Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece as práticas recomendadas para proteger sua solução do Azure AD B2C (Azure Active Directory B2C). Para criar sua solução de identidade usando o Azure AD B2C envolve muitos componentes que você deve considerar proteger e monitorar.
Dependendo da solução, você tem um ou mais dos seguintes componentes no escopo:
- Pontos de extremidade de autenticação do Azure AD B2C
-
Fluxos de usuário do Azure AD B2C ou políticas personalizadas
- Entrar
- Inscrição
- Email com senha única (OTP)
- Controles de autenticação multifator
- APIs REST externas
Você deve proteger e monitorar todos esses componentes para garantir que os usuários possam entrar em aplicativos sem interrupções. Siga as diretrizes neste artigo para proteger sua solução contra ataques de bot, criação de conta fraudulenta, ISRF (fraude de participação em receita internacional) e pulverização de senha.
Como proteger sua solução
Sua solução de identidade usa vários componentes para fornecer uma experiência de entrada suave. A tabela a seguir mostra os mecanismos de proteção que recomendamos para cada componente.
| Componente | Ponto final | Por que | Como proteger |
|---|---|---|---|
| Endereços de autenticação do Azure AD B2C |
/authorize, /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
Impedir esgotamento de recursos | WAF (Firewall de Aplicativo Web) e AFD (Azure Front Door) |
| Entrar | NÃO.DISP | Entradas maliciosas podem tentar usar força bruta para acessar contas ou usar credenciais vazadas | Proteção de Identidade |
| Inscrever-se | NÃO.DISP | Entradas fraudulentas que podem tentar esgotar recursos. |
Proteção de endpoint Tecnologias de prevenção contra fraudes, como o Dynamics Fraud Protection |
| OTP de email | NÃO.DISP | Tentativas fraudulentas de força bruta ou de esgotar recursos | Proteção de ponto de extremidade e Aplicativo Authenticator |
| Controles de autenticação multifator | NÃO.DISP | Chamadas telefônicas não solicitadas ou mensagens SMS ou esgotamento de recursos. | Proteção de ponto de extremidade e Aplicativo Authenticator |
| APIs REST externas | Pontos de extremidade da sua API REST | O uso mal-intencionado de fluxos de usuário ou políticas personalizadas pode levar ao esgotamento de recursos em seus pontos de extremidade de API. | WAF e AFD |
Mecanismos de proteção
A tabela a seguir fornece uma visão geral dos diferentes mecanismos de proteção que você pode usar para proteger diferentes componentes.
| O que | Por que | Como |
|---|---|---|
| Firewall do aplicativo Web (WAF) | O WAF serve como a primeira camada de defesa contra solicitações mal-intencionadas feitas aos endpoints do Azure AD B2C. Ele fornece uma proteção centralizada contra explorações e vulnerabilidades comuns, como DDoS, bots, OWASP Top 10 e assim por diante. É recomendável que você use o WAF para garantir que solicitações mal-intencionadas sejam interrompidas antes mesmo de chegarem aos pontos de extremidade do Azure AD B2C.
Para habilitar o WAF, primeiro você deve habilitar domínios personalizados no Azure AD B2C usando o AFD. |
|
| AFD (Azure Front Door) | O AFD é um ponto de entrada global e escalonável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escalonáveis. Os principais recursos do AFD são:
|
|
| Verificação de Identidade e Prova/Proteção contra Fraudes | A verificação e a revisão de identidade são essenciais para criar uma experiência de usuário confiável e proteger contra a aquisição de conta e a criação fraudulenta de conta. Ele também contribui para a higiene do locatário, garantindo que os objetos do usuário reflitam os usuários reais, que se alinham aos cenários de negócios.
O Azure AD B2C permite a integração de verificação e revisão de identidade e proteção contra fraudes de vários parceiros fornecedores de software. |
|
| Proteção de Identidade | A Proteção de Identidade fornece detecção de risco contínua. Quando um risco é detectado durante a entrada, você pode configurar a política condicional do Azure AD B2C para permitir que o usuário corrija o risco antes de continuar com a entrada. Os administradores também podem usar relatórios de proteção de identidade para examinar usuários arriscados que estão em risco e examinar os detalhes de detecção. O relatório de detecções de risco inclui informações sobre cada detecção de risco, como seu tipo e o local da tentativa de entrada e muito mais. Os administradores também podem confirmar ou negar que o usuário está comprometido. | |
| AC (Acesso Condicional) | Quando um usuário tenta entrar, a AC reúne vários sinais, como riscos da proteção de identidade, para tomar decisões e impor políticas organizacionais. A AC pode ajudar os administradores a desenvolver políticas consistentes com a postura de segurança da organização. As políticas podem incluir a capacidade de bloquear completamente o acesso do usuário ou fornecer acesso depois que o usuário concluir outra autenticação, como a MFA. | |
| Autenticação multifator | A MFA adiciona uma segunda camada de segurança ao processo de inscrição e entrada e é um componente essencial para melhorar a postura de segurança da autenticação do usuário no Azure AD B2C. O aplicativo Authenticator – TOTP é o método MFA recomendado no Azure AD B2C. | |
| Gerenciamento de Informações de Segurança e Eventos (SIEM)/ Orquestração de Segurança, Automação e Resposta (SOAR) | Você precisa de um sistema de monitoramento e alerta confiável para analisar padrões de uso, como entradas e inscrição, e detectar qualquer comportamento anômalo que possa ser um indicativo de um ataque cibernético. É uma etapa importante que adiciona uma camada extra de segurança. Também é possível entender padrões e tendências que só podem ser capturados e desenvolvidos ao longo do tempo. O alerta auxilia na determinação de fatores como a taxa de alteração nos logins gerais, um aumento nos logins falhos, processos de inscrição mal-sucedidos, fraudes telefônicas, como ataques IRSF, e assim por diante. Tudo isso pode ser indicadores de um ataque cibernético contínuo que requer atenção imediata. O Azure AD B2C dá suporte ao registro em log de alto nível e detalhado, bem como à geração de relatórios e alertas. É recomendável que você implemente monitoramento e alertas em todos os locatários de produção. |
Protegendo suas APIs REST
O Azure AD B2C permite que você se conecte a sistemas externos usando os Conectores de API ou o perfil técnico da API REST. Você precisa proteger essas interfaces. Você pode impedir solicitações mal-intencionadas para suas APIs REST protegendo os pontos de extremidade de autenticação do Azure AD B2C. Você pode proteger esses pontos de extremidade com um WAF e um AFD.
Cenário 1: como proteger sua experiência de entrada
Depois de criar uma experiência de entrada ou fluxo de usuário, você precisará proteger componentes específicos do seu fluxo contra atividades mal-intencionadas. Por exemplo, se o fluxo de entrada envolver o seguinte, a tabela mostrará os componentes necessários para proteger e a técnica de proteção associada:
- Autenticação de email e senha da conta local
- Autenticação multifator do Microsoft Entra usando SMS ou chamada telefônica
| Componente | Ponto final | Como proteger |
|---|---|---|
| Endereços de autenticação do Azure AD B2C |
/authorize, /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
WAP e AFD |
| Entrar | NÃO.DISP | Proteção de Identidade |
| Controles de autenticação multifator | NÃO.DISP | Aplicativo autenticador |
| API REST externa | Ponto de extremidade da sua API. | Aplicativo autenticador, WAF e AFD |
Cenário 2: como proteger sua experiência de inscrição
Depois de criar uma experiência de inscrição ou fluxo de usuário, você precisará proteger componentes específicos do seu fluxo contra atividades mal-intencionadas. Se o fluxo de entrada envolver o seguinte, a tabela mostrará os componentes necessários para proteger e a técnica de proteção associada:
- Inscrição de senha e email da conta local
- Verificação de email usando o email OTP
- Autenticação multifator do Microsoft Entra usando SMS ou chamada telefônica
| Componente | Ponto final | Como proteger |
|---|---|---|
| Endereços de autenticação do Azure AD B2C |
/authorize, /token, , /.well-known/openid-configuration/discovery/v2.0/keys |
WAF e AFD |
| inscrever-se | NÃO.DISP | Dynamics 365 Fraud Protection |
| OTP de email | NÃO.DISP | WAF e AFD |
| Controles de autenticação multifator | NÃO.DISP | Aplicativo autenticador |
Nesse cenário, o uso dos mecanismos de proteção WAF e AFD protege tanto os pontos de extremidade de autenticação do Azure AD B2C quanto os componentes de OTP de Email.
Próximas etapas
- Configure um firewall de aplicações web para proteger os endpoints de autenticação do Azure AD B2C.
- Configure a prevenção contra fraudes com o Dynamics para proteger suas experiências de autenticação.
- Investigue o risco com o Identity Protection no Azure AD B2C para descobrir, investigar e corrigir riscos baseados em identidade.
- Proteger a autenticação multifator baseada em telefone para proteger sua autenticação multifator baseada em telefone.
- Configure o Identity Protection para proteger sua experiência de entrada.
- Configure o Monitoramento e os alertas para serem alertados sobre quaisquer ameaças.