Práticas recomendadas de Gerenciamento de Identidade do Azure e segurança de controle de acesso
Neste artigo, abordaremos uma coleção de práticas recomendadas de segurança de controle de acesso e gerenciamento de identidades do Azure. Essas melhores práticas derivam de nossa experiência com o Microsoft Entra ID e das experiências de clientes como você.
Para cada prática recomendada, vamos explicar:
- O que é a prática recomendada
- Por que é ideal habilitar essa prática recomendada
- O que poderá acontecer se você não habilitar a prática recomendada
- Possíveis alternativas à prática recomendada
- Como você pode aprender a habilitar a prática recomendada
Este artigo sobre práticas recomendadas de segurança de controle de acesso e gerenciamento de identidade do Azure se baseia em um consenso e nos recursos e conjuntos de recursos da plataforma Azure existentes quando este artigo foi escrito.
Este artigo tem como objetivo fornecer um roteiro geral para uma postura de segurança mais robusta após a implantação guiada por nossa lista de verificação “5 etapas para proteger sua infraestrutura de identidade” que apresenta um passo a passo de alguns dos nossos principais recursos e serviços.
As opiniões e as tecnologias mudam ao longo do tempo e este artigo será atualizado regularmente para refletir essas alterações.
As práticas recomendadas de segurança de controle de acesso e gerenciamento de identidade do Azure discutidas neste artigo incluem:
- Tratar identidade como o perímetro de segurança primário
- Centralizar o gerenciamento de identidade
- Gerenciar locatários conectados
- Habilitar logon único
- Ativar acesso condicional
- Planejar melhorias de segurança de rotina
- Habilitar o gerenciamento de senhas
- Impor a verificação multifator para usuários
- Use o controle de acesso baseado em função
- Exposição menor de contas privilegiadas
- Controlar os locais onde os recursos estão localizados
- Usar o Microsoft Entra ID para autenticação de armazenamento
Tratar identidade como o perímetro de segurança primário
Muitos consideram que a identidade seja primário perímetro de segurança. Essa é uma mudança de enfoque tradicional de segurança de rede. Perímetros de rede cada vez mais porosos e a defesa do perímetro não pode ser tão eficiente quanto era antes da explosão da BYOD dispositivos e aplicativos de nuvem.
O Microsoft Entra ID é a solução do Azure para gerenciamento de identidade e acesso. O Microsoft Entra ID é um serviço de gerenciamento de identidade e diretório multilocatário baseado em nuvem da Microsoft. Combina serviços de diretório principais, gerenciamento de acesso a aplicativos e proteção de identidade em uma única solução.
As seções a seguir listam as melhores práticas para segurança de identidade e acesso usando o Microsoft Entra ID.
Melhor prática: Centralizar controles de segurança e detecções em relação a identidades de usuário e de serviço. Detalhe: use o Microsoft Entra ID para colocar controles e identidades.
Centralizar o gerenciamento de identidade
Em um cenário de identidade híbrida, recomendamos que você integre seus locais e diretórios na nuvem. A integração permite que sua equipe de TI gerencie contas de um local, independentemente de onde a conta é criada. A integração também ajuda os usuários a serem mais produtivos fornecendo uma identidade comum para acessar os recursos de nuvem e locais.
Melhor prática: estabeleça uma única instância do Microsoft Entra. A consistência e uma única fonte autoritativa aumentarão a clareza e reduzirão os riscos de segurança de erros humanos e da complexidade da configuração.
Detalhe: designe um único diretório do Microsoft Entra como fonte autorizada para contas corporativas e organizacionais.
Melhor prática: integre seus diretórios locais com o Microsoft Entra ID.
Detalhe: use o Microsoft Entra Connect para sincronizar seu diretório local com seu diretório na nuvem.
Observação
Há fatores que afetam o desempenho do Microsoft Entra Connect. Garanta que o Microsoft Entra Connect tenha capacidade suficiente para evitar que sistemas com baixo desempenho atrapalhem a segurança e a produtividade. Organizações grandes ou complexas (organizações que provisionam mais de 100.000 objetos) devem seguir as recomendações para otimizar a implementação do Microsoft Entra Connect.
Melhor prática: não sincronize contas com o Microsoft Entra ID que tenham privilégios elevados em sua instância existente do Active Directory.
Detalhe: não altere a configuração padrão do Microsoft Entra Connect que filtra essas contas. Essa configuração reduz o risco de os adversários dinamizarem da nuvem para ativos locais (o que poderia criar um grande incidente).
Melhor prática: Ativar a sincronização de hash de senha.
Detalhe: a sincronização de hash de senha é um recurso usado para sincronizar hashes de senha de usuário de uma instância local do Active Directory para uma instância do Microsoft Entra baseada em nuvem. Essa sincronização ajuda a proteger contra credenciais vazadas reproduzidas de ataques anteriores.
Mesmo se você decidir usar a federação com os serviços de Federação do Active Directory (AD FS) ou outros provedores de identidade, você pode definir opcionalmente a sincronização de hash de senha como um backup no caso de seus servidores locais falhem ou fiquem temporariamente indisponíveis. Essa sincronização permite que os usuários se conectem ao serviço usando a mesma senha que eles usam para entrar em sua instância local do Active Directory. Além disso, permite que a Proteção de Identidade detecte credenciais comprometidas comparando hashes de senha sincronizados com senhas sabidamente comprometidas, se um usuário tiver usado o mesmo endereço de email e senha em outros serviços que não estejam conectados ao Microsoft Entra ID.
Para obter mais informações, consulte Implementar a sincronização de senha com a sincronização do Microsoft Entra Connect.
Melhor prática: para desenvolvimento de novos aplicativos, use o Microsoft Entra ID para autenticação.
Detalhe: Use os recursos corretos para dar suporte à autenticação:
- Microsoft Entra ID para funcionários
- Microsoft Entra B2B para usuários convidados e parceiros externos
- Azure AD B2C para controlar como os clientes se inscrevem, entram e gerenciam seus perfis quando usam seus aplicativos
Organizações que não integram suas identidades locais com sua identidade de nuvem podem ter mais sobrecarga no gerenciamento de contas. Essa sobrecarga aumenta a probabilidade de erros e violações de segurança.
Observação
Você precisa escolher em quais diretórios as contas críticas residirão e se a estação de trabalho de administração usada será gerenciada por novos serviços de nuvem ou processos existentes. Usar processos de gerenciamento e provisionamento de identidade pode reduzir alguns riscos, mas também criar o risco de um invasor comprometer uma conta local e dinamizar para a nuvem. Você pode precisar de uma estratégia diferente para funções diferentes (por exemplo, administradores de TI x administradores de unidade de negócios). Você tem duas opções. A primeira opção é criar contas do Microsoft Entra que não estejam sincronizadas com sua instância do Active Directory local. Ingresse sua estação de trabalho de administrador ao Microsoft Entra ID, que você pode gerenciar e aplicar patch usando o Microsoft Intune. A segunda opção é usar contas de administrador existentes ao sincronizar com sua instância de Active Directory local. Use estações de trabalho existentes no seu domínio do Active Directory para gerenciamento e segurança.
Gerenciar locatários conectados
Sua organização de segurança precisa de visibilidade para avaliar o risco e determinar se as políticas da sua organização e os requisitos regulatórios estão sendo cumpridos. Você deve garantir que sua organização de segurança possa ver todas as assinaturas conectadas ao seu ambiente de produção e rede (por meio do Azure ExpressRoute ou VPN site a site. Um Administrador Global no Microsoft Entra ID pode elevar seu acesso à função de Administrador de Acesso do Usuário e ver todas as assinaturas e grupos gerenciados conectados ao seu ambiente.
Consulte Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure para garantir que você e seu grupo de segurança possam exibir todas as assinaturas ou grupos de gerenciamento conectados ao seu ambiente. Você deve remover esse acesso elevado depois de avaliar os riscos.
Habilitar logon único
Em um mundo de dispositivos móveis e nuvem em primeiro lugar, você deseja habilitar o logon único (SSO) para dispositivos, aplicativos e serviços de qualquer lugar para que os usuários possam ser produtivos sempre. Quando você tiver várias soluções de identidade para gerenciar, isso se torna um problema administrativo não apenas para TI, mas também para os usuários que precisem se lembrar de várias senhas.
Ao usar a mesma solução de identidade para todos os aplicativos e recursos, você pode obter o SSO. E seus usuários podem usar o mesmo conjunto de credenciais para entrar e acessar os recursos que eles precisam, se os recursos estiverem localizados no local ou na nuvem.
Melhor prática: Habilitar SSO.
Detalhe: o Microsoft Entra ID estende o Active Directory local para a nuvem. Os usuários podem usar sua conta escolar ou corporativa primária para seus dispositivos ingressados no domínio, os recursos da empresa e todos os aplicativos de SaaS que eles precisam para realizar seu trabalho e web. Os usuários não precisam se lembrar de vários conjuntos de nomes de usuário e senhas e o acesso do aplicativo pode ser automaticamente provisionado (ou desprovisionado) com base em suas associações de grupo da organização e seu status como funcionário. E você pode controlar esse acesso de aplicativos da galeria ou de seus próprios aplicativos locais que você desenvolveu e publicou por meio do proxy de aplicativo do Microsoft Entra.
Use o SSO para permitir que os usuários acessem seus aplicativos SaaS com base em sua conta corporativa ou de estudante no Microsoft Entra ID. Isso é aplicável não apenas a aplicativos de SaaS da Microsoft, mas também a outros aplicativos, como Google Apps e Salesforce. Você pode configurar seu aplicativo para usar o Microsoft Entra ID como um provedor de identidade baseado em SAML. Como controle de segurança, o Microsoft Entra ID não emite um token que permite aos usuários entrar no aplicativo, a menos que tenham recebido acesso por meio do Microsoft Entra ID. Você pode conceder acesso diretamente ou por meio de um grupo do qual fazem parte.
As organizações que não criam uma identidade comum para estabelecer SSO para seus usuários e aplicativos estão mais expostas a cenários em que os usuários têm várias senhas. Nesses cenários aumentam a probabilidade de reutilização de senhas ou usar senhas fracas.
Ativar acesso condicional
Os usuários podem acessar os recursos da organização usando uma grande variedade de dispositivos e aplicativos de qualquer lugar. Como administrador de TI, você deseja que esses dispositivos atendam aos padrões de segurança e conformidade. Por causa disso, concentrar-se apenas em quem pode acessar um recurso que não é mais suficiente.
Para dominar o equilíbrio entre segurança e produtividade, você também precisa considerar como um recurso é acessado em uma decisão sobre o controle de acesso. Com o Acesso Condicional do Microsoft Entra, você pode atender a esse requisito. Com o acesso condicional, você pode tomar decisões de controle de acesso automatizado com base em condições de acesso a aplicativos de nuvem.
Melhor prática: Gerenciar e controlar o acesso aos recursos corporativos.
Detalhe: configure políticas de Acesso Condicional comuns do Microsoft Entra com base em um grupo, local e confidencialidade do aplicativo para aplicativos SaaS e aplicativos conectados ao Microsoft Entra ID.
Melhor prática: Bloquear protocolos de autenticação herdados.
Detalhe: Todos os dias, invasores exploram os pontos fracos nos protocolos mais antigos, especialmente para ataques de irrigação de senha. Configure o acesso condicional para bloquear protocolos herdados.
Planejar melhorias de segurança de rotina
A segurança está sempre em evolução e é importante integrar uma maneira de mostrar regularmente o crescimento e descobrir novas maneiras de proteger seu ambiente à sua estrutura de gerenciamento de internet e de nuvem.
A classificação de segurança de identidade é um conjunto de controles de segurança recomendados que a Microsoft publica e que oferece uma pontuação numérica para medir objetivamente sua postura de segurança e ajudar a planejar melhores de segurança futuras. Você também pode comparar sua pontuação com a de outros setores, bem como suas próprias tendências ao longo do tempo.
Melhor prática: Planejar revisões de segurança de rotina e aprimoramentos com base nas melhores práticas do seu setor.
Detalhe: Use o recurso de classificação de segurança de identidade para classificar as melhorias ao longo do tempo.
Habilitar o gerenciamento de senhas
Se você tiver vários locatários ou deseja permitir que os usuários redefinam suas próprias senhas, é importante que você use as políticas de segurança apropriadas para evitar abusos.
Melhor prática: Configurar SSPR (redefinição de senha self-service) para seus usuários.
Detalhe: use o recurso de redefinição de senha self-service do Microsoft Entra ID.
Melhor prática: Monitorar como ou se o SSPR realmente está sendo usado.
Detalhe: monitore os usuários que estão se registrando usando o relatório Atividade de registro de redefinição de senha do Microsoft Entra ID. O recurso de relatório fornecido pelo Microsoft Entra ID ajuda você a responder a perguntas usando relatórios predefinidos. Se você estiver licenciado adequadamente, também poderá criar consultas personalizadas.
Melhor prática: Estender as políticas de senha baseadas em nuvem para sua infraestrutura local.
Detalhe: Aprimore as políticas de senha na sua organização executando as mesmas verificações usadas em alterações de senha baseada em nuvem para as alterações de senha local. Instale a proteção de senha do Microsoft Entra para agentes do Windows Server Active Directory local para estender listas de senhas proibidas à sua infraestrutura existente. Os usuários e administradores que alteram, definem ou redefinem senhas locais precisam obedecer à mesma política de senha que os usuários somente na nuvem.
Impor a verificação multifator para usuários
É recomendável que você exija a verificação em duas etapas para todos os seus usuários. Isso inclui os administradores e outros em sua organização que pode ter um impacto significativo se sua conta for comprometida (por exemplo, gerentes financeiros).
Há várias opções para exigir a verificação em duas etapas. A melhor opção para você depende de seus objetivos, da edição do Microsoft Entra que você está executando e do seu programa de licenciamento. Consulte Como exigir verificação em duas etapas para um usuário para determinar a melhor opção para você. Confira as páginas de preços do Microsoft Entra ID e da Autenticação multifator do Microsoft Entra para obter mais informações sobre licenças e preços.
Estas são as opções e benefícios para habilitar a verificação em duas etapas:
Opção 1: habilite a MFA para todos os usuários e métodos de logon com padrões de segurança do Microsoft Entra
Benefício: essa opção permite que você aplique a MFA de forma fácil e rápida em todos os usuários do seu ambiente com uma política rigorosa:
- Desafiar contas administrativas e mecanismos de logon administrativo
- Exigir desafio de MFA por meio do Microsoft Authenticator para todos os usuários
- Restringir protocolos de autenticação herdados.
Esse método está disponível a todos os níveis de licenciamento, mas não pode ser misturado com políticas de acesso condicional existentes. Você pode encontrar mais informações em Padrões de segurança do Microsoft Entra
Opção 2: habilite a autenticação multifator alterando o estado do usuário.
Benefício: Esse é o método tradicional para exigir a verificação em duas etapas. Ele funciona com a autenticação multifator do Microsoft Entra na nuvem e com o Servidor de Autenticação Multifator do Microsoft Azure. O uso desse método exigirá que os usuários realizem a verificação em duas etapas sempre que entrarem e substituírem as políticas de acesso condicional.
Para determinar onde a autenticação multifator precisa ser habilitada, confira Qual versão da autenticação multifator do Microsoft Entra é adequada para minha organização?.
Opção 3: habilite a autenticação multifator com a política de Acesso Condicional.
Benefício: Essa opção permite que você solicite a verificação em duas etapas sob condições específicas usando o acesso condicional. As condições específicas podem ser entrada do usuário de locais diferentes, não confiável de dispositivos ou aplicativos que você considere arriscadas. Definir condições específicas em que você exige verificação em duas etapas permite que você evite solicitação constante para seus usuários, que podem ser uma experiência de usuário desagradáveis.
Essa é a maneira mais flexível para habilitar a verificação em duas etapas para seus usuários. A habilitação de uma política de Acesso Condicional funciona apenas para a autenticação multifator do Microsoft Entra na nuvem e é um recurso premium do Microsoft Entra ID. Você pode encontrar mais informações sobre esse método em Implantar a autenticação multifator do Microsoft Entra baseada em nuvem.
Opção 4: habilite a autenticação multifator com políticas de Acesso Condicional avaliando as políticas de Acesso Condicional baseadas em risco.
Benefício: Essa opção permite que você:
- Detecte possíveis vulnerabilidades que afetam as identidades da organização.
- Configurar respostas automatizadas para ações suspeitas detectadas que se relacionem com as identidades da sua organização.
- Investigar incidentes suspeitos e tomar as devidas providências para resolvê-los.
Este método usa a avaliação de risco do Microsoft Entra ID Protection para determinar se a verificação em duas etapas é necessária com base no risco do usuário e de entrada para todos os aplicativos em nuvem. Esse método requer o licenciamento do Microsoft Entra ID P2. Você pode encontrar mais informações sobre esse método no Microsoft Entra ID Protection.
Observação
A opção 2, permitindo a autenticação multifator alterando o estado do usuário, substitui as políticas de Acesso Condicional. Como as opções 3 e 4 usam políticas de Acesso Condicional, você não pode usar a opção 2 com eles.
As organizações que não adicionam camadas adicionais de proteção de identidade, como verificação em duas etapas, são mais suscetíveis a ataques de roubo de credencial. Um ataque de roubo de credencial pode levar ao comprometimento de dados.
Use o controle de acesso baseado em função
O gerenciamento de acesso para recursos de nuvem é essencial para qualquer organização que usa a nuvem. O RBAC do Azure (controle de acesso baseado em funções do Azure) ajuda a gerenciar quem tem acesso aos recursos do Azure, o que pode fazer com esses recursos e a quais áreas tem acesso.
A designação de funções individuais ou de grupos responsáveis por funções específicas no Azure ajuda a evitar confusão que podem levar a erros humanos e de automação que criam riscos de segurança. Restringir o acesso com base nos princípios de segurança de divulgação restrita àqueles diretamente interessados e no privilégio mínimo é fundamental para as organizações que desejam impor políticas de segurança para acesso a dados.
A equipe de segurança precisa ver os recursos do Azure para avaliar e corrigir riscos. Se a equipe de segurança tiver responsabilidades operacionais, ela precisará de permissões adicionais para realizar o trabalho.
Você pode usar o RBAC do Azure para atribuir permissões a usuários, grupos e aplicativos em um determinado escopo. O escopo de uma atribuição de função pode ser uma assinatura, um grupo de recursos ou um único recurso.
Melhor prática: Separar tarefas dentro da equipe e conceder somente a quantidade de acesso que os usuários precisam para realizar seus trabalhos. Em vez de apresentar todos irrestrito permissões em sua assinatura do Azure ou recursos, permita apenas determinadas ações para um escopo específico.
Detalhe: use as funções internas do Azure no Azure para atribuir privilégios a usuários.
Observação
Permissões específicas criam complexidade e confusão desnecessárias, acumuladas em uma configuração "herdada" que é difícil de corrigir, devido ao medo de quebrar algo. Evite permissões específicas para cada recurso. Em vez disso, use grupos de gerenciamento para permissões de toda a empresa e grupos de recursos para permissões nas assinaturas. Evite permissões específicas para cada usuário. Em vez disso, atribua acesso a grupos no Microsoft Entra ID.
Melhor prática: Conceda às equipes de segurança acesso às responsabilidades do Azure para ver os recursos do Azure para que eles possam avaliar e corrigir riscos.
Detalhe: Conceda às equipes de segurança a função Leitor de Segurança do RBAC. Você pode usar o grupo de gerenciamento raiz ou o grupo de gerenciamento de segmentos, dependendo do escopo das responsabilidades:
- Grupo de gerenciamento raiz para equipes responsáveis por todos os recursos da empresa
- Grupo de gerenciamento de segmento para equipes com escopo limitado (normalmente devido a regulamentações ou outros limites organizacionais)
Melhor prática: Conceda permissões apropriadas às equipes de segurança que têm responsabilidades operacionais diretas.
Detalhe: examine as funções internas do Azure para a atribuição de função apropriada. Se as funções internas não atenderem às necessidades específicas de sua organização, elas poderão ser criadas em funções personalizadas do Azure. Assim como as funções internas, é possível atribuir funções personalizadas a usuários, grupos e entidades de serviço na assinatura, no grupo de recursos e nos escopos de recurso.
Práticas recomendadas: permitir que o Microsoft Defender para Nuvem acesse as funções de segurança que precisam dele. O Defender para Nuvem permite que as equipes de segurança identifiquem e corrijam riscos rapidamente.
Detalhe: Adicione equipes de segurança com essas necessidades à função de Administrador de Segurança do RBAC para que possam exibir as políticas de segurança, editar as políticas de segurança, exibir alertas e recomendações e ignorar alertas e recomendações. Você pode fazer isso usando o grupo de gerenciamento raiz ou o grupo de gerenciamento de segmentos, dependendo do escopo das responsabilidades.
As organizações que não impõem o controle de acesso de dados, usando recursos como o RBAC, podem estar dando mais privilégios que o necessário para os seus usuários. Isso pode levar ao comprometimento dos dados, pois permite o acesso de usuário a tipos de dados (por exemplo, alto impacto nos negócios) que eles não deveriam ter.
Exposição menor de contas privilegiadas
Proteger com privilégios o acesso é a primeira etapa crítica para proteger os ativos de negócios. Minimizando o número de pessoas que têm acesso a informações seguras ou recursos reduz a chance de um usuário mal-intencionado obter acesso, ou um usuário autorizado afetar acidentalmente um recurso confidencial.
As contas privilegiadas são aquelas que administram e gerenciam sistemas de TI. Os invasores virtuais visam essas contas para obter acesso aos sistemas e aos dados de uma organização. Para proteger o acesso privilegiado, isole as contas e os sistemas do risco de exposição a um usuário mal-intencionado.
É recomendável que você desenvolva e execute um roteiro para proteger o acesso privilegiado contra invasores virtuais. Para obter informações sobre como criar um roteiro detalhado para proteger identidades e acessos gerenciados ou relatados no Microsoft Entra ID, Microsoft Azure, Microsoft 365 e outros serviços de nuvem, revise Protegendo o acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.
O seguinte resume as melhores práticas encontradas em Proteção de acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID:
Melhor prática: Gerenciar, controlar e monitorar o acesso a contas privilegiadas.
Detalhe: ative o Microsoft Entra Privileged Identity Management. Depois de ativar o Privileged Identity Management, você receberá mensagens de notificação por email para alterações da função de acesso privilegiado. Essas notificações fornecem aviso antecipado quando usuários adicionais são adicionados às funções altamente privilegiadas no seu diretório.
Melhor prática: verifique se todas as contas de administrador críticas são contas gerenciadas do Microsoft Entra. Detalhe: Remova todas as contas de consumidor das funções de administrador críticas (ex.: contas da Microsoft, como hotmail.com, live.com e outlook.com).
Melhor prática: Verifique se todas as funções de administrador críticas têm uma conta separada para tarefas administrativas para evitar phishing e outros ataques que comprometam os privilégios administrativos.
Detalhe: Crie uma conta de administrador separada com privilégios necessários para executar tarefas administrativas. Bloqueie o uso dessas contas administrativas em ferramentas de produtividade diárias, como o email do Microsoft 365 ou navegação arbitrária na Web.
Melhor prática: Identificar e categorizar as contas que estão em funções altamente privilegiadas.
Detalhes: Após ativar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão no administrador global, no administrador de funções com privilégios e em outras funções altamente privilegiadas. Remova as contas que não são mais necessárias nessas funções e categorize as contas que são atribuídas a funções de administrador:
- Atribuídas individualmente a usuários administrativos e podem ser usadas para fins não administrativos (por exemplo, email pessoal)
- Individualmente atribuídas para usuários administrativos e designadas para fins administrativos apenas
- Compartilhada por vários usuários
- Para cenários de acesso de emergência
- Para scripts automatizados
- Para usuários externos
Melhor prática: Implementar acesso JIT ("Just-In-Time") para reduzir ainda mais o tempo de exposição de privilégios e aumentar sua visibilidade sobre o uso de contas privilegiadas.
Detalhe: o Microsoft Entra Privileged Identity Management permite:
- Limitar os usuários a assumir seus privilégios JIT.
- Atribua funções por uma duração reduzida com confiança de que os privilégios são revogados automaticamente.
Melhor prática: Definir pelo menos duas contas de acesso de emergência.
Detalhes: as contas de acesso de emergência ajudam as organizações a restringir o acesso privilegiado em um ambiente do Microsoft Entra existente. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. Contas de acesso de emergência são limitadas a cenários em que as contas administrativas normais não podem ser usadas. As organizações devem limitar o uso da conta de emergência para somente a quantidade necessária de tempo.
Avalie as contas que são atribuídas ou qualificadas para a função de administrador global. Se você não vir nenhuma conta somente na nuvem usando o *.onmicrosoft.com domínio (usado para acesso de emergência), crie-os. Para obter mais informações, confira Gerenciamento de contas administrativas de acesso de emergência no Microsoft Entra ID.
Melhor prática: Ter um processo de “interrupção de emergência” em caso de necessidade.
Detalhe: siga as etapas em Protegendo o acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.
Melhor prática: exija que todas as contas de administrador críticas sejam sem senha (preferenciais) ou exija autenticação multifator.
Detalhe: use o aplicativo Microsoft Authenticator para entrar em qualquer conta do Microsoft Entra sem usar uma senha. Como o Windows Hello para Empresas, o Microsoft Authenticator usa a autenticação baseada em chave para habilitar uma credencial de usuário que esteja associada a um dispositivo e use autenticação biométrica ou um PIN.
Exija a autenticação multifator do Microsoft Entra na entrada para todos os usuários individuais atribuídos permanentemente a uma ou mais funções de administrador do Microsoft Entra: Administrador Global, Administrador de Função com Privilégios, Administrador do Exchange Online e Administrador do SharePoint Online. Habilite a autenticação multifator para suas contas de administrador e certifique-se que os usuários da conta de administrador estejam registrados.
Melhor prática: Para contas de administrador críticas, tenha uma estação de trabalho de administração em que as tarefas de produção não são permitidas (ex.: navegação e email). Isso protegerá as contas de administrador contra vetores de ataque que usam navegação e email e reduzirá significativamente o risco de um incidente grave.
Detalhe: Use uma estação de trabalho de administração. Escolha um nível de segurança de estação de trabalho:
- Dispositivos de produtividade altamente seguros fornecem segurança avançada para navegação e outras tarefas de produtividade.
- Estações de trabalho com acesso privilegiado (PAWs) fornecem um sistema operacional dedicado protegido contra ataques da Internet e vetores de ameaça para tarefas confidenciais.
Melhor prática: Desprovisione contas de administrador quando os funcionários deixarem sua organização.
Detalhe: Tenha um processo em vigor que desabilite ou exclua contas de administrador quando os funcionários deixarem sua organização.
Melhor prática: Teste regularmente as contas de administrador usando as técnicas de ataque atuais.
Detalhe: Use o Simulador de Ataques do Microsoft 365 ou uma oferta de terceiros para executar cenários de ataques realistas em sua organização. Isso pode ajudá-lo a encontrar usuários vulneráveis antes que ocorra um ataque real.
Melhor prática: Realizar etapas para diminuir as técnicas de ataque usadas com mais frequência.
Detalhe: Identifique as contas da Microsoft em funções administrativas que precisam ser alternadas para contas corporativas ou de estudante
Certifique-se de que as senhas de contas administrativas foram alteradas recentemente
Ativar a sincronização de hash de senha
Obter a sua Classificação de segurança da Microsoft 365 (se estiver usando o Microsoft 365)
Verificar as diretrizes de segurança do Microsoft 365 (se estiver usando o Microsoft 365)
Configurar o Monitoramento de Atividades do Microsoft 365 (se estiver usando o Microsoft 365)
Estabelecer os proprietários de plano de resposta de incidente/emergência
Continuar a proteger as contas administrativas privilegiadas locais
Se você não proteger o acesso privilegiado, talvez você têm muitos usuários em funções altamente privilegiadas e são mais vulneráveis a ataques. Atores mal-intencionados, incluindo os invasores virtuais, contas de administrador de destino com frequência e outros elementos de acesso privilegiado para obter acesso a dados confidenciais e sistemas usando o roubo de credenciais.
Controlar os locais onde os recursos estão localizados
É muito importante habilitar os operadores de nuvem a executar tarefas, mas impedi-los de romper convenções que são necessárias para gerenciar recursos de sua organização. As organizações que desejam controlar os locais em que os recursos são criados devem codificar esses locais.
Você pode usar o Azure Resource Manager para criar políticas de segurança cujas definições descrevem as ações ou os recursos que são especificamente negados. Atribua essas definições de política no escopo desejado, como a assinatura, grupo de recursos ou um recurso individual.
Observação
As políticas de segurança não são as mesmas que as de RBAC. Na verdade, usam o RBAC para autorizar usuários a criarem esses recursos.
As organizações que não estão controlando como os recursos são criados são mais suscetíveis a usuários que podem usar o serviço de maneira imprópria, criando mais recursos do que o necessário. Proteger o processo de criação de recursos é uma etapa importante para proteger um cenário de multilocatário.
Monitorar ativamente as atividades suspeitas
Uma sistema de monitoramento de identidade Active Directory pode detectar o comportamento suspeito e disparar um alerta para uma investigação mais aprofundada rapidamente. A tabela a seguir lista os recursos do Microsoft Entra que podem ajudar as organizações a monitorar suas identidades:
Melhor prática: Ter um método para identificar:
- Tenta entrar em sem rastreamento.
- Força bruta ataques contra uma conta específica.
- Tentativas de entrada de vários locais.
- Entradas de dispositivos infectados.
- Entradas de endereços IP suspeitos.
Detalhe: use os relatórios de anomalias do Microsoft Entra ID P1 ou P2. Ter processos e procedimentos em vigor para que os administradores de TI executem esses relatórios diariamente ou sob demanda (geralmente em um cenário de resposta a incidentes).
Melhor prática: Ter um sistema de monitoramento ativo que notifica você a respeito dos riscos e pode ajustar o nível de risco (alto, médio ou baixo) a seus requisitos de negócios.
Detalhe: use o Microsoft Entra ID Protection, que sinaliza os riscos atuais em seu próprio painel e envia notificações resumidas diárias por email. Para ajudar a proteger as identidades da organização, você pode configurar políticas de risco que respondem automaticamente a problemas detectados quando um nível de risco especificado for atingido.
As organizações que não monitoram ativamente os seus sistemas de identidade estão em risco de ter as credenciais de usuário comprometidas. Sem o conhecimento que atividades suspeitas estão ocorrendo através dessas credenciais, as organizações não podem reduzir esse tipo de ameaça.
Usar o Microsoft Entra ID para autenticação de armazenamento
O Armazenamento do Azure dá suporte à autenticação e autorização com o Microsoft Entra ID para armazenamento de blobs e armazenamento de filas. Com a autenticação do Microsoft Entra, você pode usar o controle de acesso baseado em função do Azure para conceder permissões específicas a usuários, grupos e aplicativos até o escopo de um contêiner ou fila de blob individual.
Recomendamos que você use o Microsoft Entra ID para autenticar o acesso ao armazenamento.
Próxima etapa
Veja Melhores práticas e padrões de segurança do Azure para obter melhores práticas segurança complementares a serem usadas ao projetar, implantar e gerenciar as soluções de nuvem, usando o Azure.