Ambiente de Administração de Segurança Aprimorado
A arquitetura do ESAE (Ambiente de Administração de Segurança Aprimorado) (geralmente conhecido como floresta vermelha, floresta de administrador ou floresta protegida) é uma abordagem herdada para fornecer um ambiente seguro a identidades de administradores do Windows Server Active Directory (AD).
A recomendação da Microsoft para usar esse padrão de arquitetura foi substituída pela estratégia de acesso privilegiado e pelo RAMP (plano de modernização rápida) como a abordagem padrão recomendada a fim de proteger os usuários privilegiados. Esta orientação pretende incluir a adaptação de uma estratégia mais ampla para avançar para uma arquitetura de Confiança Zero. Devido a essas estratégias modernizadas, a arquitetura de floresta administrativa protegida do ESAE (local ou baseado em nuvem) agora é considerada uma configuração personalizada adequada somente a casos de exceção.
Cenários para uso contínuo
Embora não seja mais uma arquitetura recomendada, o ESAE (ou componentes individuais nele) ainda pode ser válido em um conjunto limitado de cenários isentos. Normalmente, esses ambientes locais são isolados onde os serviços de nuvem podem estar indisponíveis. Esse cenário pode incluir infraestrutura crítica ou outros ambientes de tecnologia operacional (OT) desconectados. No entanto, deve-se notar que os segmentos ICS/SCADA (Sistema de Controle Industrial/Controle de Supervisão e Aquisição de Dados) do ambiente normalmente não utilizam sua própria implantação do Active Directory.
Se sua organização estiver em um desses cenários, manter uma arquitetura ESAE atualmente implantada em sua totalidade ainda pode ser válido. No entanto, deve-se entender que sua organização incorre em risco extra devido ao aumento da complexidade técnica e dos custos operacionais de manutenção da ESAE. A Microsoft recomenda que qualquer organização que ainda use o ESAE ou outros controles de segurança de identidade herdados aplique rigor extra para monitorar, identificar e mitigar quaisquer riscos associados.
Observação
Embora a Microsoft não recomende mais um modelo de floresta protegido isolado para a maioria dos cenários na maioria das organizações, ela ainda opera uma arquitetura semelhante internamente (e os processos de suporte e pessoal associados) devido aos requisitos de segurança extremos para fornecer serviços de nuvem confiáveis a organizações em todo o mundo.
Orientação para implantações existentes
Para clientes que já implantaram essa arquitetura a fim de aprimorar a segurança e/ou simplificar o gerenciamento de várias florestas, não há nenhuma urgência em desativar ou substituir uma implementação de ESAE se estiver sendo operada como projetada e pretendida. Como em qualquer sistema empresarial, você deve fazer a manutenção do software nele aplicando atualizações de segurança e garantindo que o software esteja dentro do ciclo de vida do suporte.
A Microsoft também recomenda que as organizações com florestas ESAE/protegidas adotem a estratégia de acesso privilegiado moderna usando as diretrizes do RAMP (plano de modernização rápida). Estas diretrizes complementam uma implementação de ESAE existente e fornece segurança adequada a funções ainda não protegidas pelo ESAE, incluindo administradores do Microsoft Entra, usuários de negócios confidenciais e usuários empresariais padrão. Para obter mais informações, confira o artigo Protegendo níveis de segurança de acesso privilegiado.
Quando o ESAE foi originalmente projetado há 10 anos, o foco estava em ambientes locais com o Active Directory (AD) como provedor de identidade local. Essa abordagem herdada é baseada em técnicas de macrossegmentação para obter privilégios mínimos e não leva em conta adequadamente ambientes híbridos ou baseados em nuvem. Além disso, o ESAE e as implementações de floresta reforçada se concentram apenas na proteção de administradores (identidades) locais do Active Directory do Windows Server e não levam em conta controles de identidade refinados e outras técnicas contidas nos pilares restantes de uma arquitetura moderna de Confiança Zero. A Microsoft atualizou sua recomendação para soluções baseadas em nuvem, pois elas podem ser implantadas mais rapidamente para proteger um escopo mais amplo de funções e sistemas administrativos e sensíveis aos negócios. Além disso, elas são menos complexas, escaláveis e exigem menos investimento de capital para manutenção.
Observação
Embora o ESAE não seja mais recomendado em sua totalidade, a Microsoft percebe que muitos componentes individuais contidos nele são definidos como boa higiene cibernética (por exemplo, estações de trabalho de acesso privilegiado dedicadas). A depreciação da ESAE não pretende levar as organizações a abandonar as boas práticas de higiene cibernética, apenas reforçar estratégias arquitetônicas atualizadas para proteger identidades privilegiadas.
Exemplos de boas práticas de higiene cibernética na ESAE que são aplicáveis à maioria das organizações
- Uso de estações de trabalho de acesso privilegiado (PAWs) para todas as atividades administrativas
- Imposição da autenticação baseada em token ou multifator (MFA) para credenciais administrativas, mesmo que ela não seja amplamente usada em todo o ambiente
- Imposição do Modelo Administrativo de Privilégios Mínimos por meio da avaliação regular da associação ao grupo/função (imposta por uma forte política organizacional)
Melhores práticas para proteger o AD local
Conforme descrito em Cenários para uso contínuo, pode haver circunstâncias em que a migração para a nuvem não é possível (parcial ou totalmente) devido a circunstâncias variadas. Para essas organizações, se elas ainda não tiverem uma arquitetura ESAE existente, a Microsoft recomenda reduzir a superfície de ataque do AD local por meio do aumento do rigor da segurança para o Active Directory e identidades privilegiadas. Embora não seja uma lista exaustiva, considere as seguintes recomendações de alta prioridade.
- Use uma abordagem hierárquica que implementa o modelo administrativo de privilégios mínimos:
- Impor privilégios mínimos absolutos.
- Descubra, revise e audite identidades privilegiadas (forte vínculo com a política organizacional).
- A concessão excessiva de privilégios é um dos problemas mais identificados nos ambientes avaliados.
- MFA para contas administrativas (mesmo que não seja amplamente utilizado em todo o ambiente).
- Funções privilegiadas baseadas no tempo (reduzir contas excessivas, reforçar processos de aprovação).
- Habilite e configure toda a auditoria disponível para identidades privilegiadas (notificação de habilitar/desabilitar, redefinição de senha, outras modificações).
- Usar Estações de Trabalho com Acesso Privilegiado (PAWs):
- Não administre PAWs de um host menos confiável.
- Usar MFA para acessar PAWs.
- Não se esqueça da segurança física.
- Certifique-se sempre de que os PAWs estejam executando os sistemas operacionais mais recentes e/ou atualmente compatíveis.
- Entender caminhos de ataque e contas/aplicativos de alto risco:
- Priorizar o monitoramento de identidades e sistemas que apresentam maior risco (alvos de oportunidade/alto impacto).
- Erradicar a reutilização de senhas, inclusive além dos limites do sistema operacional (técnica comum de movimento lateral).
- Aplicar políticas que restrinjam atividades que aumentem o risco (navegação na Internet a partir de estações de trabalho seguras, contas de administrador local em vários sistemas etc.).
- Reduzir os aplicativos no Active Directory/Controladores de Domínio (cada aplicativo adicionado é superfície de ataque extra).
- Eliminar aplicativos desnecessários.
- Mover aplicativos ainda necessários para outras cargas de trabalho fora de / DC, se possível.
- Backup imutável do Active Directory:
- Componente crítico para a recuperação da infecção por ransomware.
- Agendamento de backup regular.
- Armazenado em local baseado em nuvem ou fora do local ditado pelo plano de recuperação de desastres.
- Realizar uma Avaliação de Segurança do Active Directory:
- A assinatura do Azure é necessária para exibir os resultados (painel personalizado do Log Analytics).
- Ofertas sob demanda ou com suporte de engenheiro da Microsoft.
- Validar/identificar diretrizes da avaliação.
- A Microsoft recomenda a realização de avaliações anualmente.
Para obter diretrizes abrangentes sobre essas recomendações, consulte as Melhores Práticas para proteger o Active Directory.
Recomendações Complementares
A Microsoft reconhece que algumas entidades podem não ser capazes de implantar totalmente uma arquitetura de confiança zero baseada em nuvem devido a restrições variadas. Algumas dessas restrições foram mencionadas na seção anterior. Em vez de uma implantação completa, as organizações podem lidar com o risco e progredir em direção à Confiança Zero, mantendo equipamentos ou arquiteturas herdados no ambiente. Além das orientações mencionadas anteriormente, os recursos a seguir podem ajudar a reforçar a segurança do seu ambiente e servir como ponto de partida para a adoção de uma arquitetura de Confiança Zero.
MDI (Microsoft Defender para Identidade)
O MDI (Microsoft Defender para Identidade) (formalmente Proteção Avançada contra Ameaças do Azure ou ATP) sustenta a arquitetura Microsoft Confiança Zero e se concentra no pilar da identidade. Essa solução baseada em nuvem usa sinais do AD local e do Microsoft Entra ID para identificar, detectar e investigar ameaças envolvendo identidades. O MDI monitora esses sinais para identificar comportamentos anormais e mal-intencionados de usuários e entidades. Notavelmente, o MDI facilita a capacidade de visualizar o caminho de movimento lateral de um adversário, destacando como uma determinada conta pode ser usada se comprometida. Os recursos de análise comportamental e linha de base do usuário do MDI são elementos-chave para determinar a atividade anormal em seu ambiente do AD.
Observação
Embora o MDI colete sinais do AD local, ele requer uma conexão baseada em nuvem.
Microsoft Defender para Internet das Coisas (D4IoT)
Além de outras diretrizes descritas neste documento, as organizações que operam em um dos cenários mencionados acima podem implantar o Microsoft Defender para IoT (D4IoT). Essa solução possui um sensor de rede passivo (virtual ou físico) que permite a descoberta de ativos, o gerenciamento de inventário e a análise de comportamento baseada em risco para ambientes de Internet das Coisas (IoT) e Tecnologia Operacional (OT). Ele pode ser implantado em ambientes locais conectados ao ar ou à nuvem e tem a capacidade de realizar inspeção profunda de pacotes em mais de 100 protocolos de rede proprietários ICS/OT.
Próximas etapas
Examine os seguintes artigos: