Incorpore práticas de Confiança Zero na sua zona de aterragem
Zero Trust é uma estratégia de segurança na qual você incorpora produtos e serviços em seu design e implementação para aderir aos seguintes princípios de segurança:
Verificar explicitamente: sempre autentique e autorize o acesso com base em todos os pontos de dados disponíveis.
Use o acesso com privilégios mínimos: limite os usuários a acesso suficiente e use ferramentas para fornecer acesso just-in-time com considerações a políticas adaptáveis baseadas em risco.
Suponha a violação: minimize o raio de explosão e o acesso ao segmento, procure ameaças de forma proativa e melhore continuamente as defesas.
Se sua organização aderir à estratégia Zero Trust, você deverá incorporar objetivos de implantação específicos do Zero Trust em suas áreas de design de zona de aterrissagem. Sua zona de aterrissagem é a base de suas cargas de trabalho no Azure, por isso é importante preparar sua zona de aterrissagem para a adoção do Zero Trust.
Este artigo fornece orientação para integrar práticas de Confiança Zero em sua zona de pouso e explica onde a adesão aos princípios de Confiança Zero requer soluções fora da sua zona de pouso.
Ao implementar práticas de Confiança Zero em sua implantação de zona de aterrissagem do Azure, você deve começar considerando a orientação de Confiança Zero para cada área de design de zona de aterrissagem.
Para obter considerações sobre como criar uma zona de aterrissagem e orientação para decisões críticas em cada área, consulte Áreas de design de zona de aterrissagem do Azure.
O modelo Zero Trust possui pilares que são organizados por conceitos e objetivos de implantação. Para obter mais informações, consulte Implantando soluções Zero Trust.
Esses pilares fornecem objetivos de implantação específicos que ajudam as organizações a se alinharem aos princípios do Zero Trust. Esses objetivos vão além das configurações técnicas. Por exemplo, o pilar de rede tem um objetivo de implantação para segmentação de rede. O objetivo não fornece informações sobre como configurar redes isoladas no Azure, mas oferece orientação para criar o padrão de arquitetura. Há outras decisões de design a serem consideradas ao implementar um objetivo de implantação.
O diagrama a seguir mostra as áreas de design da zona de aterrissagem.
A tabela a seguir correlaciona os pilares Zero Trust com as áreas de design mostradas na arquitetura.
Legenda | Área de projeto da zona de pouso | Pilar Confiança Zero |
---|---|---|
Cobrança do Azure e locatário do Microsoft Entra | Pilar de identidade | |
Gerenciamento de identidade e acesso | Pilar de identidade, Pilar Aplicações, Pilar de dados |
|
Organização do recurso | Pilar de identidade | |
Governança | Pilar de visibilidade, automação e orquestração | |
Gerenciamento | Pilar de endpoints, Pilar Aplicações, Pilar de dados, Pilar infraestrutura |
|
Topologia de rede e conectividade | Pilar Redes | |
Segurança | Todos os pilares da Zero Trust | |
Automação de plataforma e DevOps | Pilar de visibilidade, automação e orquestração |
Nem todos os objetivos de implantação do Zero Trust fazem parte de uma zona de pouso. Muitos objetivos de implantação do Zero Trust são para projetar e liberar cargas de trabalho individuais para o Azure.
As seções a seguir analisam cada pilar e fornecem considerações e recomendações para a implementação dos objetivos de implantação.
Para obter informações sobre os objetivos de implantação para proteger a identidade, consulte Protegendo a identidade com Zero Trust. Para implementar esses objetivos de implantação, você pode aplicar federação de identidades, acesso condicional, governança de identidade e operações de dados em tempo real.
Você pode usar as implementações de referência da zona de aterrissagem do Azure para implantar recursos que estendem sua plataforma de identidade existente no Azure e gerenciar a plataforma de identidade implementando as práticas recomendadas do Azure.
Você pode configurar muitos dos controles para práticas de Confiança Zero em seu locatário do Microsoft Entra. Você também pode controlar o acesso ao Microsoft 365 e a outros serviços de nuvem que usam o Microsoft Entra ID.
Você deve planejar os requisitos de configuração além do que está na sua zona de aterrissagem do Azure.
Desenvolva um plano para gerenciar identidades na ID do Microsoft Entra que vá além dos recursos do Azure. Por exemplo, você pode usar:
- Federação com sistemas de identidade locais.
- Políticas de acesso condicional.
- Informações de usuário, dispositivo, local ou comportamento para autorização.
Implante sua zona de aterrissagem do Azure com assinaturas separadas para recursos de identidade, como controladores de domínio, para que você possa proteger melhor o acesso aos recursos.
Use identidades gerenciadas do Microsoft Entra sempre que possível.
Para obter informações sobre os objetivos de implantação para proteger pontos de extremidade, consulte Proteger pontos de extremidade com Zero Trust. Para implementar esses objetivos de implantação, você pode:
Registre endpoints com provedores de identidade de nuvem para fornecer acesso a recursos somente por meio de endpoints e aplicativos compatíveis gerenciados na nuvem.
Aplique a prevenção de perda de dados (DLP) e o controle de acesso para dispositivos corporativos e dispositivos pessoais registrados em programas BYOD (traga seu próprio dispositivo ).
Monitore o risco do dispositivo para autenticação com a detecção de ameaças de ponto de extremidade.
Os objetivos de implantação de ponto de extremidade são para dispositivos de computação do usuário final, como laptops, computadores desktop e dispositivos móveis.
Ao adotar práticas de Confiança Zero para pontos de extremidade, você deve implementar soluções no Azure e fora do Azure.
Você pode usar ferramentas, como o Microsoft Intune e outras soluções de gerenciamento de dispositivos, para realizar os objetivos de implantação.
Se você tiver pontos de extremidade no Azure, como na Área de Trabalho Virtual do Azure, poderá registrar a experiência do cliente no Intune e aplicar políticas e controles do Azure para restringir o acesso à infraestrutura.
Desenvolva um plano para gerenciar pontos de extremidade com práticas de Confiança Zero, além de seus planos para implementar uma zona de aterrissagem do Azure.
Para obter outras informações sobre dispositivos e servidores, consulte Infraestrutura segura.
Para obter informações sobre os objetivos de implantação para proteger aplicativos, consulte Proteger aplicativos com Zero Trust. Para implementar esses objetivos de implantação, você pode:
Use APIs para obter visibilidade dos aplicativos.
Aplicar políticas para proteger informações confidenciais.
Aplicar controles de acesso adaptáveis.
Limite o alcance da TI de sombra.
Os objetivos de implantação para aplicativos se concentram no gerenciamento de aplicativos de terceiros e primários em sua organização.
Os objetivos não abordam a proteção da infraestrutura de aplicativos. Em vez disso, eles abordam a proteção do consumo de aplicativos, especialmente aplicativos em nuvem.
As práticas da zona de aterrissagem do Azure não fornecem controles detalhados para objetivos do aplicativo. Esses controles são configurados como parte da configuração do aplicativo.
Use o Microsoft Defender for Cloud Apps para gerenciar o acesso a aplicativos.
Use as políticas padronizadas incluídas no Defender for Cloud Apps para impor suas práticas.
Desenvolva um plano para integrar seus aplicativos às suas práticas de acesso a aplicativos. Não confie em aplicativos que sua organização hospeda mais do que em aplicativos de terceiros.
Para obter informações sobre os objetivos de implantação para proteger dados, consulte Proteger dados com Zero Trust. Para implementar esses objetivos, você pode:
- Classificar e rotular dados.
- Habilite o controle de acesso.
- Implemente a proteção contra perda de dados.
Para obter informações sobre como registrar em log e gerenciar recursos de dados, consulte Implementações de referência de zona de aterrissagem do Azure.
Uma abordagem Zero Trust envolve controles extensivos para dados. Do ponto de vista da implementação, o Microsoft Purview fornece ferramentas para governança, proteção e gerenciamento de riscos de dados. Você pode usar o Microsoft Purview como parte de uma implantação de análise em escala de nuvem para fornecer uma solução que você pode implementar em escala.
De acordo com o princípio de democratização da assinatura da zona de aterrissagem, você pode criar acesso e isolamento de rede para recursos de dados e também estabelecer práticas de log.
Há políticas nas implementações de referência para registro em log e gerenciamento de recursos de dados.
Você precisa de outros controles além de proteger os recursos do Azure para atender aos objetivos de implantação. A segurança de dados Zero Trust envolve classificar dados, rotulá-los quanto à sensibilidade e controlar o acesso aos dados. Ele também se estende além do banco de dados e sistemas de arquivos. Você precisa considerar como proteger dados no Microsoft Teams, no Microsoft 365 Groups e no SharePoint.
O Microsoft Purview fornece ferramentas para governança, proteção e gerenciamento de riscos de dados.
Implemente o Microsoft Purview como parte de uma implantação de análise em escala de nuvem para implementar sua carga de trabalho em escala.
Para obter informações sobre os objetivos de implantação para proteger a infraestrutura, consulte Infraestrutura segura com Zero Trust. Para implementar esses objetivos, você pode:
- Monitorar o comportamento anormal nas cargas de trabalho.
- Gerenciar identidades de infraestrutura.
- Limitar o acesso humano.
- Segmentar recursos.
Os objetivos de implantação da infraestrutura incluem:
- Gerenciando recursos do Azure.
- Gerenciamento de ambientes do sistema operacional.
- Acessando sistemas.
- Aplicação de controles específicos da carga de trabalho.
Você pode usar o modelo de assinatura da zona de aterrissagem para criar limites de segurança claros para os recursos do Azure e atribuir permissões limitadas conforme necessário no nível do recurso.
As organizações precisam organizar suas cargas de trabalho para o gerenciamento.
Use as políticas de zona de aterrissagem padrão do Azure para bloquear implantações e recursos não compatíveis e para impor padrões de log.
Configure o Gerenciamento de Identidades Privilegiadas no Microsoft Entra ID para fornecer acesso just-in-time a funções altamente privilegiadas.
Configure o acesso just-in-time no Defender for Cloud para sua zona de aterrissagem para restringir o acesso a máquinas virtuais.
Crie um plano para monitorar e gerenciar cargas de trabalho individuais implantadas no Azure.
Para obter informações sobre os objetivos de implantação para proteger redes, consulte Proteger redes com Zero Trust. Para implementar esses objetivos, você pode:
- Implementar segmentação de rede.
- Use a filtragem nativa da nuvem.
- Implementar privilégio de acesso mínimo.
Para garantir que os recursos da plataforma ofereçam suporte ao modelo de segurança Zero Trust, você deve implantar firewalls capazes de inspeção de tráfego HTTPS e isolar recursos de rede de identidade e gerenciamento do hub central.
Além dos recursos de rede na assinatura de conectividade, você precisa criar planos para microssegmentar cargas de trabalho individuais em suas redes virtuais de spoke. Por exemplo, você pode definir padrões de tráfego e criar grupos de segurança de rede refinados para cada rede de carga de trabalho.
Use os seguintes guias de implantação específicos do Zero Trust para implantar sua zona de aterrissagem do Azure:
Para obter informações sobre como aplicar princípios de Zero Trust à entrega de aplicativos, consulte Rede Zero Trust para aplicativos Web.
Para obter informações sobre como criar um plano para rede de carga de trabalho, consulte Planos de implantação de Zero Trust com o Azure.
Para obter informações sobre os objetivos de implantação para visibilidade, automação e orquestração, consulte Visibilidade, automação e orquestração com Zero Trust. Para implementar esses objetivos, você pode:
- Estabelecer a visibilidade.
- Habilitar a automação.
- Habilite controles adicionais praticando a melhoria contínua.
As implementações de referência da zona de aterrissagem do Azure contêm implantações do Microsoft Sentinel que você pode usar para estabelecer rapidamente a visibilidade em seu ambiente do Azure.
As implementações de referência fornecem políticas para o log do Azure, mas é necessária integração adicional para outros serviços.
Você deve configurar ferramentas de automação, como o Azure DevOps e o GitHub, para enviar sinais.
Implante o Microsoft Sentinel como parte da sua zona de aterrissagem do Azure.
Crie um plano para integrar sinais da ID e das ferramentas do Microsoft Entra no Microsoft 365 ao seu espaço de trabalho do Microsoft Sentinel.
Crie um plano para a realização de exercícios de caça a ameaças e melhorias contínuas de segurança.