Partilhar via

Garantir a identidade com a Confiança Zero

Antes de a maioria das organizações iniciar uma jornada de Confiança Zero, a sua abordagem à identidade pode estar fragmentada com vários fornecedores de identidade, falta de autenticação única (SSO) entre aplicações na cloud e locais, e visibilidade limitada no risco de identidade.

As aplicações na nuvem e os trabalhadores móveis exigem uma nova forma de pensar quando se trata de segurança. Muitos funcionários trazem seus próprios dispositivos e trabalham de forma híbrida. Os dados são acessados regularmente fora do perímetro da rede corporativa tradicional e compartilhados com colaboradores externos, como parceiros e fornecedores. Os aplicativos e dados corporativos tradicionais estão migrando de ambientes locais para ambientes híbridos e em nuvem.

Os controles de rede tradicionais para segurança não são mais suficientes.

As identidades representam as pessoas, serviços ou dispositivos, em redes, pontos de extremidade e aplicativos. No modelo de segurança Confiança Zero, funcionam como um meio poderoso, flexível e granular para controlar o acesso aos recursos.

Antes que uma identidade tente acessar um recurso, as organizações devem:

  • Verifique a identidade com autenticação forte.
  • Certifique-se de que o acesso é compatível e típico para essa identidade.
  • Siga os princípios de acesso com privilégios mínimos.

Uma vez verificada a identidade, podemos controlar o acesso aos recursos com base nas políticas da organização, na análise de risco contínua e em outras ferramentas.

Objetivos de implementação do Identity Confiança Zero

Ao implementar uma estrutura Confiança Zero de ponta a ponta para identidade, recomendamos que se foque primeiro nestes objetivos iniciais de implantação:

  • A identidade na nuvem é federada com sistemas de identidade locais.
  • As políticas de Acesso Condicional bloqueiam o acesso e fornecem atividades de correção.
  • As análises melhoram a visibilidade.

Depois que as áreas anteriores forem abordadas, concentre-se nestes objetivos de implantação:

  • As identidades e os privilégios de acesso são gerenciados com governança de identidade.
  • Usuário, dispositivo, localização e comportamento são analisados em tempo real.
  • Integre sinais de ameaças de outras soluções de segurança.

I. A identidade na nuvem é federada com sistemas de identidade locais

O Microsoft Entra ID permite uma autenticação forte, um ponto de integração para a segurança dos endpoints e o núcleo das suas políticas centradas no utilizador para garantir o acesso menos privilegiado. O Microsoft Entra Conditional Access é o motor de políticas utilizado para tomar decisões de acesso a recursos com base na identidade do utilizador, ambiente, saúde do dispositivo e risco, verificados explicitamente no momento do acesso. Pode implementar uma estratégia de identidade Confiança Zero com o Microsoft Entra ID.

Diagrama das etapas dentro da fase 1 dos objetivos iniciais de implantação.

Ligue todos os seus utilizadores ao Microsoft Entra ID e federe com sistemas de identidade locais

Manter um fluxo de trabalho saudável das identidades dos funcionários e os artefactos de segurança necessários, incluindo grupos para autorização e endpoints para controlo de políticas de acesso, coloca-o na melhor posição para usar identidades e controlos consistentes na cloud.

Siga estes passos:

  1. Escolha uma opção de autenticação. O Microsoft Entra ID oferece-lhe a melhor proteção contra ataques de força bruta, DDoS e ataques de pulverização de palavras-passe, mas tome a decisão que for melhor para a sua organização e para as suas necessidades de conformidade.
  2. Traga apenas as identidades que você absolutamente precisa. Use a ida para a nuvem como uma oportunidade para deixar para trás contas de serviço que só fazem sentido no local. Deixe funções privilegiadas no local.
  3. Certifique-se de que cumpre os requisitos hardware para Microsoft Entra Connect Sync com base no tamanho da sua organização.

Estabeleça a sua Base de Identidade com o Microsoft Entra ID

Uma estratégia Confiança Zero exige verificar explicitamente, usar princípios de acesso de menor privilégio e assumir violação. O Microsoft Entra ID pode atuar como ponto de decisão política para aplicar as suas políticas de acesso com base em insights sobre o utilizador, endpoint, recurso alvo e ambiente.

Coloque o Microsoft Entra ID no caminho de cada pedido de acesso. Este processo liga cada utilizador, aplicação e recurso através de um plano comum de controlo de identidade e fornece ao Microsoft Entra ID os sinais para tomar as melhores decisões possíveis sobre o risco de autenticação/autorização. Além disso, o logon único (SSO) e os guardrails de política consistentes fornecem uma melhor experiência ao usuário e contribuem para ganhos de produtividade.

Integre todas as suas aplicações com o Microsoft Entra ID

O logon único impede que os usuários deixem cópias de suas credenciais em vários aplicativos e ajuda a evitar ataques de phishing ou fadiga de MFA devido a solicitações excessivas.

Certifique-se de não ter várias soluções de gerenciamento de identidade e acesso (IAM) em seu ambiente. Esta duplicação diminui os sinais que o Microsoft Entra ID deteta, permite que agentes mal-intencionados vivam nas sombras entre os dois motores IAM e conduz a uma má experiência do utilizador. Esta complexidade pode levar os seus parceiros de negócio a tornarem-se céticos da sua estratégia Confiança Zero.

Siga estes passos:

  1. Integre aplicações empresariais modernas que falam OAuth2.0 ou SAML.
  2. Para aplicações de autenticação Kerberos e baseadas em formulários, integre-as usando o proxy de aplicações do Microsoft Entra.
  3. Se publicares as tuas aplicações legadas usando redes/controladores de entrega de aplicações, usa Microsoft Entra ID para integrar com a maioria das principais (como Citrix, Akamai e F5).
  4. Para ajudar a descobrir e migrar as suas aplicações para fora do ADFS e dos motores IAM existentes/antigos, consulte Resources para migrar aplicações para Microsoft Entra ID.
  5. Automatize o provisionamento de usuários.

Gorjeta

Saiba mais sobre a implementação de uma estratégia de Confiança Zero de ponta a ponta para aplicações.

Verificar explicitamente com autenticação forte

Siga estes passos:

  1. Desencadeie a autenticação multifator do Microsoft Entra. Esse esforço é uma peça fundamental para reduzir o risco de sessão do usuário. À medida que os usuários aparecem em novos dispositivos e de novos locais, ser capaz de responder a um desafio de MFA é uma das maneiras mais diretas que seus usuários podem nos ensinar que esses são dispositivos/locais familiares à medida que se movem pelo mundo (sem que os administradores analisem sinais individuais).
  2. Bloqueie a autenticação herdada. Um dos vetores de ataque mais comuns para atores mal-intencionados é usar credenciais roubadas/repetidas contra protocolos legados, como SMTP, que não podem enfrentar desafios de segurança modernos.

II. As políticas de Acesso Condicional bloqueiam o acesso e fornecem atividades de correção

O Microsoft Entra Conditional Access analisa sinais como utilizador, dispositivo e localização para automatizar decisões e aplicar políticas organizacionais de acesso para recursos. Você pode usar políticas de Acesso Condicional para aplicar controles de acesso, como autenticação multifator (MFA). As políticas de Acesso Condicional permitem que solicite autenticação multifator aos utilizadores quando necessário para segurança e não interfira quando não for necessário.

Diagrama de Políticas de Acesso Condicional em Confiança Zero.

A Microsoft fornece políticas condicionais padrão chamadas padrões de segurança que garantem um nível básico de segurança. No entanto, sua organização pode precisar de mais flexibilidade do que os padrões de segurança oferecem. Você pode usar o Acesso Condicional para personalizar os padrões de segurança com mais granularidade e para configurar novas políticas que atendam às suas necessidades.

Planear as suas políticas de Acesso Condicional com antecedência e ter um conjunto de políticas ativas e de retenção é um pilar fundamental da aplicação da sua Política de Acesso numa implementação Confiança Zero. Reserve um tempo para configurar locais de rede conhecidos em seu ambiente. Mesmo que não utilize estas localizações de rede numa política de Acesso Condicional, configurar estes endereços IP contribui para a avaliação do risco da proteção de identidade do Microsoft Entra.

Dê este passo:

  • Confira nossas diretrizes de implantação e práticas recomendadas para políticas resilientes de Acesso Condicional.

Registar dispositivos com Microsoft Entra ID para restringir o acesso de dispositivos vulneráveis e comprometidos

Siga estes passos:

  1. Ativar Microsoft Entra hybrid join ou Microsoft Entra join. Se estiver a gerir o portátil/computador do utilizador, leve essa informação para o Microsoft Entra ID e use-a para ajudar a tomar melhores decisões. Por exemplo, permitir que clientes avançados, que tenham cópias offline no computador, acessem dados se você souber que o usuário está vindo de uma máquina que sua organização controla e gerencia.
  2. Ative o serviço Intune dentro do Microsoft Endpoint Manager (EMS) para gerir os dispositivos móveis dos seus utilizadores e inscrever os dispositivos. O mesmo pode ser dito sobre dispositivos móveis do usuário como sobre laptops: Quanto mais você sabe sobre eles (nível de patch, jailbroken, rooted, etc.), mais você pode fornecer uma justificativa para o motivo pelo qual você bloqueia/permite o acesso.

Gorjeta

Aprenda sobre a implementação de uma estratégia de Confiança Zero de ponta a ponta para endpoints.

III. O Analytics melhora a visibilidade

À medida que constrói o seu património no Microsoft Entra ID com autenticação, autorização e provisionamento, é importante ter uma visão operacional sólida do que está a acontecer no diretório.

Configurar o registro em log e a geração de relatórios para melhorar a visibilidade

Dê este passo:

IV. Identidades e privilégios de acesso são gerenciados com governança de identidade

Depois de atingir seus objetivos iniciais, concentre-se em outros objetivos, como uma governança de identidade mais robusta.

Diagrama das etapas dentro da fase 4 dos objetivos de implantação adicionais.

Acesso privilegiado seguro com Privileged Identity Management

Controle os pontos de extremidade, condições e credenciais que os usuários usam para acessar operações/funções privilegiadas.

Siga estes passos:

  1. Assuma o controle de suas identidades privilegiadas. O acesso privilegiado não é apenas o acesso administrativo, mas também o acesso a aplicativos ou desenvolvedores que pode alterar a maneira como seus aplicativos de missão crítica são executados e lidam com dados.
  2. Utilize o Gerenciamento de Identidades Privilegiadas para gerir identidades privilegiadas.

O consentimento do usuário para aplicativos é uma maneira comum de aplicativos modernos obterem acesso a recursos organizacionais, mas há algumas práticas recomendadas a serem lembradas.

Siga estes passos:

  1. Restrinja o consentimento do usuário e gerencie as solicitações de consentimento para garantir que não ocorra nenhuma exposição desnecessária dos dados da sua organização aos aplicativos.
  2. Revise o consentimento prévio/existente em sua organização para verificar se há um consentimento excessivo ou mal-intencionado.

Para mais informações sobre ferramentas para proteger contra táticas de acesso a informações sensíveis, consulte "Reforçar a proteção face a ameaças cibernéticas e aplicações desonestas" no guia para implementar uma estratégia de Confiança Zero de identidade.

Gerir direitos

Com aplicações a autenticar-se centralmente e a partir do Microsoft Entra ID, pode simplificar o seu processo de pedido, aprovação e recertificação de acesso para garantir que as pessoas certas têm o acesso correto e que tem um rasto do porquê de os utilizadores da sua organização terem o acesso que têm.

Siga estes passos:

  1. Use a Gestão de Direitos para criar pacotes de acesso que os utilizadores possam solicitar à medida que se juntam a diferentes equipas/projetos e que lhes atribua acesso aos recursos associados (como aplicações, SharePoint sites, membros de grupos).
  2. Se a implantação do Gerenciamento de Direitos não for possível para sua organização no momento, pelo menos habilite paradigmas de autoatendimento em sua organização implantando o gerenciamento de grupo de autoatendimento e o acesso a aplicativos de autoatendimento.

Use a autenticação sem senha para reduzir o risco de phishing e ataques de senha

Com o Microsoft Entra ID a suportar FIDO 2.0 e login de telefone sem palavra-passe, pode mudar as credenciais que os seus utilizadores (especialmente os sensíveis/privilegiados) utilizam diariamente. Essas credenciais são fatores de autenticação fortes que também podem reduzir o risco.

Dê este passo:

  • Comece a implementar credenciais sem senha na sua organização.

V. Usuário, dispositivo, localização e comportamento são analisados em tempo real para determinar o risco e fornecer proteção contínua

A análise em tempo real é fundamental para determinar o risco e a proteção.

Diagrama das etapas dentro da fase 5 dos objetivos de implantação adicionais.

Implemente a Proteção por Palavra-passe Microsoft Entra

Ao ativar outros métodos para verificar usuários de forma explícita, não ignore senhas fracas, ataques de pulverização de senha e reprodução de violações. E as políticas de senha complexas clássicas não impedem os ataques de senha mais prevalentes.

Dê este passo:

  • Ative a proteção por palavra-passe do Microsoft Entra para os seus utilizadores na nuvem e localmente.

Ativar a Microsoft Entra ID Protection

Obtenha um sinal mais detalhado de risco de sessão/utilizador com o Microsoft Entra ID Protection. Você pode habilitar opções de investigação e correção de riscos com base nas necessidades de segurança em evolução da sua organização.

Dê este passo:

Ative a integração do Microsoft Defender for Cloud Apps com o Microsoft Entra ID Protection

O Microsoft Defender for Cloud Apps monitoriza o comportamento dos utilizadores em aplicações SaaS e modernas. Este sinal informa o Microsoft Entra ID sobre o que aconteceu ao utilizador depois de se autenticar e receber um token. Se o padrão do utilizador começar a parecer suspeito, um sinal pode ser enviado para o Microsoft Entra ID Protection e o Acesso Condicional, notificando que o utilizador parece estar comprometido ou de alto risco. No próximo pedido de acesso deste utilizador, o Microsoft Entra ID pode agir corretamente para verificar o utilizador ou bloqueá-lo.

Dê este passo:

Ativar a integração do Acesso Condicional com o Microsoft Defender for Cloud Apps

Usando sinais emitidos após a autenticação e com o Defender for Cloud Apps a agir como proxy para pedidos a aplicações, será possível monitorizar as sessões que se dirigem para aplicações SaaS e impor restrições.

Siga estes passos:

  1. Habilite a integração de Acesso Condicional.

  2. Estenda o Acesso Condicional a aplicativos locais.

Habilitar sessão restrita para uso em decisões de acesso

Quando o risco de um usuário é baixo, mas ele está entrando a partir de um ponto de extremidade desconhecido, talvez você queira permitir o acesso a recursos, mas não permitir que ele faça coisas que exponham sua organização a ações arriscadas. Pode configurar o Exchange Online e o SharePoint Online para oferecer ao utilizador uma sessão restrita que lhe permite ler emails ou visualizar ficheiros, mas não descarregá-los e guardá-los num dispositivo não confiável.

Dê este passo:

VI. Integre sinais de ameaças de outras soluções de segurança para melhorar a deteção, a proteção e a resposta

Finalmente, outras soluções de segurança podem ser integradas para uma maior eficácia.

Integre o Microsoft Defender para Identidade com o Microsoft Defender for Cloud Apps

A integração com o Microsoft Defender para Identidade permite ao Microsoft Entra ID saber que um utilizador está a envolver-se em comportamentos arriscados ao aceder a recursos on-premises e não modernos (como partilhas de ficheiros). Este sinal pode ser levado em conta no risco geral, possivelmente bloqueando mais acesso na nuvem.

Siga estes passos:

  1. Ativar o Microsoft Defender para Identidade com o Microsoft Defender para Aplicações na Cloud para integrar sinais locais no sinal de risco que entendemos sobre o utilizador.
  2. Verifique a pontuação combinada de Prioridade de Investigação para cada utilizador em risco de forma a fornecer uma visão holística sobre em qual deles o seu SOC deve focar.

Ativar o Microsoft Defender para Endpoint

O Microsoft Defender para Endpoint permite atestar a saúde das máquinas Windows e verificar se estão comprometidas. Em seguida, você pode alimentar essas informações para reduzir o risco em tempo de execução. Enquanto a Associação ao Domínio lhe dá uma sensação de controlo, o Defender para Endpoint permite-lhe reagir a um ataque de malware quase em tempo real, através da deteção de padrões em que múltiplos dispositivos de utilizador estão a aceder a sites não confiáveis, e reagir aumentando o risco do dispositivo/da utilizador em tempo de execução.

Dê este passo:

Proteger a identidade de acordo com a Ordem Executiva 14028 sobre cibersegurança & Memorando OMB 22-09

Decreto Executivo 14028 sobre a Melhoria da Cibersegurança das Nações e o Memorando 22-09 do OMB inclui ações específicas sobre Confiança Zero. As ações de identidade incluem o uso de sistemas centralizados de gestão de identidade, a implementação de MFA robusta e resistente a phishing e a incorporação de pelo menos um sinal a nível do dispositivo nas decisões de autorização. Para orientações detalhadas sobre a implementação destas ações com Microsoft Entra ID, consulte Cumprir os requisitos de identidade do memorando 22-09 com Microsoft Entra ID.

Produtos abrangidos por este guia

Conclusão

A identidade é central para uma estratégia Confiança Zero bem-sucedida. Para mais informações ou ajuda na implementação, contacte a sua equipa de Sucesso do Cliente ou continue a ler os outros capítulos deste guia, que abrangem todos os pilares do Confiança Zero.



A série de guias de implantação Confiança Zero

Ícone para a introdução

Ícone para a identidade

Ícone para os pontos finais

Ícone para as aplicações

Ícone para os dados

Ícone para a infraestrutura

Ícone para as redes

Ícone para visibilidade, automatização, orquestração

  • Last updated on