer que o Administrador das credenciais do departamento de T.I não tem acesso às credenciais departamento de Desenvolvimento. Garantindo que as informações estejam acessíveis somente aos usuários que de fato precisam dela.
Para configurar um ambiente senhasegura multi-tenant sigas instruções da seções seguintes.
Ao adquirir essa função do senhasegura algumas tela sofrerão segregação por tenant:
Criação de usuários
Criação de credencial
Criação de grupos de acesso
PAM
Certificados
Task Manager
Informações Protegidas
A2A
Criando um tenant
Antes de criar um tenant tenha em mente os ambientes que deseja que sejam segmentados, após isso siga as instruções:
Acesse o menu: Configurações ➔ Parâmetros do Sistema ➔ Segmentação ➔ Tenants
No botão de ação do relatório clique na opção Novo
infoNeste mesmo relatório você também poderá alterar uma tenant já criada. Clique no botão de ação Alterar registro
Formulário de cadastro de tenant Insira o nome da sua tenant
Digite a URL, caso possua, deste tenant no campo URL de acesso
E, caso desejar, insira uma descrição sobre a abrangência deste tenant.
No campo de seleção Tipo, selecione se o tenant será acessada localmente ou remotamente
Por fim clique em Salvar
Associando um usuário a um tenant
Com seu tenant criada você poderá associar um usuário do senhasegura a este. Para isso siga as instruções:
Acesse o menu: Configurações ➔ Usuários do sistema ➔ Usuários
Crie um novo usuário1 através do botão de ação do relatório e a opção Novo, ou altere um já existente.
No formulário, na seção Tenant selecione o tenant que você deseja associar a este usuário
cautionSe o usuário não estiver associado a nenhum tenant o sistema irá associa-lo ao padrão, com isso ele poderá ser adicionado aos grupos de acesso, somente, do tenant padrão.
Clique em Salvar
Associando um grupo de acesso a um tenant
Após associar um usuário é importante associar um grupo de acesso ao tenant também.
Grupos de acesso normalmente possuem configurações diferentes entre um e outro.
Porém é necessário que estes grupos estejam associados aos tenants as quais fazem parte, e que os usuários podem ter acesso. Por exemplo:
*Um usuário do tenant T.I não deve estar como membro do grupo de acesso do tenant Desenvolvimento já que fazem parte de departamentos diferentes que não devem ter conhecimento das informações um do outro.*
Por isso, é essencial ter grupos de acesso para seus respectivos tenants, para isso siga as instruções:
Acesse o menu: PAM ➔ Configurações ➔ Acesso ➔ Grupos de acesso
Crie um novo grupo2 através do botão de ação do relatório e a opção Novo grupo, ou altere um já existente.
No formulário, selecione o tenant que o grupo de acesso deverá ser associado
Siga para a guia Usuários e selecione os usuários que você previamente associou ao mesmo tenant deste grupo.
cautionLembre-se que se o usuário deverá ser associado ao mesmo tenant do grupo de acesso, em seu cadastro ou posteriormente ser editado para ser associado, caso contrário ele não estrá disponível entre as opções de usuários para se tornar membro do grupo.
Clique em Salvar
Associando uma credencial a um tenant
Com os usuários e grupos de acesso associados ao tenant é preciso associar também credenciais.
Desta forma a credencial associada será visível somente aos usuários que estão associados ao mesmo tenant, com isso o objetivo do módulo de restringir o acesso as informações, a quem de fato precisa delas, será atingido. Para isso siga as instruções:
Acesse o menu: PAM ➔ Credenciais ➔ Todas
Crie uma nova credencial3 através do botão de ação do relatório e a opção Nova credencial, ou altere uma já existente.
No formulário, selecione no campo Tenant o tenant ao qual essa credencial será associada.
Desta maneira a credencial só poderá ser acessada, ou ter sua senha visualizada por usuários e membros de grupos de acesso associados ao mesmo tenant.
Segurança
A função multi-tenant irá auxiliar na segregação de acessos dos usuários, separando as informações por localidade, departamento ou outro tipo de tenant que deseje criar.
Entretanto os administradores devem se atentar aos seguintes pontos:
Backup: A segregação por tenant não abrange o backup, ou seja, o administrador que detêm da chave mestra terá conhecimento de todas as informações presentes em cada um dos tenants cadastradas no cofre.
Dashboards: Os usuários, independentemente de qual tenant estejam associados, com permissão de visualizar os dashboards poderão ver todas as informações presentes nestas telas.
Auditoria de mudanças
Em servidores críticos, responsáveis por serviços, é muito comum que as alterações executadas nesses ambientes sejam altamente controladas.
Em casos como esses, o usuário solicita o acesso a um dispositivo e o administrador libera o acesso onde ele executará a tarefa. O auditor precisa saber qual exatamente é o script, dispositivo e horário que a atividade será executada. Para o compliance, é necessário acompanhar fisicamente ou verificar os logs dos comandos executados.
Essas atividades possuem um altíssimo risco, porque o usuário pode fazer uma execução que afete diretamente a produtividade de uma empresa, como por exemplo, parando um servidor Apache que está hospedado o site comercial da empresa, ou até mesmo fazendo ações indevidas com o intuito de roubar informações.
Para facilitar a auditoria e compliance, o módulo Change Audit auxilia o administrador em garantir que as mudanças necessárias em um servidor serão executadas corretamente, fornecendo um fluxo de aprovação a um acesso, confirmando que tudo que foi proposto na mudança foi de fato executado pelo usuário.
E também calculando sua efetividade com avaliações indicando se o usuário chegou ao resultado esperado, se fez mais execuções do que deveria ou se nem ao menos conseguiu efetuar a mudança corretamente.
Isso demonstra mais segurança ao profissional responsável pelos ambientes, tendo auditoria e compliance dos comandos executados dentro dos seus dispositivos.
Outro ponto é possibilidade de divisão do fluxo de trabalho, onde um usuário pode ser responsável pelo planejamento e criação do script e outro de executar o mesmo.
Entre outros benefícios, este módulo pode ajudar:
Concessão de privilégios apenas a usuários no ambiente autorizado
Prevenção, detecção e correcção de anomalias de segurança no ambiente
Criação de trilhas de auditoria invioláveis para operações privilegiadas
Siga as instruções das seções seguintes para entender como utilizar este módulo:
Cadastrando uma mudança
Para criar uma mudança siga para o menu: Change Audit ➔ Change e siga as instruções:
Clique no botão Mais açõees do relatório e escolha a opção Novo
No relatório preencha o ID e o Título desta mudança
Se desejar preencha uma Descrição do objetivo desta mudança
No campo Hora de início selecione o dia e a hora que a mudança deverá começar a ser executada
Consequentemente no campo Data de vencimento selecione o dia e a hora que a mudança deverá ser finalizada
Selecione o grupo de acesso relacionado a esta mudança.
infoCaso seja necessário crie um grupo de acesso dedicado as atividades de mudanças ou edite um já existente, inserindo usuários que podem executar mudanças e os que aprovaram que as mudanças sejam realizadas.
Caso não saiba como criar um grupo de acesso consulte a seção Acesso deste documento.
Siga para a guia Dispositivos e clique no icone de adição para selecionar os dispositivos que passaram pela mudança.
Clique sobre os dispositivos desejados na lista e em seguida clique em Adicionar para seleciona-los.
cautionEsta guia deve ser preenchida, caso contrário a mudança não será cadastrada.
Seguindo para a guia Script insira os comandos que serão executados para realizar a mudança
cautionLembre-se que este script será usado como comparativo para comprovar o sucesso da mudança, por isso deve ser inserido corretamente.
Para concluir clique em Salvar
Solicitando uma mudança
Para solicitar e executar uma mudança é necessário realizar uma sessão remota. Para isso siga as instruções:
Acesse o menu: PAM ➔ Credenciais ➔ Todas
Escolha o dispositivo que deseja acessar para executar a mudança.
Você pode utilizar o filtro no topo do relatório para encontra-lo.
cautionPara que a mudança seja auditada corretamente é necessário buscar os dispositivos associados as mudanças desejadas.
Clique no botão de ação Iniciar sessão
Caso seu grupo de acesso exija justificativa, será necessário preenche-la, se não a solicitação será gerada, aguarde o a mudança ser aprovada.
Para verificar os status da sua solicitação acesse o menu: Change Audit ➔ Minhas solicitações.
Se você for um aprovador verifique as solicitações realizadas através do menu: Change Audit ➔ Minhas aprovações.
Quando a solicitação for aprovada ou reprovada você receberá uma notificação e já poderá realizar o acesso (realize os passos 1 ao 3 novamente).
infoVerifique com seu administrador do senhasegura se as notificações estão ativas para que você seja notificado sobre sua solicitação.
Na seção execute a mudança programada.
Auditando as sessões
Após uma mudança é possível verificar o que foi realizado durante a sessão e comprovar se o script inserido foi seguido.
Acesse o menu: Change Audit ➔ Audited sessions e você poderá visualizar os seguintes dados:
Detalhes da mudança
Escolha a mudança que deseja ver os detalhes
Você pode utilizar o filtro no topo do relatório para encontra-la.
Clique no botão de ação da mudança e selecione a opção Detalhes da mudança.
No relatório exibido será possível ver o tempo de duração da mudança, o IP e o usuário que a realizaram além da pontuação dada a este.
Auditoria da mudança
Escolha a mudança que deseja ver a auditoria.
Você pode utilizar o filtro no topo do relatório para encontra-la.
Clique no botão de ação da mudança e selecione a opção Auditoria da mudança
Será exibido um quadro com os comandos executados.
As linhas em vermelho são comandos que deveriam ter sido executados, segundo o script cadastrado, porém não foram.
E as linhas verdes exibem os comandos que foram executados e não estavam presentes no script.
Logs da sessão
Escolha a mudança que deseja ver logs da sessão
Você pode utilizar o filtro no topo do relatório para encontra-la.
Clique no botão de ação da mudança e selecione a opção Logs da sessão.
No relatório exibido será possível ver em detalhe os logs da sessão realizada para executar a mudança.
Assistindo o vídeo da sessão
Também é possível assistir a gravação do que foi feito durante a sessão:
Escolha a mudança que deseja assistir a gravação.
Você pode utilizar o filtro no topo do relatório para encontra-la.
Clique no botão de ação da mudança e selecione a opção Vídeo da sessão.
O vídeo começará automaticamente.
- Caso não saiba como criar um usuário e preencher o formulário de cadastro consulte o manual Administrador da Ferramenta↩
- Caso não saiba como criar grupo de acesso e preencher o formulário de cadastro consulte a seção Acesso↩
- Caso não saiba como criar uma credencial e preencher o formulário de cadastro consulte a seção Administração de credenciais↩