Controle de segurança: controle de identidade e acesso

2025-04-30

Observação

O Parâmetro de Comparação de Segurança do Azure com mais up-todata está disponível aqui.

As recomendações de gerenciamento de identidade e acesso se concentram em resolver problemas relacionados ao controle de acesso baseado em identidade, bloquear o acesso administrativo, alertar sobre eventos relacionados à identidade, comportamento anormal da conta e controle de acesso baseado em função.

3.1: Manter um inventário de contas administrativas

Azure ID	IDs de CIS	Responsabilidade
3.1	4.1	Cliente

O Azure AD tem funções internas que devem ser atribuídas explicitamente e que podem ser consultadas. Use o módulo do PowerShell do Azure AD para executar consultas ad hoc para descobrir contas que são membros de grupos administrativos.

3.2: alterar senhas padrão quando aplicável

Azure ID	IDs de CIS	Responsabilidade
3.2	4.2	Cliente

O Azure AD não tem o conceito de senhas padrão. Outros recursos do Azure que exigem uma senha forçam a criação de uma senha com requisitos de complexidade e um tamanho mínimo de senha, o que difere dependendo do serviço. Você é responsável por aplicativos de terceiros e serviços do marketplace que podem usar senhas padrão.

3.3: Usar contas administrativas dedicadas

Azure ID	IDs de CIS	Responsabilidade
3.3	4.3	Cliente

Crie procedimentos operacionais padrão em torno do uso de contas administrativas dedicadas. Use as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure para monitorar o número de contas administrativas.

Você também pode habilitar um Just-In-Time/Just-Enough-Access usando as funções privilegiadas do Azure AD Privileged Identity Management para Microsoft Services e Azure Resource Manager.

Saiba mais sobre o Privileged Identity Management

3.4: Usar o SSO (logon único) com o Azure Active Directory

Azure ID	IDs de CIS	Responsabilidade
3.4	4.4	Cliente

Sempre que possível, use o SSO do Azure Active Directory em vez de configurar credenciais individuais autônomas por serviço. Use as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure.

Entender o SSO com o Azure AD

3.5: Usar a autenticação multifator para todo o acesso baseado no Azure Active Directory

Azure ID	IDs de CIS	Responsabilidade
3,5	4.5, 11.5, 12.11, 16.3	Cliente

Habilite a MFA do Azure AD e siga as recomendações de Gerenciamento de Acesso e Identidade da Central de Segurança do Azure.

3.6: Usar computadores dedicados (Estações de Trabalho de Acesso Privilegiado) para todas as tarefas administrativas

Azure ID	IDs de CIS	Responsabilidade
3,6	4.6, 11.6, 12.12	Cliente

Use PAWs (estações de trabalho de acesso privilegiado) com MFA configurada para fazer login e configurar recursos do Azure.

3.7: Registrar e alertar atividades suspeitas de contas administrativas

Azure ID	IDs de CIS	Responsabilidade
3.7	4.8, 4.9	Cliente

Use relatórios de segurança do Azure Active Directory para geração de logs e alertas quando atividades suspeitas ou não seguras ocorrem no ambiente. Use a Central de Segurança do Azure para monitorar a identidade e a atividade de acesso.

3.8: Gerenciar recursos do Azure somente de locais aprovados

Azure ID	IDs de CIS	Responsabilidade
3.8	11,7	Cliente

Use locais nomeados de acesso condicional para permitir o acesso somente de agrupamentos lógicos específicos de intervalos de endereços IP ou países/regiões.

Como configurar locais nomeados no Azure

3.9: Usar o Azure Active Directory

Azure ID	IDs de CIS	Responsabilidade
3.9	16.1, 16.2, 16.4, 16.5, 16.6	Cliente

Use o Azure Active Directory como o sistema central de autenticação e autorização. O Azure AD protege os dados usando criptografia forte para dados em repouso e em trânsito. O Azure AD também adiciona sal, cria hashes e armazena com segurança as credenciais do usuário.

Como criar e configurar uma instância do Azure AD

3.10: Revisar e reconciliar regularmente o acesso do usuário

Azure ID	IDs de CIS	Responsabilidade
3.10	16.9, 16.10	Cliente

O Azure AD fornece logs para ajudar a descobrir contas obsoletas. Além disso, use as Revisões de Acesso à Identidade do Azure para gerenciar com eficiência associações de grupo, acesso a aplicativos empresariais e atribuições de função. O acesso do usuário pode ser revisado regularmente para garantir que apenas os usuários certos tenham acesso contínuo.

3.11: Monitorar tentativas de acessar credenciais desativadas

Azure ID	IDs de CIS	Responsabilidade
3.11	16.12	Cliente

Você tem acesso às fontes de log de Atividade de Entrada, Auditoria e Risco do Azure AD, que permitem sua integração com qualquer ferramenta de SIEM/Monitoramento.

Você pode simplificar esse processo criando configurações de diagnóstico para contas de usuário do Azure Active Directory e enviando os logs de auditoria e logs de entrada para um Workspace do Log Analytics. Você pode configurar alertas desejados no workspace do Log Analytics.

Como integrar os Logs de Atividades do Azure ao Azure Monitor

Azure ID	IDs de CIS	Responsabilidade
3.12	16.13	Cliente

Use os recursos do Azure AD Risk and Identity Protection para configurar respostas automatizadas para ações suspeitas detectadas relacionadas às identidades do usuário. Você também pode ingerir dados no Azure Sentinel para uma investigação mais aprofundada.

3.13: Fornecer à Microsoft acesso a dados relevantes do cliente durante cenários de suporte

Azure ID	IDs de CIS	Responsabilidade
3.13	16	Cliente

Em cenários de suporte em que a Microsoft precisa acessar dados do cliente, o Customer Lockbox fornece uma interface para você examinar e aprovar ou rejeitar solicitações de acesso a dados do cliente.

Entender o Caixa de Bloqueio do Cliente

Próximas etapas

Confira o próximo Controle de Segurança: Proteção de Dados