Proteger a identidade com a Confiança Zero

Antes que a maioria das organizações inicie um percurso de Confiança Zero, sua abordagem de identidade pode ser fragmentada com vários provedores de identidade, falta de SSO (logon único) entre aplicativos locais e de nuvem e visibilidade limitada do risco de identidade.

Aplicativos de nuvem e trabalhadores móveis exigem uma nova maneira de pensar quando se trata de segurança. Muitos funcionários trazem dispositivos próprios e trabalham de maneira híbrida. Os dados são acessados regularmente fora do perímetro de rede corporativa tradicional e compartilhados com colaboradores externos, como parceiros e fornecedores. Os dados e aplicativos corporativos tradicionais estão mudando de ambientes locais para ambientes híbridos e na nuvem.

Os controles de rede tradicionais para segurança não são mais suficientes.

As identidades representam as pessoas, serviços ou dispositivos, entre redes, pontos de extremidade e aplicativos. No modelo de segurança de Confiança Zero, elas funcionam como uma forma poderosa, flexível e granular de controlar o acesso aos recursos.

Antes que uma identidade tente acessar um recurso, as organizações devem:

• Verificar a identidade com autenticação forte.
• Verificar se o acesso está em conformidade e é típico para essa identidade.
• Siga os princípios de acesso de privilégios mínimos.

Depois que a identidade é verificada, podemos controlar o acesso aos recursos com base nas políticas da organização, na análise de risco contínua e em outras ferramentas.

Objetivos da implantação da Confiança Zero na identidade

Ao implementar uma estrutura de Confiança Zero de ponta a ponta para identidade, recomendamos que você se concentre primeiro nesses objetivos de implantação iniciais:

• A identidade de nuvem é federada com sistemas de identidade locais.
• As políticas de acesso condicional controlam o acesso e fornecem atividades de correção.
• A análise melhora a visibilidade.

Depois que as áreas anteriores forem abordadas, concentre-se nestes objetivos de implantação:

• Identidades e privilégios de acesso são gerenciados com governança de identidade.
• O usuário, o dispositivo, o local e o comportamento são analisados em tempo real.
• Integrar sinais de ameaça de outras soluções de segurança.

I. A identidade de nuvem é federada com sistemas de identidade locais

O Microsoft Entra ID permite uma autenticação forte, um ponto de integração para a segurança do ponto de extremidade e o núcleo das suas políticas centradas no usuário para garantir o acesso de privilégio mínimo. O Acesso Condicional do Microsoft Entra é o mecanismo de política usado para tomar decisões de acesso a recursos com base na identidade do usuário, ambiente, integridade do dispositivo e risco verificado explicitamente no momento do acesso. Você pode implementar uma estratégia de identidade de Confiança Zero com o Microsoft Entra ID.

Conectar todos os seus usuários ao Microsoft Entra ID e federar com sistemas de identidade locais

Manter um pipeline íntegro das identidades de seus funcionários e os artefatos de segurança necessários, incluindo grupos de autorização e pontos de extremidade para controles de política de acesso, coloca você na melhor situação para usar identidades e controles consistentes na nuvem.

Siga estas etapas:

1. Escolher uma opção de autenticação. O Microsoft Entra ID oferece a melhor força bruta, DDoS e proteção contra pulverização de senha, mas tome a decisão certa para sua organização e suas necessidades de conformidade.
2. Traga apenas as identidades absolutamente necessárias. Use a mudança para a nuvem como uma oportunidade de deixar para trás as contas de serviço que fazem sentido apenas no local. Assegure que as funções com privilégios no local permaneçam no local.
3. Verifique se você atende aos requisitos de hardware do Microsoft Entra Connect Sync com base no tamanho da sua organização.

Essabeleça sua Identity Foundation com o Microsoft Entra ID

Uma estratégia de Confiança Zero requer a verificação explícita, usando princípios de acesso com privilégio mínimo e supondo uma violação. O Microsoft Entra ID pode atuar como o ponto de decisão da política para impor suas políticas de acesso com base em insights sobre o usuário, o ponto de extremidade, o recurso de destino e o ambiente.

Coloque o Microsoft Entra ID no caminho de cada solicitação de acesso. Esse processo conecta todos os usuários, aplicativos e recursos por meio de um plano de controle de identidade comum e fornece ao Microsoft Entra ID os sinais para tomar as melhores decisões possíveis sobre o risco de autenticação/autorização. Além disso, as proteções de política consistente e SSO (logon único) fornecem uma experiência do usuário melhor e contribuem para ganhos de produtividade.

Integrar todos os aplicativos com o Microsoft Entra ID

O logon único impede que os usuários deixem cópias das credenciais deles em vários aplicativos e ajuda a evitar ataques de phishing ou fadiga de MFA devido a solicitações excessivas.

Verifique se você não tem várias soluções de IAM (gerenciamento de identidade e acesso) em seu ambiente. Essa duplicação diminui os sinais que o Microsoft Entra ID vê, permite que atores ruins vivam nas sombras entre os dois mecanismos de IAM e leva a uma experiência ruim do usuário. Essa complexidade pode fazer com que seus parceiros de negócios passem a duvidar de sua estratégia de Confiança Zero.

Siga estas etapas:

1. Integre aplicativos empresariais modernos que usam OAuth 2.0 ou SAML.
2. Para Kerberos e aplicativos de autenticação baseados em formulários, integre-os usando o proxy de aplicativo do Microsoft Entra.
3. Se você publicar seus aplicativos herdados usando redes/controladores de entrega de aplicativos, use o Microsoft Entra ID para integrar com a maioria dos principais (como Citrix, Akamai e F5).
4. Para ajudar a descobrir e migrar seus aplicativos do ADFS e dos mecanismos de IAM existentes/mais antigos, confiraRecursos para migrar aplicativos para o Microsoft Entra ID.
5. Automatizar o provisionamento de usuário.

Dica

Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para aplicativos.

Verificar explicitamente com autenticação forte

Siga estas etapas:

1. Distribuir a autenticação multifator Microsoft Entra. Esse esforço é uma parte fundamental da redução do risco da sessão do usuário. À medida que os usuários aparecem em novos dispositivos e de novos locais, ser capaz de responder a um desafio de MFA é uma das maneiras mais diretas pelas quais os usuários podem nos ensinar que eles são dispositivos/locais conhecidos conforme se movimentam pelo mundo (sem que os administradores precisem analisar sinais individuais).
2. Bloquear a autenticação herdada. Um dos vetores de ataque mais comuns para atores mal-intencionados é usar credenciais roubadas/reproduzidas em protocolos herdados, como SMTP, que não podem fazer desafios de segurança modernos.

II. As políticas de acesso condicional controlam o acesso e fornecem atividades de correção

O Acesso condicional do Microsoft Entra analisa sinais como usuário, dispositivo e localização para automatizar decisões e impor políticas de acesso organizacional aos recursos. Você pode usar políticas de Acesso Condicional para aplicar controles de acesso como a MFA (Autenticação Multifator). As políticas de Acesso Condicional permitem que você solicite aos usuários a MFA quando necessário para a segurança e fique fora do caminho do usuário quando não for necessário.

A Microsoft fornece políticas condicionais padrão chamadas padrões de segurança que garantem um nível básico de segurança. No entanto, sua organização pode precisar de mais flexibilidade do que os padrões de segurança oferecem. Você pode usar o acesso condicional para personalizar os padrões de segurança com mais granularidade e configurar novas políticas que atendam às suas necessidades.

Planejar suas políticas de acesso condicional com antecedência e ter um conjunto de políticas ativas e de fallback é um pilar fundamental de sua imposição de política de acesso em uma implantação de Confiança Zero. Reserve um tempo para configurar locais de rede conhecidos em seu ambiente. Mesmo que você não use esses locais de rede em uma política de Acesso Condicional, configurar esses IPs informa o risco do Microsoft Entra ID Protection.

Realize esta etapa:

• Confira nossas diretrizes de implantação e melhores práticas para políticas de acesso condicional resiliente.

Registrar dispositivos no Microsoft Entra ID para restringir o acesso de dispositivos vulneráveis e comprometidos

Siga estas etapas:

1. Habilite o ingresso híbrido no Microsoft Entra ou o ingresso no Microsoft Entra. Se você estiver gerenciando o laptop/computador do usuário, coloque essas informações no Microsoft Entra ID e use-as para ajudar a tomar decisões melhores. Por exemplo, permitindo que clientes avançados, que têm cópias offline no computador, acessem dados, desde que você saiba que o usuário está vindo de um computador que sua organização controla e gerencia.
2. Habilite o serviço do Intune no Microsoft Endpoint Manager (EMS) para gerenciar os dispositivos móveis de usuários e registrar dispositivos. O mesmo pode ser dito sobre dispositivos móveis do usuário como laptops: quanto mais você souber sobre eles (nível de patch, com jailbreak, com raiz etc.), mais poderá fornecer uma lógica para o porquê de bloquear/permitir o acesso.

Dica

Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para pontos de extremidade.

III. A análise melhora a visibilidade

À medida que você cria seu acervo no Microsoft Entra ID com autenticação, autorização e provisionamento, é importante ter insights operacionais sólidas sobre o que está acontecendo no diretório.

Configurar seu registro em log e relatórios para aprimorar a visibilidade

Realize esta etapa:

• Planeje uma implantação de relatórios e monitoramento do Microsoft Entra ID para poder persistir e analisar logs do Microsoft Entra ID, seja no Azure ou usando um sistema de SIEM de preferência.

IV. Identidades e privilégios de acesso são gerenciados com governança de identidade

Depois de atingir seus objetivos iniciais, concentre-se em outros objetivos, como uma governança de identidade mais robusta.

Proteger o acesso privilegiado com o Privileged Identity Management

Controle os pontos de extremidade, as condições e as credenciais que os usuários usam para acessar operações/funções privilegiadas.

Siga estas etapas:

1. Assuma o controle de suas identidades privilegiadas. O acesso privilegiado não é apenas acesso administrativo, mas também acesso a aplicativos ou desenvolvedores que podem alterar a maneira como seus aplicativos críticos executam e lidam com os dados.
2. Use o Privileged Identity Management para proteger identidades com privilégios.

Restringir o consentimento do usuário para aplicativos

O consentimento do usuário para aplicativos é uma forma comum para os aplicativos modernos obterem acesso aos recursos organizacionais, mas há algumas práticas recomendadas para se ter em mente.

Siga estas etapas:

1. Restrinja o consentimento do usuário e gerencie solicitações de consentimento para garantir que nenhuma exposição desnecessária ocorra nos dados da sua organização para os aplicativos.
2. Examine o consentimento anterior/existente em sua organização para verificar se há consentimento excessivo ou mal-intencionado.

Para obter mais informações sobre as ferramentas para se proteger contra táticas de acesso aos dados confidenciais, consulte "Fortalecer a proteção contra ameaças cibernéticas e aplicativos não autorizados" em nosso guia para implementar uma estratégia de Confiança Zero de identidade.

Gerenciar direitos

Com os aplicativos que são autenticados centralmente e orientados pelo Microsoft Entra ID, você pode simplificar o processo de solicitação de acesso, aprovação e recertificação para garantir que as pessoas certas tenham o acesso certo e que você tenha uma trilha dos motivos para os usuários em sua organização terem o acesso que têm.

Siga estas etapas:

1. Use o gerenciamento de direitos para criar pacotes de acesso que os usuários podem solicitar à medida que ingressarem em equipes/projetos diferentes e atribuir a eles o acesso aos recursos associados (como aplicativos, sites do SharePoint, associações de grupo).
2. Se a implantação do gerenciamento de direitos não for possível para sua organização no momento, pelo menos, habilite os paradigmas de autoatendimento na sua organização implantando o gerenciamento de grupos de autoatendimento e o acesso a aplicativo de autoatendimento.

Usar a autenticação sem senha para reduzir o risco de phishing e ataques de senha

Com o Microsoft Entra ID com suporte para FIDO 2.0 e a entrada no telefone sem senha, você pode fazer a diferença nas credenciais que seus usuários (especialmente usuários privilegiados/confidenciais) estão adotando no dia a dia. Essas credenciais são fatores de autenticação fortes que também podem reduzir o risco.

Realize esta etapa:

• Comece a distribuir credenciais sem senha em sua organização.

V. O usuário, o dispositivo, o local e o comportamento são analisados em tempo real para determinar o risco e fornecer proteção contínua

A análise em tempo real é essencial para determinar o risco e a proteção.

Implantar a Proteção de senha do Microsoft Entra

Ao habilitar outros métodos para verificar os usuários explicitamente, não ignore senhas fracas, pulverização de senhas e ataques de repetição de violação. E as políticas clássicas de senha complexa não impedem os ataques de senha mais predominantes.

Realize esta etapa:

• Habilite a proteção de senha do Microsoft Entra ID para seus usuários na nuvem e no local.

Habilitar o Microsoft Entra ID Protection

Obtenha um sinal de risco de usuário/sessão mais granular com o Microsoft Entra ID Protection. Você pode habilitar opções de investigação e correção de risco com base nas necessidades de segurança em evolução da sua organização.

Realize esta etapa:

• Habilitar a proteção do Microsoft Entra ID.

Habilitar a integração do Microsoft Defender para aplicativos em nuvem com o Microsoft Entra ID Protection

O Microsoft Defender para Aplicativos de Nuvem monitora o comportamento do usuário em aplicativos SaaS e modernos. Esse sinal informa ao Microsoft Entra ID sobre o que aconteceu com o usuário depois de ele autenticar e receber um token. Se o padrão de usuário começar a parecer suspeito, um sinal poderá alimentar o Microsoft Entra ID Protection e o Acesso Condicional notificando-o de que o usuário parece estar comprometido ou de alto risco. Na próxima solicitação de acesso desse usuário, o Microsoft Entra ID poderá agir corretamente para verificar o usuário ou bloqueá-lo.

Realize esta etapa:

• Habilite o monitoramento do Defender para Aplicativos de Nuvem para enriquecer o sinal do Microsoft Entra ID Protection.

Habilite a integração de acesso condicional com o Microsoft Defender para Aplicativos de Nuvem

Usando sinais emitidos após a autenticação e com solicitações de proxy do Defender para Aplicativos de Nuvem para aplicativos, você poderá monitorar sessões que vão para aplicativos SaaS e impor restrições.

Siga estas etapas:

1. Habilite a integração de acesso condicional.

2. Estenda o acesso condicional para aplicativos locais.

Habilitar sessão restrita para uso em decisões de acesso

Quando o risco de um usuário é baixo, mas ele está entrando de um ponto de extremidade desconhecido, talvez você queira permitir o acesso aos recursos, mas não permitir que ele faça coisas que expõem sua organização a ações arriscadas. Você pode configurar o Exchange Online e o SharePoint Online para oferecer ao usuário uma sessão restrita que permita ler emails ou exibir arquivos, mas não os baixar e salvar em um dispositivo não confiável.

Realize esta etapa:

• Habilite o acesso limitado ao SharePoint Online e ao Exchange Online.

VI. Integre sinais de ameaça de outras soluções de segurança para melhorar a detecção, proteção e resposta

Por fim, outras soluções de segurança podem ser integradas para maior eficácia.

Integrar o Microsoft Defender para Identidade com o Microsoft Defender para Aplicativos de Nuvem

A integração com o Microsoft Defender para Identidade permite que o Microsoft Entra ID saiba que um usuário está utilizando um comportamento arriscado ao acessar recursos locais não modernos (como compartilhamentos de arquivos). Esse sinal pode ser levado em conta no risco geral, possivelmente bloqueando acesso adicional na nuvem.

Siga estas etapas:

1. Habilite o Microsoft Defender para Identidade com o Microsoft Defender para Aplicativos de Nuvem para transformar sinais locais no sinal de risco que conhecemos sobre o usuário.
2. Verifique a pontuação de Prioridade de investigação combinada de cada usuário em risco para fornecer uma exibição holística de em quais o seu SOC deve se concentrar.

Habilitar o Microsoft Defender para Ponto de Extremidade

O Microsoft Defender para Ponto de Extremidade permite que você ateste a integridade dos computadores Windows e determine se elas estão enfrentando um comprometimento. Em seguida, você pode alimentar essas informações para reduzir o risco no runtime. Enquanto o Ingresso no Domínio proporciona uma noção de controle, o Defender para Ponto de Extremidade permite reagir a um ataque de malware quase em tempo real, detectando padrões de acesso a sites não confiáveis por vários dispositivos do usuário, além de reagir aumentando o risco do dispositivo/usuário no runtime.

Realize esta etapa:

• Configure o Acesso Condicional no Microsoft Defender para Ponto de Extremidade.

Proteger a identidade de acordo com a Ordem Executiva 14028 sobre Segurança Cibernética e o Memorando OMB 22-09

A Ordem Executiva 14028 sobre a Melhoria da Segurança Cibernética das Nações e o Memorando OMB 22-09 incluem ações específicas sobre Confiança Zero. As ações de identidade incluem a utilização de sistemas centralizados de gerenciamento de identidade, o uso de MFA fortemente resistente a phishing e a incorporação de pelo menos um sinal de nível de dispositivo nas decisões de autorização. Para obter diretrizes detalhadas sobre como implementar essas ações com o Microsoft Entra ID, consulte Atender aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID.

Produtos abordados neste guia

• Microsoft Entra ID
• Microsoft Defender para Identidade
• Microsoft Endpoint Manager (inclui o Microsoft Intune)
• Microsoft Defender para ponto de extremidade
• SharePoint Online
• Exchange Online

Conclusão

A identidade é fundamental para uma estratégia de Confiança Zero com êxito. Para obter mais informações ou ajuda com a implementação, entre em contato com a equipe de Sucesso dos Clientes ou continue lendo os outros capítulos desse guia, que abrangem todos os pilares da Confiança Zero.

A série de guias de implantação de Confiança Zero