Protegendo a identidade com Zero Trust

  • Artigo

Fundo

As aplicações na nuvem e a força de trabalho móvel redefiniram o perímetro de segurança. Os funcionários estão trazendo seus próprios dispositivos e trabalhando remotamente. Os dados estão sendo acessados fora da rede corporativa e compartilhados com colaboradores externos, como parceiros e fornecedores. Os aplicativos e dados corporativos estão migrando de ambientes locais para ambientes híbridos e em nuvem. As organizações não podem mais confiar em controles de rede tradicionais para segurança. Os controles precisam ser movidos para onde os dados estão: em dispositivos, dentro de aplicativos e com parceiros.

As identidades, que representam pessoas, serviços ou dispositivos IoT, são o dominador comum nas muitas redes, terminais e aplicações atuais. No modelo de segurança Zero Trust, eles funcionam como uma maneira poderosa, flexível e granular de controlar o acesso aos dados.

Antes que uma identidade tente acessar um recurso, as organizações devem:

  • Verifique a identidade com autenticação forte.

  • Certifique-se de que o acesso é compatível e típico para essa identidade.

  • Segue os princípios de acesso de privilégios mínimos.

Uma vez verificada a identidade, podemos controlar o acesso dessa identidade aos recursos com base nas políticas da organização, na análise de risco contínua e em outras ferramentas.

Objetivos de implantação do Identity Zero Trust

Antes de a maioria das organizações iniciar a jornada do Zero Trust, sua abordagem à identidade é problemática, pois o provedor de identidade local está em uso, nenhum SSO está presente entre aplicativos na nuvem e locais e a visibilidade do risco de identidade é muito limitada.

Ao implementar uma estrutura Zero Trust completa para identidade, recomendamos que você se concentre primeiro nestes objetivos iniciais de implantação:

Ícone de lista com uma marca de verificação.

A identidade I.Cloud federa-se com sistemas de identidade locais.

II.As políticas de Acesso Condicional bloqueiam o acesso e fornecem atividades de correção.

III.As análises melhoram a visibilidade.

Depois de concluídos, concentre-se nestes objetivos adicionais da implementação:

Ícone de lista com duas marcas de verificação.

IV.As identidades e os privilégios de acesso são gerenciados com governança de identidade.

V.O utilizador, o dispositivo, a localização e o comportamento são analisados em tempo real para determinar o risco e fornecer proteção contínua.

VI.Integre sinais de ameaças de outras soluções de segurança para melhorar a deteção, a proteção e a resposta.

Guia de implantação do Identity Zero Trust

Este guia orientará você pelas etapas necessárias para gerenciar identidades seguindo os princípios de uma estrutura de segurança Zero Trust.




Ícone da lista de verificação com uma marca de verificação.

Objetivos iniciais da implementação

I. A identidade na nuvem é federada com sistemas de identidade locais

O Microsoft Entra ID permite autenticação forte, um ponto de integração para segurança de ponto final e o núcleo de suas políticas centradas no usuário para garantir acesso com privilégios mínimos. Os recursos de Acesso Condicional do Microsoft Entra são o ponto de decisão de política para acesso a recursos com base na identidade do usuário, no ambiente, na integridade do dispositivo e no risco, verificados explicitamente no ponto de acesso. Mostraremos como você pode implementar uma estratégia de identidade Zero Trust com o Microsoft Entra ID.

Diagrama das etapas dentro da fase 1 dos objetivos iniciais de implantação.

Conecte todos os seus usuários ao Microsoft Entra ID e federar com sistemas de identidade locais

Manter um pipeline saudável das identidades de seus funcionários e os artefatos de segurança necessários (grupos para autorização e pontos de extremidade para controles de política de acesso extra) coloca você no melhor lugar para usar identidades e controles consistentes na nuvem.

Siga estes passos:

  1. Escolha uma opção de autenticação. O Microsoft Entra ID fornece a melhor proteção contra força bruta, DDoS e spray de senha, mas tome a decisão certa para sua organização e suas necessidades de conformidade.

  2. Traga apenas as identidades que você absolutamente precisa. Por exemplo, use ir para a nuvem como uma oportunidade para deixar para trás contas de serviço que só fazem sentido no local. Deixe as funções privilegiadas locais para trás.

  3. Se sua empresa tiver mais de 100.000 usuários, grupos e dispositivos combinados , crie uma caixa de sincronização de alto desempenho que manterá seu ciclo de vida atualizado.

Estabeleça sua Identity Foundation com o Microsoft Entra ID

Uma estratégia Zero Trust requer verificação explícita, usando princípios de acesso menos privilegiados e assumindo violação. O Microsoft Entra ID pode atuar como o ponto de decisão de política para impor suas políticas de acesso com base em informações sobre o usuário, o ponto de extremidade, o recurso de destino e o ambiente.

Dê este passo:

  • Coloque o Microsoft Entra ID no caminho de cada solicitação de acesso. Isso conecta todos os usuários e todos os aplicativos ou recursos por meio de um plano de controle de identidade e fornece ao Microsoft Entra ID o sinal para tomar as melhores decisões possíveis sobre o risco de autenticação/autorização. Além disso, o logon único e os guardrails de políticas consistentes proporcionam uma melhor experiência ao usuário e contribuem para ganhos de produtividade.

Integre todas as suas aplicações com o Microsoft Entra ID

O logon único impede que os usuários deixem cópias de suas credenciais em vários aplicativos e ajuda a evitar que os usuários se acostumem a entregar suas credenciais devido a solicitações excessivas.

Certifique-se também de não ter vários mecanismos do IAM em seu ambiente. Isso não só diminui a quantidade de sinal que o Microsoft Entra ID vê, permitindo que agentes mal-intencionados vivam nas costuras entre os dois mecanismos do IAM, mas também pode levar a uma experiência ruim do usuário e seus parceiros de negócios se tornarem os primeiros céticos de sua estratégia Zero Trust.

Siga estes passos:

  1. Integre aplicações empresariais modernas que falam OAuth2.0 ou SAML.

  2. Para Kerberos e aplicativos de autenticação baseados em formulário, integre-os usando o proxy de aplicativo Microsoft Entra.

  3. Se você publicar seus aplicativos herdados usando redes/controladores de entrega de aplicativos, use o Microsoft Entra ID para integrar com a maioria dos principais (como Citrix, Akamai e F5).

  4. Para ajudar a descobrir e migrar seus aplicativos do ADFS e dos mecanismos do IAM existentes/mais antigos, revise recursos e ferramentas.

  5. Potencie o envio de identidades para as suas várias aplicações na nuvem. Isso proporciona uma integração mais estreita do ciclo de vida da identidade nesses aplicativos.

Gorjeta

Saiba mais sobre como implementar uma estratégia completa de Zero Trust para aplicativos.

Verificar explicitamente com autenticação forte

Siga estes passos:

  1. Implemente a autenticação multifator (P1) do Microsoft Entra. Esta é uma peça fundamental para reduzir o risco de sessão do usuário. À medida que os usuários aparecem em novos dispositivos e de novos locais, ser capaz de responder a um desafio de MFA é uma das maneiras mais diretas que seus usuários podem nos ensinar que esses são dispositivos/locais familiares à medida que se movem pelo mundo (sem que os administradores analisem sinais individuais).

  2. Bloqueie a autenticação legada. Um dos vetores de ataque mais comuns para atores mal-intencionados é usar credenciais roubadas/repetidas contra protocolos legados, como SMTP, que não podem fazer desafios de segurança modernos.

II. As políticas de Acesso Condicional bloqueiam o acesso e fornecem atividades de correção

O Microsoft Entra Conditional Access (CA) analisa sinais como usuário, dispositivo e localização para automatizar decisões e aplicar políticas de acesso organizacional para recursos. Você pode usar políticas de autoridade de certificação para aplicar controles de acesso, como autenticação multifator (MFA). As políticas de autoridade de certificação permitem que você solicite aos usuários MFA quando necessário para segurança e fique fora do caminho dos usuários quando não for necessário.

Diagrama de políticas de Acesso Condicional em Zero Trust.

A Microsoft fornece políticas condicionais padrão chamadas padrões de segurança que garantem um nível básico de segurança. No entanto, sua organização pode precisar de mais flexibilidade do que os padrões de segurança oferecem. Você pode usar o Acesso Condicional para personalizar os padrões de segurança com mais granularidade e para configurar novas políticas que atendam às suas necessidades.

Planejar suas políticas de Acesso Condicional com antecedência e ter um conjunto de políticas ativas e de fallback é um pilar fundamental da aplicação da Política de Acesso em uma implantação de Confiança Zero. Reserve um tempo para configurar seus locais de IP confiáveis em seu ambiente. Mesmo que você não os use em uma política de Acesso Condicional, a configuração desses IPs informa o risco da Proteção de Identidade mencionado acima.

Dê este passo:

  • Confira nossas diretrizes de implantação e práticas recomendadas para políticas resilientes de Acesso Condicional.

Registrar dispositivos com o Microsoft Entra ID para restringir o acesso de dispositivos vulneráveis e comprometidos

Siga estes passos:

  1. Habilite a associação híbrida do Microsoft Entra ou a associação do Microsoft Entra. Se você estiver gerenciando o laptop/computador do usuário, traga essas informações para o Microsoft Entra ID e use-as para ajudar a tomar melhores decisões. Por exemplo, você pode optar por permitir o acesso de cliente avançado a dados (clientes que têm cópias offline no computador) se souber que o usuário está vindo de uma máquina que sua organização controla e gerencia. Se você não trazer isso, provavelmente optará por bloquear o acesso de clientes avançados, o que pode resultar em seus usuários trabalhando em torno de sua segurança ou usando shadow IT.

  2. Habilite o serviço Intune no Microsoft Endpoint Manager (EMS) para gerenciar os dispositivos móveis e registrar dispositivos de seus usuários. O mesmo pode ser dito sobre dispositivos móveis do usuário como sobre laptops: Quanto mais você sabe sobre eles (nível de patch, jailbroken, rooted, etc.), mais você é capaz de confiar ou desconfiar deles e fornecer uma razão para o motivo pelo qual você bloqueia/permite o acesso.

Gorjeta

Saiba mais sobre como implementar uma estratégia completa de Zero Trust para endpoints

III. O Analytics melhora a visibilidade

À medida que você cria seu patrimônio no Microsoft Entra ID com autenticação, autorização e provisionamento, é importante ter informações operacionais sólidas sobre o que está acontecendo no diretório.

Configure o registo e os relatórios para melhorar a visibilidade

Dê este passo:

  • Planeje uma implantação de relatórios e monitoramento do Microsoft Entra para poder persistir e analisar logs da ID do Microsoft Entra, no Azure ou usando um sistema SIEM de sua escolha.




Ícone da lista de verificação com duas marcas de verificação.

Objetivos adicionais da implementação

IV. Identidades e privilégios de acesso são gerenciados com governança de identidade

Depois de atingir os três objetivos iniciais, você pode se concentrar em objetivos adicionais, como uma governança de identidade mais robusta.

Diagrama das etapas dentro da fase 4 dos objetivos de implantação adicionais.

Proteja o acesso privilegiado com o Privileged Identity Management

Controle os pontos de extremidade, condições e credenciais que os usuários usam para acessar operações/funções privilegiadas.

Siga estes passos:

  1. Assuma o controle de suas identidades privilegiadas. Lembre-se de que, em uma organização transformada digitalmente, o acesso privilegiado não é apenas o acesso administrativo, mas também o acesso do proprietário do aplicativo ou do desenvolvedor que pode alterar a maneira como seus aplicativos de missão crítica são executados e lidam com dados.

  2. Use o Gerenciamento de Identidades Privilegiadas para proteger identidades privilegiadas.

O consentimento do usuário para aplicativos é uma maneira muito comum de aplicativos modernos terem acesso a recursos organizacionais, mas há algumas práticas recomendadas a serem lembradas.

Siga estes passos:

  1. Restrinja o consentimento do usuário e gerencie as solicitações de consentimento para garantir que não ocorra nenhuma exposição desnecessária dos dados da sua organização aos aplicativos.

  2. Revise o consentimento prévio/existente em sua organização para verificar se há um consentimento excessivo ou mal-intencionado.

Para obter mais informações sobre ferramentas de proteção contra táticas de acesso a informações confidenciais, consulte "Fortalecer a proteção contra ameaças cibernéticas e aplicativos não autorizados" em nosso guia para implementar uma estratégia Zero Trust de identidade.

Gerir direitos

Com aplicativos autenticados centralmente e orientados a partir do Microsoft Entra ID, agora você pode simplificar seu processo de solicitação de acesso, aprovação e recertificação para garantir que as pessoas certas tenham o acesso certo e que você tenha uma trilha do motivo pelo qual os usuários em sua organização têm o acesso que têm.

Siga estes passos:

  1. Use o Gerenciamento de Direitos para criar pacotes de acesso que os usuários podem solicitar quando ingressam em diferentes equipes/projetos e que lhes atribui acesso aos recursos associados (como aplicativos, sites do SharePoint, associações de grupo).

  2. Se a implantação do Gerenciamento de Direitos não for possível para sua organização no momento, pelo menos habilite paradigmas de autoatendimento em sua organização implantando o gerenciamento de grupo de autoatendimento e o acesso a aplicativos de autoatendimento.

Use a autenticação sem senha para reduzir o risco de phishing e ataques de senha

Com o Microsoft Entra ID suportando FIDO 2.0 e entrada por telefone sem senha, você pode mover a agulha nas credenciais que seus usuários (especialmente usuários sensíveis/privilegiados) estão empregando no dia-a-dia. Essas credenciais são fatores de autenticação fortes que também podem reduzir o risco.

Dê este passo:

V. Usuário, dispositivo, localização e comportamento são analisados em tempo real para determinar o risco e fornecer proteção contínua

A análise em tempo real é fundamental para determinar o risco e a proteção.

Diagrama das etapas dentro da fase 5 dos objetivos de implantação adicionais.

Implantar a Proteção por Senha do Microsoft Entra

Ao permitir que outros métodos verifiquem os usuários explicitamente, não ignore senhas fracas, spray de senha e ataques de repetição de violação. E as políticas de senha complexas clássicas não impedem os ataques de senha mais prevalentes.

Dê este passo:

  • Habilite a Proteção por Senha do Microsoft Entra para seus usuários na nuvem e no local.

Enable Identity Protection (Ativar o Identity Protection)

Obtenha um sinal de risco de sessão/utilizador mais granular com a Proteção de Identidade. Você poderá investigar o risco e confirmar o comprometimento ou descartar o sinal, o que ajudará o mecanismo a entender melhor como é o risco em seu ambiente.

Dê este passo:

Habilite a integração do Microsoft Defender for Cloud Apps com o Identity Protection

O Microsoft Defender for Cloud Apps monitora o comportamento do usuário dentro de SaaS e aplicativos modernos. Isso informa a ID do Microsoft Entra sobre o que aconteceu com o usuário depois que ele se autenticou e recebeu um token. Se o padrão de usuário começar a parecer suspeito (por exemplo, um usuário começa a baixar gigabytes de dados do OneDrive ou começa a enviar e-mails de spam no Exchange Online), um sinal pode ser alimentado para o Microsoft Entra ID notificando-o de que o usuário parece estar comprometido ou de alto risco. Na próxima solicitação de acesso desse usuário, o Microsoft Entra ID pode executar corretamente uma ação para verificar o usuário ou bloqueá-lo.

Dê este passo:

Habilite a integração do Acesso Condicional com o Microsoft Defender for Cloud Apps

Usando sinais emitidos após a autenticação e com as solicitações de proxy do Defender for Cloud Apps para aplicativos, você poderá monitorar sessões indo para aplicativos SaaS e impor restrições.

Siga estes passos:

  1. Habilite a integração de Acesso Condicional.

  2. Estenda o Acesso Condicional a aplicativos locais.

Habilitar sessão restrita para uso em decisões de acesso

Quando o risco de um usuário é baixo, mas ele está entrando a partir de um ponto de extremidade desconhecido, talvez você queira permitir que ele acesse recursos críticos, mas não permitir que ele faça coisas que deixem sua organização em um estado não compatível. Agora você pode configurar o Exchange Online e o SharePoint Online para oferecer ao usuário uma sessão restrita que permite ler emails ou exibir arquivos, mas não baixá-los e salvá-los em um dispositivo não confiável.

Dê este passo:

  • Habilitar acesso limitado ao SharePoint Online e ao Exchange Online

VI. Integre sinais de ameaças de outras soluções de segurança para melhorar a deteção, a proteção e a resposta

Finalmente, outras soluções de segurança podem ser integradas para uma maior eficácia.

Integre o Microsoft Defender for Identity com o Microsoft Defender for Cloud Apps

A integração com o Microsoft Defender for Identity permite que o Microsoft Entra ID saiba que um usuário está se entregando a um comportamento de risco ao acessar recursos locais não modernos (como compartilhamentos de arquivos). Isso pode ser levado em conta no risco geral do usuário de bloquear mais acesso na nuvem.

Siga estes passos:

  1. Habilite o Microsoft Defender for Identity com o Microsoft Defender for Cloud Apps para trazer sinais locais para o sinal de risco que sabemos sobre o usuário.

  2. Verifique a pontuação combinada de Prioridade de Investigação para cada usuário em risco para dar uma visão holística de quais deles seu SOC deve focar.

Habilitar o Microsoft Defender for Endpoint

O Microsoft Defender for Endpoint permite que você ateste a integridade das máquinas Windows e determine se elas estão passando por um comprometimento. Em seguida, você pode alimentar essas informações para reduzir o risco em tempo de execução. Enquanto o Ingresso no Domínio lhe dá uma sensação de controle, o Defender for Endpoint permite que você reaja a um ataque de malware quase em tempo real, detetando padrões em que vários dispositivos de usuário estão atingindo sites não confiáveis, e reaja aumentando o risco do dispositivo/usuário em tempo de execução.

Dê este passo:

Proteger a identidade de acordo com a Ordem Executiva 14028 sobre cibersegurança & Memorando OMB 22-09

A Ordem Executiva 14028 sobre a Melhoria da Cibersegurança das Nações e o Memorando OMB 22-09 incluem ações específicas sobre o Zero Trust. As ações de identidade incluem o emprego de sistemas centralizados de gerenciamento de identidade, o uso de MFA resistente a phishing forte e a incorporação de pelo menos um sinal no nível do dispositivo na(s) decisão(ões) de autorização. Para obter orientações detalhadas sobre como implementar essas ações com o Microsoft Entra ID, consulte Atender aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID.

Produtos abrangidos por este guia

Microsoft Azure

Microsoft Entra ID

Microsoft Defender para identidade

O Microsoft 365

Microsoft Endpoint Manager (inclui o Microsoft Intune)

Microsoft Defender para Ponto de Extremidade

SharePoint Online

Exchange Online

Conclusão

A identidade é fundamental para uma estratégia Zero Trust bem-sucedida. Para obter mais informações ou ajuda com a implementação, entre em contato com sua equipe de sucesso do cliente ou continue a ler os outros capítulos deste guia, que abrangem todos os pilares do Zero Trust.



Série de guias de implementação da Zero Trust

Ícone para a introdução

Ícone para a identidade

Ícone para os pontos finais

Ícone para as aplicações

Ícone para os dados

Ícone para a infraestrutura

Ícone para as redes

Ícone para visibilidade, automatização, orquestração