Essa arquitetura mostra como as equipes do centro de operações de segurança (SOC) podem incorporar recursos de identidade e acesso do Microsoft Entra a uma estratégia de segurança de confiança zero integrada e em camadas.
A segurança de rede dominava as operações do SOC quando todos os serviços e dispositivos eram contidos em redes gerenciadas nas organizações. No entanto, a Gartner prevê que, até 2022, o tamanho do mercado dos serviços de nuvem aumentará a uma taxa quase três vezes maior do que os serviços de TI em geral. Conforme mais empresas adotam a computação em nuvem, há uma mudança no sentido de tratar a identidade do usuário como o limite de segurança principal.
A proteção das identidades na nuvem tem alta prioridade.
O relatório de investigações de violações de dados de 2020 da Verizon afirmou que 37% dessas violações envolveram o uso de credenciais roubadas e 22% delas envolveram phishing.
Um estudo de 2019 sobre incidentes de violação de dados da IBM afirmou que o custo global médio de uma violação de dados era de US$ 3,9 milhões, com o custo médio nos EUA mais próximo de US$ 8,2 milhões.
O relatório de inteligência de segurança de 2019 da Microsoft afirmou que os ataques de phishing aumentaram em uma margem de 250% entre janeiro e dezembro de 2018.
O modelo de segurança de confiança zero trata todos os hosts como se eles fossem voltados para a Internet e considera toda a rede como potencialmente comprometida e hostil. Essa abordagem se concentra no uso de autenticação forte, autorização e criptografia, além de fornecer acesso compartimentalizado e maior agilidade operacional.
A Gartner promove uma arquitetura de segurança adaptável que substitui uma estratégia baseada em resposta a incidentes por um modelo de prevenir, detectar, responder, prever. A segurança adaptável combina controle de acesso, monitoramento comportamental, gerenciamento de uso e descoberta com monitoramento e análise contínuos.
A MCRA (Arquitetura de Referência de Segurança Cibernética) da Microsoft descreve os recursos de segurança cibernética da Microsoft e como eles se integram às arquiteturas de segurança existentes, incluindo os ambientes híbridos e de nuvem, que usam o Microsoft Entra ID para IDaaS (Identidade como Serviço).
Este artigo estende a abordagem de segurança adaptável e de confiança zero à IDaaS, enfatizando os componentes disponíveis na plataforma do Microsoft Entra.
Possíveis casos de uso
- Projetar novas soluções de segurança
- Aprimorar ou integrar com implementações existentes
- Instruir equipes de SOC
Arquitetura
Baixe um Arquivo Visio dessa arquitetura.
Workflow
- O gerenciamento de credenciais controla a autenticação.
- O provisionamento e o gerenciamento de direitos definem o pacote de acesso, atribuem usuários a recursos e efetuar push de dados para atestado.
- O mecanismo de autorização avalia a política de acesso para determinar o acesso. O mecanismo também avalia as detecções de risco, incluindo dados de UEBA (análise comportamental de usuário/entidade) e verifica a conformidade do dispositivo para o gerenciamento de ponto de extremidade.
- Se autorizado, o usuário ou dispositivo obtém acesso de acordo com os controles e políticas de acesso condicional.
- Se a autorização falhar, os usuários poderão usar a correção em tempo real para desbloquear a si mesmos.
- Todos os dados de sessão são registrados para análise e criação de relatórios.
- O SIEM (sistema de gerenciamento de eventos e informações de segurança) da equipe do SOC recebe todos os dados de log, detecção de risco e UEBA de identidades locais e de nuvem.
Componentes
Os processos e componentes de segurança a seguir contribuem para essa arquitetura de IDaaS do Microsoft Entra ID.
Gerenciamento de credenciais
O gerenciamento de credenciais inclui serviços, políticas e práticas que emitem, acompanham e atualizam o acesso a recursos ou serviços. O gerenciamento de credenciais do Microsoft Entra inclui os seguintes recursos:
A SSPR (redefinição de senha self-service) permite que os usuários redefinam por conta própria suas senhas perdidas, esquecidas ou comprometidas. A SSPR não apenas reduz as chamadas de suporte técnico, mas proporciona maior flexibilidade e segurança ao usuário.
O write-back de senha sincroniza senhas alteradas na nuvem com diretórios locais em tempo real.
As senhas proibidas analisam dados de telemetria que expõem senhas fracas, comprometidas ou comumente usadas e proíbem seu uso globalmente em todo o Microsoft Entra ID. Você pode personalizar essa funcionalidade para seu ambiente e incluir uma lista de senhas personalizadas para serem proibidas em sua organização.
O bloqueio inteligente compara tentativas de autenticação legítimas com tentativas de força bruta para obter acesso não autorizado. Segundo a política de bloqueio inteligente padrão, uma conta é bloqueada por um minuto após 10 tentativas de login com falha. À medida que as tentativas de logon continuam falhando, o tempo de bloqueio da conta aumenta. Você pode usar políticas para ajustar as configurações e chegar à combinação apropriada de segurança e usabilidade para sua organização.
A MFA (autenticação multifator) requer várias formas de autenticação quando os usuários tentam acessar recursos protegidos. A maioria dos usuários está familiarizada com o uso de algo que eles conhecem, como uma senha, para acessar recursos. A MFA solicita que os usuários também usem algo que eles têm, como acesso a um dispositivo confiável, ou algo que são, como um identificador biométrico. A MFA pode usar diferentes tipos de métodos de autenticação, como chamadas telefônicas, mensagens de texto ou notificações por meio do aplicativo autenticador.
A autenticação sem senha substitui a senha no fluxo de trabalho de autenticação por um smartphone ou token de hardware, identificador biométrico ou PIN. A autenticação sem senha da Microsoft pode funcionar com recursos do Azure, como o Windows Hello for Business e o aplicativo Microsoft Authenticator, em dispositivos móveis. Você também pode habilitar a autenticação sem senha com chaves de segurança compatíveis com FIDO2, que usam WebAuthn e o protocolo CTAP (Client-to-Authenticator) da FIDO Alliance.
Provisionamento e direitos do aplicativo
O gerenciamento de direitos é um recurso de governança de identidade do Microsoft Entra que ajuda as organizações a gerenciar o ciclo de vida de identidade e acesso em escala. O gerenciamento de direitos automatiza fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expirações.
O provisionamento do Microsoft Entra permite criar automaticamente identidades e funções do usuário em aplicativos que os usuários precisam acessar. Você pode configurar o provisionamento do Microsoft Entra para aplicativos de SaaS (software como serviço) de terceiros, como SuccessFactors, Workday e muito mais.
O SSO (logout único) contínuo autentica automaticamente os usuários em aplicativos baseados em nuvem após eles entrarem em seus dispositivos corporativos. Você pode usar o SSO contínuo do Microsoft Entra com sincronização de hash de senha ou autenticação de passagem.
O atestado com revisões de acesso do Microsoft Entra ajuda a atender a requisitos de monitoramento e auditoria. As revisões de acesso permitem que você faça coisas como identificar rapidamente o número de usuários administradores, verificar se novos funcionários podem acessar os recursos necessários ou revisar a atividade dos usuários para determinar se eles ainda precisam de acesso.
Controles e políticas de acesso condicional
Uma política de acesso condicional é uma instrução if-then de atribuições e controles de acesso. Você define a resposta ("faça isso") para o motivo para disparar a política ("se isso"), permitindo que o mecanismo de autorização tome decisões que impõem políticas organizacionais. Com o Acesso Condicional do Microsoft Entra, você pode controlar como os usuários autorizados podem acessar seus aplicativos. A ferramenta What If do Microsoft Entra ID pode ajudar você a entender por que uma política de acesso condicional foi ou não foi aplicada ou se uma política se aplicaria a um usuário em uma circunstância específica.
Os controles de acesso condicional funcionam em conjunto com as políticas de acesso condicional para ajudar a impor a política organizacional. Os controles de Acesso Condicional do Microsoft Entra permitem implementar a segurança com base nos fatores detectados no momento da solicitação de acesso, em vez de usar uma abordagem generalizada. Unindo os controles de acesso condicional e as condições de acesso, você reduz a necessidade de criar controles de segurança adicionais. Como exemplo típico, você pode permitir que os usuários em um dispositivo conectado ao domínio acessem recursos usando SSO, mas exigir MFA para usuários fora da rede ou usando os próprios dispositivos.
O Microsoft Entra ID pode usar os seguintes controles de acesso condicional com políticas de acesso condicional:
O RBAC (controle de acesso baseado em função) do Azure permite configurar e atribuir as funções apropriadas a usuários que precisam realizar tarefas administrativas ou especializadas com recursos do Azure. Você pode usar o RBAC do Azure para criar ou manter contas dedicadas somente de administrador, definir o escopo de acesso das funções configuradas, limitar o tempo de acesso ou conceder acesso por meio de fluxos de trabalho de aprovação.
O PIM (Privileged Identity Management) ajuda a reduzir o vetor de ataque para sua organização permitindo que você adicione monitoramento e proteção adicionais a contas administrativas. Com o PIM do Microsoft Entra, você pode gerenciar e controlar o acesso a recursos no Azure, no Microsoft Entra ID e em outros serviços do Microsoft 365 com acesso JIT (just-in-time) e JEA (just-enough-administration). O PIM fornece um histórico das atividades administrativas e um log de alterações e alerta quando usuários são adicionados ou removidos das funções que você define.
Você pode usar o PIM para exigir aprovação ou uma justificativa para ativar funções administrativas. Os usuários podem manter privilégios normais na maior parte do tempo e solicitar e receber acesso às funções de que precisam para concluir tarefas administrativas ou especializadas. Quando eles concluírem o trabalho e saírem ou quando o limite de tempo do acesso expirar, eles poderão se autenticar com as permissões de usuário padrão.
O Microsoft Defender para Aplicativos de Nuvem é um CASB (agente de segurança de acesso à nuvem) que analisa logs de tráfego para descobrir e monitorar os aplicativos e serviços em uso em sua organização. Com o Defender para Aplicativos de Nuvem, você pode:
- Criar políticas para gerenciar a interação com aplicativos e serviços
- Identificar aplicativos como sancionados ou não sancionados
- Controlar e limitar o acesso a dados
- Aplicar proteção de informações para proteger contra perda de informações
O Defender para Aplicativos de Nuvem também pode trabalhar com políticas de acesso e políticas de sessão para controlar o acesso do usuário a aplicativos de SaaS. Por exemplo, você pode:
- Limitar os intervalos de IP que podem acessar aplicativos
- Exigir MFA para acesso ao aplicativo
- Permitir atividades somente de dentro de aplicativos aprovados
A página de controle de acesso no centro de administrador do SharePoint fornece várias maneiras de controlar o acesso ao conteúdo no SharePoint e no OneDrive. Você pode optar por bloquear o acesso, permitir acesso limitado somente à Web de dispositivos não controlados ou controlar o acesso com base no local de rede.
Você pode definir o escopo das permissões de aplicativo para caixas de correio específicas do Exchange Online usando ApplicationAccessPolicy na API do Microsoft Graph.
Os TOU (Termos de Uso) fornecem uma maneira de apresentar informações com que os usuários finais devem consentir para obter acesso aos recursos protegidos. Você carrega documentos de TOU no Azure como arquivos PDF, que ficam disponíveis como controles em políticas de acesso condicional. Criando uma política de acesso condicional que exija que os usuários consintam com os TOU na entrada, você pode auditar facilmente os usuários que aceitaram os TOU.
O gerenciamento de ponto de extremidade controla como os usuários autorizados podem acessar aplicativos em nuvem em uma grande variedade de dispositivos, inclusive dispositivos para dispositivos móveis e pessoais. Você pode usar políticas de acesso condicional para restringir o acesso somente a dispositivos que atendem a determinados padrões de segurança e conformidade. Esses dispositivos gerenciados exigem uma identidade do dispositivo.
Detecção de risco
O Azure Identity Protection inclui várias políticas que podem ajudar sua organização a gerenciar respostas a ações suspeitas do usuário. O risco do usuário é a probabilidade de que uma identidade de usuário seja comprometida. O risco de entrada é a probabilidade de que uma solicitação de entrada não seja proveniente do usuário. O Microsoft Entra ID calcula as pontuações de risco de entrada com base na probabilidade da solicitação de entrada ser originada do usuário real, com base na análise comportamental.
As detecções de risco do Microsoft Entra usam algoritmos de aprendizado de máquina adaptáveis e heurística para detectar ações suspeitas relacionadas às contas do usuário. Cada ação suspeita detectada é armazenada em um registro chamado detecção de risco. O Microsoft Entra ID calcula a probabilidade do risco de usuário e de entrada usando esses dados, aprimorados com fontes e sinais de inteligência contra ameaças internos e externos da Microsoft.
Você pode usar as APIs de detecção de risco do Identity Protection no Microsoft Graph para expor informações sobre entradas e usuários arriscados.
A correção em tempo real permite que os usuários se desbloqueiem usando SSPR e MFA para corrigir automaticamente algumas detecções de risco.
Considerações
Tenha esses pontos em mente ao usar essa solução.
Registrando em log
Os relatórios de auditoria do Microsoft Entra fornecem rastreamento para atividades do Azure com logs de auditoria, logs de entrada e relatórios de entrada suspeita e usuário suspeito. Você pode filtrar e pesquisar os dados de log com base em vários parâmetros, incluindo serviço, categoria, atividade e status.
Você pode rotear os dados de log do Microsoft Entra ID para pontos de extremidade como:
- Contas de armazenamento do Azure
- Logs do Azure Monitor
- Hubs de eventos do Azure
- Soluções de SIEM como Microsoft Sentinel, ArcSight, Splunk, SumoLogic, outras ferramentas externas de SIEM ou sua solução própria.
Você também pode usar a API de relatório do Microsoft Graph para recuperar e consumir dados de log do Microsoft Entra ID em seus scripts.
Considerações sobre configurações locais e híbridas
Os métodos de autenticação são fundamentais para proteger as identidades de sua organização em um cenário híbrido. A Microsoft fornece diretrizes específicas sobre como escolher um método de autenticação híbrida com o Microsoft Entra ID.
O Microsoft Defender para Identidade pode usar seus sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas. O Defender para Identidade usa o UEBA para identificar ameaças internas e sinalizar riscos. Mesmo que uma identidade seja comprometida, o Defender para Identidade pode ajudar a identificar o comprometimento com base no comportamento incomum do usuário.
O Defender para Identidade é integrado ao Defender para Aplicativos de Nuvem para estender a proteção para aplicativos de nuvem. Você pode usar o Defender para Aplicativos de Nuvem para criar políticas de sessão que protegem seus arquivos durante o download. Por exemplo, você pode definir automaticamente permissões somente de exibição em qualquer arquivo baixado por tipos específicos de usuários.
Você pode configurar um aplicativo local no Microsoft Entra ID para usar o Defender para Aplicativos de Nuvem para monitoramento em tempo real. O Defender para Aplicativos de Nuvem usa o Controle de Aplicativos de Acesso Condicional para monitorar e controlar sessões em tempo real com base em políticas de Acesso Condicional. Você pode aplicar essas políticas a aplicativos locais que usam o Proxy de Aplicativo no Microsoft Entra ID.
O Proxy de Aplicativo do Microsoft Entra permite que os usuários acessem aplicativos Web locais de clientes remotos. Com o Proxy de Aplicativo, você pode monitorar todas as atividades de entrada para seus aplicativos em um só lugar.
Você pode usar o Defender para Identidade com o Microsoft Entra ID Protection para ajudar a proteger identidades de usuário sincronizadas no Azure com o Microsoft Entra Connect.
Se alguns de seus aplicativos já usam um controlador de entrega ou controlador de rede existente para fornecer acesso fora da rede, você pode integrá-los ao Microsoft Entra ID. Vários parceiros, incluindo Akamai, Citrix, F5 Networks e Zscaler, oferecem soluções e diretrizes para a integração com o Microsoft Entra ID.
Otimização de custo
Os preços do Microsoft Entra variam desde gratuito, para recursos como SSO e MFA, a Premium P2 para recursos como PIM e gerenciamento de direitos. Para obter detalhes sobre preços, confira os Preços do Microsoft Entra.
Próximas etapas
- Segurança de Confiança Zero
- Guia de implantação de Confiança Zero para o Microsoft Entra ID
- Visão geral do pilar de segurança
- Locatário de demonstração do Microsoft Entra (requer uma conta de Microsoft Partner Network) ou avaliação gratuita do Enterprise Mobility + Security
- Planos de implantação do Microsoft Entra