Descrever o Acesso Seguro Global no Microsoft Entra

  • 9 minutos

O Microsoft Entra agora fornece um novo conjunto de produtos sob o título de Microsoft Global Secure Access. Global Secure Access é o termo unificador usado para o Microsoft Entra Internet Access e Microsoft Entra Private Access.

O Microsoft Entra Internet Access protege o acesso a aplicações SaaS (Software as a Service), incluindo Serviços Microsoft, e aplicações públicas da Internet, ao mesmo tempo que protege utilizadores, dispositivos e dados contra ameaças da Internet.

O Microsoft Entra Private Access fornece aos seus usuários, seja em um escritório ou trabalhando remotamente, acesso seguro aos seus recursos corporativos privados.

O Microsoft Entra Internet Access e o Microsoft Entra Private Access se unem como uma solução que converge controles de rede, identidade e acesso de ponto de extremidade Zero Trust para que você possa proteger o acesso a qualquer aplicativo ou recurso, de qualquer local, dispositivo ou identidade. Esse tipo de solução representa uma nova categoria de segurança de rede chamada Security Service Edge (SSE).

O SSE ajuda a enfrentar desafios de segurança, como:

  • A necessidade de reduzir o risco de movimento lateral através de um túnel VPN comprometido.
  • A necessidade de colocar um perímetro em torno de ativos baseados na Internet.
  • A necessidade de melhorar o serviço em locais de escritórios remotos, como filiais.

A solução Security Service Edge da Microsoft, Global Secure Access, fornece proteções avançadas para seus recursos baseados na Internet e recursos executados em sua nuvem privada ou infraestrutura local, para ajudar a enfrentar os desafios de segurança.

A solução emprega um cliente Global Secure Access que dá às organizações controle sobre o tráfego de rede no dispositivo de computação do usuário final. As organizações ganham a capacidade de rotear perfis de tráfego específicos por meio do Microsoft Entra Internet Access e do Microsoft Entra Private Access. O roteamento de tráfego nesse método permite mais controles habilitados pela integração profunda com políticas de acesso condicional e riscos avaliados em tempo real, entre identidade, dispositivo, local e aplicativos para proteger qualquer aplicativo ou recurso.

Captura de tela mostrando os componentes que compõem o Acesso Seguro Global.

Acesso Privado do Microsoft Entra

As soluções VPN são frequentemente usadas como um método principal para controlar o acesso à rede corporativa. Uma vez que a conectividade de rede privada é estabelecida, a porta da frente da sua rede é desbloqueada e, além disso, é comum que os usuários e dispositivos tenham permissão excessiva. Isso aumenta significativamente a superfície de ataque da sua organização.

O Microsoft Entra Private Access pode ser implantado para bloquear movimentos de ataques laterais, reduzir o acesso excessivo e substituir VPNs herdadas. O serviço fornece aos seus usuários - seja em um escritório ou trabalhando remotamente - acesso seguro aos seus recursos corporativos privados.

Conceitualmente, a maneira como o Acesso Privado funciona é que, para um determinado conjunto de recursos privados que você deseja proteger, você configura um novo aplicativo corporativo que serve como um contêiner para esses recursos privados. O novo aplicativo tem um conector de rede que serve como um intermediário entre o serviço de Acesso Privado e o recurso que um usuário deseja acessar. Agora, claramente, as empresas têm requisitos diferentes para acessar diferentes recursos privados, então o Microsoft Entra Private Access fornece duas maneiras pelas quais você pode configurar os recursos privados que deseja acessar por meio do serviço.

  • Acesso Rápido - Conforme descrito anteriormente, o Acesso Privado funciona criando um novo aplicativo corporativo que serve como um contêiner para os recursos privados que você deseja proteger. Com o Acesso Rápido, você determina quais recursos privados adicionar ao "contêiner" ou aplicativo empresarial; que, chamaremos de aplicativo de Acesso Rápido. Os recursos privados que você adiciona ao Aplicativo de Acesso Rápido são definidos pelo FQDN, endereço IP, IP ou intervalo de endereços e portas usadas para acessar o recurso. Essas informações são conhecidas como um segmento de aplicativo de Acesso Rápido. Você pode adicionar muitos segmentos de aplicativo ao aplicativo de Acesso Rápido. Em seguida, você pode vincular políticas de acesso condicional ao aplicativo de Acesso Rápido.

    Diagrama do Microsoft Entra Private Access com mostrando os componentes do Acesso Rápido.

  • Aplicativo Global Secure Access - O aplicativo Global Secure Access, também conhecido como Acesso por aplicativo, fornece uma abordagem mais granular. Com o aplicativo Global Secure Access, você pode criar vários "contêineres" ou aplicativos corporativos. Para cada um desses novos aplicativos corporativos, você define as propriedades do recurso privado e atribui usuários e grupos e políticas de acesso condicional específicas. Por exemplo, você pode ter um grupo de recursos privados que precisa proteger, mas para os quais deseja definir diferentes políticas de acesso com base em como eles estão acessando o recurso ou para um período de tempo específico.

    Diagrama do Microsoft Entra Private Access com mostrando os componentes do aplicativo Global Secure Access, também conhecido como Acesso por aplicativo.

Acesso à Internet do Microsoft Entra

Um Secure Web Gateway (SWG) é uma solução de segurança cibernética que protege os usuários contra ameaças baseadas na Web, filtrando o tráfego da Internet e aplicando políticas de segurança.

O Microsoft Entra Internet Access fornece uma solução SWG (Secure Web Gateway) centrada na identidade para aplicativos SaaS (Software as a Service), incluindo Serviços Microsoft e outros tráfegos da Internet. Protege os utilizadores, os dispositivos e os dados da vasta variedade de ameaças da Internet com os melhores controlos de segurança e visibilidade através de Registos de Tráfego.

Algumas das principais características incluem:

  • Proteção contra roubo de identidade ou token do usuário usando políticas de Acesso Condicional para executar uma verificação de rede compatível para acesso a recursos.
    • A imposição de rede compatível acontece no plano de autenticação e no plano de dados. A imposição do plano de autenticação é executada pela ID do Microsoft Entra no momento da autenticação do usuário. A imposição do plano de dados funciona com serviços que suportam a Avaliação Contínua de Acesso (CAE)
    • A Avaliação Contínua de Acesso (CAE) é um recurso de segurança onde os aplicativos e o Microsoft Entra se comunicam constantemente para garantir que o acesso do usuário esteja atualizado e seguro. Se algo mudar, como a localização de um usuário ou surgir um problema de segurança, o sistema pode ajustar ou bloquear rapidamente o acesso quase em tempo real, garantindo que as políticas sejam sempre aplicadas.
  • Restrições de locatário para evitar a exfiltração de dados para outros locatários ou contas pessoais, incluindo acesso anônimo.
  • Políticas de perfil de encaminhamento de tráfego de acesso à Internet para controlar quais sites da Internet podem ser acessados para garantir que os trabalhadores remotos se conectem à Internet de forma controlada e segura.
  • Filtragem de conteúdo da Web para regular o acesso a sites com base em suas categorias de conteúdo e nomes de domínio.
  • e muito mais...

Painel de Acesso Seguro Global

O Global Secure Access inclui um painel que fornece visualizações do tráfego de rede adquirido pelos serviços Microsoft Entra Private e Microsoft Entra Internet Access. O painel compila os dados de suas configurações de rede, incluindo dispositivos, usuários e locatários em vários widgets. Esses widgets, por sua vez, fornecem informações que você pode usar para monitorar e melhorar suas configurações de rede. Alguns dos widgets disponíveis incluem:

  • Instantâneo de Acesso Seguro Global
  • Alertas e notificações (pré-visualização)
  • Perfil de uso (visualização)
  • Acesso entre locatários
  • Filtragem de categorias da Web
  • Estado do dispositivo

Instantâneo de Acesso Seguro Global

O widget de instantâneo de Acesso Seguro Global fornece um resumo de quantos usuários e dispositivos estão usando o serviço e quantos aplicativos foram protegidos por meio do serviço. O widget tem como padrão mostrar todos os tipos de tráfego, mas você pode alterar o filtro para mostrar o tráfego de Acesso à Internet, Acesso Privado ou Microsoft.

Captura de tela do widget de instantâneo do Acesso Seguro Global.

Perfil de uso (visualização)

O widget Criação de perfil de uso exibe padrões de uso para Acesso à Internet, Acesso Privado ou Microsoft 365 durante um período de tempo selecionado e por categoria.

Captura de tela do widget de criação de perfil de uso.

Alertas e notificações (pré-visualização)

O widget Alertas e notificações mostra o que está acontecendo na rede e ajuda a identificar atividades suspeitas ou tendências identificadas pelos dados da rede.

Este widget fornece os seguintes alertas:

  • Rede remota não íntegra: uma rede remota não íntegra tem um ou mais links de dispositivo desconectados.
  • Aumento da atividade de locatários externos: o número de usuários que acessam locatários externos aumentou.
  • Inconsistência de token e dispositivo: o token original é usado em um dispositivo diferente.
  • Conteúdo da Web bloqueado: O acesso ao site foi bloqueado.

Captura de tela do widget de notificações de alertas do painel.

Acesso entre locatários O Acesso Seguro Global fornece visibilidade sobre o número de usuários e dispositivos que estão acessando outros locatários. Este widget exibe as seguintes informações:

  • Entradas: o número de entradas por meio do Microsoft Entra ID nos serviços da Microsoft nas últimas 24 horas. Este widget fornece informações sobre a atividade no seu inquilino.
  • Total de inquilinos distintos: o número de IDs de inquilino distintos vistos nas últimas 24 horas.
  • Inquilinos invisíveis: o número de IDs de inquilinos distintos que foram vistos nas últimas 24 horas, mas não nos sete dias anteriores.
  • Usuários: o número de entradas de usuário distintas para outros locatários nas últimas 24 horas.
  • Dispositivos: o número de dispositivos distintos que entraram em outros locatários nas últimas 24 horas.

Captura de ecrã do widget de acesso entre inquilinos.

Filtragem de categorias da Web

O widget de filtragem de categoria da Web exibe as principais categorias de conteúdo da Web que foram bloqueadas ou permitidas pelo serviço. Essas categorias podem ser usadas para determinar quais sites ou categorias de sites você pode querer bloquear.

Status do dispositivo Os widgets Status do dispositivo exibem os dispositivos ativos e inativos que você implantou.

Captura de ecrã do widget de estado do dispositivo.