Descrever o Acesso Global Seguro no Microsoft Entra

  • 9 minutos

O Microsoft Entra agora fornece um novo conjunto de produtos sob o título do Acesso Global Seguro da Microsoft. Global Secure Access é o termo unificador usado para o Microsoft Entra Internet Access e o Microsoft Entra Private Access.

O Microsoft Entra Internet Access protege o acesso aos aplicativos SaaS (Software como Serviço), incluindo os Serviços Microsoft e aplicativos públicos da Internet, protegendo usuários, dispositivos e dados contra ameaças da Internet.

O Acesso privado do Microsoft Entra fornece aos usuários, seja em um escritório ou trabalhando remotamente, acesso seguro aos seus recursos privados e corporativos.

O Acesso à Internet do Microsoft Entra e o Acesso Privado do Microsoft Entra se reúnem como uma solução que converge controles de acesso de rede, identidade e ponto de extremidade de Confiança Zero para que você possa proteger o acesso a qualquer aplicativo ou recurso, de qualquer local, dispositivo ou identidade. Esse tipo de solução representa uma nova categoria de segurança de rede chamada SSE (Perímetro de Serviço de Segurança).

O SSE ajuda a enfrentar desafios de segurança, como:

  • A necessidade de reduzir o risco de movimentação lateral por meio de um túnel VPN comprometido.
  • A necessidade de colocar um perímetro em torno de ativos baseados na Internet.
  • A necessidade de aprimorar o serviço em locais remotos do escritório, tais como filiais.

A solução de Borda do Serviço de Segurança da Microsoft, Acesso Global Seguro, fornece proteções avançadas para seus recursos baseados na Internet e recursos em execução em sua nuvem privada ou infraestrutura local, para ajudar a resolver os desafios de segurança.

A solução emprega um cliente de Acesso Global Seguro que fornece às organizações controle sobre o tráfego de rede no dispositivo de computação do usuário final. As organizações obtêm a capacidade de rotear perfis de tráfego específicos por meio do Acesso à Internet do Microsoft Entra e do Acesso privado do Microsoft Entra. O roteamento de tráfego nesse método permite mais controles habilitados pela integração profunda com políticas de acesso condicional e riscos avaliados em tempo real, entre identidade, dispositivo, localização e aplicativos para proteger qualquer aplicativo ou recurso.

Captura de tela mostrando os componentes do Acesso Global Seguro.

Microsoft Entra Private Access

As soluções VPN geralmente são usadas como um método primário para controlar o acesso à rede corporativa. Depois que a conectividade de rede privada é estabelecida, a porta da frente para sua rede é desbloqueada e, além disso, é comum que usuários e dispositivos sejam tenham permissões excessivas. Isso aumenta significativamente a superfície de ataque da sua organização.

O Acesso privado do Microsoft Entra pode ser implantado para bloquear a movimentação de ataque lateral, reduzir o acesso excessivo e substituir VPNs herdadas. O serviço fornece aos usuários, seja em um escritório ou trabalhando remotamente, acesso seguro aos seus recursos corporativos privados.

Conceitualmente, a maneira como o Acesso Privado funciona é que, para um determinado conjunto de recursos privados que você deseja proteger, você configura um novo aplicativo empresarial que serve como um contêiner para esses recursos privados. O novo aplicativo tem um conector de rede que serve como um agente entre o serviço de Acesso Privado e o recurso que um usuário deseja acessar. Agora, claramente, as empresas têm requisitos diferentes para acessar diferentes recursos privados, portanto, o Acesso Privado do Microsoft Entra fornece duas maneiras pelas quais você pode configurar os recursos privados que deseja ter acessado por meio do serviço.

  • Acesso Rápido – Conforme descrito anteriormente, o Acesso Privado funciona criando um aplicativo empresarial que serve como um contêiner para os recursos privados que você deseja proteger. Com o Acesso Rápido, você determina quais recursos privados adicionar ao "contêiner" ou ao aplicativo empresarial; que chamaremos o aplicativo de Acesso Rápido. Os recursos privados que você adiciona ao Aplicativo de Acesso Rápido são definidos pelo FQDN, endereço IP, intervalo de endereços ou IPs e portas usadas para acessar o recurso. Essas informações são conhecidas como um segmento de aplicativo de Acesso Rápido. Você pode adicionar muitos segmentos de aplicativo ao aplicativo de Acesso Rápido. Em seguida, você pode vincular políticas de acesso condicional ao aplicativo de Acesso Rápido.

    Diagrama do Acesso Privado do Microsoft Entra mostrando os componentes do Acesso Rápido.

  • Aplicativo Acesso Global Seguro – o aplicativo Acesso Global Seguro, também conhecido como Acesso por Aplicativo, fornece uma abordagem mais granular. Com o aplicativo Acesso Global Seguro, você pode criar vários "contêineres" ou aplicativos empresariais. Para cada um desses novos aplicativos empresariais, você define as propriedades do recurso privado e atribui usuários e grupos e atribui políticas de acesso condicional específicas. Por exemplo, você pode ter um grupo de recursos privados que precisa proteger, mas para o qual deseja definir políticas de acesso diferentes com base em como elas estão acessando o recurso ou para um período específico.

    Diagrama do Acesso Privado do Microsoft Entra mostrando os componentes do aplicativo Acesso Global Seguro, também conhecido como Acesso por Aplicativo.

Microsoft Entra Internet Access

Um SWG (Gateway da Web Seguro) é uma solução de segurança cibernética que protege os usuários contra ameaças baseadas na Web filtrando o tráfego da Internet e impondo políticas de segurança.

O Acesso à Internet do Microsoft Entra fornece uma solução de SWG (Gateway da Web Seguro) centrada em identidade para aplicativos SaaS (Software como Serviço), incluindo serviços da Microsoft e outro tráfego da Internet. Ele protege usuários, dispositivos e dados do amplo cenário de ameaças da Internet com os melhores controles de segurança e visibilidade por meio de Logs de Tráfego.

Alguns dos principais recursos incluem:

  • Proteção contra roubo de token ou identidade do usuário usando políticas de Acesso Condicional para executar uma verificação de rede em conformidade para obter acesso aos recursos.
    • A imposição de rede em conformidade ocorre no plano de autenticação e no plano de dados. A imposição do plano de autenticação é executada pelo Microsoft Entra ID no momento da autenticação do usuário. A imposição do plano de dados funciona com serviços que dão suporte à CAE (avaliação contínua de acesso)
    • A CAE (avaliação contínua de acesso) é um recurso de segurança em que os aplicativos e o Microsoft Entra se comunicam constantemente para garantir que o acesso do usuário esteja atualizado e seguro. Se algo mudar, como a localização de um usuário ou uma preocupação com a segurança, o sistema poderá ajustar ou bloquear rapidamente o acesso quase em tempo real, garantindo que as políticas sejam sempre impostas.
  • Restrições de locatário para impedir a exfiltração de dados para outros locatários ou contas pessoais, incluindo acesso anônimo.
  • Políticas de perfil de encaminhamento de tráfego do Acesso à Internet para controlar quais sites da Internet podem ser acessados para garantir que os trabalhadores remotos se conectem à Internet de maneira controlada e segura.
  • Filtragem de conteúdo da Web para regular o acesso a sites com base em suas categorias de conteúdo e nomes de domínio.
  • e muito mais...

Painel do Acesso Global Seguro

O Acesso Global Seguro inclui um painel que fornece visualizações do tráfego de rede adquirido pelos serviços de Acesso Privado do Microsoft Entra e Acesso à Internet do Microsoft Entra. O painel compila os dados das configurações de rede, incluindo dispositivos, usuários e locatários em diversos widgets. Esses widgets, por sua vez, fornecem informações que podem ser usadas para monitorar e aprimorar as configurações de rede. Alguns dos widgets disponíveis incluem:

  • Instantâneo do Acesso Seguro Global
  • Alertas e notificações (versão prévia)
  • Criação de perfil de uso (versão prévia)
  • Acesso entre locatários
  • Filtragem de categoria da Web
  • Status do dispositivo

Instantâneo do Acesso Seguro Global

O widget de Acesso Global Seguro fornece um resumo de quantos usuários e dispositivos estão usando o serviço e quantos aplicativos foram protegidos por meio do serviço. O widget usa como padrão mostrar todos os tipos de tráfego, mas você pode alterar o filtro para mostrar o Acesso à Internet, o Acesso Privado ou o tráfego da Microsoft.

Captura de tela do widget de instantâneo do Global Secure Access.

Criação de perfil de uso (versão prévia)

O widget de criação de perfil de uso exibe padrões de uso para Acesso à Internet, Acesso Privado ou Microsoft 365 durante um período de tempo selecionado e por categoria.

Captura de tela do widget de criação de perfil de uso.

Alertas e notificações (versão prévia)

O widget Alertas e notificações mostra o que está acontecendo na rede e ajuda a identificar atividades suspeitas ou tendências identificadas pelos dados de rede.

Esse widget fornece os seguintes alertas:

  • Rede remota não íntegra: uma rede remota não íntegra tem um ou mais links de dispositivo desconectados.
  • Aumento da atividade de locatários externos: o número de usuários que acessam locatários externos aumentou.
  • Inconsistência de token e dispositivo: o token original é usado em um dispositivo diferente.
  • Conteúdo da Web bloqueado: o acesso ao site foi bloqueado.

Captura de tela do widget de notificações de alertas do painel.

Acesso entre locatários O Acesso Global Seguro fornece visibilidade do número de usuários e dispositivos que estão acessando outros locatários. Este widget exibe as seguintes informações:

  • Entradas: o número de entradas nos serviços Microsoft por meio do Microsoft Entra ID nas últimas 24 horas. Este widget fornece informações sobre a atividade em seu locatário.
  • Total de locatários distintos: o número de IDs de locatários distintos vistos nas últimas 24 horas.
  • Locatários não vistos: o número de IDs de locatários distintos que foram vistos nas últimas 24 horas, mas não nos sete dias anteriores.
  • Usuários: o número de entradas de usuários distintos para outros locatários nas últimas 24 horas.
  • Dispositivos: o número de dispositivos distintos que entraram em outros locatários nas últimas 24 horas.

Captura de tela do widget de acesso entre locatários.

Filtragem de categoria da Web

O widget de Filtragem de categoria da Web exibe as principais categorias de conteúdo da Web que foram bloqueadas ou permitidas pelo serviço. Essas categorias podem ser usadas para determinar quais sites ou categorias de sites você deseja bloquear.

Status do dispositivo Os widgets de status do dispositivo exibem os dispositivos ativos e inativos que você implementou.

Captura de tela do widget de status do dispositivo.