Melhores práticas de segurança da CSP
Funções adequadas: Administração | Global agente Administração | Agente Helpdesk
Todos os parceiros do programa Fornecedor de Soluções em Nuvem (CSP) que acedem ao Partner Center e às APIs do Partner Center devem seguir as orientações de segurança neste artigo para se protegerem a si próprios e aos clientes. Os parceiros terão de implementar imediatamente esta orientação para mitigar as questões de segurança e ajudar a remediar as escaladas de segurança.
Para as melhores práticas de segurança da Microsoft, consulte as melhores práticas de segurança da Microsoft.
Os principais de serviço destinam-se a ser utilizados por um serviço e podem atribuir funções/permissões. Aqui estão as melhores práticas para gerir os diretores de serviços: Assegurar os diretores de serviços em Azure Ative Directory.
Os parceiros podem agora adicionar um contacto de segurança, que será informado quando houver qualquer questão relacionada com a segurança no inquilino da CSP.
Certifique-se de que a autenticação multifactor (MFA) está em uso e as políticas de acesso condicional são aplicadas: Todos os parceiros da Microsoft são obrigados a usar MFA para aceder ao Partner Center e para o acesso de inquilinos a clientes em nuvens comerciais da Microsoft. Os parceiros são aconselhados a verificar a sua conformidade de segurança no Partner Center e monitorizar se quaisquer logins de utilizador ou chamadas API não estiverem em conformidade com a aplicação da MFA. Os parceiros devem sempre manter-se conformes. Consulte a autenticação de vários fatores (MFA) para o seu inquilino parceiro.
Conecção dos seus utilizadores com autenticação multi-factor.
Adotar o quadro do Modelo de Aplicação Segura: Todos os parceiros que se integram com APIs do Partner Center devem adotar o quadro do Modelo de Aplicação Segura para qualquer aplicação e aplicações modelo do utilizador.
Para garantir funções privilegiadas, garantir uma visão geral de acesso privilegiada.
Remova a ligação de privilégios administrativos delegados (DAP) quando não estiver a ser utilizada.
Consulte os Registos de Atividade do Centro de Parceiros: os parceiros são aconselhados a verificar regularmente o "Registo de Atividades" no Centro de Parceiros para monitorizar quaisquer atividades do utilizador, incluindo criações de utilizadores altamente privilegiadas, atribuição de funções de utilizador altamente privilegiadas, e assim por diante. Os parceiros também podem usar as APIs de Registo de Atividade do Centro de Parceiros para criar um painel de segurança personalizado sobre as principais atividades do utilizador no Partner Center para detetar proativamente atividades suspeitas.
Reforço da cibersegurança com Azure AD Premium Plano 2 para prestadores de serviços geridos (MSPs) com acesso delegado. Estamos oferecendo aos prestadores de serviços uma subscrição gratuita de dois anos do Plano Azure Ative Directory Premium 2 para ajudá-los a gerir e obter relatórios sobre privilégios de acesso. Os parceiros registados podem inscrever-se no Partner Center para tirar partido desta oferta. Azure AD Premium Plano 2 proporciona um acesso alargado a registos de login e funcionalidades premium, tais como Azure AD Privileged Identity Management (PIM) e capacidades de acesso condicional baseadas em risco para reforçar os controlos de segurança.
Adote uma abordagem Confiança Zero com inssusões sem palavras-passe: iniciar sing-in sem palavras-passe com a aplicação Microsoft Authenticator. Mais informações podem ser encontradas no futuro sem palavras-passe está aqui para a sua conta Microsoft.
Princípios orientadores de Confiança Zero - Centro de Orientação Confiança Zero.
Utilize Privileged Identity Management (PIM) para impor o acesso just-in-time (JIT) e a dupla custódia para rever e aprovar o acesso: O que é Privileged Identity Management?
Todos os Painel de Controlo Os Fornecedores devem ativar a aplicação segura modelo e ativar o registo de registos para cada atividade do utilizador.
Painel de Controlo Os Fornecedores deverão permitir a auditoria de todos os agentes parceiros que acamássem na aplicação e em todas as ações tomadas.
Os fornecedores de CSP devem rever regularmente a identidade nas suas contas e limpar as não utilizadas conforme apropriado.
Reveja Administração grupo de agentes e remova as pessoas que não precisam de acesso.
Reveja periodicamente o acesso do utilizador e limpe-o se não for necessário.
Os utilizadores que tenham deixado a empresa ou alterados funções dentro da empresa devem ser removidos do acesso ao Partner Center.
Os parceiros com Azure Ative Directory licença P2 serão automaticamente qualificados para manter os dados de registos de auditoria e de inscrição até 30 dias. Confirme a realização de registos de auditorias onde são utilizadas contas de administrador delegadas, que os registos estão a capturar o nível máximo de detalhes fornecidos pelo serviço, e que os registos são mantidos por um período aceitável (até 30 dias) que permite a deteção de atividade anómala. A extração de auditoria detalhada pode exigir a aquisição de mais serviços. Veja quanto tempo Azure AD armazena dados de reporte?
Implementar a auditoria registando as melhores práticas e realizar uma revisão de rotina da atividade realizada por contas de administrador delegadas.
Os parceiros devem rever o relatório de utilizadores de risco dentro do seu ambiente e abordar as contas que foram detetadas com risco de acordo com as orientações publicadas
Para mais informações, consulte o NOBELIUM visando privilégios administrativos delegados para facilitar ataques mais amplos
Melhores práticas de segurança do cliente
Se você é um cliente a jusante
Os clientes devem frequentemente rever subscrições e recursos ou serviços que possam ter sido a provisionados inesperadamente.
Certifique-se de que os clientes estão a seguir políticas de gestão de passwords e autenticação forte com rotação frequente de palavras-passe.
Que os seus clientes utilizem o 'sign-in' sem palavras-passe com a aplicação Microsoft Authenticator
Reveja e verifique todos os utilizadores de administração global e o número de telefone dentro de Azure AD e atualize se necessário.
Rever, auditar e minimizar privilégios de acesso e permissões delegadas. É importante considerar e implementar uma abordagem de menor privilégio. A Microsoft recomenda dar prioridade a uma revisão e auditoria minuciosas das relações com os parceiros para minimizar quaisquer permissões desnecessárias entre a sua organização e fornecedores a montante. A Microsoft recomenda remover imediatamente o acesso a quaisquer relações de parceiros que pareçam desconhecidas ou que ainda não tenham sido auditadas.
Rever, endurecer e monitorizar todas as contas do administrador do arrendatário: Todas as organizações devem rever cuidadosamente todos os utilizadores de administração de inquilinos, incluindo os associados com Administração Em Nome De (AOBO) em subscrições Azure, e verificar a autenticidade dos utilizadores e atividade. Incentivamos veementemente o uso de autenticação forte para todos os administradores de inquilinos, a revisão de dispositivos registados para uso com MFA, e minimizamos o uso de acesso de alto privilégio permanente. Continue a reinspectar todas as contas de utilizadores de administradores de inquilinos ativos e verifique regularmente os registos de auditoria para verificar se o acesso de utilizadores de alto privilégio não é concedido ou delegado a utilizadores administrativos que não exijam esses privilégios para fazer o seu trabalho.
Rever o acesso ao prestador de serviços a partir de contas B2B e locais: Além de utilizarem as capacidades de privilégio administrativo delegadas, alguns prestadores de serviços na nuvem utilizam contas de negócios-a-negócios (B2B) ou contas de administrador local em inquilinos de clientes. Recomendamos que identifique se os seus fornecedores de serviços na nuvem utilizam estas e, em caso afirmativo, certifique-se de que essas contas são bem governadas e têm acesso menos privilegiado no seu inquilino. A Microsoft recomenda contra a utilização de contas de administrador "partilhadas". Reveja as orientações detalhadas sobre como rever permissões para contas B2B.
Verifique se a autenticação multifactor (MFA) está ativada e executa as políticas de acesso condicional. O MFA é o melhor método de higiene de segurança de base para proteger contra ameaças. Siga as orientações detalhadas sobre a configuração da autenticação de vários fatores em Microsoft 365 e as orientações sobre a implementação e configuração de políticas de acesso condicional em Azure Ative Directory (Azure AD).
Reveja os registos e configurações de auditoria.
Revisão e auditoria Azure AD ins e alterações de configuração: As autenticações desta natureza são auditadas e disponíveis para os clientes através do Azure AD assinar em registos, registos de auditoria Azure AD e Portal de Conformidade do Microsoft Purview (anteriormente no Centro Exchange Administração). Recentemente, adicionámos a capacidade de ver as inscrições por parceiros que delegaram permissões de administração. Pode ver uma visão filtrada destes logins navegando para os registos de login no portal de administração Azure AD e adicionando um tipo de acesso cross-inquilino filtro: Prestador de serviços no separador de ins de sinal de utilizador (não interativo).
Rever estratégias de disponibilidade e retenção de registos existentes: A investigação de atividades conduzidas por atores maliciosos coloca uma grande ênfase em ter procedimentos adequados de retenção de registos para recursos baseados na nuvem, incluindo Office 365. Vários níveis de subscrição têm políticas individualizadas de disponibilidade de registo e retenção, que são importantes de compreender antes de formar um procedimento de resposta a incidentes.
Encorajamos todas as organizações a familiarizarem-se com os registos disponibilizados dentro da sua subscrição e a avaliá-los rotineiramente para adequação e anomalias. Para as organizações que contam com uma organização de terceiros, trabalhem com elas para compreender a sua estratégia de registo de todas as ações administrativas, e estabelecer um processo caso os registos devam ser disponibilizados durante um incidente.