Acesso privilegiado: Intermediários

A segurança dos dispositivos intermediários é um componente crítico para garantir o acesso privilegiado.

Os intermediários adicionam link à cadeia de garantia Zero Trust para a sessão de ponta a ponta do usuário ou administrador, portanto, eles devem manter (ou melhorar) as garantias de segurança Zero Trust na sessão. Exemplos de intermediários incluem redes virtuais privadas (VPNs), servidores de salto, infraestrutura de desktop virtual (VDI), bem como publicação de aplicativos por meio de proxies de acesso.

Um invasor pode atacar um intermediário para tentar escalar privilégios usando credenciais armazenadas neles, obter acesso remoto de rede a redes corporativas ou explorar a confiança nesse dispositivo se estiver sendo usado para decisões de acesso Zero Trust. Segmentar intermediários tornou-se muito comum, especialmente para organizações que não mantêm rigorosamente a postura de segurança desses dispositivos. Por exemplo, credenciais coletadas de dispositivos VPN.

Os intermediários variam em finalidade e tecnologia, mas normalmente fornecem acesso remoto, segurança de sessão ou ambos:

• Acesso remoto - Permitir o acesso a sistemas em redes empresariais a partir da Internet
• Segurança da sessão - Aumente as proteções de segurança e a visibilidade de uma sessão
  • Cenário de dispositivo não gerenciado - Fornecer uma área de trabalho virtual gerenciada para ser acessada por dispositivos não gerenciados (por exemplo, dispositivos pessoais de funcionários) e/ou dispositivos gerenciados por um parceiro/fornecedor.
  • Cenário de segurança do administrador - Consolide caminhos administrativos e/ou aumente a segurança com acesso just in time, monitoramento e gravação de sessão e recursos semelhantes.

Garantir que as garantias de segurança sejam sustentadas desde o dispositivo e a conta de origem até a interface de recursos requer a compreensão do perfil de risco do intermediário e das opções de mitigação.

Oportunidade e valor do atacante

Diferentes tipos de intermediários executam funções exclusivas, portanto, cada um deles requer uma abordagem de segurança diferente, embora haja alguns pontos em comum críticos, como a aplicação rápida de patches de segurança a dispositivos, firmware, sistemas operacionais e aplicativos.

A oportunidade do atacante é representada pela superfície de ataque disponível que um operador de ataque pode atingir:

• Serviços de nuvem nativos, como Microsoft Entra PIM, Azure Bastion e proxy de aplicativo Microsoft Entra, oferecem uma superfície de ataque limitada aos invasores. Embora estejam expostos à Internet pública, os clientes (e atacantes) não têm acesso aos sistemas operativos subjacentes que fornecem os serviços e são normalmente mantidos e monitorizados de forma consistente através de mecanismos automatizados no fornecedor de serviços de computação em nuvem. Essa superfície de ataque menor limita as opções disponíveis para invasores em comparação com aplicativos e dispositivos locais clássicos que devem ser configurados, corrigidos e monitorados pela equipe de TI, que muitas vezes é sobrecarregada por prioridades conflitantes e mais tarefas de segurança do que têm tempo para concluir.
• Redes Privadas Virtuais (VPNs) e Áreas de Trabalho Remotas / Os servidores Jump frequentemente têm uma oportunidade de invasor significativa, pois são expostos à Internet para fornecer acesso remoto e a manutenção desses sistemas é frequentemente negligenciada. Embora tenham apenas algumas portas de rede expostas, os atacantes só precisam de acesso a um serviço não corrigido para um ataque.
• Os serviços PIM/PAM de terceiros são frequentemente hospedados no local ou como uma VM na infraestrutura como serviço (IaaS) e normalmente só estão disponíveis para hosts de intranet. Embora não esteja diretamente exposta à Internet, uma única credencial comprometida pode permitir que invasores acessem o serviço por VPN ou outro meio de acesso remoto.

O valor do atacante representa o que um invasor pode ganhar comprometendo um intermediário. Um compromisso é definido como um invasor ganhando controle total sobre o aplicativo/VM e/ou um administrador da instância do cliente do serviço de nuvem.

Os ingredientes que os atacantes podem coletar de um intermediário para a próxima etapa de seu ataque incluem:

• Obtenha conectividade de rede para se comunicar com a maioria ou todos os recursos em redes corporativas. Este acesso é normalmente fornecido por VPNs e soluções de servidor Remote Desktop / Jump. Embora as soluções de proxy de aplicativo Azure Bastion e Microsoft Entra (ou soluções de terceiros semelhantes) também forneçam acesso remoto, essas soluções geralmente são conexões específicas de aplicativos ou servidores e não fornecem acesso geral à rede
• Personificar a identidade do dispositivo - pode derrotar os mecanismos de Confiança Zero se um dispositivo for necessário para autenticação e/ou ser usado por um invasor para coletar informações sobre as redes de destino. As equipes de operações de segurança geralmente não monitoram de perto a atividade da conta do dispositivo e se concentram apenas nas contas de usuário.
• Roube credenciais de conta para se autenticar em recursos, que são o ativo mais valioso para os atacantes, pois oferece a capacidade de elevar os privilégios para acessar seu objetivo final ou a próxima etapa do ataque. Os servidores de Ambiente de Trabalho Remoto / Jump e PIM/PAM de terceiros são os alvos mais atraentes e têm a dinâmica "Todos os seus ovos no mesmo cesto" com maior valor para atacantes e mitigações de segurança:
  • As soluções PIM/PAM normalmente armazenam as credenciais para a maioria ou todas as funções privilegiadas na organização, tornando-as um alvo altamente lucrativo para comprometer ou armar.
  • O Microsoft Entra PIM não oferece aos invasores a capacidade de roubar credenciais porque desbloqueia privilégios já atribuídos a uma conta usando MFA ou outros fluxos de trabalho, mas um fluxo de trabalho mal projetado pode permitir que um adversário escale privilégios.
  • Os servidores de Área de Trabalho Remota / Jump usados pelos administradores fornecem um host por onde muitas ou todas as sessões confidenciais passam, permitindo que os invasores usem ferramentas padrão de ataque de roubo de credenciais para roubar e reutilizar essas credenciais.
  • As VPNs podem armazenar credenciais na solução, fornecendo aos invasores um tesouro potencial de escalonamento de privilégios, levando à forte recomendação de usar o Microsoft Entra ID para autenticação para mitigar esse risco.

Perfis de segurança intermediários

O estabelecimento destas garantias exige uma combinação de controlos de segurança, alguns dos quais são comuns a muitos intermediários e outros específicos do tipo de intermediário.

Um intermediário é um elo na cadeia Zero Trust que apresenta uma interface aos usuários/dispositivos e, em seguida, permite o acesso à próxima interface. Os controles de segurança devem abordar as conexões de entrada, a segurança do próprio dispositivo/aplicativo/serviço intermediário e (se aplicável) fornecer sinais de segurança Zero Trust para a próxima interface.

Controlos de segurança comuns

Os elementos de segurança comuns para intermediários estão focados em manter uma boa higiene de segurança para níveis empresariais e especializados, com restrições adicionais para segurança de privilégios.

Estes controlos de segurança devem ser aplicados a todos os tipos de intermediários:

• Impor a segurança da conexão de entrada - Use a ID do Microsoft Entra e o Acesso Condicional para garantir que todas as conexões de entrada de dispositivos e contas sejam conhecidas, confiáveis e permitidas. Para obter mais informações, consulte o artigo Secuiting privileged interfaces para obter definições detalhadas para requisitos de dispositivo e conta para empresas e especializados.
• Manutenção adequada do sistema - Todos os intermediários devem seguir boas práticas de higiene de segurança, incluindo:
  • Configuração segura - Siga as linhas de base de configuração de segurança do fabricante ou do setor e as práticas recomendadas para o aplicativo e quaisquer sistemas operacionais subjacentes, serviços de nuvem ou outras dependências. As orientações aplicáveis da Microsoft incluem a Linha de Base de Segurança do Azure e as Linhas de Base do Windows.
  • Correção rápida - As atualizações de segurança e os patches dos fornecedores devem ser aplicados rapidamente após o lançamento.
• Os modelos RBAC (Controle de Acesso Baseado em Função) podem ser abusados por invasores para aumentar os privilégios. O modelo RBAC do intermediário deve ser cuidadosamente revisto para garantir que apenas o pessoal autorizado que está protegido em um nível especializado ou privilegiado receba privilégios administrativos. Este modelo deve incluir quaisquer sistemas operativos subjacentes ou serviços na nuvem (palavra-passe da conta root, utilizadores/grupos de administradores locais, administradores de inquilinos, etc.).
• Deteção e resposta de ponto final (EDR) e sinal de confiança de saída - Os dispositivos que incluem um sistema operacional completo devem ser monitorados e protegidos com um EDR como o Microsoft Defender for Endpoint. Esse controle deve ser configurado para fornecer sinais de conformidade do dispositivo ao Acesso Condicional para que a política possa impor esse requisito para interfaces.

Os intermediários privilegiados exigem controlos de segurança adicionais:

• RBAC (Controle de Acesso Baseado em Função) - Os direitos administrativos devem ser restritos apenas a funções privilegiadas que atendam a esse padrão para estações de trabalho e contas.
• Dispositivos dedicados (opcional) - devido à extrema sensibilidade das sessões privilegiadas, as organizações podem optar por implementar instâncias dedicadas de funções intermediárias para funções privilegiadas. Esse controle permite restrições de segurança adicionais para esses intermediários privilegiados e um monitoramento mais próximo da atividade de função privilegiada.

Orientações de segurança para cada tipo de intermediário

Esta secção contém orientações de segurança específicas exclusivas para cada tipo de intermediário.

Gerenciamento de acesso privilegiado / Gerenciamento de identidade privilegiado

Um tipo de intermediário projetado explicitamente para casos de uso de segurança é o gerenciamento privilegiado de identidades / gerenciamento de acesso privilegiado (PIM/PAM).

Casos de uso e cenários para PIM/PAM

As soluções PIM/PAM são projetadas para aumentar as garantias de segurança para contas confidenciais que seriam cobertas por perfis especializados ou privilegiados e, normalmente, se concentram primeiro nos administradores de TI.

Embora os recursos variem entre fornecedores de PIM/PAM, muitas soluções fornecem recursos de segurança para:

• Simplifique o gerenciamento de contas de serviço e a rotação de senhas (um recurso extremamente importante)

• Forneça fluxos de trabalho avançados para acesso just in time (JIT)

• Gravar e monitorar sessões administrativas

  Importante

  Os recursos PIM/PAM fornecem excelentes mitigações para alguns ataques, mas não abordam muitos riscos de acesso privilegiado, principalmente o risco de comprometimento do dispositivo. Embora alguns fornecedores defendam que sua solução PIM/PAM é uma solução "bala de prata" que pode mitigar o risco do dispositivo, nossa experiência na investigação de incidentes com clientes provou consistentemente que isso não funciona na prática.

  Um invasor com controle de uma estação de trabalho ou dispositivo pode usar essas credenciais (e privilégios atribuídos a eles) enquanto o usuário está conectado (e muitas vezes também pode roubar credenciais para uso posterior). Uma solução PIM/PAM sozinha não pode ver e mitigar esses riscos de dispositivo de forma consistente e confiável, portanto, você deve ter proteções discretas de dispositivo e conta que se complementem.

Riscos de segurança e recomendações para PIM/PAM

Os recursos de cada fornecedor de PIM/PAM variam de acordo com a forma de protegê-los, portanto, revise e siga as recomendações de configuração de segurança específicas e as práticas recomendadas do seu fornecedor.

Nota

Certifique-se de configurar uma segunda pessoa em fluxos de trabalho críticos para os negócios para ajudar a mitigar o risco interno (aumenta o custo/atrito para potencial conluio por ameaças internas).

Redes Virtuais Privadas do Utilizador Final

As Redes Privadas Virtuais (VPNs) são intermediários que fornecem acesso total à rede para pontos de extremidade remotos, normalmente exigem que o usuário final se autentique e podem armazenar credenciais localmente para autenticar sessões de usuário de entrada.

Nota

Esta orientação refere-se apenas a VPNs "ponto a site" usadas pelos usuários, não a VPNs "site a site" que normalmente são usadas para conectividade de datacenter/aplicativo.

Casos de uso e cenários para VPNs

As VPNs estabelecem conectividade remota com a rede corporativa para permitir o acesso a recursos para usuários e administradores.

Riscos de segurança e recomendações para VPNs

Os riscos mais críticos para os intermediários de VPN são de negligência de manutenção, problemas de configuração e armazenamento local de credenciais.

A Microsoft recomenda uma combinação de controles para intermediários VPN:

• Integre a autenticação do Microsoft Entra - para reduzir ou eliminar o risco de credenciais armazenadas localmente (e qualquer sobrecarga para mantê-las) e aplicar políticas de Confiança Zero em contas/dispositivos de entrada com acesso condicional. Para obter orientações sobre a integração, consulte
  • Integração do Azure VPN Microsoft Entra
  • Habilitar a autenticação do Microsoft Entra no gateway VPN
  • Integração de VPNs de terceiros
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect e Portal Cativo
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Acesso Privado Zscaler (ZPA)
    • e muito mais
• Aplicação rápida de patches - Certifique-se de que todos os elementos organizacionais suportam a aplicação rápida de patches , incluindo:
  • Patrocínio organizacional e apoio à liderança para requisitos
  • Processos técnicos padrão para atualizar VPNs com tempo de inatividade mínimo ou zero. Esse processo deve incluir software VPN, dispositivos e quaisquer sistemas operacionais ou firmware subjacentes
  • Processos de emergência para implementar rapidamente atualizações de segurança críticas
  • Governança para descobrir e corrigir continuamente quaisquer itens perdidos
• Configuração segura - Os recursos de cada fornecedor de VPN variam de acordo com a forma de protegê-los, portanto, revise e siga as recomendações de configuração de segurança específicas do seu fornecedor e as práticas recomendadas
• Vá além da VPN - Substitua as VPNs ao longo do tempo por opções mais seguras, como o proxy de aplicativo Microsoft Entra ou o Azure Bastion, pois elas fornecem apenas acesso direto ao aplicativo/servidor, em vez de acesso total à rede. Além disso, o proxy de aplicativo Microsoft Entra permite o monitoramento de sessão para segurança adicional com o Microsoft Defender for Cloud Apps.

Proxy de aplicativo Microsoft Entra

O proxy de aplicativo Microsoft Entra e recursos de terceiros semelhantes fornecem acesso remoto a aplicativos herdados e outros hospedados no local ou em VMs IaaS na nuvem.

Casos de uso e cenários para proxy de aplicativo Microsoft Entra

Essa solução é adequada para publicar aplicativos de produtividade de usuários finais herdados para usuários autorizados pela Internet. Ele também pode ser usado para publicar alguns aplicativos administrativos.

Riscos de segurança e recomendações para proxy de aplicativo Microsoft Entra

O proxy de aplicativo Microsoft Entra efetivamente adapta a aplicação moderna da política Zero Trust aos aplicativos existentes. Para obter mais informações, consulte Considerações de segurança para proxy de aplicativo Microsoft Entra

O proxy de aplicativo Microsoft Entra também pode se integrar ao Microsoft Defender for Cloud Apps para adicionar segurança de sessão do Controle de Aplicativo de Acesso Condicional a:

• Evitar a exfiltração de dados
• Proteja ao fazer o download
• Impedir o upload de arquivos sem rótulo
• Monitorar sessões de usuário para conformidade
• Bloquear o acesso
• Bloquear atividades personalizadas

Para obter mais informações, consulte Implantar o Controle de Aplicativo de Acesso Condicional do Defender for Cloud Apps para aplicativos Microsoft Entra

À medida que você publica aplicativos por meio do proxy de aplicativo Microsoft Entra, a Microsoft recomenda que os proprietários de aplicativos trabalhem com equipes de segurança para seguir privilégios mínimos e garantir que o acesso a cada aplicativo seja disponibilizado apenas para os usuários que o exigem. À medida que você implanta mais aplicativos dessa forma, você pode compensar algum uso de VPN ponto a site do usuário final.

Área de Trabalho Remota / servidor de salto

Este cenário fornece um ambiente de desktop completo executando um ou mais aplicativos. Esta solução tem uma série de variações diferentes, incluindo:

• Experiências - Área de trabalho completa em uma janela ou uma única experiência projetada de aplicativo
• Host remoto - pode ser uma VM compartilhada ou uma VM de área de trabalho dedicada usando a Área de Trabalho Virtual do Windows (WVD) ou outra solução de Infraestrutura de Área de Trabalho Virtual (VDI).
• Dispositivo local - pode ser um dispositivo móvel, uma estação de trabalho gerenciada ou uma estação de trabalho gerenciada pessoal/de parceiro
• Cenário - focado em aplicativos de produtividade do usuário ou em cenários administrativos, muitas vezes chamado de 'servidor de salto'

Casos de uso e recomendações de segurança para Área de Trabalho Remota / servidor Jump

As configurações mais comuns são:

• Protocolo de Área de Trabalho Remota Direta (RDP) - Esta configuração não é recomendada para conexões com a Internet porque o RDP é um protocolo que tem proteções limitadas contra ataques modernos, como pulverização de senha. O PDR direto deve ser convertido em:
  • RDP através de um gateway publicado pelo proxy de aplicativo Microsoft Entra
  • Azure Bastion
• RDP através de um gateway usando
  • Serviços de Área de Trabalho Remota (RDS) incluídos no Windows Server. Publique com o proxy de aplicativo Microsoft Entra.
  • Área de Trabalho Virtual do Windows (WVD) - Siga as práticas recomendadas de segurança da Área de Trabalho Virtual do Windows.
  • VDI de terceiros - Siga as práticas recomendadas do fabricante ou do setor ou adapte as orientações da WVD à sua solução
• Servidor Secure Shell (SSH) - fornecendo shell remoto e scripts para departamentos de tecnologia e proprietários de carga de trabalho. A proteção dessa configuração deve incluir:
  • Seguindo as práticas recomendadas do setor/fabricante para configurá-lo com segurança, alterar quaisquer senhas padrão (se aplicável) e usar chaves SSH em vez de senhas, além de armazenar e gerenciar chaves SSH com segurança.
  • Usar o Azure Bastion para comunicação remota SSH para recursos hospedados no Azure - Conectar-se a uma VM Linux usando o Azure Bastion

Azure Bastion

O Azure Bastion é um intermediário projetado para fornecer acesso seguro aos recursos do Azure usando um navegador e o portal do Azure. O Azure Bastion fornece recursos de acesso no Azure que suportam protocolos RDP (Remote Desktop Protocol) e SSH (Secure Shell).

Casos de uso e cenários para o Azure Bastion

O Azure Bastion fornece efetivamente uma solução flexível que pode ser usada por pessoal de operações de TI e administradores de carga de trabalho fora da TI para gerenciar recursos hospedados no Azure sem exigir uma conexão VPN completa com o ambiente.

Riscos de segurança e recomendações para o Azure Bastion

O Azure Bastion é acessado por meio do portal do Azure, portanto, certifique-se de que sua interface do portal do Azure exija o nível apropriado de segurança para os recursos nele e as funções que o utilizam, normalmente nível privilegiado ou especializado.

Orientações adicionais estão disponíveis na Documentação do Bastião do Azure

Próximos passos

• Visão geral da proteção do acesso privilegiado
• Estratégia de acesso privilegiado
• Medir o sucesso
• Níveis de segurança
• Contas de acesso privilegiado
• Interfaces
• Dispositivos de acesso privilegiado
• Modelo de acesso empresarial