Explore ferramentas e tecnologias usadas para controle de acesso no Microsoft 365

Concluído

O Microsoft 365 usa uma variedade de ferramentas e tecnologias para manter as contas da equipe de serviço seguras. Nesta unidade, revisaremos algumas dessas ferramentas para estabelecer a base para discutir como a Microsoft impõe Acesso Permanente (ZSA).

Ferramenta de Gerenciamento de Identidade (IDM)

O Microsoft 365 usa um sistema de gerenciamento de contas denominado Ferramenta de Gerenciamento de Identidade (IDM) para rastrear as contas da equipe de serviço durante seu ciclo de vida. O IDM rastreia automaticamente o status de todas as contas da equipe de serviço, desde a solicitação de conta inicial até a verificação de elegibilidade, aprovação, criação, modificação e desativação quando a conta não é mais necessária.

Antes que uma nova conta da equipe de serviço possa ser criada, o IDM garante que todos os requisitos de elegibilidade foram atendidos. Esses requisitos incluem triagem de pessoal, treinamento de segurança e privacidade e aprovação apropriada do gerente. O IDM também notifica os gerentes para aprovação sempre que são solicitadas modificações na conta. Quando um funcionário é transferido, demitido ou não consegue concluir o treinamento necessário, a IDM revoga automaticamente o acesso à conta da equipe de serviço e notifica seu gerente.

A automação está no centro de como fornecemos segurança em grande escala. A maior parte do gerenciamento de contas é automatizado por IDM. O IDM desabilita automaticamente as contas da equipe de serviço após no máximo 90 dias de inatividade. Além disso, as contas da equipe de serviço que excedem o limite de tentativas de entrada com falha são bloqueadas automaticamente. As contas da equipe de serviço são auditadas automaticamente ao longo de seu ciclo de vida. As revisões de acesso manual são uma exceção. Onde eles ocorrem, as equipes de serviço do Microsoft 365 os realizam pelo menos trimestralmente.

Controle de acesso baseado em função (RBAC)

As equipas de serviço do Microsoft 365 utilizam Role-Based Controlo de Acesso (RBAC) imposto pelo Active Directory (AD) e pelo Microsoft Entra ID. O pessoal da equipe de serviço solicita acesso às funções exigidas, sujeito à aprovação da gerência. Se aprovados, eles são colocados em grupos de segurança correspondentes às suas funções de suporte ao sistema.

O acesso à conta da equipe de serviço é gerenciado de acordo com o princípio do menor privilégio. O RBAC limita as contas da equipe de serviço apenas ao acesso necessário para concluir as tarefas exigidas em ambientes correspondentes à sua função. O RBAC também ajuda a impor os requisitos de separação de tarefas, limitando as contas da equipe de serviço às funções apropriadas para suas responsabilidades atuais.

Acesso remoto

Os componentes do sistema Microsoft 365 estão alojados em datacenters separados geograficamente das equipes de operações. A equipe do datacenter tem acesso físico, mas não lógico, ao ambiente do Microsoft 365. Como alternativa, o pessoal da equipe de serviço tem acesso lógico, mas não físico. Como resultado, o pessoal da equipe de serviço gerencia o ambiente por meio de acesso remoto. Todas as atividades aprovadas são autorizadas para execução por meio de acesso remoto ao ambiente Microsoft 365. O pessoal da equipe de serviço que requer acesso remoto para oferecer suporte ao Microsoft 365 só recebe acesso remoto após a aprovação de um gerente autorizado. Todo o acesso remoto usa TLS compatível com FIPS 140-2 para conexões remotas seguras.

Estações de trabalho de acesso seguro (SAWs)

O Microsoft 365 emite Estações de Trabalho de Acesso Seguro (SAWs) para engenheiros da equipe de serviço que oferecem suporte a ambientes de produção do Microsoft 365. Os SAWs fornecem maior segurança ao reduzir a superfície de ataque dos dispositivos que os engenheiros usam para realizar ações administrativas ao oferecer suporte aos serviços do Microsoft 365.

Os SAWs da Microsoft são laptops especialmente projetados e fabricados com proteções extras contra vulnerabilidades de hardware e software. A Microsoft faz parceria diretamente com fornecedores confiáveis ​​para construir SAWs, encurtando a cadeia de suprimentos para garantir a segurança do hardware SAW. Sistemas operacionais reforçados com funcionalidade deliberadamente limitada atenuam ou eliminam ainda mais os vetores de ataque comuns. As práticas de proteção saw incluem desativar a escrita em unidades USB, impor a lista de permissões de aplicações rigorosa, remover conjuntos de produtividade e acesso ao e-mail, limitar a navegação na Internet, forçar a utilização de um browser endurecido, encaminhar o tráfego através de um filtro de proxy e impor bloqueios de proteção de ecrãs de inatividade através da Política de Grupo.

Os sistemas de controle de acesso do Microsoft 365 verificam automaticamente a integridade do SAW de um engenheiro no momento do acesso e recusam conexões de SAWs não compatíveis. As verificações de integridade do dispositivo complementam outros controles de acesso, incluindo restrições de IP, políticas do IPsec e verificação da identificação do usuário por meio de autenticação multifator. O uso do SAW é estritamente monitorado e registrado para detectar e prevenir o uso não autorizado. Dispositivos não compatíveis são desabilitados automaticamente.

MFA (Autenticação Multifator)

O Microsoft 365 exige a autenticação multifator (MFA) para todas as contas da equipe de serviço. O MFA aumenta a segurança da conta ao exigir várias formas de verificação, ou fatores, para provar a identidade do engenheiro ao entrar no sistema. Os tipos de fatores que podem ser usados ​​para MFA se enquadram em três categorias:

  • Algo que você sabe - uma senha, uma resposta a uma pergunta de segurança stion, ou um número de identificação pessoal (PIN)
  • Algo que você possui - um gerador de token de segurança ou um aplicativo móvel que recebe uma notificação
  • Algo que você é - uma propriedade biométrica, como uma impressão digital ou leitura facial

O Microsoft 365 requer pelo menos dois fatores para MFA. O uso de MFA aumenta a segurança do Microsoft 365, limitando o impacto da exposição da credencial. No Microsoft 365, um invasor que compromete a senha de um usuário também precisa possuir seu gerador de token de segurança para se autenticar totalmente. A autenticação com apenas um único fator é insuficiente para acessar o Microsoft 365, bloqueando invasores em potencial e dando tempo para o usuário alterar sua senha comprometida.

Saber mais