Incorpore práticas de Zero Trust na sua zona de aterragem
Zero Trust é uma estratégia de segurança na qual você incorpora produtos e serviços em seu projeto e implementação para aderir aos seguintes princípios de segurança:
Verifique explicitamente: sempre autentique e autorize o acesso com base em todos os pontos de dados disponíveis.
Use o acesso com privilégios mínimos: limite os usuários a acesso suficiente e use ferramentas para fornecer acesso just-in-time com considerações para políticas adaptáveis baseadas em risco.
Assuma a violação: minimize o raio de explosão e o acesso ao segmento, procure ameaças proativamente e melhore continuamente as defesas.
Se sua organização aderir à estratégia Zero Trust, você deverá incorporar objetivos de implantação específicos do Zero Trust em suas áreas de design de zona de aterrissagem. Sua zona de aterrissagem é a base de suas cargas de trabalho no Azure, por isso é importante preparar sua zona de aterrissagem para a adoção do Zero Trust.
Este artigo fornece orientação para integrar práticas de Zero Trust em sua zona de pouso e explica onde a adesão aos princípios de Zero Trust requer soluções fora de sua zona de pouso.
Pilares Zero Trust e áreas de projeto da zona de aterrissagem
Ao implementar práticas de Confiança Zero na implantação da zona de aterrissagem do Azure, você deve começar considerando as diretrizes de Confiança Zero para cada área de design de zona de aterrissagem.
Para obter considerações sobre como projetar uma zona de aterrissagem e orientação para decisões críticas em cada área, consulte Áreas de design da zona de aterrissagem do Azure.
O modelo Zero Trust possui pilares organizados por conceitos e objetivos de implantação. Para obter mais informações, consulte Implantando soluções Zero Trust.
Esses pilares fornecem objetivos de implantação específicos que ajudam as organizações a se alinharem com os princípios do Zero Trust. Estes objetivos vão além das configurações técnicas. Por exemplo, o pilar de rede tem um objetivo de implantação para segmentação de rede. O objetivo não fornece informações sobre como configurar redes isoladas no Azure, mas oferece orientação para criar o padrão de arquitetura. Há outras decisões de design a serem consideradas ao implementar um objetivo de implantação.
O diagrama a seguir mostra as áreas de design da zona de pouso.
A tabela a seguir correlaciona os pilares Zero Trust com as áreas de design mostradas na arquitetura.
Legenda | Área de projeto da zona de aterragem | Pilar Zero Trust |
---|---|---|
Faturação do Azure e inquilino do Microsoft Entra | Pilar da identidade | |
Gestão de identidades e acessos | Pilar de identidade, Pilar de aplicações, Pilar de dados |
|
Organização de recursos | Pilar da identidade | |
Governação | Pilar de visibilidade, automação e orquestração | |
Gestão | Pilar dos pontos finais, Pilar de aplicações, Pilar de dados, Pilar das infraestruturas |
|
Topologia e conectividade de rede | Pilar das redes | |
Segurança | Todos os pilares do Zero Trust | |
Automação de plataforma e DevOps | Pilar de visibilidade, automação e orquestração |
Nem todos os objetivos de implantação do Zero Trust fazem parte de uma zona de pouso. Muitos objetivos de implantação do Zero Trust são para projetar e liberar cargas de trabalho individuais para o Azure.
As seções a seguir analisam cada pilar e fornecem considerações e recomendações para a implementação dos objetivos de implantação.
Identidade segura
Para obter informações sobre os objetivos de implantação para proteger a identidade, consulte Protegendo a identidade com Zero Trust. Para implementar esses objetivos de implantação, você pode aplicar federação de identidades, acesso condicional, governança de identidade e operações de dados em tempo real.
Considerações sobre identidade
Você pode usar implementações de referência de zona de aterrissagem do Azure para implantar recursos que estendem sua plataforma de identidade existente no Azure e gerenciar a plataforma de identidade implementando as práticas recomendadas do Azure.
Você pode configurar muitos dos controles para práticas de Zero Trust em seu locatário do Microsoft Entra. Você também pode controlar o acesso ao Microsoft 365 e outros serviços de nuvem que usam o Microsoft Entra ID.
Você deve planejar os requisitos de configuração além do que está na sua zona de aterrissagem do Azure.
Recomendações de identidade
Desenvolva um plano para gerenciar identidades no Microsoft Entra ID que vão além dos recursos do Azure. Por exemplo, você pode usar:
- Federação com sistemas de identidade locais.
- Políticas de acesso condicional.
- Informações de usuário, dispositivo, local ou comportamento para autorização.
Implante sua zona de aterrissagem do Azure com assinaturas separadas para recursos de identidade, como controladores de domínio, para que você possa proteger melhor o acesso aos recursos.
Use identidades gerenciadas do Microsoft Entra sempre que possível.
Pontos finais seguros
Para obter informações sobre objetivos de implantação para proteger endpoints, consulte Secure endpoints with Zero Trust. Para implementar esses objetivos de implantação, você pode:
Registre endpoints com provedores de identidade na nuvem para fornecer acesso a recursos somente por meio de endpoints e aplicativos compatíveis gerenciados na nuvem.
Aplique a prevenção contra perda de dados (DLP) e o controle de acesso para dispositivos corporativos e dispositivos pessoais inscritos em programas traga seu próprio dispositivo (BYOD).
Monitore o risco do dispositivo para autenticação com deteção de ameaças de endpoint.
Considerações sobre o ponto final
Os objetivos de implantação do endpoint são para dispositivos de computação do usuário final, como laptops, computadores desktop e dispositivos móveis.
Ao adotar práticas de Zero Trust para pontos de extremidade, você deve implementar soluções no Azure e fora do Azure.
Você pode usar ferramentas, como o Microsoft Intune e outras soluções de gerenciamento de dispositivos, para realizar os objetivos de implantação.
Se você tiver pontos de extremidade no Azure, como na Área de Trabalho Virtual do Azure, poderá registrar a experiência do cliente no Intune e aplicar políticas e controles do Azure para restringir o acesso à infraestrutura.
Recomendações de parâmetros de avaliação final
Desenvolva um plano para gerenciar pontos de extremidade com práticas de Zero Trust, além de seus planos de implementar uma zona de aterrissagem do Azure.
Para obter outras informações sobre dispositivos e servidores, consulte Infraestrutura segura.
Aplicações seguras
Para obter informações sobre os objetivos de implantação para proteger aplicativos, consulte Proteger aplicativos com Zero Trust. Para implementar esses objetivos de implantação, você pode:
Use APIs para obter visibilidade dos aplicativos.
Aplique políticas para proteger informações confidenciais.
Aplique controles de acesso adaptáveis.
Limite o alcance da shadow IT.
Considerações sobre o aplicativo
Os objetivos de implantação para aplicativos se concentram no gerenciamento de aplicativos de terceiros e primários em sua organização.
Os objetivos não abordam a proteção da infraestrutura de aplicativos. Em vez disso, eles abordam a proteção do consumo de aplicativos, especialmente aplicativos em nuvem.
As práticas da zona de aterrissagem do Azure não fornecem controles detalhados para objetivos do aplicativo. Esses controles são configurados como parte da configuração do aplicativo.
Recomendações da aplicação
Use o Microsoft Defender for Cloud Apps para gerenciar o acesso a aplicativos.
Use as políticas padronizadas incluídas no Defender for Cloud Apps para impor suas práticas.
Desenvolva um plano para integrar seus aplicativos às suas práticas para acesso a aplicativos. Não confie em aplicativos que sua organização hospeda mais do que em aplicativos de terceiros.
Proteger dados
Para obter informações sobre os objetivos de implantação para proteger dados, consulte Proteger dados com Zero Trust. Para implementar esses objetivos, você pode:
- Classificar e rotular dados.
- Habilite o controle de acesso.
- Implemente proteção contra perda de dados.
Para obter informações sobre como registrar em log e gerenciar recursos de dados, consulte Implementações de referência de zona de aterrissagem do Azure.
Uma abordagem Zero Trust envolve controles extensivos para dados. Do ponto de vista da implementação, o Microsoft Purview fornece ferramentas para governança de dados, proteção e gerenciamento de riscos. Você pode usar o Microsoft Purview como parte de uma implantação de análise em escala de nuvem para fornecer uma solução que pode ser implementada em escala.
Considerações sobre dados
De acordo com o princípio de democratização da assinatura da zona de destino, você pode criar acesso e isolamento de rede para recursos de dados e também estabelecer práticas de registro.
Há políticas nas implementações de referência para registrar e gerenciar recursos de dados.
Você precisa de outros controles além de proteger os recursos do Azure para atender aos objetivos de implantação. A segurança de dados Zero Trust envolve classificar dados, rotulá-los quanto à sensibilidade e controlar o acesso aos dados. Ele também se estende além do banco de dados e sistemas de arquivos. Você precisa considerar como proteger dados no Microsoft Teams, Microsoft 365 Groups e SharePoint.
Recomendações de dados
O Microsoft Purview fornece ferramentas para governança, proteção e gerenciamento de riscos de dados.
Implemente o Microsoft Purview como parte de uma implantação de análise em escala de nuvem para implementar sua carga de trabalho em escala.
Infraestrutura segura
Para obter informações sobre os objetivos de implantação para proteger a infraestrutura, consulte Infraestrutura segura com Zero Trust. Para implementar esses objetivos, você pode:
- Monitore o comportamento anormal em cargas de trabalho.
- Gerencie identidades de infraestrutura.
- Limitar o acesso humano.
- Segmente recursos.
Considerações sobre infraestrutura
Os objetivos de implantação da infraestrutura incluem:
- Gerenciando recursos do Azure.
- Gestão de ambientes de sistemas operativos.
- Acesso a sistemas.
- Aplicação de controles específicos da carga de trabalho.
Você pode usar o modelo de assinatura da zona de destino para criar limites de segurança claros aos recursos do Azure e atribuir permissões limitadas, conforme necessário, no nível do recurso.
As organizações precisam organizar suas cargas de trabalho para gerenciamento.
Recomendações em matéria de infraestruturas
Use as políticas padrão da zona de aterrissagem do Azure para bloquear implantações e recursos não compatíveis e para impor padrões de log.
Configure o Privileged Identity Management no Microsoft Entra ID para fornecer acesso just-in-time a funções altamente privilegiadas.
Configure o acesso just-in-time no Defender for Cloud para sua zona de aterrissagem para restringir o acesso a máquinas virtuais.
Crie um plano para monitorar e gerenciar cargas de trabalho individuais implantadas no Azure.
Redes seguras
Para obter informações sobre os objetivos de implantação para proteger redes, consulte Proteger redes com Zero Trust. Para implementar esses objetivos, você pode:
- Implementar segmentação de rede.
- Use a filtragem nativa da nuvem.
- Implemente o privilégio de acesso mínimo.
Considerações de rede
Para garantir que os recursos da sua plataforma suportem o modelo de segurança Zero Trust, você deve implantar firewalls capazes de inspeção de tráfego HTTPS e isolar os recursos de rede de gerenciamento e identidade do hub central.
Além dos recursos de rede na assinatura de conectividade, você precisa criar planos para micro-segmentar cargas de trabalho individuais em suas redes virtuais faladas. Por exemplo, você pode definir padrões de tráfego e criar grupos de segurança de rede refinados para cada rede de carga de trabalho.
Recomendações de rede
Use os seguintes guias de implantação específicos do Zero Trust para implantar sua zona de aterrissagem do Azure:
Para obter informações sobre como aplicar os princípios Zero Trust à entrega de aplicativos, consulte Rede Zero Trust para aplicativos Web.
Para obter informações sobre como criar um plano para rede de carga de trabalho, consulte Planos de implantação Zero Trust com o Azure.
Visibilidade, automação e orquestração
Para obter informações sobre objetivos de implantação para visibilidade, automação e orquestração, consulte Visibilidade, automação e orquestração com Zero Trust. Para implementar esses objetivos, você pode:
- Estabelecer visibilidade.
- Ativar a automatização.
- Habilite controles adicionais praticando a melhoria contínua.
Considerações sobre visibilidade, automação e orquestração
As implementações de referência da zona de aterrissagem do Azure contêm implantações do Microsoft Sentinel que você pode usar para estabelecer rapidamente a visibilidade em seu ambiente do Azure.
As implementações de referência fornecem políticas para o log do Azure, mas a integração adicional é necessária para outros serviços.
Você deve configurar ferramentas de automação, como o Azure DevOps e o GitHub, para enviar sinais.
Recomendações de visibilidade, automação e orquestração
Implante o Microsoft Sentinel como parte da sua zona de aterrissagem do Azure.
Crie um plano para integrar sinais do Microsoft Entra ID e ferramentas no Microsoft 365 ao seu espaço de trabalho do Microsoft Sentinel.
Crie um plano para conduzir exercícios de caça a ameaças e melhorias contínuas de segurança.