Alinhar o acesso condicional e a Confiança Zero

  • 10 minutos

Vamos começar com alguns princípios de design.

Acesso Condicional como um mecanismo de política de Confiança Zero

A abordagem de Confiança Zero da Microsoft inclui acesso condicional como o mecanismo de política principal. Segue uma visão geral dessa abordagem:

Diagrama que fornece uma visão geral do modelo de Confiança Zero.

Baixe um arquivo SVG dessa arquitetura.

O acesso condicional é usado como o mecanismo de política para uma arquitetura de Confiança Zero que abrange a definição e a imposição de políticas. Com base em vários sinais ou condições, o acesso condicional pode bloquear ou dar acesso limitado aos recursos, conforme mostrado aqui:

O diagrama que fornece uma visão geral do caminho de sinal, decisão e aplicação do Acesso Condicional.

Veja abaixo uma exibição mais detalhada dos elementos do Acesso Condicional e o que ele aborda:

Diagrama que mostra uma visão mais detalhada do Acesso Condicional.

Este diagrama mostra o Acesso Condicional e elementos relacionados que podem ajudar a proteger o acesso do usuário aos recursos, em vez de acesso não interativo ou não humano. O seguinte diagrama descreve os dois tipos de identidades:

Diagrama que descreve os tipos de identidade de Acesso Condicional.

O acesso não humano aos recursos também precisa ser protegido. Atualmente, você não pode usar o Acesso Condicional para proteger o acesso não humano aos recursos de nuvem. Você precisa usar outro método, como controles de concessão para acesso baseado em OAuth.

Princípios de Acesso Condicional versus Princípios de Confiança Zero

Com base nas informações anteriores, veja abaixo um resumo dos princípios sugeridos. A Microsoft recomenda que você crie um modelo de acesso com base no Acesso Condicional alinhado aos três principais fundamentos da Confiança Zero a Microsoft:

Princípio de Confiança Zero Princípio de Acesso Condicional
Verificação explícita – Mover o painel de controle para a nuvem. Integre aplicativos com o Microsoft Entra ID e proteja-os usando o Acesso Condicional.
– Considerar que todos os clientes são externos.
Usar o acesso de privilégio mínimo – Avaliar o acesso com base na conformidade e no risco, incluindo risco do usuário, risco de conexão e risco do dispositivo.
– Usar estas prioridades de acesso:
– Acessar o recurso diretamente usando o Acesso Condicional para proteção.
- Publicar o acesso ao recurso usando o Proxy de Aplicativo do Microsoft Entra e o Acesso Condicional para proteção.
– Usar uma VPN baseada em Acesso Condicional para acessar o recurso. Restrinja o acesso ao nível do aplicativo ou nome DNS.
Pressupor a violação – Segmentar a infraestrutura de rede.
– Minimizar o uso de PKI corporativo.
– Migrar o SSO (logon único) do AD FS para o PHS (sincronização de hash de senha).
– Minimize as dependências em DCs usando o KDC Kerberos no Microsoft Entra ID.
– Movar o plano de gerenciamento para a nuvem. Gerenciar dispositivos com o Microsoft Endpoint Manager.

Veja abaixo alguns princípios mais detalhados e práticas recomendadas para Acesso Condicional:

  • Aplique os princípios de Confiança Zero ao Acesso Condicional.
  • Use o modo somente relatório antes de colocar uma política em produção.
  • Teste cenários positivos e negativos.
  • Use o controle de alteração e revisão nas políticas de Acesso Condicional.
  • Automatize o gerenciamento de políticas de Acesso Condicional usando ferramentas como o Azure DevOps/GitHub ou os Aplicativos Lógicos do Azure.
  • Use o modo de bloco para acesso geral somente se e onde você precisar.
  • Verifique se todos os aplicativos e sua plataforma estão protegidos. O Acesso Condicional não tem uma função "negar tudo" implícita.
  • Proteja usuários privilegiados em todos os sistemas RBAC (controle de acesso baseado em função) do Microsoft 365.
  • Exigir a alteração de senha e a autenticação multifator para usuários e entradas de alto risco (imposto pela frequência de entrada).
  • Restrinja o acesso de dispositivos de alto risco. Use uma política de conformidade do Intune com uma verificação de conformidade no Acesso Condicional.
  • Proteger sistemas privilegiados, como acesso aos portais de administrador para o Office 365, o Azure, o AWS e o Google Cloud.
  • Evite executar sessões persistentes do navegador para administradores e em dispositivos não confiáveis.
  • Bloqueie a autenticação herdada.
  • Restrinja o acesso de plataformas de dispositivo desconhecidas ou sem suporte.
  • Exigir dispositivo compatível para acesso aos recursos, quando possível.
  • Restrinja o registro de credenciais fortes.
  • Considere o uso da política de sessão padrão que permite que as sessões continuem se houver uma interrupção, se as condições apropriadas foram atendidas antes da interrupção.