Trabalho remoto e híbrido seguro com Confiança Zero
Como parte das diretrizes de adoção de confiança zero, este artigo descreve o cenário de negócios da proteção do trabalho remoto e híbrido. Observe que a proteção dos dados e da infraestrutura da sua empresa são tópicos de cenários de negócios separados e não estão incluídos nestas diretrizes.
A mudança para um estilo de trabalho híbrido tem forçado as organizações a se adaptarem rapidamente. Os funcionários remotos estão fazendo o trabalho da maneira que puderem, como usar dispositivos pessoais, colaborar por meio de serviços de nuvem e compartilhar dados fora do perímetro da rede corporativa. Os funcionários híbridos trabalham em redes corporativas e locais, alternando entre dispositivos corporativos e pessoais.
À medida que as redes domésticas dos funcionários se estendem pelo perímetro da rede corporativa, com diferentes dispositivos se juntando a essa rede, as ameaças à segurança estão se multiplicando e se tornando mais sofisticadas enquanto os vetores de ataque evoluem.
| Proteção tradicional com controles de rede | Proteção moderna com confiança zero |
|---|---|
| A proteção tradicional depende de firewalls de rede e redes virtuais privadas (VPNs) para isolar e restringir recursos corporativos. Os funcionários se identificam fisicamente no escritório e usam sua conta de usuário e senha para iniciar sessão com o dispositivo. A conta de usuário e o dispositivo são confiáveis por padrão. |
Um modelo de confiança zero combina políticas, processos e tecnologia para estabelecer confiança da nuvem à borda, independentemente de onde os usuários acessam sua rede. Um modelo de confiança zero não presume que qualquer identidade do usuário ou dispositivo esteja seguro em qualquer rede. A abordagem exige que você verifique a identidade do usuário e o dispositivo e faça isso enquanto monitora continuamente a segurança da rede, dos dados e dos aplicativos no escritório, em casa e entre dispositivos. |
O diagrama a seguir ilustra a mudança da proteção tradicional com controles de rede à esquerda (de locais conhecidos limitados) para a proteção moderna com confiança zero à direita (para locais desconhecidos) na qual a proteção é aplicada independentemente de onde os usuários e dispositivos estão localizados.
As diretrizes deste artigo explicam como dar os primeiros passos e implementar sua estratégia para proteger o trabalho remoto e híbrido.
Como os líderes de negócios pensam sobre a segurança do trabalho remoto e híbrido
Antes de iniciar qualquer trabalho técnico, é importante entender as diferentes motivações para investir na proteção do trabalho remoto e híbrido, pois essas motivações ajudam a informar a estratégia, os objetivos e as medidas para o sucesso.
A tabela a seguir apresenta as razões pelas quais os líderes de negócios em uma organização devem investir na proteção do trabalho remoto e híbrido.
| Função | Por que proteger o trabalho remoto e híbrido é importante |
|---|---|
| Diretor executivo (CEO) | A empresa deve ser capacitada para atingir suas metas e objetivos estratégicos, independentemente da localização do funcionário. A agilidade dos negócios e a execução de negócios não devem ser restritas. O custo de um ataque cibernético bem-sucedido pode ser muito maior do que o preço da implementação de medidas de segurança. Em muitos casos, é necessária a conformidade com requisitos ou normas de seguro cibernético ou regulamentos regionais. |
| Diretor de marketing (CMO) | A maneira como a empresa é percebida internamente e externamente não deve ser restrita por dispositivos ou circunstâncias. O bem-estar dos funcionários é uma prioridade alta potencializada pela escolha de trabalhar em casa ou no escritório. Um ataque bem-sucedido pode se tornar de conhecimento público, potencialmente prejudicando o valor da marca. |
| Diretor de informações (CIO) | Os aplicativos usados por uma força de trabalho móvel e híbrida devem estar acessíveis enquanto protegem os dados da empresa. A segurança deve ser um resultado mensurável e alinhado com a estratégia de TI. A experiência do usuário e a produtividade são importantes. |
| Diretor de segurança da informação (CISO) | Um ambiente de trabalho remoto ou híbrido cria uma área da superfície maior para violações de segurança. A organização ainda deve cumprir os requisitos, padrões e regulamentos de segurança e proteção de dados à medida que o ambiente se expande. |
| Diretor de tecnologia (CTO) | As tecnologias e os processos utilizados para apoiar a inovação empresarial devem ser protegidos. As práticas de SecOps e DevSecOps podem reduzir o impacto de um ataque. Tecnologias complementares que facilitem tanto o trabalho remoto quanto a adoção de serviços de nuvem de forma segura devem ser adotadas. |
| Diretor de operações (COO) | À medida que a força de trabalho se torna móvel e usa um escritório fixo com menos frequência, os ativos da empresa precisam permanecer seguros e o risco dos negócios deve ser gerenciado. Com a responsabilidade do CEO pela produção diária dos negócios, qualquer interferência nas operações ou na cadeia de fornecedores devido a um ataque afetará o resultado. |
| Diretor financeiro (CFO) | As prioridades de gastos estão mudando de modelos fixos para modelos agile. O investimento e as instalações fixas dos datacenters estão mudando para aplicativos de nuvem e usuários que trabalham em casa. Os custos da implementação de recursos de segurança devem ser equilibrados com análises de risco e custo. |
Além das motivações para os líderes empresariais, muitos funcionários esperam flexibilidade e querem trabalhar de qualquer lugar, a qualquer hora e de qualquer dispositivo.
A Microsoft é uma das muitas organizações de escala empresarial que adotaram o trabalho remoto e híbrido no início da pandemia de COVID-19. Na página 87 do Relatório de Defesa Digital da Microsoft 2022, a Microsoft enfatiza que essa oportunidade de negócios apresenta riscos e deve ser combinada com medidas de segurança para aumentar a resiliência contra ataques:
- A segurança cibernética é um facilitador fundamental do sucesso tecnológico. A inovação e o aumento da produtividade só podem ser alcançados com a introdução de medidas de segurança que tornem as organizações o mais resilientes possível contra ataques modernos.
- A pandemia nos desafiou a mudar nossas práticas e tecnologias de segurança para proteger os funcionários da Microsoft onde quer que trabalhem. No ano passado, os agentes de ameaças continuaram a usufruir das vulnerabilidades expostas durante a pandemia e a mudança para um ambiente de trabalho híbrido.
Este relatório enfatiza que a grande maioria dos ataques cibernéticos bem-sucedidos pode ser evitada usando higiene básica de segurança.
O ciclo de adoção para proteger o trabalho remoto e híbrido
Proteger o trabalho remoto e híbrido com confiança zero inclui a implantação de proteções de segurança básicas e, ao mesmo tempo, fornecer proteção sofisticada. Tecnicamente, esse objetivo envolve a imposição de políticas e o monitoramento de todo o acesso aos recursos da sua organização com uma abordagem completa do ciclo de vida de ponta a ponta.
Este artigo aborda esse cenário de negócios usando as mesmas fases de ciclo de vida que o Cloud Adoption Framework para Azure (Definir estratégia, planejar, preparar, adotar e governar e gerenciar), mas adaptado para Confiança Zero.
A tabela a seguir é uma versão acessível da ilustração.
| Definir a estratégia | Plano | Ready | Adotar | Governar e gerenciar |
|---|---|---|---|---|
| Resultados Alinhamento da organização Metas estratégicas |
Equipe de stakeholders Planos técnicos Prontidão das habilidades |
Avaliar Teste Piloto |
Implementar incrementalmente em toda a sua infraestrutura digital | Acompanhar e medir Monitorar e detectar Iterar para obter maturidade |
Leia mais sobre o ciclo de adoção de confiança zero na visão geral da estrutura de adoção de confiança zero.
Definir fase de estratégia
A fase Definir estratégia é essencial para definir e formalizar nossos esforços para abordar o "Por quê?" desse cenário. Nesta fase, entendemos o cenário por meio de perspectivas de negócios, TI, operacionais e estratégicas.
Definimos os resultados com os quais medimos o sucesso no cenário, entendendo que a segurança é uma jornada incremental e iterativa.
Este artigo sugere motivações e resultados que são relevantes para muitas organizações. Use essas sugestões para aprimorar a estratégia para sua organização com base em suas necessidades exclusivas.
Motivações para um trabalho remoto e híbrido seguro
As motivações para proteger o trabalho remoto e híbrido são simples, mas diferentes partes da sua organização terão incentivos diferentes para fazer esse trabalho. A tabela a seguir resume algumas dessas motivações.
| Área | Motivações |
|---|---|
| Necessidades comerciais | Para fornecer acesso às informações a qualquer hora, em qualquer lugar e em qualquer dispositivo, sem reduzir os padrões de segurança e gerenciar os riscos de acesso aos dados. |
| Necessidades de TI | Uma plataforma de identidade padronizada que atende aos requisitos de identidade humana e não humana, remove as necessidades de VPNs e fornece gerenciamento remoto de dispositivos corporativos e BYOD de maneira compatível, fornecendo uma experiência de usuário perfeita e positiva. |
| Necessidades operacionais | Implementar as soluções de segurança existentes de forma padronizada. Diminuir o esforço de gerenciamento necessário para implementar e manter identidades seguras. Governança de identidade significa integração e desligamento de usuários, concessão de acesso a recursos no momento certo e fornecimento de acesso suficiente. Isso também significa revogar o acesso quando não for mais necessário. |
| Necessidades estratégicas | Reduzir progressivamente o retorno sobre o investimento em ataques cibernéticos através da implementação de soluções de segurança fortes. O princípio de presumir violação da confiança zero permite que o planejamento ocorra para minimizar o raio de alcance, superfícies de ataque e reduzir o tempo de recuperação de uma violação. |
Resultados do cenário de trabalho remoto e híbrido seguro
Para ser produtivo, os usuários devem ser capazes de utilizar:
- Suas credenciais de conta de usuário para verificar a identidade.
- Seu ponto de extremidade (dispositivo), como um PC, tablet ou telefone.
- Os aplicativos que você forneceu a eles.
- Os dados necessários para executar seu trabalho.
- Uma rede pela qual o tráfego flui entre dispositivos e aplicativos, independentemente de o usuário e seu dispositivo estarem no local ou na Internet.
Cada um desses elementos é alvo de invasores e deve ser protegido com o princípio "nunca confie, sempre verifique" da confiança zero.
A tabela a seguir fornece objetivos e seus resultados para o cenário de trabalho remoto e híbrido seguro.
| Objetivo | Resultado |
|---|---|
| Produtividade | As organizações desejam estender a produtividade com segurança aos usuários e seus dispositivos, sem restringir os recursos dos funcionários com base na localização da força de trabalho. |
| Acesso seguro | Os dados e aplicativos da empresa precisam ser acessados pelos funcionários certos de forma segura que proteja a propriedade intelectual e os dados pessoais da empresa. |
| Suporte aos usuários finais | À medida que as organizações adotam uma mentalidade de força de trabalho híbrida, os funcionários precisam de mais recursos de aplicativos e plataformas para uma experiência de trabalho segura e móvel. |
| Maior segurança | A segurança das soluções de trabalho atuais ou propostas precisa ser aumentada para ajudar as organizações a escalar a fim de atender aos requisitos da força de trabalho móvel. Os recursos de segurança devem igualar ou exceder o que é alcançável para a força de trabalho local. |
| Capacitar a equipe de TI | A equipe de TI quer proteger a empresa, o que começa com a proteção da experiência do usuário do funcionário sem aumentar indevidamente o atrito com os usuários. Além disso, a equipe de TI precisa de processos e visibilidade para apoiar a governança e permitir a detecção e mitigação de ataques cibernéticos. |
Fase de planejamento
Os planos de adoção convertem as metas ambiciosas de uma estratégia de confiança zero em um plano prático. Suas equipes coletivas podem usar o plano de adoção para orientar seus esforços técnicos e alinhá-los à estratégia de negócios da sua organização.
As motivações e os resultados que você define, juntamente com seus líderes de negócios e equipes, dão suporte ao "Por quê?" da sua organização. Eles se tornam a referência ou a meta principal de sua estratégia. Em seguida, vem o planejamento técnico para atingir as motivações e objetivos.
Use os exercícios a seguir para ajudá-lo a planejar a implementação da estratégia de tecnologia da sua organização. Esses exercícios dão suporte aos esforços de adoção de confiança zero capturando tarefas priorizadas. Ao final desse processo, você terá um plano de adoção da nuvem que mapeará as métricas e as motivações definidas na estratégia de adoção da nuvem.
| Exercício | Descrição |
|---|---|
| Propriedade digital | Faça inventário de seu patrimônio digital: identidades, dispositivos, aplicativos. Priorize sua infraestrutura digital com base em pressuposições que alinham as motivações da sua organização e os resultados dos negócios. |
| Alinhamento organizacional inicial | Alinhe sua organização a uma estratégia técnica e a um plano de adoção. A estratégia e o plano são baseados nos objetivos da sua organização, juntamente com as prioridades que você identificou em seu inventário. |
| Plano de prontidão para habilidades técnicas | Crie um plano para abordar as lacunas de prontidão de habilidades em sua organização. |
| Plano de adoção da nuvem | Desenvolva um plano de adoção da nuvem para gerenciar a mudança entre habilidades, a infraestrutura digital e a organização. |
A adoção técnica para proteger o trabalho remoto e híbrido envolve a adoção de uma abordagem graduada para garantir que os princípios de confiança zero sejam aplicados a identidades, dispositivos e aplicativos, exigindo que:
- A autenticação multifator (MFA) com acesso condicional seja aplicada a todas as identidades dos usuários que estão acessando o ambiente.
- Os dispositivos são registrados no gerenciamento de dispositivos e monitorados quanto à integridade.
- O acesso a aplicativos e seus dados requer a verificação de identidades, dispositivos íntegros e acesso apropriado a dados.
Muitas organizações podem adotar uma abordagem em quatro etapas para esses objetivos de implantação, resumidos no gráfico a seguir.
| Etapa 1 | Etapa 2 | Etapa 3 | Etapa 4 |
|---|---|---|---|
| Verificar e proteger todas as identidades com autenticação forte Integrar aplicativos SaaS com o Microsoft Entra ID para logon único Todos os novos aplicativos usam a autenticação moderna |
Registrar os dispositivos com o Microsoft Entra ID Implementar políticas de acesso a identidades e dispositivos de confiança zero do ponto de partida Usar o proxy de aplicativo Microsoft Entra com aplicativos locais para logon único |
Registrar dispositivos em sua solução de gerenciamento de dispositivos e aplicar proteções de segurança recomendadas Permitir que apenas dispositivos em conformidade e confiáveis acessem dados |
Monitorar o descompasso de configuração do dispositivo Implementar autenticação sem senha |
Se essa abordagem em etapas funcionar para sua organização, você poderá usar:
Esse apresentação de slides do PowerPoint para download permite apresentar e relatar seu progresso ao longo desses estágios e objetivos para líderes empresariais e outras partes interessadas. Aqui está o slide deste cenário de negócios.
Essa pasta de trabalho do Excel para atribuir proprietários e acompanhar seu progresso nessas etapas, objetivos e suas tarefas. Confira a planilha para esse cenário de negócios.
Se sua organização assinar uma estratégia específica de GRC (Risco de Governança & Conformidade) ou SOC (Central de Operações de Segurança), é de vital importância que o trabalho técnico incorpore as configurações que atendem a esses requisitos.
Entender sua organização
As necessidades e a composição de cada organização são diferentes. Uma empresa multinacional com muitos aplicativos e segurança altamente padronizada implementará a segurança de forma diferente de uma startup agile ou de uma organização de médio porte.
Independentemente do tamanho e da complexidade da sua organização, as seguintes ações se aplicam:
- Inventariar usuários, pontos de extremidade, aplicativos, dados e redes a fim de entender o estado de segurança e estimar o nível de esforço necessário para transformar a infraestrutura.
- Documentar as metas e planejar a adoção incremental com base nas prioridades. Um exemplo é proteger identidades e serviços do Microsoft 365, seguidos por pontos de extremidade. Em seguida, proteger aplicativos e serviços SaaS usando métodos de autenticação modernos e recursos de segmentação fornecidos pelo acesso condicional.
- Para o princípio de usar o acesso com privilégios mínimos, faça o inventário de quantas contas têm acesso privilegiado e reduza-as ao menor número de contas possível. As contas que exigem acesso privilegiado devem usar just-in-time e just-enough-access (JIT/JEA) para limitar os privilégios de administração permanentes. Caso ocorra uma violação, as contas comprometidas são limitadas, o que minimiza o raio de alcance. Com exceção de uma conta de "quebra de vidro", nenhum acesso de administrador permanente deve ser permitido para funções altamente privilegiadas, que incluem funções de administração de aplicativos para serviços de produtividade, como SharePoint, Exchange e Teams.
Planejamento e alinhamento organizacional
A implementação e a governança de uma metodologia de acesso seguro afetam várias áreas sobrepostas e normalmente são implementadas na ordem de:
- Identidades
- Extremidade (dispositivos)
- Aplicativos
- Rede
Proteger os dados também é importante para proteger o trabalho remoto e híbrido. Este tópico é abordado mais detalhadamente em Identificar e proteger dados comerciais confidenciais.
Esta tabela resume as funções recomendadas ao criar um programa de patrocínio e uma hierarquia de gerenciamento de projetos para determinar e gerar resultados.
| Área | Líderes do programa | Funções de proprietário técnico |
|---|---|---|
| Identidades | CISO, CIO ou diretor de segurança de identidade Líder de programa da Identity Security ou Identity Architect |
Arquiteto de segurança Segurança de identidade ou um arquiteto de identidade Administrador de identidades Governança de segurança ou administrador de identidade Equipe de Formação do Usuário |
| Pontos de extremidade | CISO, CIO ou diretor de segurança de identidade Lead do programa de segurança de identidade ou um arquiteto de identidade |
Arquiteto de segurança Segurança de identidade ou um arquiteto de segurança de infraestrutura Administrador de gerenciamento de dispositivos móveis (MDM) Administrador de governança de segurança ou MDM Equipe de Formação do Usuário |
| Aplicativos | CISO, CIO ou diretor de segurança de aplicativos Líder de programa do Gerenciamento de Aplicativos |
Arquiteto de identidade Arquiteto desenvolvedor Arquiteto de redes Arquiteto de redes na nuvem Governança de segurança |
| Rede | CISO, CIO ou diretor de segurança de rede Líder do programa da Networking Leadership |
Arquiteto de segurança Arquiteto de redes Engenheiros de rede Implementadores de rede Governança de Redes |
A coleção de slides do PowerPoint de recursos para esse conteúdo de adoção inclui o slide a seguir com um modo de exibição de stakeholders que você pode personalizar para sua própria organização.
Planejamento técnico e prontidão de habilidades
A Microsoft fornece recursos para ajudá-lo a priorizar esse trabalho, dar o primeiro passo e amadurecer sua implantação. Nesta etapa, usamos esses recursos como atividades de planejamento para entender o impacto das mudanças propostas e criar um plano de implementação.
Esses recursos incluem diretrizes prescritivas que você pode usar como pontos de partida recomendados para sua própria organização. Ajuste as recomendações com base em suas prioridades e requisitos.
| Recurso | Descrição |
|---|---|
Lista de verificação do Plano de modernização rápida (RaMP): Validar explicitamente a confiança para todas as solicitações de acesso  |
Essa série de listas de verificação enumera os objetivos técnicos de cada área de implantação de segurança em ordem de prioridade e documenta as etapas que você precisará seguir para alcançá-los. Ela também lista os membros do projeto que precisam estar envolvidos para cada área. O uso desse recurso ajuda você a identificar ganhos rápidos. |
Configurações de acesso a dispositivos e identidade de Confiança Zero |
Este guia de solução recomenda um conjunto de políticas de identidade e acesso a dispositivos que foram testadas em conjunto. Ele inclui:
|
Gerenciar dispositivos com o Intune  |
Este guia de solução percorre as fases do gerenciamento de dispositivos, desde ações que não exigem o registro de dispositivos no gerenciamento até o gerenciamento completo de dispositivos. Essas recomendações são coordenadas com os recursos acima. |
Opções de registro no Intune  PDF | Visio Atualizado em junho de 2022 |
Este conjunto de cartazes apresenta uma comparação fácil de digitalizar das opções de registro de dispositivos por plataforma. |
| Plano de implantação do MFA | Este guia de implantação mostra como planejar e implementar uma distribuição da Autenticação multifator do Microsoft Entra. |
Além desses recursos, as seções a seguir destacam recursos para tarefas específicas nos quatro estágios definidos anteriormente.
Etapa 1
| Objetivo de implantação | Recursos |
|---|---|
| Verificar e proteger todas as identidades com autenticação forte | Quais métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID? |
| Integrar aplicativos SaaS com o Microsoft Entra ID para logon único | Adicionar aplicativos SaaS ao Microsoft Entra ID e ao escopo de políticas |
| Novos aplicativos usam a autenticação moderna | Lista de verificação — como você está gerenciando a identidade de sua carga de trabalho? |
Etapa 2
| Objetivo de implantação | Recursos |
|---|---|
| Registrar os dispositivos com o Microsoft Entra ID | Dispositivos registrados no Microsoft Entra Planejar a implementação do ingresso no Microsoft Entra |
| Implementar políticas de acesso a dispositivos e identidades de confiança zero para o nível de proteção do ponto de partida | Níveis de proteção para configurações de acesso a dispositivos e identidades de confiança zero |
| Usar o proxy de aplicativo Microsoft Entra com aplicativos locais para logon único | Como configurar o logon único para um aplicativo de Application Proxy |
Etapa 3
| Objetivo de implantação | Recursos |
|---|---|
| Registrar dispositivos no gerenciamento e aplicar as proteções de segurança recomendadas | Visão geral de Gerenciar dispositivos com o Intune Configurações de acesso a dispositivos e identidade de Confiança Zero |
| Permitir que apenas dispositivos em conformidade e confiáveis acessem dados | Definir políticas de conformidade para dispositivos com Intune Exigir dispositivos íntegros e em conformidade com o Intune |
Etapa 4
| Objetivo de implantação | Recursos |
|---|---|
| Monitorar o descompasso de configuração do dispositivo | Implantar perfis de dispositivo no Microsoft Intune Monitorar o risco do dispositivo e a conformidade com as linhas de base de segurança |
| Implementar autenticação sem senha | Aumentar a segurança do início de sessão com autenticação sem senha |
Plano de adoção da nuvem
Um plano de adoção é um requisito essencial para a adoção bem-sucedida da confiança zero. Um plano de adoção de confiança zero é um plano de projeto iterativo que ajuda uma empresa a fazer a transição de abordagens de segurança tradicionais para uma estratégia mais madura e sofisticada que inclui gerenciamento de alterações e governança.
Identidades, pontos de extremidade, aplicativos e redes estão no escopo desta fase de planejamento. Cada um deles tem um requisito para proteger a infraestrutura existente e também planeja estender a segurança a novas entidades à medida que elas chegam como parte de um processo de integração maior.
O planejamento de soluções de trabalho remoto e híbrido seguro considera que as organizações têm identidades existentes que precisam ser protegidas e novas identidades devem ser criadas que aderem aos padrões de segurança.
Um plano de adoção também inclui o treinamento de sua equipe para trabalhar de uma nova maneira a fim de entender o que é necessário para dar suporte à sua organização, o que pode incluir:
- Treinamento de administradores sobre novas formas de trabalho. Os métodos de acesso privilegiado diferem do acesso de administrador permanente e podem aumentar o atrito inicialmente até que uma aceitação universal seja alcançada.
- Equipar o pessoal de assistência técnica e TI em todos os níveis com a mesma mensagem de realização de benefícios. O aumento da segurança aumenta o atrito do invasor, equilibrado pelos benefícios de trabalhar com segurança. Certifique-se de que esta mensagem seja compreendida e comunicável em todos os níveis.
- Criação de materiais de adoção e treinamento de usuários. A segurança é adotada de forma generalizada como uma responsabilidade compartilhada e os benefícios de segurança alinhados às metas de negócios devem ser comunicados aos usuários. Certifique-se de que a adoção da segurança pelo usuário seja alcançada no mesmo nível da adoção da nova tecnologia.
Para ver mais informações sobre a Cloud Adoption Framework, consulte o Plano para adoção da nuvem.
Fase de preparação
Esse cenário (proteger o trabalho remoto e híbrido) avalia e protege identidades, dispositivos e dados nas redes que os usam. Uma vez que as tecnologias podem ser potencialmente conflituosas, recomenda-se uma abordagem em etapas, começando com pequenos projetos que ofereçam ganhos rápidos que usufruam do licenciamento existente e tenham impacto mínimo sobre o usuário.
Comece criando e testando um plano. Em seguida, implemente novas configurações e recursos de forma incremental. Isso oferece a oportunidade de melhorar o plano enquanto as lições são aprendidas. Desenvolva um plano de comunicação e anuncie alterações à medida que amplia seu escopo de implantação.
O diagrama a seguir ilustra a recomendação de iniciar um projeto com um pequeno grupo para avaliar as alterações. Esse pequeno grupo pode ser membros de sua equipe de TI ou uma equipe de parceiros que está investida no resultado final. Em seguida, teste as mudanças com um grupo maior. Embora a ilustração inclua uma terceira etapa de implantação completa, isso geralmente é feito aumentando gradualmente o escopo da implantação até que toda a organização seja abrangida.
Ao registrar dispositivos, por exemplo, recomenda-se as diretrizes a seguir.
| Etapa de implantação | Descrição |
|---|---|
| Avaliar | Etapa 1: identificar 50 pontos de extremidade para teste |
| Piloto | Etapa 2: identificar os próximos 50-100 pontos de extremidade no ambiente de produção |
| Implantação completa | Etapa 3: registrar o restante dos pontos de extremidade em incrementos maiores |
A proteção de identidades começa com a adoção de MFA e segmentação de acesso usando o acesso condicional do Microsoft Entra. Esses recursos oferecem suporte ao princípio de verificação explícita, mas exigem um processo de adoção incremental. Dependendo da abordagem, pode ser necessário implementar a metodologia MFA e comunicá-la aos usuários antes da data de ativação, especialmente para uma força de trabalho existente acostumada a usar apenas senhas.
Considerados os seguintes elementos durante o planejamento para este cenário:
- Dependendo da metodologia MFA, pode ser necessário obter a adesão do usuário para usar a MFA baseada em aplicativos móveis, em vez de usar uma abordagem FIDO2 ou outra baseada em token. Isso também se aplica ao Windows Hello para Empresas.
- As políticas de acesso condicional podem ser complexas em relação aos seus critérios de avaliação e tomada de decisão. Isso requer que o acesso condicional seja testado e implementado incrementalmente no cenário do aplicativo e do usuário.
- O acesso condicional pode levar em conta a integridade relativa e o status do patch do ponto de extremidade e os locais do usuário como parâmetros condicionais. Se for necessário gerenciar pontos de extremidade a fim de qualificá-los para acessar um aplicativo ou serviço como uma condição de acesso, os pontos de extremidade precisarão ser registrados no gerenciamento.
- Os aplicativos modernos que oferecem suporte a métodos de autenticação modernos se integram prontamente às políticas de autenticação baseada em MFA e acesso condicional. Entender o número de aplicativos e seus métodos de autenticação é fundamental.
Ao planejar e preparar as camadas de proteção para criar a confiança zero, usufrua dos recursos fornecidos pela Microsoft. Para proteger o trabalho remoto e híbrido, a Microsoft fornece um conjunto deidentidade comum de Confiança Zero e políticas de acesso ao dispositivo. Este é um conjunto de políticas que são testadas e conhecidas por funcionarem bem juntas.
Aqui estão as políticas para três níveis de proteção.
Este conjunto de políticas inclui um nível de proteção de ponto de partida com impacto mínimo para o usuário. Esse conjunto de políticas não requer o registro de dispositivos no gerenciamento. Quando estiver pronto e tiver registrado dispositivos, você poderá implantar o nível Enterprise, que é recomendado para confiança zero.
Além desses níveis de proteção, você pode aumentar incrementalmente o escopo das políticas das seguintes maneiras:
- Aplique o escopo das políticas a um pequeno conjunto de usuários para começar e, em seguida, aumente o escopo dos usuários incluídos. A segmentação de usuários permite a mitigação de riscos contra interrupção do serviço ou interrupção do usuário, pois apenas usuários ou dispositivos visados são afetados.
- Comece adicionando aplicativos e serviços do Microsoft 365 ao escopo das políticas. Em seguida, inclua outros aplicativos SaaS que sua organização usa. Quando estiver pronto, inclua aplicativos criados no Azure ou outros provedores de nuvem no escopo das políticas.
Por fim, não se esqueça de seus usuários. A adoção e a comunicação do usuário são essenciais ao implementar a segurança para identidades, semelhante à importância da adoção inicial do usuário de migrar para o Microsoft 365 de serviços baseados em datacenter. Abordagens monofásicas raramente são bem-sucedidas ao implementar serviços de segurança. As iniciativas de segurança geralmente falham devido ao aumento do atrito para os usuários se as alterações forem conflituosas e mal comunicadas e testadas. É aqui que o patrocínio executivo de iniciativas de segurança funciona melhor. Quando os executivos demonstram suporte adotando no início dos estágios de implantação, é mais fácil para os usuários seguirem.
Para ajudar na educação e adoção do usuário, a Microsoft fornece modelos e materiais de distribuição para o usuário final dos quais você pode fazer download. Isso inclui instruções sobre como você pode renomeá-los e recomendações para compartilhá-los com os usuários. Consulte https://aka.ms/entratemplates.
Criar e testar
Depois de montar sua equipe, analisar os recursos técnicos recomendados e desenvolver um plano para preparar seus projetos e implantação, espera-se que você tenha um plano bem documentado. Antes de adotar formalmente o plano, crie e teste as configurações em um ambiente de teste.
Cada área técnica, como um conjunto de políticas de acesso condicional, pode ser protegida habilitando a funcionalidade em todo o locatário. No entanto, uma política mal configurada pode ter consequências de longo alcance. Por exemplo, uma política de acesso condicional mal escrita pode bloquear todos os administradores de um locatário.
Para reduzir o risco, considere implantar um locatário de teste ou QA para implementar cada recurso à medida que você se familiarizar com ele ou implementá-lo pela primeira vez. Um locatário de teste ou DE QUALIDADE deve ser razoavelmente representativo do seu ambiente de usuário atual e ser preciso o suficiente para executar funções de QUALIDADE para testar se a funcionalidade habilitada é compreendida e apoiar a função que está protegendo.
A Lista de verificação de RAMP pode ser usada para acompanhar o progresso. Ela lista as etapas de planejamento e implementação. O locatário de QA é o leito de teste das ações de implementação, pois elas são executadas pela primeira vez.
O resultado dessa etapa deve ser uma configuração documentada, criada e testada inicialmente no locatário de QA, com planos de transição para a adoção no locatário de produção, em que as alterações são implementadas de forma incremental, enquanto novos aprendizados são aplicados ao plano.
À medida que você implementa novas configurações em seu ambiente de produção, mantenha mensagens de usuário consistentes e fique por dentro de como essas alterações afetam seus usuários. A implementação de recursos de segurança pode ter um baixo impacto tecnológico, como habilitar o acesso just-in-time, mas reciprocamente ter um alto impacto no processo, como administradores que precisam solicitar acesso a serviços por meio de um fluxo de trabalho de aprovação para executar suas funções.
Da mesma forma, o registro de dispositivo tem um baixo impacto na experiência do usuário, enquanto a implementação do acesso condicional com base na conformidade do dispositivo e nos requisitos de integridade pode ter um impacto dramático na base de usuários, pois os usuários não conseguem acessar os serviços.
Testar cada serviço para entender o impacto do serviço e a alteração planejada é fundamental para o sucesso. Esteja ciente de que alguns impactos podem não ser totalmente aparentes até que você comece a testar na produção.
Acompanhe as alterações de governança e gerenciamento
O objetivo da confiança zero é aumentar incrementalmente a segurança e implementar alterações no ambiente que atinjam essa meta. Essas alterações exigem mudanças nos modelos de gerenciamento e governança do ambiente. À medida que o teste e a implantação ocorrem, documente as alterações e os impactos no modelo de gerenciamento e governança.
Fase de adoção
Na fase de adoção, a estratégia e os planos de implantação são implementados de forma incremental nas áreas funcionais. A fase de adoção é uma implementação maior da prova de conceito. O plano de implantação é executado e a implementação ocorre em ondas sucessivas, com base na segmentação de usuários e nas áreas que você está almejando em sua infraestrutura digital.
Conforme recomendado, implante cada nova configuração no locatário de produção como uma prova de conceito limitada (rotulada como "Avaliar" no diagrama a seguir).
Mesmo que você já tenha testado as novas configurações em um ambiente de QA, certifique-se de que seus planos de implantação de produção também documentem o que você está testando e avaliando e os critérios de aceitação para medir o sucesso em cada etapa. O ideal é escolher um subconjunto de usuários, pontos de extremidade e aplicativos de baixo impacto para testar antes de ampliar a implantação. Seguindo a mesma metodologia, você aprende com os sucessos e fracassos da implementação e atualiza os planos.
Observe que algumas das funcionalidades implantadas, mesmo que direcionadas a um público-alvo limitado, podem ter um impacto em todo o serviço. Você pode reduzir esse impacto identificando riscos durante o teste de QA e garantindo a existência de um plano de reversão.
Um plano de implantação bem-sucedido inclui os seguintes elementos:
- Plano de adoção e distribuição para incluir a estratégia de comunicação do usuário
- Plano de adoção e distribuição executiva para garantir o endosso executivo
- Plano de adoção e distribuição do usuário
- Artefatos de gerenciamento e governança de projetos
- Segmentação de usuários por unidade de negócios ou impacto ao usuário
- Segmentação de dispositivos por unidade de negócios ou impacto ao usuário
- Aplicativos classificados por importância e complexidade de implementação
- Atualizações preliminares para alterações no gerenciamento diário e na governança
Controlar e gerenciar fases
A governança de segurança é um processo iterativo. Para organizações com políticas existentes que regem a segurança em uma infraestrutura digital, a adoção de uma estratégia de confiança zero fornece o incentivo para evoluir essas políticas. À medida que a estratégia e as políticas de segurança amadurecem ao longo do tempo, o mesmo acontece com os processos e políticas de governança de nuvem.
Na fase de planejamento, a nova funcionalidade foi testada em relação a um locatário de teste no qual ocorreram atividades de gerenciamento. É importante observar que implementar os recursos que dão suporte a princípios de Confiança Zero requer uma maneira diferente de gerenciar o estado final resultante.
Veja a seguir alguns exemplos de novos requisitos para esse cenário:
- Estabelecer um processo para aprovar o acesso de administração quando necessário, em vez de acesso de administrador permanente.
- Atualizar o gerenciamento do ciclo de vida dos usuários à medida que eles entram, usam e saem da organização.
- Atualizar o gerenciamento do ciclo de vida dos dispositivos.
- Atualizar os critérios de liberação de novos aplicativos para garantir que eles estejam incluídos no escopo das políticas de acesso condicional.
À medida que o plano de distribuição progride, o gerenciamento do ambiente resultante impulsiona alterações na metodologia de gerenciamento e governança. Como o ambiente é monitorado como resultado das alterações da confiança zero.
Uma vez que a confiança zero aborda o risco de segurança no ambiente, o gerenciamento do ciclo de vida do objeto de identidade não é mais opcional. O atestado de objeto é uma manifestação do ciclo de vida do objeto e torna a empresa, e não a TI, a única detentora do ciclo de vida do objeto.
A confiança zero requer um aumento de maturidade na administração resultante da infraestrutura, incluindo como os usuários e administradores interagem com o estado final implementado. Consulte a tabela a seguir como um exemplo de possíveis alterações.
| Público-alvo | Função | Referência |
|---|---|---|
| Usuários | Revisão de atestado de objeto baseado no usuário | Gerenciar o acesso de usuários e convidados com revisões de acesso |
| Administradores | Os ciclos de vida de identidade e acesso do Microsoft Entra ID Governance | O que é o Microsoft Entra ID Governance? |
Os recursos adicionais para a governança e operação diárias incluem:
Relatórios e documentação de monitoramento do Microsoft Entra
Documentação do Microsoft Entra ID Governance
Discute outras áreas de governança e ferramentas que abordam diversas áreas. Devido a diferentes necessidades organizacionais, nem todos os recursos de governança destacados neste documento são aplicáveis a todas as organizações.
Próximas etapas
- Visão geral da estrutura de adoção da Confiança Zero
- Modernizar rapidamente sua postura de segurança
- Identificar e proteger dados comerciais confidenciais
- Prevenir ou reduzir danos comerciais causados por uma violação
- Atender a requisitos regulatórios e de conformidade
Recursos de acompanhamento do progresso
Para qualquer um dos cenários comerciais de Confiança Zero, você pode usar os seguintes recursos para acompanhamento do progresso.
| Recurso de acompanhamento do progresso | Isso ajuda a… | Projetado para |
|---|---|---|
Arquivo Visio ou PDF que pode ser baixado da grade de fases do Plano de Cenário de Adoção 
|
Compreender facilmente os aprimoramentos de segurança para cada cenário comercial e o nível de esforço para os estágios e objetivos da fase de Planejamento. | Clientes potenciais do projeto de cenário de negócios, líderes empresariais e outros stakeholders. |
Conjunto de slides do PowerPoint para baixar do acompanhamento da adoção da Confiança Zero 
|
Acompanhe seu progresso pelos estágios e objetivos da fase de Planejamento. | Clientes potenciais do projeto de cenário de negócios, líderes empresariais e outros stakeholders. |
Pasta de trabalho do Excel para baixar com objetivos e tarefas do cenário de negócios 
|
Atribuir a propriedade e acompanhar seu progresso nas fases, objetivos e tarefas da fase de Planejamento. | Clientes potenciais de projeto de cenário de negócios, clientes potenciais de TI e implementadores de TI. |
Para obter recursos adicionais, consulte Avaliação da Confiança Zero e recursos de acompanhamento de progresso.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de