Lista de verificação do RaMP — Valide explicitamente a confiança para todas as solicitações de acesso
Esta lista de verificação do Plano de Modernização Rápida (RaMP) ajuda a estabelecer um perímetro de segurança para aplicativos em nuvem e dispositivos móveis que usa a identidade como o plano de controle e valida explicitamente a confiança para contas de usuário e dispositivos antes de permitir o acesso, para redes públicas e privadas.
Para serem produtivos, seus funcionários (usuários) devem ser capazes de usar:
- As credenciais da conta para verificar a identidade.
- Seu ponto de extremidade (dispositivo), como um PC, tablet ou telefone.
- As aplicações que lhes forneceu para fazerem o seu trabalho.
- Uma rede através da qual o tráfego flui entre dispositivos e aplicações, quer estejam no local ou na nuvem.
Cada um destes elementos são alvos de atacantes e deve ser protegido com o princípio central "nunca confie, verifique sempre" do Zero Trust.
Esta lista de verificação inclui o uso do Zero Trust para validar explicitamente a confiança para todas as solicitações de acesso para:
Depois de concluir este trabalho, você terá construído esta parte da arquitetura Zero Trust.
Identidades
Verifique e proteja cada identidade com autenticação forte em todo o seu patrimônio digital com o Microsoft Entra ID, uma solução completa de gerenciamento de identidade e acesso com segurança integrada que conecta centenas de milhões de pessoas a seus aplicativos, dispositivos e dados todos os meses.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve a proteção geral de suas contas de usuário em termos de uma hierarquia de gerenciamento de programas de patrocínio e gerenciamento de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Proprietário | Responsabilidade |
|---|---|---|
| CISO, CIO ou Diretor de Segurança de Identidade | Patrocínio executivo | |
| Líder de programa do Identity Security ou do Identity Architect | Impulsione resultados e colaboração entre equipes | |
| Arquiteto de Segurança | Aconselhar sobre configuração e padrões | |
| Segurança de identidade ou um arquiteto de identidade | Implementar alterações de configuração | |
| Administrador de Identidade | Atualizar normas e documentos políticos | |
| Governança de segurança ou administrador de identidade | Monitorar para garantir a conformidade | |
| Equipa de Formação de Utilizadores | Garantir que as diretrizes para os usuários reflitam as atualizações da política |
Objetivos de implantação
Atenda a esses objetivos de implantação para proteger suas identidades privilegiadas com o Zero Trust.
| Concluído | Objetivo da implantação | Proprietário | Documentação |
|---|---|---|---|
| 1. Implante acesso privilegiado seguro para proteger contas de usuários administrativos. | Implementador de TI | Protegendo o acesso privilegiado para implantações híbridas e na nuvem no Microsoft Entra ID | |
| 2. Implante o Microsoft Entra Privileged Identity Management (PIM) para um processo de aprovação limitado por tempo e just-in-time para o uso de contas de usuário privilegiadas. | Implementador de TI | Planejar uma implantação do Privileged Identity Management |
Atenda a esses objetivos de implantação para proteger suas identidades de usuário com o Zero Trust.
| Concluído | Objetivo da implantação | Proprietário | Documentação |
|---|---|---|---|
| 1. Habilite a redefinição de senha de autoatendimento (SSPR), que oferece recursos de redefinição de credenciais | Implementador de TI | Planejar uma implantação de redefinição de senha de autoatendimento do Microsoft Entra | |
| 2. Habilite a autenticação multifator (MFA) e selecione os métodos apropriados para MFA | Implementador de TI | Planejar uma implantação de autenticação multifator do Microsoft Entra | |
| 3. Habilite o Registro de Usuário combinado para seu diretório para permitir que os usuários se registrem para SSPR e MFA em uma etapa | Implementador de TI | Habilitar o registro combinado de informações de segurança no Microsoft Entra ID | |
| 4. Configure uma política de Acesso Condicional para exigir o registro de MFA. | Implementador de TI | Como configurar a política de registro de autenticação multifator do Microsoft Entra | |
| 5. Habilite políticas baseadas em risco de usuário e login para proteger o acesso do usuário aos recursos. | Implementador de TI | Como: Configurar e habilitar políticas de risco | |
| 6. Detete e bloqueie senhas fracas conhecidas e suas variantes e bloqueie termos fracos adicionais específicos da sua organização. | Implementador de TI | Elimine senhas incorretas usando o Microsoft Entra Password Protection | |
| 7. Implante o Microsoft Defender for Identity e analise e atenue quaisquer alertas abertos (em paralelo com suas operações de segurança). | Equipa de operações de segurança | Microsoft Defender para identidade | |
| 8. Implante credenciais sem senha. | Implementador de TI | Planejar uma implantação de autenticação sem senha no Microsoft Entra ID |
Agora você criou a seção Identidades da arquitetura Zero Trust.
Pontos finais
Garanta a conformidade e o status de integridade antes de conceder acesso aos seus pontos de extremidade (dispositivos) e obtenha visibilidade sobre como eles estão acessando a rede.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve a proteção geral de seus endpoints em termos de uma hierarquia de gerenciamento de patrocínio/programa/gerenciamento de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Proprietário | Responsabilidade |
|---|---|---|
| CISO, CIO ou Diretor de Segurança de Identidade | Patrocínio executivo | |
| Líder de programa do Identity Security ou de um Identity Architect | Impulsione resultados e colaboração entre equipes | |
| Arquiteto de Segurança | Aconselhar sobre configuração e padrões | |
| Segurança de identidade ou um arquiteto de segurança de infraestrutura | Implementar alterações de configuração | |
| Administrador de gerenciamento de dispositivos móveis (MDM) | Atualizar normas e documentos políticos | |
| Governança de segurança ou administrador de MDM | Monitorar para garantir a conformidade | |
| Equipa de Formação de Utilizadores | Garantir que as diretrizes para os usuários reflitam as atualizações da política |
Objetivos de implantação
Atenda a esses objetivos de implantação para proteger seus endpoints (dispositivos) com o Zero Trust.
| Concluído | Objetivo da implantação | Proprietário | Documentação |
|---|---|---|---|
| 1. Registre dispositivos com o Microsoft Entra ID. | Administrador de MDM | Identidades de dispositivos | |
| 2. Registre dispositivos e crie perfis de configuração. | Administrador de MDM | Visão geral do gerenciamento de dispositivos | |
| 3. Conecte o Defender for Endpoint ao Intune (em paralelo com suas operações de segurança). | Administrador de Segurança de Identidade | Configurar o Microsoft Defender para Ponto de Extremidade no Intune | |
| 4. Monitore a conformidade do dispositivo e o risco de Acesso Condicional. | Administrador de Segurança de Identidade | Utilizar políticas de conformidade para definir regras para dispositivos geridos com o Intune | |
| 5. Implemente uma solução de proteção de informações Microsoft Purview e integre-se às políticas de Acesso Condicional. | Administrador de Segurança de Identidade | Usar rótulos de sensibilidade para proteger o conteúdo |
Agora você criou a seção Endpoints da arquitetura Zero Trust.
Aplicações
Como os aplicativos são usados por usuários mal-intencionados para se infiltrar em sua organização, você precisa garantir que seus aplicativos estejam usando serviços, como o Microsoft Entra ID e o Intune, que forneçam proteção Zero Trust ou estejam protegidos contra ataques.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve uma implementação Zero Trust para aplicativos em termos de uma hierarquia de gerenciamento de patrocínio/programa/gerenciamento de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Proprietário | Responsabilidade |
|---|---|---|
| CISO, CIO ou Diretor de Segurança de Aplicativos | Patrocínio executivo | |
| Líder de programa do Gerenciamento de Aplicativos | Impulsione resultados e colaboração entre equipes | |
| Arquiteto de Identidade | Aconselhar sobre a configuração do Microsoft Entra para aplicativos Atualizar padrões de autenticação para aplicativos locais |
|
| Arquiteto Desenvolvedor | Aconselhar sobre configuração e padrões para aplicativos internos locais e na nuvem | |
| Arquiteto de Redes | Implementar alterações de configuração de VPN | |
| Arquiteto de Redes Cloud | Implantar proxy de aplicativo Microsoft Entra | |
| Governação da Segurança | Monitorar para garantir a conformidade |
Objetivos de implantação
Cumpra estes objetivos de implementação para garantir a proteção Zero Trust para as suas aplicações na nuvem da Microsoft, aplicações SaaS de terceiros, aplicações PaaS personalizadas e aplicações locais.
| Concluído | Tipo de utilização da aplicação ou da aplicação | Objetivos de implantação | Proprietário | Documentação |
|---|---|---|---|---|
| Aplicativos SaaS de terceiros e aplicativos PaaS personalizados registrados com o Microsoft Entra ID | O registro do aplicativo Microsoft Entra usa políticas de autenticação, certificação e consentimento do aplicativo do Microsoft Entra. Use as políticas de Acesso Condicional do Microsoft Entra e as políticas de MAM do Intune e Políticas de Proteção de Aplicativos (APP) para permitir o uso do aplicativo. |
Arquiteto de Identidade | Gerenciamento de aplicativos no Microsoft Entra ID | |
| Aplicativos na nuvem habilitados para OAuth e registrados no Microsoft Entra ID, Google e Salesforce | Use a governança de aplicativos no Microsoft Defender for Cloud Apps para visibilidade do comportamento do aplicativo, governança com imposição de políticas e deteção e correção de ataques baseados em aplicativos. | Engenheiro de Segurança | Descrição geral | |
| Aplicativos SaaS de terceiros e aplicativos PaaS personalizados que NÃO estão registrados com o Microsoft Entra ID | Registre-os com a ID do Microsoft Entra para políticas de autenticação, certificação e consentimento do aplicativo. Use as políticas de Acesso Condicional do Microsoft Entra e as políticas de MAM e APP do Intune. |
Arquiteto de Aplicativos | Integrando todos os seus aplicativos com o Microsoft Entra ID | |
| Usuários locais acessando aplicativos locais, que incluem aplicativos executados em servidores locais e baseados em IaaS | Certifique-se de que seus aplicativos suportam protocolos de autenticação modernos, como OAuth/OIDC e SAML. Entre em contato com o fornecedor do aplicativo para obter atualizações para proteger o login do usuário. | Arquiteto de Identidade | Consulte a documentação do seu fornecedor | |
| Usuários remotos acessando aplicativos locais por meio de uma conexão VPN | Configure seu dispositivo VPN para que ele use o Microsoft Entra ID como seu provedor de identidade | Arquiteto de Redes | Consulte a documentação do seu fornecedor | |
| Usuários remotos acessando aplicativos Web locais por meio de uma conexão VPN | Publique os aplicativos por meio do proxy de aplicativo Microsoft Entra. Os usuários remotos só precisam acessar o aplicativo publicado individual, que é roteado para o servidor Web local por meio de um conector de proxy de aplicativo. As conexões aproveitam a forte autenticação do Microsoft Entra e limitam os usuários e seus dispositivos a acessar um único aplicativo de cada vez. Em contraste, o escopo de uma VPN de acesso remoto típica é todos os locais, protocolos e portas de toda a rede local. |
Arquiteto de Redes Cloud | Acesso remoto a aplicações no local através de um Proxy de aplicações do Microsoft Entra |
Depois de concluir esses objetivos de implantação, você terá criado a seção Aplicativos da arquitetura Zero Trust.
Rede
O modelo Zero Trust assume a violação e verifica cada solicitação como se tivesse sido originada de uma rede não controlada. Embora essa seja uma prática comum para redes públicas, ela também se aplica às redes internas da sua organização que normalmente são protegidas por firewall da Internet pública.
Para aderir ao Zero Trust, sua organização deve abordar vulnerabilidades de segurança em redes públicas e privadas, seja no local ou na nuvem, e garantir que você verifique explicitamente, use o acesso com privilégios mínimos e assuma a violação. Dispositivos, usuários e aplicativos não devem ser inerentemente confiáveis porque estão em suas redes privadas.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve uma implementação Zero Trust para redes públicas e privadas em termos de uma hierarquia de gerenciamento de patrocínio/programa/gerenciamento de projetos para determinar e gerar resultados.
| Oportunidade Potencial | Proprietário | Responsabilidade |
|---|---|---|
| CISO, CIO ou Diretor de Segurança de Rede | Patrocínio executivo | |
| Líder de programa da Networking Leadership | Impulsione resultados e colaboração entre equipes | |
| Arquiteto de Segurança | Aconselhar sobre criptografia e configuração e padrões de política de acesso | |
| Arquiteto de Redes | Aconselhar sobre filtragem de tráfego e alterações na arquitetura de rede | |
| Engenheiros de Redes | Projetar alterações na configuração da segmentação | |
| Implementadores de rede | Alterar a configuração do equipamento de rede e atualizar documentos de configuração | |
| Governança de Redes | Monitorar para garantir a conformidade |
Objetivos de implantação
Cumpra estes objetivos de implementação para garantir a proteção Zero Trust para as suas redes públicas e privadas, tanto para o tráfego local como para o tráfego baseado na nuvem. Estes objetivos podem ser realizados em paralelo.
| Concluído | Objetivo da implantação | Proprietário | Documentação |
|---|---|---|---|
| Exija criptografia para todas as conexões de tráfego, inclusive entre componentes IaaS e entre usuários e aplicativos locais. | Arquiteto de Segurança | Componentes IaaS do Azure IPsec para dispositivos Windows locais |
|
| Limite o acesso a dados e aplicativos críticos por política (identidade do usuário ou dispositivo) ou filtragem de tráfego. | Arquiteto de Segurança ou Arquiteto de Redes | Políticas de acesso para o Defender for Cloud Apps Controlo de Aplicação de Acesso Condicional Firewall do Windows para dispositivos Windows |
|
| Implante a segmentação de rede local com controles de tráfego de entrada e saída com microperímetros e microssegmentação. | Arquiteto de Redes ou Engenheiro de Redes | Consulte a documentação da rede local e dos dispositivos de borda. | |
| Use a deteção de ameaças em tempo real para o tráfego local. | Analistas SecOps | Proteção contra ameaças do Windows Microsoft Defender para Ponto de Extremidade |
|
| Implante a segmentação de rede em nuvem com controles de tráfego de entrada e saída com microperímetros e microssegmentação. | Arquiteto de Redes ou Engenheiro de Redes | Recomendações para redes e conectividade | |
| Use a deteção de ameaças em tempo real para o tráfego na nuvem. | Arquiteto de Redes ou Engenheiro de Redes | Filtragem baseada em inteligência de ameaças do Firewall do Azure Sistema de deteção e prevenção de intrusões de rede (IDPS) da Firewall do Azure Premium |
Depois de concluir esses objetivos de implantação, você terá criado a seção Rede da arquitetura Zero Trust.
Próximo passo
Continue a iniciativa de acesso e produtividade do usuário com Dados, Conformidade e Governança.