Proteger a identidade com a Confiança Zero

Background

Os aplicativos de nuvem e a força de trabalho móvel redefiniram o perímetro de segurança. Os funcionários estão trazendo seus próprios dispositivos e trabalhando remotamente. Os dados estão sendo acessados fora da rede corporativa e compartilhados com colaboradores externos, como parceiros e fornecedores. Os aplicativos e os dados corporativos estão mudando de ambientes locais para ambientes híbridos e na nuvem. As organizações não podem mais contar com controles de rede tradicionais para segurança. Os controles precisam mudar para onde os dados estão: em dispositivos, dentro de aplicativos e com parceiros.

Identidades, que representam pessoas, serviços ou dispositivos IoT, são o dominador comum em muitas redes, pontos de extremidade e aplicativos de hoje. No modelo de segurança de Confiança Zero, elas funcionam como uma forma poderosa, flexível e granular para controlar o acesso aos dados.

Antes que uma identidade tente acessar um recurso, as organizações devem:

• Verificar a identidade com autenticação forte.

• Verificar se o acesso está em conformidade e é típico para essa identidade.

• Seguir os princípios de acesso de privilégios mínimos.

Depois que a identidade tiver sido verificada, podemos controlar o acesso dessa identidade aos recursos com base nas políticas da organização, na análise de risco contínua e em outras ferramentas.

Objetivos da implantação da Confiança Zero na identidade

Antes de a maioria das organizações iniciar o percurso da Confiança Zero, sua abordagem de identidade é problemática pelo fato de que o provedor de identidade no local está em uso, não há nenhum SSO presente entre os aplicativos locais e em nuvem e visibilidade no risco de identidade é muito limitada.

Ao implementar uma estrutura de Confiança Zero de ponta a ponta para identidade, recomendamos que você se concentre primeiro nesses objetivos de implantação iniciais:
	I.Aidentidade na nuvem é federada com sistemas de identidade locais. II.As políticas de acesso condicional controlam o acesso e fornecem atividades de correção. III.Análises melhoram a visibilidade.
Após concluir esses objetivos, concentre-se nesses objetivos de implantação adicionais:
	IV.Identidades e privilégios de acesso são gerenciados com a governança de identidade. V.O usuário, o dispositivo, o local e o comportamento são analisados em tempo real para determinar o risco e fornecer proteção contínua. VI.Integre sinais de ameaça de outras soluções de segurança para aprimorar a detecção, a proteção e a resposta.

Guia de implantação de Confiança Zero na identidade

Este guia explicará as etapas necessárias para gerenciar as identidades seguindo os princípios de uma estrutura de segurança de Confiança Zero.

Objetivos de implantação inicial

I. A identidade de nuvem é federada com sistemas de identidade locais

O Microsoft Entra ID permite uma autenticação forte, um ponto de integração para a segurança do ponto de extremidade e o núcleo das suas políticas centradas no usuário para garantir o acesso de privilégio mínimo. Os recursos de acesso condicional do Microsoft Entra são o ponto de decisão política para acesso a recursos com base na identidade do usuário, no ambiente, na integridade e no risco do dispositivo, verificados explicitamente no ponto de acesso. Mostraremos como você pode implementar uma estratégia de identidade de Confiança Zero com o Microsoft Entra ID.

Conectar todos os seus usuários ao Microsoft Entra ID e federar com sistemas de identidade locais

Manter um pipeline íntegro das identidades de seus funcionários e os artefatos de segurança necessários (grupos de autorização e pontos de extremidade para controles de política de acesso extras) coloca você no melhor lugar para usar identidades e controles consistentes na nuvem.

Siga estas etapas:

1. Escolher uma opção de autenticação. O Microsoft Entra ID oferece a melhor força bruta, DDoS e proteção contra pulverização de senha, mas tome a decisão certa para sua organização e suas necessidades de conformidade.

2. Traga apenas as identidades absolutamente necessárias. Por exemplo, use a mudança para a nuvem como uma oportunidade de deixar para trás as contas de serviço que fazem sentido apenas no local. Deixe as funções com privilégios no local para trás.

3. Se a sua empresa tiver mais de 100.000 usuários, grupos e dispositivos combinados, crie uma caixa de sincronização de alto desempenho que manterá seu ciclo de vida atualizado.

Essabeleça sua Identity Foundation com o Microsoft Entra ID

Uma estratégia de Confiança Zero requer a verificação explícita, usando princípios de acesso com privilégio mínimo e supondo uma violação. O Microsoft Entra ID pode atuar como o ponto de decisão da política para impor suas políticas de acesso com base em insights sobre o usuário, o ponto de extremidade, o recurso de destino e o ambiente.

Realize esta etapa:

• Coloque o Microsoft Entra ID no caminho de cada solicitação de acesso. Isso conecta todos os usuários e todos os aplicativos ou recursos por meio de um painel de controle de identidade e fornece ao Microsoft Entra ID o sinal para tomar as melhores decisões possíveis sobre o risco de autenticação/autorização. Além disso, as proteções de política consistente e logon único fornecem uma experiência do usuário melhor e contribuem para ganhos de produtividade.

Integrar todos os aplicativos com o Microsoft Entra ID

O logon único impede que os usuários deixem cópias de suas credenciais em vários aplicativos e ajuda a evitar que os usuários se acostumem a abandonar suas credenciais devido à solicitação excessiva.

Certifique-se também de que você não tem vários mecanismos de IAM no seu ambiente. Isso não apenas diminui a quantidade do sinal que o Microsoft Entra ID vê, permitindo que os atores mal-intencionados permaneçam nas junções entre os dois mecanismos de IAM, mas também pode levar a uma experiência do usuário ruim e aos seus parceiros de negócios se tornarem os primeiros a duvidar da sua estratégia de Confiança Zero.

Siga estas etapas:

1. Integre aplicativos empresariais modernos que usam OAuth 2.0 ou SAML.

2. Para Kerberos e aplicativos de autenticação baseados em formulários, integre-os usando o proxy de aplicativo do Microsoft Entra.

3. Se você publicar seus aplicativos herdados usando redes/controladores de entrega de aplicativos, use o Microsoft Entra ID para integrar com a maioria dos principais (como Citrix, Akamai e F5).

4. Para ajudar a descobrir e migrar seus aplicativos do ADFS e de mecanismos IAM existentes/mais antigos, examine os recursos e as ferramentas.

5. Ative as identidades de push em seus vários aplicativos de nuvem. Isso proporciona uma integração mais rígida do ciclo de vida de identidade dentro desses aplicativos.

Dica

Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para aplicativos.

Verificar explicitamente com autenticação forte

Siga estas etapas:

1. Implemente a autenticação multifator do Microsoft Entra (P1). Essa é uma parte fundamental da redução do risco da sessão do usuário. À medida que os usuários aparecem em novos dispositivos e de novos locais, ser capaz de responder a um desafio de MFA é uma das maneiras mais diretas pelas quais os usuários podem nos ensinar que eles são dispositivos/locais conhecidos conforme se movimentam pelo mundo (sem que os administradores precisem analisar sinais individuais).

2. Bloquear a autenticação herdada. Um dos vetores de ataque mais comuns para atores mal-intencionados é usar credenciais roubadas/reproduzidas em protocolos herdados, como SMTP, que não podem fazer desafios de segurança modernos.

II. As políticas de acesso condicional controlam o acesso e fornecem atividades de correção

A acesso condicional (AC) do Microsoft Entra analisa sinais, como usuário, dispositivo e localização, para automatizar decisões e impor políticas de acesso organizacional para o recurso. Você pode usar políticas de AC para aplicar controles de acesso como a MFA (autenticação multifator). As políticas de AC permitem que você solicite aos usuários a MFA quando necessário para a segurança e fique fora do caminho do usuário quando não for necessário.

A Microsoft fornece políticas condicionais padrão chamadas padrões de segurança que garantem um nível básico de segurança. No entanto, sua organização pode precisar de mais flexibilidade do que os padrões de segurança oferecem. Você pode usar o acesso condicional para personalizar os padrões de segurança com mais granularidade e configurar novas políticas que atendam às suas necessidades.

Planejar suas políticas de acesso condicional com antecedência e ter um conjunto de políticas ativas e de fallback é um pilar fundamental de sua imposição de política de acesso em uma implantação de Confiança Zero. Reserve um tempo para configurar seus locais de IPs confiáveis em seu ambiente. Mesmo que você não os use em uma política de acesso condicional, a configuração desses IPs informará o risco do Identity Protection mencionado acima.

Realize esta etapa:

• Confira nossas diretrizes de implantação e melhores práticas para políticas de acesso condicional resiliente.

Registrar dispositivos no Microsoft Entra ID para restringir o acesso de dispositivos vulneráveis e comprometidos

Siga estas etapas:

1. Habilite o ingresso híbrido no Microsoft Entra ou o ingresso no Microsoft Entra. Se você estiver gerenciando o laptop/computador do usuário, coloque essas informações no Microsoft Entra ID e use-as para ajudar a tomar decisões melhores. Por exemplo, você pode optar por permitir o acesso de cliente avançado aos dados (clientes que têm cópias offline no computador) se souber que o usuário está vindo de um computador que sua organização controla e gerencia. Se isso não for feito, você provavelmente optará por bloquear o acesso de clientes avançados, o que pode fazer com que os usuários burlem sua segurança ou usem a TI sombra.

2. Habilite o serviço do Intune no Microsoft Endpoint Manager (EMS) para gerenciar os dispositivos móveis de usuários e registrar dispositivos. O mesmo pode ser dito sobre dispositivos móveis do usuário como laptops: quanto mais você souber sobre eles (nível de patch, com jailbreak, com raiz etc.), mais poderá confiar ou desconfiar neles e fornecer uma lógica para o porquê de bloquear/permitir o acesso.

Dica

Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para pontos de extremidade

III. A análise melhora a visibilidade

À medida que você cria seu acervo no Microsoft Entra ID com autenticação, autorização e provisionamento, é importante ter insights operacionais sólidas sobre o que está acontecendo no diretório.

Configurar seu registro em log e relatórios para melhorar a visibilidade

Realize esta etapa:

• Planeje uma implantação de relatórios e monitoramento do Microsoft Entra ID para poder persistir e analisar logs do Microsoft Entra ID, seja no Azure ou usando um sistema de SIEM de preferência.

Objetivos de implantação adicionais

IV. Identidades e privilégios de acesso são gerenciados com governança de identidade

Depois de atingir os três objetivos iniciais, você pode se concentrar em objetivos adicionais, como a governança de identidade mais robusta.

Proteger o acesso privilegiado com o Privileged Identity Management

Controle os pontos de extremidade, as condições e as credenciais que os usuários usam para acessar operações/funções privilegiadas.

Siga estas etapas:

1. Assuma o controle de suas identidades privilegiadas. Tenha em mente que em uma organização transformada digitalmente, o acesso privilegiado não é apenas o acesso administrativo, mas também o acesso de desenvolvedor ou proprietário do aplicativo que pode alterar a forma como seus aplicativos críticos são executados e tratam os dados.

2. Use o Privileged Identity Management para proteger identidades com privilégios.

Restringir o consentimento do usuário para aplicativos

O consentimento do usuário para aplicativos é uma forma muito comum para os aplicativos modernos obterem acesso aos recursos organizacionais, mas há algumas práticas recomendadas para se ter em mente.

Siga estas etapas:

1. Restrinja o consentimento do usuário e gerencie solicitações de consentimento para garantir que nenhuma exposição desnecessária ocorra nos dados da sua organização para os aplicativos.

2. Examine o consentimento anterior/existente em sua organização para verificar se há consentimento excessivo ou mal-intencionado.

Para obter mais informações sobre as ferramentas para se proteger contra táticas de acesso aos dados confidenciais, consulte "Fortalecer a proteção contra ameaças cibernéticas e aplicativos não autorizados" em nosso guia para implementar uma estratégia de Confiança Zero de identidade.

Gerenciar direitos

Com os aplicativos que são autenticados centralmente e orientados pelo Azure AD, agora você pode simplificar o processo de solicitação de acesso, aprovação e recertificação para garantir que as pessoas certas tenham o acesso certo e que você tenha uma trilha dos motivos para os usuários na sua organização terem o acesso que têm.

Siga estas etapas:

1. Use o gerenciamento de direitos para criar pacotes de acesso que os usuários podem solicitar à medida que ingressarem em equipes/projetos diferentes e atribuir a eles o acesso aos recursos associados (como aplicativos, sites do SharePoint, associações de grupo).

2. Se a implantação do gerenciamento de direitos não for possível para a sua organização no momento, pelo menos habilite paradigmas de autoatendimento em sua organização implantando o gerenciamento de grupos de autoatendimento e o acesso a aplicativo de autoatendimento.

Usar a autenticação sem senha para reduzir o risco de phishing e ataques de senha

Com o Microsoft Entra ID com suporte para FIDO 2.0 e a entrada no telefone sem senha, você pode fazer a diferença nas credenciais que seus usuários (especialmente usuários privilegiados/confidenciais) estão adotando no dia a dia. Essas credenciais são fatores de autenticação fortes que também podem reduzir o risco.

Realize esta etapa:

• Comece a distribuir credenciais sem senha em sua organização.

V. O usuário, o dispositivo, o local e o comportamento são analisados em tempo real para determinar o risco e fornecer proteção contínua

A análise em tempo real é essencial para determinar o risco e a proteção.

Implantar a Proteção de senha do Microsoft Entra

Ao habilitar outros métodos para verificar os usuários explicitamente, não ignore senhas fracas, pulverização de senhas e ataques de repetição de violação. E as políticas clássicas de senha complexa não impedem os ataques de senha mais predominantes.

Realize esta etapa:

• Habilite a proteção de senha do Microsoft Entra ID para seus usuários na nuvem e no local.

Habilitar o Identity Protection

Obtenha um sinal de risco de usuário/sessão mais granular com o Identity Protection. Você poderá investigar o risco e confirmar o comprometimento ou ignorar o sinal, o que ajudará o mecanismo a entender melhor como é um risco no seu ambiente.

Realize esta etapa:

• Habilitar o Identity Protection.

Habilitar a integração do Microsoft Defender para Aplicativos de Nuvem ao Identity Protection

O Microsoft Defender para Aplicativos de Nuvem monitora o comportamento do usuário em aplicativos SaaS e modernos. Isso informa ao Microsoft Entra ID sobre o que aconteceu com o usuário depois de autenticar e receber um token. Se o padrão do usuário começar a parecer suspeito (por exemplo, se um usuário começar a baixar gigabytes de dados do OneDrive ou a enviar emails de spam no Exchange Online), um sinal pode ser alimentado no Microsoft Entra ID notificando-o de que o usuário parece estar comprometido ou representa alto risco. Na próxima solicitação de acesso desse usuário, o Microsoft Entra ID poderá agir corretamente para verificar o usuário ou bloqueá-lo.

Realize esta etapa:

• Habilite o monitoramento do Defender para Aplicativos de Nuvem para enriquecer o sinal de proteção de identidade.

Habilite a integração de acesso condicional com o Microsoft Defender para Aplicativos de Nuvem

Usando sinais emitidos após a autenticação e com o Defender para Aplicativos de Nuvem enviando solicitações por proxy para aplicativos, você poderá monitorar as sessões que vão para aplicativos SaaS e impor restrições.

Siga estas etapas:

1. Habilite a integração de acesso condicional.

2. Estenda o acesso condicional para aplicativos locais.

Habilitar sessão restrita para uso em decisões de acesso

Quando o risco de um usuário é baixo, mas ele está se conectando de um ponto de extremidade desconhecido, talvez você queira permitir o acesso dele aos recursos críticos, mas não permitir que ele realize ações que deixam sua organização em um estado de não conformidade. Agora você pode configurar o Exchange Online e o SharePoint Online para oferecer ao usuário uma sessão restrita que permita ler emails ou exibir arquivos, mas não os baixar e salvar em um dispositivo não confiável.

Realize esta etapa:

• Habilite o acesso limitado ao SharePoint Online e ao Exchange Online

VI. Integre sinais de ameaça de outras soluções de segurança para melhorar a detecção, proteção e resposta

Por fim, outras soluções de segurança podem ser integradas para maior eficácia.

Integrar o Microsoft Defender para Identidade com o Microsoft Defender para Aplicativos de Nuvem

A integração com o Microsoft Defender para Identidade permite que o Microsoft Entra ID saiba que um usuário está se entregando a um comportamento arriscado ao acessar recursos locais não modernos (como compartilhamentos de arquivos). Isso pode ser fatorado no risco geral do usuário para bloquear o acesso adicional na nuvem.

Siga estas etapas:

1. Habilite o Microsoft Defender para Identidade com o Microsoft Defender para Aplicativos de Nuvem para transformar sinais locais no sinal de risco que conhecemos sobre o usuário.

2. Verifique a pontuação de Prioridade de investigação combinada de cada usuário em risco para fornecer uma exibição holística de em quais o seu SOC deve se concentrar.

Habilitar o Microsoft Defender para Ponto de Extremidade

O Microsoft Defender para Ponto de Extremidade permite que você ateste a integridade dos computadores Windows e determine se elas estão enfrentando um comprometimento. Em seguida, você pode alimentar essas informações para reduzir o risco no runtime. Enquanto o Ingresso no Domínio proporciona uma noção de controle, o Defender para Ponto de Extremidade permite reagir a um ataque de malware quase em tempo real, detectando padrões de acesso a sites não confiáveis por vários dispositivos do usuário, além de reagir aumentando o risco do dispositivo/usuário no runtime.

Realize esta etapa:

• Configure o Acesso Condicional no Microsoft Defender para Ponto de Extremidade.

Proteger a identidade de acordo com a Ordem Executiva 14028 sobre Segurança Cibernética e o Memorando OMB 22-09

A Ordem Executiva 14028 sobre a Melhoria da Segurança Cibernética das Nações e o Memorando OMB 22-09 incluem ações específicas sobre Confiança Zero. As ações de identidade incluem o emprego de sistemas centralizados de gerenciamento de identidade, o uso de MFA resistente a phishing forte e a incorporação de pelo menos um sinal no nível do dispositivo na(s) decisão(ões) de autorização. Para obter diretrizes detalhadas sobre a implementação dessas ações com o Microsoft Entra ID, consulte Atender aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID.

Produtos abordados neste guia

Microsoft Azure

Microsoft Entra ID

Microsoft Defender para Identidade

Microsoft 365

Microsoft Endpoint Manager (inclui o Microsoft Intune)

Microsoft Defender para ponto de extremidade

SharePoint Online

Exchange Online

Conclusão

A identidade é fundamental para uma estratégia de Confiança Zero com êxito. Para obter mais informações ou ajuda com a implementação, entre em contato com a equipe de Sucesso dos Clientes ou continue lendo os outros capítulos desse guia, que abrangem todos os pilares da Confiança Zero.

A série de guias de implantação de Confiança Zero