Editar

Compartilhar via


IDaaS do Microsoft Entra em operações de segurança

Microsoft Entra ID
Microsoft Sentinel

Essa arquitetura mostra como as equipes do centro de operações de segurança (SOC) podem incorporar recursos de identidade e acesso do Microsoft Entra a uma estratégia de segurança de confiança zero integrada e em camadas.

A segurança de rede dominava as operações do SOC quando todos os serviços e dispositivos eram contidos em redes gerenciadas nas organizações. No entanto, a Gartner prevê que, até 2022, o tamanho do mercado dos serviços de nuvem aumentará a uma taxa quase três vezes maior do que os serviços de TI em geral. Conforme mais empresas adotam a computação em nuvem, há uma mudança no sentido de tratar a identidade do usuário como o limite de segurança principal.

A proteção das identidades na nuvem tem alta prioridade.

O modelo de segurança Zero Trust trata todos os hosts como se estivessem voltados para a Internet e considera toda a rede potencialmente comprometida e hostil. Essa abordagem se concentra no uso de autenticação forte (AuthN), autorização e criptografia, além de fornecer acesso compartimentalizado e maior agilidade operacional.

A Gartner promove uma arquitetura de segurança adaptável que substitui uma estratégia baseada em resposta a incidentes por um modelo de prevenir, detectar, responder, prever. A segurança adaptável combina controle de acesso, monitoramento comportamental, gerenciamento de uso e descoberta com monitoramento e análise contínuos.

A MCRA (Arquitetura de Referência de Segurança Cibernética) da Microsoft descreve os recursos de segurança cibernética da Microsoft e como eles se integram às arquiteturas de segurança existentes, incluindo os ambientes híbridos e de nuvem, que usam o Microsoft Entra ID para IDaaS (Identidade como Serviço).

Este artigo estende a abordagem de segurança adaptável e de confiança zero à IDaaS, enfatizando os componentes disponíveis na plataforma do Microsoft Entra.

Possíveis casos de uso

  • Projetar novas soluções de segurança
  • Aprimorar ou integrar com implementações existentes
  • Instruir equipes de SOC

Arquitetura

Recursos de segurança relacionados ao Microsoft Entra

Baixe um Arquivo Visio dessa arquitetura.

Workflow

  1. O gerenciamento de credenciais controla a autenticação.
  2. O provisionamento e o gerenciamento de direitos definem o pacote de acesso, atribuem usuários a recursos e efetuar push de dados para atestado.
  3. O mecanismo de autorização avalia a política de acesso para determinar o acesso. O mecanismo também avalia as detecções de risco, incluindo dados de UEBA (análise comportamental de usuário/entidade) e verifica a conformidade do dispositivo para o gerenciamento de ponto de extremidade.
  4. Se autorizado, o usuário ou dispositivo obtém acesso de acordo com os controles e políticas de acesso condicional.
  5. Se a autorização falhar, os usuários poderão usar a correção em tempo real para desbloquear a si mesmos.
  6. Todos os dados de sessão são registrados para análise e criação de relatórios.
  7. O SIEM (sistema de gerenciamento de eventos e informações de segurança) da equipe do SOC recebe todos os dados de log, detecção de risco e de UEBA das identidades locais e de nuvem.

Componentes

Os processos e componentes de segurança a seguir contribuem para essa arquitetura de IDaaS do Microsoft Entra ID.

Gerenciamento de credenciais

O gerenciamento de credenciais inclui serviços, políticas e práticas que emitem, acompanham e atualizam o acesso a recursos ou serviços. O gerenciamento de credenciais do Microsoft Entra inclui os seguintes recursos:

  • A SSPR (redefinição de senha self-service) permite que os usuários redefinam por conta própria suas senhas perdidas, esquecidas ou comprometidas. A SSPR não apenas reduz as chamadas de suporte técnico, mas proporciona maior flexibilidade e segurança ao usuário.

  • O write-back de senha sincroniza senhas alteradas na nuvem com diretórios locais em tempo real.

  • As senhas proibidas analisam dados de telemetria que expõem senhas fracas, comprometidas ou comumente usadas e proíbem seu uso globalmente em todo o Microsoft Entra ID. Você pode personalizar essa funcionalidade para seu ambiente e incluir uma lista de senhas personalizadas para serem proibidas em sua organização.

  • O bloqueio inteligente compara tentativas de autenticação legítimas com tentativas de força bruta para obter acesso não autorizado. Segundo a política de bloqueio inteligente padrão, uma conta é bloqueada por um minuto após 10 tentativas de login com falha. À medida que as tentativas de logon continuam falhando, o tempo de bloqueio da conta aumenta. Você pode usar políticas para ajustar as configurações e chegar à combinação apropriada de segurança e usabilidade para sua organização.

  • A autenticação multifator requer várias formas de autenticação quando os usuários tentam acessar recursos protegidos. A maioria dos usuários está familiarizada com o uso de algo que eles conhecem, como uma senha, para acessar recursos. A MFA solicita que os usuários também usem algo que eles têm, como acesso a um dispositivo confiável, ou algo que são, como um identificador biométrico. A MFA pode usar diferentes tipos de métodos de autenticação, como chamadas telefônicas, mensagens de texto ou notificações por meio do aplicativo autenticador.

  • A autenticação sem senha substitui a senha no fluxo de trabalho de autenticação por um smartphone ou token de hardware, identificador biométrico ou PIN. A autenticação sem senha da Microsoft pode funcionar com recursos do Azure, como o Windows Hello for Business e o aplicativo Microsoft Authenticator, em dispositivos móveis. Você também pode habilitar a autenticação sem senha com chaves de segurança compatíveis com FIDO2, que usam WebAuthn e o protocolo CTAP (Client-to-Authenticator) da FIDO Alliance.

Provisionamento e direitos do aplicativo

Controles e políticas de acesso condicional

Uma política de acesso condicional é uma instrução if-then de atribuições e controles de acesso. Você define a resposta ("faça isso") para o motivo para disparar a política ("se isso"), permitindo que o mecanismo de autorização tome decisões que impõem políticas organizacionais. Com o Acesso Condicional do Microsoft Entra, você pode controlar como os usuários autorizados podem acessar seus aplicativos. A ferramenta What If do Microsoft Entra ID pode ajudar você a entender por que uma política de Acesso Condicional foi ou não foi aplicada ou se uma política se aplicaria a um usuário em uma circunstância específica.

Os controles de acesso condicional funcionam em conjunto com as políticas de Acesso Condicional para ajudar a impor a política organizacional. Os controles de Acesso Condicional do Microsoft Entra permitem implementar a segurança com base nos fatores detectados no momento da solicitação de acesso, em vez de usar uma abordagem generalizada. Unindo os controles de Acesso Condicional e as condições de acesso, você reduz a necessidade de criar controles de segurança adicionais. Como exemplo típico, você pode permitir que os usuários em um dispositivo conectado ao domínio acessem recursos usando SSO, mas exigir MFA para usuários fora da rede ou usando os próprios dispositivos.

O Microsoft Entra ID pode usar os seguintes controles de Acesso Condicional com políticas de Acesso Condicional:

Detecção de risco

O Azure Identity Protection inclui várias políticas que podem ajudar sua organização a gerenciar respostas a ações suspeitas do usuário. O risco do usuário é a probabilidade de que uma identidade de usuário seja comprometida. O risco de entrada é a probabilidade de que uma solicitação de entrada não seja proveniente do usuário. O Microsoft Entra ID calcula as pontuações de risco de entrada com base na probabilidade da solicitação de entrada ser originada do usuário real, com base na análise comportamental.

  • As detecções de risco do Microsoft Entra usam algoritmos de aprendizado de máquina adaptáveis e heurística para detectar ações suspeitas relacionadas às contas do usuário. Cada ação suspeita detectada é armazenada em um registro chamado detecção de risco. O Microsoft Entra ID calcula a probabilidade do risco de usuário e de entrada usando esses dados, aprimorados com fontes e sinais de inteligência contra ameaças internos e externos da Microsoft.

  • Você pode usar as APIs de detecção de risco do Identity Protection no Microsoft Graph para expor informações sobre entradas e usuários arriscados.

  • A correção em tempo real permite que os usuários se desbloqueiem usando SSPR e MFA para corrigir automaticamente algumas detecções de risco.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

Logging

Os relatórios de auditoria do Microsoft Entra fornecem rastreamento para atividades do Azure com logs de auditoria, logs de entrada e relatórios de entrada suspeita e usuário suspeito. Você pode filtrar e pesquisar os dados de log com base em vários parâmetros, incluindo serviço, categoria, atividade e status.

Você pode rotear os dados de log do Microsoft Entra ID para pontos de extremidade como:

Você também pode usar a API de relatório do Microsoft Graph para recuperar e consumir dados de log do Microsoft Entra ID em seus scripts.

Considerações sobre configurações locais e híbridas

Os métodos de autenticação são fundamentais para proteger as identidades de sua organização em um cenário híbrido. A Microsoft fornece diretrizes específicas sobre como escolher um método de autenticação híbrida com o Microsoft Entra ID.

O Microsoft Defender para Identidade pode usar seus sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas. O Defender para Identidade usa o UEBA para identificar ameaças internas e sinalizar riscos. Mesmo que uma identidade seja comprometida, o Defender para Identidade pode ajudar a identificar o comprometimento com base no comportamento incomum do usuário.

O Defender para Identidade é integrado ao Defender para Aplicativos de Nuvem para estender a proteção para aplicativos de nuvem. Você pode usar o Defender para Aplicativos de Nuvem para criar políticas de sessão que protegem seus arquivos durante o download. Por exemplo, você pode definir automaticamente permissões somente de exibição em qualquer arquivo baixado por tipos específicos de usuários.

Você pode configurar um aplicativo local no Microsoft Entra ID para usar o Defender para Aplicativos de Nuvem para monitoramento em tempo real. O Defender para Aplicativos de Nuvem usa o Controle de Aplicativos de Acesso Condicional para monitorar e controlar sessões em tempo real com base em políticas de Acesso Condicional. Você pode aplicar essas políticas a aplicativos locais que usam o Proxy de Aplicativo no Microsoft Entra ID.

O Proxy de Aplicativo do Microsoft Entra permite que os usuários acessem aplicativos Web locais de clientes remotos. Com o Proxy de Aplicativo, você pode monitorar todas as atividades de entrada para seus aplicativos em um só lugar.

Você pode usar o Defender para Identidade com o Microsoft Entra ID Protection para ajudar a proteger identidades de usuário sincronizadas no Azure com o Microsoft Entra Connect.

Se alguns de seus aplicativos já usam um controlador de entrega ou controlador de rede existente para fornecer acesso fora da rede, você pode integrá-los ao Microsoft Entra ID. Vários parceiros, incluindo Akamai, Citrix, F5 Networks e Zscaler, oferecem soluções e diretrizes para a integração com o Microsoft Entra ID.

Otimização de custos

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design para otimização de custos.

Os preços do Microsoft Entra variam desde gratuito, para recursos como SSO e MFA, a Premium P2 para recursos como PIM e gerenciamento de direitos. Para obter detalhes sobre preços, confira os Preços do Microsoft Entra.

Próximas etapas