Microsoft Entra IDaaS em operações de segurança

Essa arquitetura mostra como as equipes do centro de operações de segurança (SOC) podem incorporar os recursos de identidade e acesso do Microsoft Entra em uma estratégia geral de segurança de confiança zero integrada e em camadas.

A segurança de rede dominou as operações SOC quando todos os serviços e dispositivos estavam contidos em redes gerenciadas nas organizações. No entanto, o Gartner prevê que, até 2022, o tamanho do mercado de serviços em nuvem crescerá a uma taxa quase três vezes maior do que os serviços de TI em geral. À medida que mais empresas adotam a computação em nuvem, há uma mudança para tratar a identidade do usuário como o principal limite de segurança.

Proteger identidades na nuvem é uma alta prioridade.

• O relatório de investigações de violação de dados de 2020 da Verizon afirmou que 37% envolveram o uso de credenciais roubadas e 22% das violações de dados envolveram phishing.

• Um estudo de 2019 da IBM sobre incidentes de violação de dados relatou que o custo médio global de uma violação de dados foi de US$ 3,9 milhões, com o custo médio dos EUA mais próximo de US$ 8,2 milhões.

• O relatório de inteligência de segurança da Microsoft de 2019 relatou que os ataques de phishing aumentaram em uma margem de 250% entre janeiro e dezembro de 2018.

O modelo de segurança zero trust trata todos os hosts como se estivessem voltados para a Internet e considera toda a rede potencialmente comprometida e hostil. Essa abordagem se concentra na criação de autenticação, autorização e criptografia fortes, ao mesmo tempo em que fornece acesso compartimentado e melhor agilidade operacional.

A Gartner promove uma arquitetura de segurança adaptativa que substitui uma estratégia baseada em resposta a incidentes por um modelo prevent-detect-respond-predict. A segurança adaptativa combina controle de acesso, monitoramento comportamental, gerenciamento de uso e deteção com monitoramento e análise contínuos.

A Microsoft Cybersecurity Reference Architecture (MCRA) descreve os recursos de segurança cibernética da Microsoft e como eles se integram às arquiteturas de segurança existentes, incluindo ambientes híbridos e de nuvem, que usam o Microsoft Entra ID for Identity-as-a-Service (IDaaS).

Este artigo avança a abordagem de segurança adaptável de confiança zero para IDaaS, enfatizando os componentes disponíveis na plataforma Microsoft Entra.

Potenciais casos de utilização

• Conceber novas soluções de segurança
• Melhorar ou integrar com implementações existentes
• Eduque as equipes de SOC

Arquitetura

Baixe um arquivo Visio desta arquitetura.

Fluxo de trabalho

1. O gerenciamento de credenciais controla a autenticação.
2. O provisionamento e o gerenciamento de direitos definem o pacote de acesso, atribuem usuários a recursos e enviam dados por push para atestado.
3. O mecanismo de autorização avalia a política de acesso para determinar o acesso. O mecanismo também avalia deteções de risco, incluindo dados de análise comportamental de usuário/entidade (UEBA), e verifica a conformidade do dispositivo para gerenciamento de endpoints.
4. Se autorizado, o usuário ou dispositivo obtém acesso por políticas e controles de acesso condicional.
5. Se a autorização falhar, os usuários podem fazer a correção em tempo real para se desbloquearem.
6. Todos os dados da sessão são registrados para análise e emissão de relatórios.
7. O sistema de gerenciamento de eventos e informações de segurança (SIEM) da equipe SOC recebe todos os dados de log, deteção de riscos e UEBA de identidades locais e na nuvem.

Componentes

Os seguintes processos e componentes de segurança contribuem para esta arquitetura IDaaS do Microsoft Entra.

Gestão de credenciais

O gerenciamento de credenciais inclui serviços, políticas e práticas que emitem, rastreiam e atualizam o acesso a recursos ou serviços. O gerenciamento de credenciais do Microsoft Entra inclui os seguintes recursos:

• A redefinição de senha de autoatendimento (SSPR) permite que os usuários se autossirvam e redefina suas próprias senhas perdidas, esquecidas ou comprometidas. O SSPR não só reduz as chamadas de helpdesk, mas também oferece maior flexibilidade e segurança ao usuário.

• O write-back de senha sincroniza senhas alteradas na nuvem com diretórios locais em tempo real.

• Senhas banidas analisa dados de telemetria expondo senhas fracas ou comprometidas comumente usadas e proíbe seu uso globalmente em toda a ID do Microsoft Entra. Você pode personalizar essa funcionalidade para seu ambiente e incluir uma lista de senhas personalizadas a serem banidas em sua própria organização.

• O bloqueio inteligente compara tentativas legítimas de autenticação com tentativas de força bruta para obter acesso não autorizado. De acordo com a política de bloqueio inteligente padrão, uma conta é bloqueada por um minuto após 10 tentativas de entrada com falha. À medida que as tentativas de início de sessão continuam a falhar, o tempo de bloqueio da conta aumenta. Você pode usar políticas para ajustar as configurações para a combinação apropriada de segurança e usabilidade para sua organização.

• A autenticação multifator (MFA) requer várias formas de autenticação quando os usuários tentam acessar recursos protegidos. A maioria dos usuários está familiarizada com o uso de algo que sabem, como uma senha, ao acessar recursos. O MFA pede aos usuários que também demonstrem algo que eles têm, como acesso a um dispositivo confiável, ou algo que eles são, como um identificador biométrico. O MFA pode usar diferentes tipos de métodos de autenticação, como chamadas telefônicas, mensagens de texto ou notificações por meio do aplicativo autenticador.

• A autenticação sem senha substitui a senha no fluxo de trabalho de autenticação por um token de smartphone ou hardware, identificador biométrico ou PIN. A autenticação sem senha da Microsoft pode funcionar com recursos do Azure, como o Windows Hello for Business e o aplicativo Microsoft Authenticator em dispositivos móveis. Você também pode habilitar a autenticação sem senha com chaves de segurança compatíveis com FIDO2, que usam WebAuthn e o protocolo Client-to-Authenticator (CTAP) da FIDO Alliance.

Provisionamento e direito de aplicativos

• O gerenciamento de direitos é um recurso de governança de identidade do Microsoft Entra que permite que as organizações gerenciem o ciclo de vida de identidade e acesso em escala. O gerenciamento de direitos automatiza fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expirações.

• O provisionamento do Microsoft Entra permite criar automaticamente identidades e funções de usuário em aplicativos que os usuários precisam acessar. Você pode configurar o provisionamento do Microsoft Entra para aplicativos SaaS (software como serviço) de terceiros, como SuccessFactors, Workday e muito mais.

• O logon único (SSO) contínuo autentica automaticamente os usuários em aplicativos baseados em nuvem assim que eles entram em seus dispositivos corporativos. Você pode usar o SSO contínuo do Microsoft Entra com sincronização de hash de senha ou autenticação de passagem.

• As revisões de acesso do Microsoft Entra ajudam a atender aos requisitos de monitoramento e auditoria. As avaliações de acesso permitem que você faça coisas como identificar rapidamente o número de usuários administradores, garantir que novos funcionários possam acessar os recursos necessários ou revisar a atividade dos usuários para determinar se eles ainda precisam de acesso.

Políticas e controles de acesso condicional

Uma política de acesso condicional é uma instrução if-then de atribuições e controles de acesso. Você define a resposta ("fazer isso") para o motivo de acionar sua política ("se isso"), permitindo que o mecanismo de autorização tome decisões que impõem políticas organizacionais. Com o Acesso Condicional do Microsoft Entra, você pode controlar como os usuários autorizados acessam seus aplicativos. A ferramenta What If do Microsoft Entra ID pode ajudá-lo a entender por que uma política de acesso condicional foi ou não aplicada, ou se uma política se aplicaria a um usuário em uma circunstância específica.

Os controles de acesso condicional funcionam em conjunto com as políticas de acesso condicional para ajudar a impor a política organizacional. Os controles de Acesso Condicional do Microsoft Entra permitem implementar a segurança com base em fatores detetados no momento da solicitação de acesso, em vez de uma abordagem de tamanho único. Ao associar controles de acesso condicional com condições de acesso, você reduz a necessidade de criar controles de segurança adicionais. Como um exemplo típico, você pode permitir que usuários em um dispositivo ingressado no domínio acessem recursos usando SSO, mas exigem MFA para usuários fora da rede ou usando seus próprios dispositivos.

O Microsoft Entra ID pode usar os seguintes controles de acesso condicional com políticas de acesso condicional:

• O controle de acesso baseado em função do Azure (Azure RBAC) permite configurar e atribuir funções apropriadas a usuários que precisam executar tarefas administrativas ou especializadas com recursos do Azure. Você pode usar o RBAC do Azure para criar ou manter contas dedicadas separadas somente para administradores, acesso de escopo a funções configuradas, acesso de limite de tempo ou conceder acesso por meio de fluxos de trabalho de aprovação.

• O gerenciamento privilegiado de identidades (PIM) ajuda a reduzir o vetor de ataque para sua organização, permitindo que você adicione monitoramento e proteção adicionais às contas administrativas. Com o Microsoft Entra PIM, você pode gerenciar e controlar o acesso a recursos no Azure, Microsoft Entra ID e outros serviços do Microsoft 365 com acesso just-in-time (JIT) e just-enough-administration (JEA). O PIM fornece um histórico de atividades administrativas e um log de alterações e alerta quando os usuários são adicionados ou removidos de funções definidas por você.

  Você pode usar o PIM para exigir aprovação ou justificativa para ativar funções administrativas. Os usuários podem manter privilégios normais na maioria das vezes e solicitar e receber acesso às funções de que precisam para concluir tarefas administrativas ou especializadas. Quando concluírem o trabalho e terminarem sessão, ou quando o limite de tempo de acesso expirar, poderão voltar a autenticar-se com as suas permissões de utilizador padrão.

• O Microsoft Defender for Cloud Apps é um agente de segurança de acesso à nuvem (CASB) que analisa os logs de tráfego para descobrir e monitorar os aplicativos e serviços em uso em sua organização. Com o Defender for Cloud Apps, você pode:

  • Criar políticas para gerenciar a interação com aplicativos e serviços
  • Identificar aplicações como sancionadas ou não
  • Controlar e limitar o acesso aos dados
  • Aplique a proteção de informações para proteger contra a perda de informações

  O Defender for Cloud Apps também pode trabalhar com políticas de acesso e políticas de sessão para controlar o acesso do usuário a aplicativos SaaS. Por exemplo, pode:

  • Limitar os intervalos de IP que podem aceder a aplicações
  • Exigir MFA para acesso ao aplicativo
  • Permitir atividades apenas a partir de aplicações aprovadas

• A página de controle de acesso no centro de administração do SharePoint fornece várias maneiras de controlar o acesso ao conteúdo do SharePoint e do OneDrive. Pode optar por bloquear o acesso, permitir um acesso limitado apenas na Web a partir de dispositivos não geridos ou controlar o acesso com base na localização da rede.

• Você pode definir o escopo de permissões de aplicativo para caixas de correio específicas do Exchange Online usando ApplicationAccessPolicy da API do Microsoft Graph.

• Os Termos de Uso (TOU) fornecem uma maneira de apresentar informações que os usuários finais devem consentir antes de obter acesso a recursos protegidos. Você carrega documentos TOU no Azure como arquivos PDF, que ficam disponíveis como controles em políticas de acesso condicional. Ao criar uma política de acesso condicional que exige que os utilizadores consintam com os TDU no início de sessão, pode facilmente auditar os utilizadores que aceitaram os TDU.

• A gestão de terminais controla a forma como os utilizadores autorizados podem aceder às suas aplicações na nuvem a partir de uma vasta gama de dispositivos, incluindo dispositivos móveis e pessoais. Você pode usar políticas de acesso condicional para restringir o acesso apenas a dispositivos que atendam a determinados padrões de segurança e conformidade. Esses dispositivos gerenciados exigem uma identidade de dispositivo.

Deteção de riscos

A Proteção de Identidade do Azure inclui várias políticas que podem ajudar a sua organização a gerir respostas a ações suspeitas do utilizador. O risco do usuário é a probabilidade de que uma identidade do usuário seja comprometida. O risco de início de sessão é a probabilidade de um pedido de início de sessão não ser proveniente do utilizador. O Microsoft Entra ID calcula as pontuações de risco de entrada com base na probabilidade da solicitação de entrada originada do usuário real, com base em análises comportamentais.

• As deteções de risco do Microsoft Entra usam algoritmos adaptáveis de aprendizado de máquina e heurística para detetar ações suspeitas relacionadas a contas de usuário. Cada ação suspeita detetada é armazenada em um registro chamado deteção de risco. O Microsoft Entra ID calcula a probabilidade de risco do usuário e da entrada usando esses dados, aprimorados com as fontes e sinais de inteligência de ameaças internas e externas da Microsoft.

• Você pode usar as APIs de deteção de risco da Proteção de Identidade no Microsoft Graph para expor informações sobre usuários e entradas arriscados.

• A remediação em tempo real permite que os usuários se desbloqueiem usando SSPR e MFA para auto-remediar algumas deteções de risco.

Considerações

Tenha estes pontos em mente quando utilizar esta solução.

Registo

Os relatórios de auditoria do Microsoft Entra fornecem rastreabilidade para atividades do Azure com logs de auditoria, logs de entrada e relatórios de entrada arriscados e relatórios de usuário arriscados. Você pode filtrar e pesquisar os dados de log com base em vários parâmetros, incluindo serviço, categoria, atividade e status.

Você pode rotear dados de log do Microsoft Entra ID para pontos de extremidade como:

• Contas de Armazenamento do Azure
• Registos do Azure Monitor
• Hubs de eventos do Azure
• Soluções SIEM como Microsoft Sentinel, ArcSight, Splunk, SumoLogic, outras ferramentas SIEM externas ou sua própria solução.

Você também pode usar a API de relatórios do Microsoft Graph para recuperar e consumir dados de log do Microsoft Entra ID em seus próprios scripts.

Considerações locais e híbridas

Os métodos de autenticação são fundamentais para proteger as identidades da sua organização em um cenário híbrido. A Microsoft fornece orientações específicas sobre como escolher um método de autenticação híbrida com o Microsoft Entra ID.

O Microsoft Defender for Identity pode usar seus sinais do Ative Directory local para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas. O Defender for Identity usa a UEBA para identificar ameaças internas e sinalizar riscos. Mesmo que uma identidade fique comprometida, o Defender for Identity pode ajudar a identificar o comprometimento com base no comportamento incomum do usuário.

O Defender for Identity está integrado com o Defender for Cloud Apps para estender a proteção aos aplicativos na nuvem. Você pode usar o Defender for Cloud Apps para criar políticas de sessão que protejam seus arquivos durante o download. Por exemplo, você pode definir automaticamente permissões somente visualização em qualquer arquivo baixado por tipos específicos de usuários.

Você pode configurar um aplicativo local no Microsoft Entra ID para usar o Defender for Cloud Apps para monitoramento em tempo real. O Defender for Cloud Apps usa o Controle de Aplicativo de Acesso Condicional para monitorar e controlar sessões em tempo real com base nas políticas de Acesso Condicional. Você pode aplicar essas políticas a aplicativos locais que usam o Proxy de Aplicativo no Microsoft Entra ID.

O Microsoft Entra Application Proxy permite que os usuários acessem aplicativos Web locais a partir de clientes remotos. Com o Proxy de Aplicativo, você pode monitorar todas as atividades de entrada para seus aplicativos em um só lugar.

Você pode usar o Defender for Identity com a Proteção de ID do Microsoft Entra para ajudar a proteger as identidades de usuário sincronizadas com o Azure com o Microsoft Entra Connect.

Se alguns dos seus aplicativos já usam um controlador de entrega ou controlador de rede existente para fornecer acesso fora da rede, você pode integrá-los com o Microsoft Entra ID. Vários parceiros, incluindo Akamai, Citrix, F5 Networks e Zscaler, oferecem soluções e orientação para integração com o Microsoft Entra ID.

Otimização de custos

Os preços do Microsoft Entra variam de gratuito, para recursos como SSO e MFA, a Premium P2, para recursos como PIM e Gerenciamento de Direitos. Para obter detalhes de preços, consulte Preços do Microsoft Entra.

Próximos passos

• Segurança Zero Trust
• Guia de implantação do Zero Trust para o Microsoft Entra ID
• Descrição geral do pilar de segurança
• Locatário de demonstração do Microsoft Entra (requer uma conta do Microsoft Partner Network) ou avaliação gratuita do Enterprise Mobility + Security
• Planos de implantação do Microsoft Entra

Recursos relacionados

• Arquitetura de referência do Azure IoT
• Ambientes seguros COVID-19 com monitoramento e alerta do IoT Edge
• Considerações de segurança para aplicativos IaaS altamente confidenciais no Azure