Ambiente de administração de segurança reforçada
A arquitetura ESAE (Enhanced Security Admin Environment) (geralmente referida como floresta vermelha, floresta administrativa ou floresta protegida) é uma abordagem herdada para fornecer um ambiente seguro para identidades de administrador do Ative Directory (AD) do Windows Server.
A recomendação da Microsoft de usar esse padrão de arquitetura foi substituída pela estratégia moderna de acesso privilegiado e orientação de plano de modernização rápida (RAMP) como a abordagem padrão recomendada para proteger usuários privilegiados. Estas orientações destinam-se a incluir a adaptação de uma estratégia mais ampla para avançar para uma arquitetura Zero Trust. Dadas essas estratégias modernizadas, a arquitetura de floresta administrativa reforçada do ESAE (local ou baseada em nuvem) agora é considerada uma configuração personalizada adequada apenas para casos de exceção.
Cenários para uso continuado
Embora não seja mais uma arquitetura recomendada, o ESAE (ou componentes individuais nele) ainda pode ser válido em um conjunto limitado de cenários isentos. Normalmente, esses ambientes locais são isolados onde os serviços de nuvem podem estar indisponíveis. Este cenário pode incluir infraestruturas críticas ou outros ambientes de tecnologia operacional (OT) desconectados. No entanto, deve-se notar que os segmentos do ambiente do Sistema de Controle Industrial/Controle de Supervisão e Aquisição de Dados (ICS/SCADA) do ambiente normalmente não utilizam sua própria implantação do Ative Directory.
Se sua organização estiver em um desses cenários, manter uma arquitetura ESAE implantada atualmente em sua totalidade ainda pode ser válido. No entanto, é preciso entender que sua organização incorre em risco extra devido ao aumento da complexidade técnica e dos custos operacionais da manutenção da ESAE. A Microsoft recomenda que qualquer organização que ainda use o ESAE ou outros controles de segurança de identidade herdados aplique rigor extra para monitorar, identificar e mitigar quaisquer riscos associados.
Nota
Embora a Microsoft não recomende mais um modelo de floresta protegida isolada para a maioria dos cenários na maioria das organizações, a Microsoft ainda opera uma arquitetura semelhante internamente (e processos de suporte e pessoal associados) devido aos requisitos de segurança extremos para fornecer serviços de nuvem confiáveis para organizações em todo o mundo.
Diretrizes para implantações existentes
Para os clientes que já implantaram essa arquitetura para aumentar a segurança e/ou simplificar o gerenciamento de várias florestas, não há urgência em aposentar ou substituir uma implementação ESAE se ela estiver sendo operada conforme projetado e pretendido. Como em qualquer sistema corporativo, você deve manter o software nele aplicando atualizações de segurança e garantindo que o software esteja dentro do ciclo de vida do suporte.
A Microsoft também recomenda que as organizações com ESAE/florestas endurecidas adotem a moderna estratégia de acesso privilegiado usando a orientação do plano de modernização rápida (RAMP). Esta orientação complementa uma implementação existente do ESAE e fornece segurança apropriada para funções ainda não protegidas pelo ESAE, incluindo Administradores Globais do Microsoft Entra, usuários corporativos confidenciais e usuários corporativos padrão. Para obter mais informações, consulte o artigo Protegendo níveis de segurança de acesso privilegiado.
Quando o ESAE foi originalmente projetado há mais de 10 anos, o foco eram ambientes locais com o Ative Directory (AD) servindo como o provedor de identidade local. Essa abordagem herdada é baseada em técnicas de macrossegmentação para obter privilégios mínimos e não leva em conta adequadamente ambientes híbridos ou baseados em nuvem. Além disso, o ESAE e as implementações de floresta reforçada se concentram apenas na proteção de administradores (identidades) locais do Ative Directory do Windows Server e não levam em conta controles de identidade refinados e outras técnicas contidas nos pilares restantes de uma arquitetura moderna de Confiança Zero. A Microsoft atualizou sua recomendação para soluções baseadas em nuvem porque elas podem ser implantadas mais rapidamente para proteger um escopo mais amplo de funções e sistemas administrativos e sensíveis aos negócios. Além disso, eles são menos complexos, escaláveis e exigem menos investimento de capital para serem mantidos.
Nota
Embora o ESAE não seja mais recomendado em sua totalidade, a Microsoft percebe que muitos componentes individuais contidos nele são definidos como uma boa higiene cibernética (por exemplo, estações de trabalho dedicadas de acesso privilegiado). A depreciação da ESAE não pretende levar as organizações a abandonar as boas práticas de ciber-higiene, apenas reforçar estratégias arquitetónicas atualizadas para proteger identidades privilegiadas.
Exemplos de boas práticas de ciber-higiene na ESAE aplicáveis à maioria das organizações
- Usando estações de trabalho de acesso privilegiado (PAWs) para todas as atividades administrativas
- Impondo autenticação baseada em token ou multifator (MFA) para credenciais administrativas, mesmo que não seja amplamente usado em todo o ambiente
- Aplicação do Modelo Administrativo de Privilégios Mínimos através da avaliação regular da pertença a grupos/funções (imposta por uma forte política organizacional)
Práticas recomendadas para proteger o AD local
Conforme descrito em Cenários para uso contínuo, pode haver circunstâncias em que a migração para a nuvem não seja alcançável (parcial ou totalmente) devido a circunstâncias variáveis. Para essas organizações, se ainda não tiverem uma arquitetura ESAE existente, a Microsoft recomenda reduzir a superfície de ataque do AD local aumentando o rigor da segurança para o Ative Directory e identidades privilegiadas. Embora não seja uma lista exaustiva, considere as seguintes recomendações de alta prioridade.
- Use uma abordagem hierárquica implementando um modelo administrativo de privilégios mínimos:
- Imponha privilégios mínimos absolutos.
- Descubra, analise e audite identidades privilegiadas (forte vínculo com a política organizacional).
- A concessão excessiva de privilégios é um dos problemas mais identificados nos ambientes avaliados.
- AMF para contas administrativas (mesmo que não seja amplamente utilizado em todo o ambiente).
- Funções privilegiadas baseadas no tempo (reduzir contas excessivas, reforçar processos de aprovação).
- Habilite e configure todas as auditorias disponíveis para identidades privilegiadas (notificar sobre habilitar/desabilitar, redefinir senha, outras modificações).
- Use estações de trabalho de acesso privilegiado (PAWs):
- Não administre PAWs de um host menos confiável.
- Use MFA para acesso a PAWs.
- Não se esqueça da segurança física.
- Certifique-se sempre de que os PAWs estão executando os sistemas operacionais mais recentes e/ou atualmente suportados.
- Entenda os caminhos de ataque e contas/aplicativos de alto risco:
- Priorizar o monitoramento de identidades e sistemas que representam maior risco (alvos de oportunidade/alto impacto).
- Erradicar a reutilização de senhas, inclusive além dos limites do sistema operacional (técnica comum de movimento lateral).
- Aplique políticas que restrinjam atividades que aumentem o risco (navegação na Internet a partir de estações de trabalho seguras, contas de administrador local em vários sistemas, etc.).
- Reduza aplicativos no Ative Directory/Controladores de Domínio (cada aplicativo adicionado é uma superfície de ataque extra).
- Elimine aplicações desnecessárias.
- Mova aplicativos ainda necessários para outras cargas de trabalho fora do / DC, se possível.
- Backup imutável do Ative Directory:
- Componente crítico para a recuperação da infeção ransomware.
- Agendamento de backup regular.
- Armazenado em local baseado na nuvem ou fora do local ditado pelo plano de recuperação de desastres.
- Realize uma avaliação de segurança do Ative Directory:
- A assinatura do Azure é necessária para exibir os resultados (painel personalizado do Log Analytics).
- Ofertas sob demanda ou suportadas por engenheiros da Microsoft.
- Validar/identificar orientações da avaliação.
- A Microsoft recomenda a realização de avaliações anualmente.
Para obter orientações abrangentes sobre essas recomendações, consulte as Práticas recomendadas para proteger o Ative Directory.
Recomendações complementares
A Microsoft reconhece que algumas entidades podem não ser capazes de implantar totalmente uma arquitetura de confiança zero baseada em nuvem devido a restrições variáveis. Algumas destas restrições foram mencionadas na secção anterior. Em vez de uma implantação completa, as organizações podem lidar com riscos e progredir em direção ao Zero-Trust, mantendo ao mesmo tempo equipamentos ou arquiteturas legadas no ambiente. Além das orientações mencionadas anteriormente, os recursos a seguir podem ajudar a reforçar a segurança do seu ambiente e servir como ponto de partida para a adoção de uma arquitetura Zero-Trust.
Microsoft Defender para identidade (MDI)
O Microsoft Defender for Identity (MDI) (formalmente Azure Advanced Threat Protection ou ATP) sustenta a arquitetura Microsoft Zero-Trust e se concentra no pilar da identidade. Esta solução baseada na nuvem utiliza sinais do AD local e do Microsoft Entra ID para identificar, detetar e investigar ameaças que envolvem identidades. O MDI monitora esses sinais para identificar comportamentos anormais e mal-intencionados de usuários e entidades. Notavelmente, o MDI facilita a capacidade de visualizar o caminho de movimento lateral de um adversário, destacando como uma determinada conta (s) poderia ser usada se comprometida. A análise comportamental e os recursos de linha de base do usuário da MDI são elementos-chave para determinar a atividade anormal em seu ambiente do AD.
Nota
Embora o MDI colete sinais do AD local, ele requer uma conexão baseada em nuvem.
Microsoft Defender para Internet das Coisas (D4IoT)
Além de outras orientações descritas neste documento, as organizações que operam em um dos cenários mencionados acima podem implantar o Microsoft Defender for IoT (D4IoT). Esta solução apresenta um sensor de rede passivo (virtual ou físico) que permite a descoberta de ativos, gestão de inventário e análise de comportamento baseada em risco para ambientes de Internet das Coisas (IoT) e Tecnologia Operacional (OT). Ele pode ser implantado em ambientes locais com ar-gapped ou conectados à nuvem e tem a capacidade de realizar inspeção profunda de pacotes em mais de 100 protocolos de rede proprietários ICS/OT.
Próximos passos
Leia os seguintes artigos: