Compartilhar via

Acesso privilegiado

O gerenciamento de acesso privilegiado estabelece controles para proteger credenciais administrativas e operações de alto impacto em ambientes de nuvem. Ao contrário dos modelos locais tradicionais com grupos de administradores estáticos, as plataformas de nuvem modernas exigem atribuição dinâmica de privilégios com limite de tempo, monitoramento contínuo e acesso just-in-time para lidar com alterações rápidas de infraestrutura e superfícies de ataque expandidas, incluindo roubo de credenciais, escalonamento de privilégios e movimentação lateral. As organizações que implementam esses controles impõem privilégios mínimos e princípios de Confiança Zero, mantendo a agilidade operacional, enquanto as que negligenciam essas medidas enfrentam comprometimento de credencial não detectado e acesso administrativo irrestrito, permitindo violações em todo o locatário.

Aqui estão os quatro pilares principais do domínio de segurança do Privileged Access.

Proteger identidades de usuário: Estabeleça segurança para todas as contas de usuário, especialmente as privilegiadas, por meio do gerenciamento centralizado de identidades, autenticação multifator forte, gerenciamento de ciclo de vida, estações de trabalho de acesso privilegiado e planejamento de acesso de emergência.

Controles relacionados:

Proteger aplicativos e segredos: Gerencie identidades não humanas com segurança por meio da autenticação automatizada de servidor/serviço e gerenciamento seguro de segredos para chaves e certificados de API.

Controles relacionados:

Acesso seguro: Imponha privilégios mínimos e administração just-enough por meio de permissões de limite de tempo, políticas de acesso condicional e acesso externo controlado para suporte ao provedor de nuvem.

Controles relacionados:

Monitore e governança: Mantenha o monitoramento contínuo por meio de revisões de acesso regulares, reconciliação dos direitos do usuário, detecção de anomalias e registro de auditoria para garantir as permissões apropriadas e a revogação oportuna.

Controles relacionados:

PA-1: separar e limitar usuários altamente privilegiados/administrativos

Azure Policy: Confira as definições de política internas do Azure: PA-1.

Princípio de segurança

Identifique todas as contas de alto impacto nos negócios e limite o número de contas administrativas privilegiadas no plano de controle, no plano de gerenciamento e no plano de carga de trabalho de dados para minimizar a superfície de ataque e o raio de explosão das credenciais comprometidas.

Risco a mitigar

  • Acesso não autorizado de contas com privilégios excessivos Os adversários exploram contas altamente privilegiadas com permissões excessivas para obter acesso não autorizado a recursos de nuvem críticos, como consoles de gerenciamento, APIs ou armazenamentos de dados confidenciais. Sem separação, uma única conta de administrador comprometida pode fornecer aos invasores acesso irrestrito para modificar políticas de IAM, implantar cargas de trabalho mal-intencionadas ou exfiltrar dados em um locatário inteiro.
  • Escalonamento de privilégios por meio de credenciais administrativas comprometidas Os invasores aproveitam credenciais privilegiadas comprometidas para escalonar o acesso, ganhando controle sobre locatários de nuvem ou infraestrutura crítica. Em ambientes em que as contas administrativas não são isoladas, uma credencial roubada pode ser usada para manipular atribuições de função, criar novas contas com privilégios ou desabilitar controles de segurança, permitindo o comprometimento em todo o locatário.
  • Acesso persistente de contas com privilégios obsoletos ou não monitorados Os adversários exploram contas com privilégios obsoletos ou não monitorados para manter o acesso persistente, evitando a detecção após o comprometimento inicial. Contas de administrador que permanecem ativas após alterações de função ou conclusão do projeto fornecem aos invasores acesso de longo prazo para invocar APIs ou modificar recursos, aumentando o risco de violações prolongadas.

MITRE ATT&CK

  • Acesso Inicial (TA0001) Contas válidas: contas de nuvem (T1078.004): comprometendo a segurança de contas altamente privilegiadas para autenticar em consoles de nuvem ou APIs, acessando recursos críticos com credenciais de administrador roubadas.
  • Escalonamento de privilégios (TA0004) Mecanismo de controle de elevação de privilégios indevidos: infraestrutura de nuvem (T1548.005): exploração de contas privilegiadas sem escopo para escalonar o acesso modificando as políticas de IAM, obtendo controle total do locatário.
  • Persistência (TA0003) Manipulação de conta: funções de nuvem adicionais (T1098.001): alteração de contas privilegiadas para adicionar funções persistentes, mantendo o acesso de longo prazo aos recursos de nuvem.

PA-1.1: Restringir e limitar usuários altamente privilegiados/administrativos no Microsoft Entra

Restringir contas administrativas altamente privilegiadas impede o acesso não autorizado em todo o locatário e limita o raio de explosão de credenciais comprometidas. Organizações com administradores globais excessivos enfrentam maior risco de violações em que os invasores podem manipular políticas de IAM, implantar cargas de trabalho mal-intencionadas ou exfiltrar dados em todos os recursos. Limitar essas contas apenas à equipe essencial impõe privilégios mínimos e reduz a superfície de ataque.

Implemente as seguintes restrições para funções administrativas de identidade de nuvem:

  • Identificar funções internas críticas As funções internas mais críticas na ID do Microsoft Entra são Administrador Global e Administrador de Funções Privilegiadas, pois os usuários atribuídos a essas funções podem delegar funções de administrador e ler e modificar direta ou indiretamente todos os recursos em seu ambiente de nuvem.

  • Avaliar permissões de função personalizada Examine as funções personalizadas em seu sistema de gerenciamento de identidade para obter permissões privilegiadas que precisam ser governadas com base em suas necessidades comerciais, aplicando as mesmas restrições que as funções privilegiadas internas.

  • Estender restrições além dos sistemas de identidade de nuvem Restringir contas privilegiadas em sistemas de identidade locais, ferramentas de segurança e ferramentas de gerenciamento de sistema com acesso administrativo a ativos comercialmente críticos (como controladores de domínio do Active Directory, sistemas de monitoramento de segurança e ferramentas de gerenciamento de configuração), pois o comprometimento desses sistemas de gerenciamento permite que os invasores os armazenem para movimentação lateral para recursos de nuvem.

PA-1.2: Restringir e limitar usuários altamente privilegiados/administrativos no nível de recurso do Azure

Limitar funções privilegiadas no nível de recurso impede o acesso não autorizado aos recursos de nuvem e impõe menos privilégios entre assinaturas e grupos de recursos. Atribuições excessivas de Proprietário ou Colaborador no escopo da assinatura permitem que os invasores manipulem recursos, modifiquem controles de segurança ou escalonem privilégios após o comprometimento inicial. Restringir essas atribuições reduz o raio de explosão e garante que o acesso administrativo se alinhe às responsabilidades operacionais.

Aplique as seguintes restrições para funções administrativas no nível do recurso de nuvem:

  • Restringir funções de recurso internas críticas O Azure tem funções internas que concedem permissões abrangentes (o Proprietário concede acesso total, incluindo atribuição de função; O colaborador concede gerenciamento completo de recursos; O Administrador de Acesso do Usuário permite o gerenciamento de acesso do usuário, exigindo as mesmas restrições que as funções com privilégios no nível do locatário.

  • Controlar funções de recurso personalizadas Examine e restrinja funções personalizadas no nível do recurso com permissões privilegiadas atribuídas às necessidades de negócios, garantindo que elas não concedam acesso excessivo inadvertidamente por meio de combinações de permissão.

  • Controlar funções de gerenciamento de cobrança e assinatura Para clientes com Contrato Enterprise, restrinja as funções administrativas de Gerenciamento de Custos e Cobrança do Azure (Proprietário da Conta, Administrador da Empresa, Administrador do Departamento), pois eles podem gerenciar assinaturas direta ou indiretamente, criar/excluir assinaturas e gerenciar outros administradores.

Exemplo de implementação

Desafio: Uma organização de serviços financeiros descobriu acesso privilegiado excessivo em camadas de identidade e recursos: 47 contas de Administrador Global no Microsoft Entra ID (a maioria não usada por mais de seis meses) e 89 usuários com função de Proprietário no escopo da assinatura no Azure, criando uma superfície de ataque maciça e violando princípios de privilégios mínimos.

Solution:

  • Audite e reduza as funções com privilégios do Entra: Realizou uma auditoria abrangente de todas as atribuições de Administrador Global e Administrador de Funções Privilegiadas, identificando a justificativa de negócios para cada conta e reduzindo de 47 para 8 Administradores Globais alinhados às necessidades operacionais.
  • Implementar atribuições específicas de função no Entra: Usuários em transição do Administrador Global para funções específicas (Administrador de Usuário, Administrador de Segurança, Administrador de Conformidade) com base em funções de trabalho reais, usando funções internas do Microsoft Entra para impor permissões granulares.
  • Reduzir atribuições de escopo de assinatura do Azure: Auditamos todas as atribuições das funções de Proprietário e Colaborador no nível RBAC (controle de acesso baseado em função) do Azure, reduzindo as atribuições de Proprietário no escopo de assinatura de 89 para 12, ao delimitar funções para grupos de recursos específicos com base nas responsabilidades da equipe.
  • Implementar o escopo do grupo de recursos: Equipes de desenvolvimento transicionadas de Colaborador em nível de assinatura para Colaborador em nível de grupo de recursos ou para funções internas integradas específicas (Colaborador de Máquina Virtual, Colaborador de Conta de Armazenamento) que correspondem às necessidades reais.
  • Estabelecer governança unificada: O fluxo de trabalho de aprovação criado exige a aprovação da equipe executiva e de segurança para novas atribuições de função com privilégios nos níveis de recursos do Entra e do Azure, com revisões de acesso trimestral e alertas automatizados para atribuições que excedem os escopos aprovados.

Resultado: A organização reduziu drasticamente a superfície de ataque de conta privilegiada em camadas de identidade e recursos, eliminou o acesso administrativo obsoleto e estabeleceu uma governança sustentável impedindo o aumento de privilégios nos níveis de locatário e assinatura.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2(1), AC-2(7), AC-5, AC-6(1), AC-6(5)
  • PCI-DSS v4 7.2.2, 7.2.4, 8.2.2
  • Controles CIS v8.1 5.4, 6.7, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.2

PA-2: evite o acesso permanente para contas de usuário e permissões

Azure Policy: Confira as definições de política internas do Azure: PA-2.

Princípio de segurança

Implemente mecanismos de acesso privilegiado em tempo real para atribuir permissões temporárias e com limite de tempo, em vez de privilégios permanentes e contínuos, prevenindo que usuários mal-intencionados ou não autorizados explorem o acesso administrativo contínuo após a comprometimento de credenciais ou ações internas.

Risco a mitigar

  • Acesso não autorizado de contas com privilégios persistentes Funções de alto privilégio em pé permitem que os adversários usem indevidamente credenciais comprometidas para acesso não autorizado aos recursos de nuvem, como invocar APIs para exfiltrar dados ou implantar cargas de trabalho mal-intencionadas, explorando permissões sempre ativas sem restrições temporais.
  • Escalonamento de privilégios por meio de credenciais comprometidas Contas comprometidas com funções elevadas persistentes permitem que os invasores escalonem privilégios modificando políticas de IAM, como atribuir funções administrativas em todo o locatário, explorando a ausência de acesso limitado por tempo para obter controle sobre assinaturas ou recursos.
  • Exposição prolongada de acessos não atualizados Funções não revogadas após a conclusão da tarefa criam janelas de exposição prolongada, permitindo que os adversários explorem credenciais obsoletas para acesso não autorizado, como a extração de dados de contas de armazenamento, devido a permissões esquecidas ou não gerenciadas.

MITRE ATT&CK

  • Acesso Inicial (TA0001) Contas Válidas: Contas de Nuvem (T1078.004): comprometendo contas com funções de privilégio alto permanentes para autenticar em consoles de gerenciamento de nuvem ou APIs, usando credenciais persistentes para acessar recursos sem restrições de limite de tempo.
  • Escalonamento de privilégios (TA0004) Mecanismo de Controle de Elevação de Abuso: Infraestrutura de Nuvem (T1548.005): Explorando funções com privilégios persistentes para escalonar o acesso modificando políticas de IAM, aproveitando permissões sempre ativas para obter controle não autorizado sobre assinaturas.
  • Persistência (TA0003) Manipulação de Conta: Funções de nuvem adicionais (T1098.001): modificando atribuições de função para manter o acesso persistente adicionando funções de alto privilégio a contas comprometidas, explorando a falta de acesso limitado por tempo.

PA-2.1: usar o controle JIT (just-in-time) para acesso a recursos do Azure

O acesso privilegiado just-in-time impede permissões administrativas persistentes que permitem acesso não autorizado após o comprometimento de credenciais. As organizações com funções com privilégios permanentes enfrentam janelas de exposição estendida, em que os invasores podem explorar permissões sempre ativas para exfiltração de dados, escalonamento de privilégios ou movimentação lateral sem restrições de tempo. Implementar o acesso JIT garante que as permissões expirem automaticamente, limitando o raio da explosão e reduzindo a superfície de ataque.

Utilize a seguinte abordagem para habilitar o acesso just-in-time:

  • Implantar o Privileged Identity Management Habilite o acesso privilegiado JIT (just-in-time) aos recursos do Azure e à ID do Microsoft Entra usando o PIM (Microsoft Entra Privileged Identity Management), onde os usuários recebem permissões temporárias para executar tarefas privilegiadas que expiram automaticamente, impedindo o acesso não autorizado após a expiração das permissões e gerando alertas de segurança para atividades suspeitas.

  • Configurar atribuições de função qualificadas Os administradores atribuem funções qualificadas a usuários ou grupos por meio do PIM, especificando quem pode solicitar funções privilegiadas e definindo requisitos de ativação, incluindo fluxos de trabalho de aprovação, requisitos de MFA e durações de limite de tempo (normalmente de 1 a 8 horas).

  • Estabelecer fluxos de trabalho de ativação Os usuários solicitam ativação de função por meio do portal do Azure ou da API do PIM quando o acesso privilegiado é necessário, fornecendo justificativa e janela de tempo, com aprovadores revisando solicitações com base em políticas e concedendo ou negando acesso, enquanto o PIM registra todas as ações para fins de auditoria.

  • Implementar a expiração automática O acesso expira automaticamente quando o período de ativação termina ou os usuários podem desativar manualmente antecipadamente se as tarefas forem concluídas, garantindo que as permissões privilegiadas não permaneçam ativas além da necessidade operacional.

  • Habilitar o JIT para acesso à máquina virtual Use o Azure Bastion com acesso de VM JIT do Microsoft Defender para Nuvem para restringir o tráfego de entrada às portas de gerenciamento de máquinas virtuais confidenciais, concedendo acesso somente quando os usuários precisarem e revogando automaticamente quando o tempo expirar.

Exemplo de implementação

Desafio Uma empresa de varejo global tinha 156 usuários com funções de Proprietário e Colaborador permanentes no escopo da assinatura, criando acesso persistente de alto privilégio que permaneceu ativo 24/7, apesar das necessidades administrativas pouco frequentes.

Solution

  • Implementar o PIM para recursos do Azure Converter todas as atribuições de função de Proprietário e Contribuidor permanentes em funções qualificadas no PIM, exigindo que os usuários ativem funções somente ao executar tarefas administrativas, com ativação por tempo limitado de 4 horas.
  • Configurar fluxos de trabalho de aprovação Estabeleceu um sistema de aprovação em vários estágios para a ativação da função de proprietário, exigindo aprovação do proprietário do recurso e da equipe de segurança, com aplicação automatizada de MFA e requisitos de justificativa para todas as solicitações de acesso privilegiado.
  • Habilitar o acesso à VM JIT O Azure Bastion é implantado com controles JIT do Defender para Nuvem, restringindo o acesso RDP/SSH a máquinas virtuais de produção, permitindo o acesso somente por meio de solicitações com duração limitada aprovadas, eliminando a exposição contínua das portas de gerenciamento.

Resultado A organização eliminou o acesso privilegiado persistente, reduziu substancialmente a superfície de ataque de permissões administrativas permanentes e estabeleceu a expiração automatizada impedindo o acesso elevado esquecido.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2(1), AC-5, AC-6(2), AC-6(5), AC-16
  • PCI-DSS v4 7.2.2, 7.2.5, 8.2.8
  • Controles CIS versão 8.1 5.4, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.3

PA-3: gerenciar o ciclo de vida de identidades e direitos

Princípio de segurança

Use processos automatizados ou controles técnicos para gerenciar o ciclo de vida de acesso e identidade completo, incluindo solicitação, revisão, aprovação, provisionamento e desprovisionamento, garantindo que as permissões permaneçam alinhadas com as necessidades de negócios e sejam revogadas quando não forem mais necessárias.

Risco a mitigar

  • Acesso não autorizado devido a permissões excessivas As identidades concederam mais direitos de acesso do que o necessário, violando menos privilégios e aumentando a superfície de ataque.
  • Acesso obsoleto ou órfão de contas não gerenciadas Permissões retidas após não serem mais necessárias ou contas deixadas ativas após a saída do usuário, permitindo a exploração potencial.
  • Ameaças internas de acesso não configurado ou não monitorado Usuários autorizados que utilizam permissões incorretamente devido a políticas configuradas incorretamente ou falta de supervisão, incluindo ignorar processos de aprovação.
  • Não conformidade com padrões regulatórios Falha ao impor privilégios mínimos, auditoria de acesso ou desprovisionamento oportuno, arriscando violações de padrões como GDPR, HIPAA, SOC 2 ou ISO 27001.
  • Erro humano no gerenciamento de acesso Processos manuais que levam a concessões de permissão incorretas, desprovisionamento ignorado ou cadeias de aprovação configuradas incorretamente.
  • Falta de auditabilidade e rastreabilidade Ausência de log e documentação adequadas, dificultando o acompanhamento de solicitações de acesso, aprovações ou provisionamento, atrasando a detecção de violação.

MITRE ATT&CK

  • Acesso Inicial (TA0001) explorando contas válidas (T1078.004) utilizando credenciais de nuvem comprometidas ou obsoletas para autenticar em APIs ou consoles de gerenciamento, permitindo acesso não autorizado aos recursos de nuvem.
  • Escalonamento de Privilégio (TA0004) abusando dos mecanismos de controle de elevação (T1548.005) ao explorar políticas RBAC configuradas incorretamente ou permissões excessivas para atribuir funções elevadas a partir de um papel de grupo de recursos.
  • Persistência (TA0003) manipulando contas (T1098.001) por meio da modificação das políticas de IAM ou desativação da autenticação multifator para estabelecer acesso persistente, permitindo que os adversários mantenham controle não autorizado sobre recursos de nuvem.
  • Exfiltração (TA0010) acessando dados do armazenamento em nuvem (T1530) usando contas com privilégios excessivos para enumerar e recuperar dados confidenciais de buckets de armazenamento ou bancos de dados.
  • A Evasão de Defesa (TA0005) prejudica as defesas (T1562.001) desabilitando a análise de logs ou o monitoramento da auditoria em nuvem com contas de privilégios elevados, ocultando ações maliciosas, como modificações nos recursos.

PA-3.1: Gerenciar o ciclo de vida de identidades e direitos

O gerenciamento automatizado do ciclo de vida de identidade impede contas órfãs, permissões não revogadas e acesso excessivo que persiste após mudanças de função ou saída de funcionários. As organizações que dependem do gerenciamento manual de acesso enfrentam desprovisionamento atrasado, processos de aprovação inconsistentes e falta de auditoria, criando lacunas de segurança em que usuários não autorizados exploram credenciais obsoletas para exfiltração de dados ou escalonamento de privilégios. A implementação de fluxos de trabalho automatizados garante que o acesso se alinhe às necessidades comerciais atuais por meio de processos consistentes de solicitação, aprovação, provisionamento e expiração.

Estabeleça o gerenciamento automatizado de ciclo de vida de acesso e identidade por meio da seguinte abordagem:

  • Planejar os objetivos e o escopo do gerenciamento de acesso Defina as necessidades de acesso identificando grupos de recursos do Azure que exigem gerenciamento de acesso, incluindo funções específicas (por exemplo, Proprietário, Colaborador) e identidades de usuário ou carga de trabalho, estabelecendo limites para fluxos de trabalho de governança e aprovação.

  • Atribuir responsabilidades Designe administradores globais, administradores de governança de identidade ou proprietários de catálogo para gerenciar pacotes de gerenciamento de direitos e acesso, delegando aos proprietários de recursos ou gerentes de projeto que revisam e aprovam solicitações de acesso para grupos de recursos específicos do Azure.

  • Configurar o gerenciamento de direitos para fluxos de trabalho de solicitação de acesso Crie catálogos no Centro de administração do Microsoft Entra para organizar recursos relacionados e pacotes de acesso, adicionando grupos de recursos específicos do Azure com suas funções (por exemplo, Colaborador, Leitor) como recursos de catálogo e definindo pacotes de acesso especificando quais funções de grupo de recursos do Azure os usuários podem solicitar junto com os requisitos de duração e aprovação de acesso.

  • Configurar políticas de acesso Permitir que os usuários solicitem acesso por meio do portal do Microsoft Entra My Access, configurando fluxos de trabalho de aprovação único, duplo ou de vários estágios com aprovadores designados (por exemplo, proprietários de recursos, gerentes), definindo datas de expiração de acesso ou acesso com limite de tempo para revogação automática e configurando alertas para envios de solicitação, aprovações, negações e expirações futuras.

  • Processar e examinar solicitações de acesso Os usuários enviam solicitações de acesso para funções de grupo de recursos do Azure por meio do portal Meu Acesso, disparando fluxos de trabalho configurados que notificam aprovadores designados e detalhes da solicitação de log, enquanto aprovadores avaliam solicitações com base na função de usuário, acesso solicitado e justificativa, solicitando esclarecimentos se necessário antes de aprovar ou negar com justificativas documentadas.

  • Provisionar e desprovisionar o acesso automaticamente Após a aprovação, o Microsoft Entra atribui automaticamente as funções solicitadas do Azure aos usuários para grupos de recursos especificados com acesso imediato, impondo a revogação automática quando as datas de expiração predefinidas são atingidas por políticas de pacote de acesso, permitindo que administradores ou proprietários de recursos removam manualmente o acesso se as funções de usuário ou projetos forem alterados antes da expiração.

  • Detectar e corrigir permissões excessivas Utilize o Gerenciamento de Permissões do Microsoft Entra para identificar permissões não utilizadas e excessivas atribuídas a identidades de usuário e de carga de trabalho em infraestruturas de várias nuvens, corrigindo automaticamente as permissões e monitorando continuamente para evitar o aumento de privilégios.

Exemplo de implementação

Desafio Uma empresa multinacional com 8.500 funcionários em 40 países/regiões lutou contra o provisionamento manual de acesso que exige de 3 a 5 dias úteis por solicitação, criando atrasos operacionais e acumulando mais de 450 contas órfãs de funcionários falecidos com acesso privilegiado ativo.

Solution

  • Implementar o gerenciamento de direitos Implantado o gerenciamento de direitos do Microsoft Entra ID com pacotes de acesso para todos os grupos de recursos do Azure, estabelecendo fluxos de trabalho automatizados para solicitação, aprovação em vários estágios e acesso associado ao tempo com expiração automática.
  • Configurar fluxos de trabalho do ciclo de vida Criar fluxos de trabalho automatizados de joiner/mover/leaver que acionam automaticamente o provisionamento imediato para novos funcionários, atualizações de acesso devido a mudanças de função, e desprovisionamento instantâneo após a rescisão com remoção de todos os pacotes de acesso e grupos privilegiados.
  • Gerenciamento de Permissões Implantado Implementação de monitoramento contínuo detectando permissões não utilizadas em infraestrutura multicloud, ajustando automaticamente funções superdimensionadas e gerando alertas para o crescimento de privilégios que requerem revisão.

Resultado A organização reduziu o tempo de provisionamento de acesso de 3 a 5 dias para menos de 2 horas, eliminou todas as contas órfãs por meio do desprovisionamento automatizado e obteve 100% de auditabilidade das solicitações de acesso, com documentação completa da trilha de aprovações.

Nível de criticidade

Deveria ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, AC-2(1), AC-2(3), AC-2(4), IA-4
  • PCI-DSS v4 7.2.2, 7.2.4, 8.1.3, 8.1.4
  • Controles CIS v8.1 5.1, 5.2, 5.3, 6.1
  • NIST CSF v2.0 PR. AA-3, PR. AC-1, PR. AC-4
  • ISO 27001:2022 A.5.15, A.5.16, A.5.17, A.5.18
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-4: examinar e reconciliar o acesso do usuário regularmente

Azure Policy: Confira as definições de política internas do Azure: PA-4.

Princípio de segurança

Realize auditorias periódicas de direitos de conta com privilégios para verificar se as permissões de acesso estão estritamente alinhadas com funções administrativas autorizadas, garantindo a conformidade com o princípio de privilégio mínimo.

Risco a mitigar

  • Acesso não autorizado devido a permissões excessivas As identidades concederam mais direitos de acesso do que o necessário, violando menos privilégios e aumentando a superfície de ataque.
  • Acesso obsoleto ou órfão de contas não gerenciadas Permissões retidas após não serem mais necessárias ou contas deixadas ativas após a saída do usuário, permitindo a exploração potencial.
  • Ameaças internas de acesso não configurado ou não monitorado Usuários autorizados que utilizam permissões incorretamente devido a políticas configuradas incorretamente ou falta de supervisão, incluindo ignorar processos de aprovação.
  • Não conformidade com padrões regulatórios Falha ao impor privilégios mínimos, auditoria de acesso ou desprovisionamento oportuno, arriscando violações de padrões como GDPR, HIPAA, SOC 2 ou ISO 27001.
  • Erro humano no gerenciamento de acesso Processos manuais que levam a concessões de permissão incorretas, desprovisionamento ignorado ou cadeias de aprovação configuradas incorretamente.
  • Falta de auditabilidade e rastreabilidade Ausência de log e documentação adequadas, dificultando o acompanhamento de solicitações de acesso, aprovações ou provisionamento, atrasando a detecção de violação.

MITRE ATT&CK

  • Acesso Inicial (TA0001) explorando contas válidas (T1078.004) ao usar credenciais de nuvem comprometidas ou obsoletas, como contas de serviço com privilégios excessivos, para autenticar em APIs ou consoles de gerenciamento, permitindo acesso não autorizado a recursos de nuvem sem acionar alertas.
  • O TA0004 (Privilege Escalation) abusa dos mecanismos de controle de elevação (T1548.005) explorando políticas RBAC configuradas incorretamente ou permissões excessivas para atribuir funções elevadas, como acesso administrativo em todo o locatário, de uma função de grupo de recursos.
  • O TA0003 (persistência) manipula contas (T1098.001) modificando políticas de IAM ou desabilitando a MFA para inserir acesso persistente, permitindo que os adversários mantenham controle não autorizado sobre recursos de nuvem, como armazenamento ou computação.
  • Exfiltração (TA0010) acessando dados do armazenamento em nuvem (T1530) usando contas com privilégios excessivos para enumerar e recuperar dados confidenciais de buckets de armazenamento ou bancos de dados, explorando permissões não revogadas ou mal validadas.
  • A Evasão de Defesa (TA0005) prejudica as defesas (T1562.001) desabilitando o registro em log de auditoria de nuvem ou o monitoramento com contas de alto privilégio, ocultando ações maliciosas, como modificações de recursos ou acesso a dados.

PA-4.1: Examinar e reconciliar o acesso do usuário regularmente

Examine todas as contas privilegiadas e direitos de acesso no Microsoft Azure, abrangendo locatários do Azure, serviços do Azure, VMs (máquinas virtuais)/IaaS (Infraestrutura como Serviço), processos de CI/CD e ferramentas de gerenciamento e segurança empresarial.

Use as revisões de acesso do Microsoft Entra ID para avaliar as funções do Microsoft Entra, as funções de acesso a recursos do Azure, as associações de grupos e o acesso a aplicativos empresariais. Os relatórios do Microsoft Entra ID fornecem logs para identificar contas inativas ou contas não usadas por um período especificado.

Além disso, o PIM (Microsoft Entra Privileged Identity Management) pode ser configurado para enviar alertas quando um número excessivo de contas de administrador é criado para uma função específica e para detectar contas de administrador obsoletas ou configuradas incorretamente.

Planejar o escopo e os objetivos da revisão de acesso Identifique quais recursos do Azure (por exemplo, assinaturas, grupos de recursos, VMs) e funções do Microsoft Entra (por exemplo, Administrador Global, Administrador de Usuário) exigem revisão, estabelecendo a frequência de revisão (por exemplo, mensal, trimestral) com base em requisitos de segurança e necessidades regulatórias.

Atribuir responsabilidades de revisão Designe proprietários de recursos, equipes de segurança ou administradores de função para realizar revisões, garantindo que os revisores tenham permissões apropriadas no PIM.

Configurar revisões de acesso no Microsoft Entra PIM Crie revisões de acesso para funções do Entra selecionando funções específicas do Microsoft Entra para examinar, especificando revisores (indivíduos, proprietários de grupos ou auto-revisões) e definindo parâmetros de revisão, incluindo duração e recorrência. Para recursos do Azure, escolha assinaturas ou grupos de recursos, selecione funções de recurso do Azure (por exemplo, Proprietário, Colaborador) para avaliação, atribua revisores e defina as configurações de revisão, incluindo datas de início/término e recorrência.

Realizar revisões de acesso Os revisores avaliam se os usuários ainda exigem funções atribuídas do Microsoft Entra com base em funções de trabalho ou necessidades de projeto, avaliam se os usuários precisam de acesso contínuo a recursos e funções específicas do Azure verificando o alinhamento com as responsabilidades atuais e exigem que os usuários ou revisores forneçam motivos para manter o acesso garantindo que as decisões sejam documentadas.

Executar ações com base nos resultados da revisão Remova o acesso desnecessário revogando funções ou acesso para usuários que não precisam mais deles, utilizando relatórios da ID do Microsoft Entra junto com o PIM para identificar contas sem atividade recente e removendo suas funções ou desativando-as. Você também pode utilizar recursos do PIM para reconciliação aprimorada, detectar atribuições de função excessivas e automatizar revisões contínuas em agendas predefinidas.

Exemplo de implementação

Desafio Uma empresa de tecnologia com 650 contas privilegiadas descobriu durante a auditoria anual que 89 contas (14%) não tinham sido usadas há mais de 180 dias, enquanto 34 contas retiveram permissões elevadas, apesar dos usuários mudarem para funções não administrativas.

Solution

  • Implementar revisões de acesso trimestral Foram implantadas revisões de acesso do Microsoft Entra PIM para todas as assinaturas do Azure e funções do Entra com agendas recorrentes trimestrais, atribuindo proprietários de recursos como revisores primários e equipe de segurança como revisores secundários para supervisão.
  • Habilitar a detecção automatizada Alertas de PIM configurados para atribuições de função excessivas (>8 Administradores Globais) e contas não usadas por mais de 90 dias, integrando-se ao Microsoft Sentinel para notificações em tempo real ao centro de operações de segurança.
  • Estabelecer fluxos de trabalho de correção Foram criados procedimentos de resposta padronizados que exigem que os revisores forneçam justificativa para manter o acesso ou revogar imediatamente permissões desnecessárias, com escalonamento automático para revisões atrasadas para a equipe de governança.

Resultado A organização identificou e removeu 89 contas obsoletas e 34 contas superprovisionadas, reduziu a contagem de Administradores Globais de 12 para 6 e obteve 100% taxa de conclusão de revisão trimestral com justificativas documentadas.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2(3), AC-2(7), AC-6(7), IA-4
  • PCI-DSS v4 7.2.4, 8.1.4, 8.2.6
  • Controles CIS v8.1 5.3, 5.4, 6.2
  • NIST CSF v2.0 PR. AA-3, PR. AC-6, DE. CM-3
  • ISO 27001:2022 A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-5: Configurar o acesso de emergência

Princípio de segurança

Configure o acesso de emergência para garantir que você não seja bloqueado acidentalmente de sua infraestrutura de nuvem crítica em uma emergência. As contas de acesso de emergência raramente devem ser usadas e podem ser altamente prejudiciais se comprometidas, mas sua disponibilidade é extremamente importante para cenários em que são necessárias.

Risco a mitigar

  • Bloqueio administrativo do gerenciamento de locatários de nuvem Perda de acesso a um locatário de nuvem quando todas as contas privilegiadas são bloqueadas por falhas de MFA, interrupções de federação ou contas comprometidas/excluídas, impedindo atualizações de política do IAM ou gerenciamento de recursos.
  • Acesso não autorizado a contas altamente privilegiadas Credenciais com segurança fraca ou acesso irrestrito a contas de emergência permitem que os adversários se autentiquem em consoles de gerenciamento de nuvem ou APIs, facilitando o escalonamento de privilégios ou a exfiltração de dados.
  • Ameaças internas por meio de acesso de emergência indevido As contas de emergência que ignoram os controles padrão são mal utilizadas pela equipe autorizada para tarefas não emergenciais, arriscando a exposição de credenciais ou o acesso não autorizado.
  • Falta de auditoria para acesso a emergências O registro em log inadequado ou o monitoramento da atividade de conta de emergência impede a detecção de uso não autorizado, atrasando a resposta a incidentes.
  • Falha operacional de contas de emergência não testadas Contas de emergência não testadas com credenciais desatualizadas ou associações de IAM configuradas incorretamente falham durante crises, impedindo a restauração de acesso e exacerbando bloqueios.

MITRE ATT&CK

  • Acesso Inicial (TA0001) – Contas válidas: Contas de nuvem (T1078.004) Aproveitando contas de acesso de emergência comprometidas com privilégios elevados para autenticar em consoles de gerenciamento de nuvem ou APIs, explorando credenciais armazenadas de forma insegura.
  • Escalonamento de privilégios (TA0004) – Mecanismo de controle de elevação de abuso: infraestrutura de nuvem (T1548.005) Contas de emergência com privilégios excessivos com funções de IAM excessivas são exploradas para escalonar o acesso, permitindo que os adversários modifiquem políticas ou atribuam permissões administrativas no nível do locatário.
  • Persistência (TA0003) – Manipulação de conta: Credenciais adicionais de nuvem (T1098.001) Modificar configurações de conta de emergência, como adicionar funções persistentes ou desabilitar a MFA, para manter o acesso não autorizado.
  • Evasão de Defesa (TA0005) – Prejudicar Defesas: desabilitar ou modificar logs de nuvem (T1562.008) Usando contas de emergência para desabilitar o registro de auditoria ou monitoramento em ambientes de nuvem, ocultando ações maliciosas.
  • Acesso à credencial (TA0006) – Roubar token de acesso de aplicativo (T1528) Roubar credenciais de conta de emergência armazenadas de forma insegura para autenticar nos serviços de nuvem.

PA-5.1: Configurar o acesso de emergência

Contas de acesso de emergência (contas de "quebra de vidro") impedem o bloqueio administrativo completo durante falhas de MFA, interrupções de federação ou contas administrativas comprometidas. Sem essas contas, as organizações correm o risco de perder o acesso ao locatário quando os caminhos normais de autenticação falham. A implementação do acesso de emergência garante a continuidade dos negócios, mantendo a segurança por meio do gerenciamento de credenciais, monitoramento e testes controlados.

Estabeleça contas de acesso de emergência por meio da seguinte abordagem estruturada:

  • Criar contas de acesso de emergência Configure pelo menos duas contas somente na nuvem (não federadas) com a função de Administrador Global no Microsoft Entra ID, usando nomes descritivos (por exemplo, EmergencyAccess01, BreakGlass02) que identificam claramente sua finalidade, garantindo que as contas não sejam atribuídas a indivíduos específicos e permaneçam dedicadas exclusivamente para cenários de emergência.

  • Proteger credenciais com controle duplo Gere senhas fortes e geradas aleatoriamente de pelo menos 32 caracteres configurados para nunca expirar, implementando mecanismos de controle duplo dividindo credenciais em várias partes armazenadas em locais físicos seguros separados (por exemplo, cofres à prova de fogo em sites diferentes) acessíveis apenas para executivos autorizados em nível C ou liderança de segurança, documentando procedimentos de recuperação que exigem aprovação de várias pessoas.

  • Configurar exclusões de acesso condicional Exclua pelo menos uma conta de emergência de todas as políticas de Acesso Condicional e requisitos de MFA para garantir o acesso durante interrupções de serviço, ao mesmo tempo em que protege a segunda conta com chaves de segurança FIDO2 armazenadas em locais seguros, garantindo que a diversidade de credenciais proteja contra falhas de autenticação de ponto único.

  • Habilitar monitoramento e alertas abrangentes Configure o Azure Monitor ou o Microsoft Sentinel para analisar os logs de entrada e auditoria da ID do Microsoft Entra, criando alertas em tempo real (email e SMS) disparando em qualquer autenticação de conta de emergência ou alteração de configuração, estabelecendo procedimentos de resposta a incidentes que exigem notificação imediata da equipe de segurança e documentação de justificativa para todo o uso da conta de emergência.

  • Estabelecer procedimentos de teste e manutenção Teste o acesso de conta de emergência trimestralmente para verificar a funcionalidade, atualizar credenciais a cada 90 dias ou imediatamente após alterações de pessoal que afetam usuários autorizados, treinar administradores autorizados em procedimentos de quebra de vidro, incluindo recuperação de credenciais e documentação de incidentes, manter runbooks escritos documentando o processo de acesso de emergência completo para conformidade e preparação operacional.

Exemplo de implementação

Desafio Uma organização multinacional de serviços financeiros sofreu uma interrupção de federação afetando sua infraestrutura de identidade híbrida, descobrindo que não tinha um caminho de acesso de emergência funcional para a ID do Microsoft Entra. Todos os 15 Administradores Globais contaram com a autenticação federada, resultando no bloqueio completo da organização durante o incidente, necessitando de escalonamento para o suporte da Microsoft para recuperar o acesso após 6 horas de tempo de inatividade.

Solution

  • Criar contas de acesso de emergência Provisionou duas contas de acesso de emergência somente na nuvem (EmergencyAccess01@contoso.onmicrosoft.com, BreakGlass02@contoso.onmicrosoft.com) com atribuições permanentes de função de Administrador Global no Microsoft Entra ID, garantindo que as contas não fossem federadas ou sincronizadas do Active Directory local para eliminar a dependência na infraestrutura de federação.

  • Implementar a autenticação sem senha com controle duplo Configurou o EmergencyAccess01 com autenticação de chave passkey FIDO2 e BreakGlass02 com autenticação baseada em certificado para diversidade de credenciais, armazenando chaves de segurança FIDO2 em dois cofres à prova de fogo separados na sede e no local de recuperação de desastre, enquanto as chaves privadas de certificado permaneceram em módulos de segurança de hardware acessíveis apenas para executivos de nível C com requisitos de autorização de duas pessoas documentados em procedimentos de resposta de emergência.

  • Configurar exclusões de acesso condicional estrategicamente Criou uma política de exclusão de local nomeada para EmergencyAccess01 isentando-a de todas as políticas de Acesso Condicional, incluindo requisitos de MFA, enquanto o BreakGlass02 permaneceu sujeito a requisitos de MFA resistentes a phishing, fornecendo uma abordagem de segurança equilibrada, garantindo pelo menos uma conta de acesso garantido durante qualquer interrupção do serviço de autenticação.

  • Implantar alertas do Azure Monitor para atividade de conta de emergência O workspace do Log Analytics configurado com regras de alerta personalizadas consultando SigninLogs para IDs de objeto de conta de emergência, disparando alertas críticos de severidade (Sev 0) com notificações imediatas de email e SMS para o centro de operações de segurança, CISO e diretor de TI sempre que contas de emergência são autenticadas, com consulta de alerta: SigninLogs | project UserId | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff" avaliando a cada 5 minutos.

  • Estabelecer procedimentos de validação e teste trimestrais Foi criado um cronograma documentado de exercícios trimestrais que exige que os membros designados da equipe de segurança recuperem credenciais do armazenamento seguro, autentiquem-se usando contas de emergência, executem uma tarefa administrativa de teste (consulta de lista de usuários via API do Microsoft Graph), documentem a atividade no log de incidentes e notifiquem imediatamente a equipe de segurança, acionando uma revisão pós-incidente para validar a funcionalidade de alerta e a acessibilidade das credenciais, com rotação de credenciais executada a cada 90 dias e imediatamente após mudanças no quadro de pessoal que afetem indivíduos autorizados.

Resultado A organização estabeleceu uma capacidade de acesso de emergência resiliente sobrevivendo a falhas completas de infraestrutura de federação, detectou 100% de autenticações de conta de emergência em até 5 minutos por meio de alertas automatizados, executou com êxito quatro exercícios de validação trimestral com tempo médio de recuperação de credenciais de 12 minutos e manteve zero uso não autorizado de conta de emergência durante 12 meses com trilha de auditoria abrangente para todas as atividades de teste.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, CP-2, CP-9, IR-4, IA-4
  • PCI-DSS v4 8.2.8, 8.6.1, 12.10.1
  • Controles CIS v8.1 5.4, 6.5, 17.9
  • NIST CSF v2.0 PR.IP-10, RS.CO-3, RS.RP-1
  • ISO 27001:2022 A.5.24, A.5.29, A.17.1
  • SOC 2 CC6.1, CC7.4, CC9.1

PA-6: usar a solução de acesso privilegiado

Princípio de segurança

Soluções de acesso privilegiado protegidas e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, desenvolvedor e operador de serviço crítico.

Risco a mitigar

  • Comprometimento de credenciais por meio de malware ou phishing em estações de trabalho administrativas Os invasores implantam keyloggers, páginas de phishing ou malware de raspagem de memória em estações de trabalho não armazenadas para capturar credenciais privilegiadas, como tokens de API ou senhas, permitindo acesso não autorizado a consoles de gerenciamento de nuvem ou APIs. Por exemplo, um ataque de phishing imitando uma página de logon do portal de nuvem ou um trojan em um dispositivo não PAW pode extrair credenciais de administrador, permitindo que os adversários invoquem chamadas à API, modifiquem políticas de IAM ou exfiltram dados.
  • Escalonamento de privilégios por meio de configurações inseguras de estações de trabalho Os adversários exploram direitos de administrador local, vulnerabilidades não corrigidas ou controles de aplicativos fracos em estações de trabalho administrativas para escalar privilégios, manipular funções IAM ou tokens de acesso. Por exemplo, uma estação de trabalho sem políticas do AppLocker pode permitir que scripts mal-intencionados sejam executados, permitindo que os invasores elevem do nível do usuário para o acesso administrativo em todo o locatário, comprometendo recursos como máquinas virtuais ou armazenamento.
  • Acesso não autorizado por meio de conectividade remota insegura Os invasores têm como alvo pontos de extremidade RDP/SSH expostos ou protocolos não seguros para interceptar sessões de administrador ou realizar ataques de força bruta, obtendo acesso aos recursos de nuvem. Conexões diretas sobre IPs públicos apresentam riscos de sequestro de sessão ou ataques de preenchimento de credenciais, permitindo que adversários executem comandos não autorizados ou extraiam dados de máquinas virtuais ou bancos de dados.
  • Ameaças internas de acesso privilegiado indevido em dispositivos que não são PAW Administradores autorizados usam indevidamente o acesso privilegiado permanente ou contornam controles usando dispositivos pessoais, expondo credenciais a malware ou a violações de políticas. Por exemplo, um administrador que executa tarefas privilegiadas em um dispositivo BYOD pode inadvertidamente vazar credenciais para spyware, permitindo alterações de IAM não autorizadas ou acesso a dados, violando princípios de privilégios mínimos.
  • Propagação e persistência de malware em estações de trabalho administrativas Os adversários implantam malware persistente, como ransomware ou backdoors, em estações de trabalho não compartilhadas para exfiltrar dados ou dinamizar para recursos de nuvem. Um dispositivo de administrador comprometido sem execução restrita pode permitir que o malware manipule configurações de IAM ou implante cargas de trabalho mal-intencionadas, explorando software desatualizado para manter o acesso a longo prazo.
  • Falta de auditabilidade e rastreabilidade para atividade de estação de trabalho com privilégios O registro em log inadequado de sessões privilegiadas ou ações de IAM em estações de trabalho impede a detecção de acesso não autorizado, atrasando a resposta a incidentes. Atividades de administrador não monitoradas, como logons de console ou chamadas à API, com retenção de log limitada (por exemplo, 30 dias), dificultam a análise forense, permitindo que os invasores operem sem serem detectados em ambientes de nuvem.

MITRE ATT&CK

  • Acesso à credencial (TA0006) Roubo de credenciais (por exemplo, senhas, tokens de API) de estações de trabalho administrativas não protegidas, através de malware de keyloggers, phishing ou raspagem de memória (T1552.001), utilizando credenciais capturadas para se autenticar em consoles de gerenciamento da nuvem ou APIs e obter acesso não autorizado.
  • Escalonamento de privilégios (TA0004) Explorando direitos de administrador local ou vulnerabilidades não corrigidas em dispositivos não PAW para escalar privilégios (T1068), manipulando funções do IAM ou tokens de acesso para obter acesso administrativo amplo no locatário, como modificar políticas de recursos de nuvem.
  • Acesso Inicial (TA0001) Direcionando endpoints RDP/SSH expostos em recursos em nuvem por meio de força bruta ou interceptação de sessão (T1133), usando sessões de administrador comprometidas de conexões remotas não seguras para executar comandos ou acessar dados confidenciais.
  • Persistência (TA0003) Estabelecimento de acesso persistente ao implantar malware ou backdoors em estações de trabalho vulneráveis (T1547.001), mantendo o controle sobre dispositivos administrativos para acessar repetidamente as configurações de IAM na nuvem ou implantar cargas de trabalho mal-intencionadas.
  • Evasão de Defesa (TA0005) Desabilitando serviços de registro de logs ou monitoramento de nuvem por meio de contas de administrador comprometidas em dispositivos não PAW (T1562.008). Ocultando alterações não autorizadas de IAM ou manipulações de recursos ao suprimir rastros de auditoria.

PA-6.1: Usar solução de acesso privilegiado

As PAWs (Estações de Trabalho de Acesso Privilegiado) fornecem ambientes protegidos e isolados que impedem o roubo de credenciais de malware, phishing e acesso não autorizado em dispositivos administrativos. Sem PAWs, os administradores que usam estações de trabalho padrão ou dispositivos pessoais expõem credenciais privilegiadas a keyloggers, malware de raspagem de memória e sequestro de sessão, permitindo que os invasores comprometam locatários de nuvem. Implementar PAWs (Estações de Trabalho de Acesso Privilegiado) com fortalecimento do dispositivo, autenticação forte e acesso remoto seguro garante que as operações administrativas permaneçam protegidas contra ataques baseados em endpoints.

Implante estações de trabalho de acesso privilegiado por meio da seguinte abordagem estruturada:

Provisionar e configurar dispositivos PAW protegidos Implante dispositivos Windows dedicados como PAWs (estações de trabalho físicas ou VMs do Azure) registrando-os no Microsoft Intune para gerenciamento centralizado, aplicando baselines de segurança do Microsoft Defender para Endpoint, removendo direitos de administrador local, impondo a criptografia de dispositivos com BitLocker e configurando políticas do Controle de Aplicativos do Windows Defender (WDAC) ou do AppLocker para restringir a execução de aplicativos somente a ferramentas administrativas aprovadas (Portal do Azure, PowerShell, CLI do Azure, Visual Studio Code).

Implementar a conformidade do dispositivo e o controle do aplicativo Configure perfis de configuração de dispositivo do Intune que impõem políticas de segurança, incluindo contas de administrador local desabilitadas, bloqueio de tela obrigatório após 5 minutos de inatividade, dispositivos de armazenamento removíveis bloqueados e instalações restritas da Microsoft Store, implantando o aplicativo Portal da Empresa para entrega de aplicativos gerenciados, garantindo que somente ferramentas aprovadas cheguem a PAWs ao bloquear aplicativos pessoais e serviços de nuvem do consumidor por meio da integração do Microsoft Defender para Aplicativos de Nuvem .

Habilitar a detecção e o monitoramento de ameaças Integre o Microsoft Defender para Endpoint em todas as PAWs para monitoramento comportamental em tempo real, detectando tentativas de roubo de credenciais, execução suspeita de processos e atividade de malware, configurando regras de redução da superfície de ataque, bloqueando macros do Office, malware baseado em script e ferramentas de extravasamento de credenciais, com alertas automatizados disparando notificações para a equipe de segurança sobre ameaças de alta gravidade que exigem investigação imediata.

Impor controles de identidade e acesso Crie políticas de Acesso Condicional do Microsoft Entra que exijam MFA resistente a phishing (chaves de segurança FIDO2 ou autenticação baseada em certificado) para todo o acesso privilegiado de conta ao portal do Azure e ao Microsoft 365 de PAWs, implementando filtros baseados em dispositivos que restrinjam o acesso exclusivamente a PAWs compatíveis com o Entra ou Intune, bloqueando cenários BYOD e habilitando o PIM (Microsoft Entra Privileged Identity Management) para ativação de função just-in-time que exige aprovação e justificativa antes de conceder permissões administrativas associadas ao tempo.

Implantar acesso remoto seguro para recursos de nuvem. Provisione o Azure Bastion como um serviço PaaS completamente gerenciado em redes virtuais, habilitando conectividade RDP/SSH com VMs do Azure diretamente pelo portal do Azure via navegador da web sem exposição de IP público, armazenando chaves privadas SSH como segredos no Azure Key Vault com políticas de acesso baseadas no Entra ID restringindo o uso de chaves a dispositivos PAW autorizados, configurando grupos de segurança de rede (NSGs) para limitar o tráfego do Bastion por intervalos de IP de origem e protocolos, e integrando-se ao Azure Monitor para alertar sobre alterações de configuração ou tentativas de acesso não autorizadas.

Estabelecer políticas de uso da PAW e treinamento Documente os requisitos obrigatórios de uso da PAW para todas as operações privilegiadas, incluindo acesso ao portal do Azure, administração do PowerShell e alterações de infraestrutura, proibindo o uso de contas privilegiadas em dispositivos que não sejam PAW por meio de controles técnicos e aplicação de políticas. Treine os administradores nos procedimentos de acesso à PAW, no uso de ferramentas aprovadas e nos protocolos de relatório de incidentes, com revisões trimestrais de conformidade verificando a adesão ao acesso administrativo exclusivo via PAW.

Exemplo de implementação

Desafio Uma organização de saúde descobriu 23 administradores usando laptops pessoais e estações de trabalho corporativas padrão com direitos de administrador local irrestritos para gerenciar recursos do Azure de produção que contêm informações de integridade protegidas (PHI), expondo credenciais privilegiadas a ataques de malware e phishing sem proteção de ponto de extremidade, controle de aplicativo ou monitoramento de atividades, criando riscos de conformidade hipaa e habilitando possíveis roubos de credenciais.

Solution

  • Implantar infraestrutura de PAW dedicada Provisionou 25 dispositivos Windows 11 Enterprise dedicados como PAWs inscritos no Microsoft Intune com políticas rígidas de conformidade de dispositivo, aplicou a linha de base de segurança do Microsoft Defender para Ponto de Extremidade removendo todos os privilégios de administrador local, habilitou a criptografia completa de disco do BitLocker com proteção TPM e configurou o Windows Defender Application Control (WDAC) para listar apenas ferramentas administrativas aprovadas (portal do Azure, PowerShell 7, CLI do Azure, Visual Studio Code, e Área de Trabalho Remota da Microsoft), bloqueando a execução de todos os outros aplicativos, incluindo os pacotes de produtividade do Office e navegadores da web, exceto o Edge no modo de proteção de aplicativo.

  • Implementar fortalecimento abrangente do dispositivo Perfis de configuração de dispositivo do Intune configurados que impõem políticas de segurança, incluindo bloqueio de tela obrigatório de 5 minutos com autenticação do Windows Hello, dispositivos de armazenamento USB bloqueados e mídia externa, acesso à câmera e ao microfone desabilitado, prevenção do cache de credenciais locais, Portal da Empresa implantado para entrega de aplicativos gerenciados restringindo instalações a ferramentas administrativas aprovadas, e Microsoft Defender para Aplicativos de Nuvem integrado, bloqueando o acesso aos serviços de armazenamento em nuvem do consumidor (Dropbox, OneDrive pessoal, Gmail) por meio da inspeção de tráfego de rede.

  • Habilitar proteção avançada contra ameaças Integração do Microsoft Defender para Ponto de Extremidade em todos os PAWs com regras de redução de superfície de ataque que bloqueiam macros do Office, ameaças baseadas em script, ferramentas de coleta de credenciais (Mimikatz) e injeções de processos suspeitos; EDR (Detecção e Resposta de Ponto de Extremidade) configurado com investigação e correção automáticas para ameaças de alta gravidade; proteção contra violação habilitada, evitando a desativação de controles de segurança; e alertas do SOC (Centro de Operações de Segurança) com SLA de resposta de 15 minutos para eventos críticos de segurança de PAW.

  • Implemente autenticação resistente a phishing Criação de políticas de Acesso Condicional do Microsoft Entra que exigem autenticação de chave de segurança FIDO2 para todas as contas privilegiadas que acessam o portal do Azure e o Microsoft 365 de PAWs, implementação de filtros de conformidade do dispositivo que permitem acesso exclusivamente de PAWs gerenciados pelo Intune com postura de segurança em conformidade, bloqueio de protocolos de autenticação herdados (Autenticação Básica, POP3, IMAP), habilitação do Microsoft Entra PIM que exige fluxo de trabalho de aprovação e ativação limitada a 4 horas para funções de Proprietário e Colaborador com documentação de justificativa obrigatória.

  • Implantar infraestrutura de acesso remoto seguro Provisionado o Azure Bastion na SKU Standard em todas as redes virtuais de produção, permitindo acesso RDP/SSH baseado em navegador a VMs do Azure sem exposição de IP público, chaves privadas SSH armazenadas no Azure Key Vault Premium com proteção de HSM e políticas de acesso baseadas em ID de Entra restringindo o uso de chaves a identidades específicas do dispositivo PAW, NSGs configurados limitando o tráfego de sub-rede do Bastion a intervalos de IP autorizados de origem da rede corporativa e da sub-rede PAW, integrado com o Azure Monitor com regras de alerta disparadas por alterações de configuração do Bastion, tentativas de acesso não autorizadas ou a duração da sessão excedendo 8 horas.

  • Estabelecer governança de uso obrigatória da PAW Política de tolerância zero documentada e imposta que proíbe o uso de contas privilegiadas a partir de dispositivos não PAW por meio de blocos de Acesso Condicional, treinou 23 administradores em procedimentos de acesso à PAW, incluindo uso de chave FIDO2, limitações de ferramenta aprovadas e protocolos de relatório de incidentes por meio de workshops práticos, implementou auditorias trimestrais de conformidade com relatórios automatizados do Intune validando 100% de operações privilegiadas originadas de PAWs compatíveis e escalonamento executivo estabelecido para violações de política que exigem investigação e correção imediata.

Resultado A organização eliminou o risco de exposição de credenciais de 23 dispositivos administrativos não seguros, obteve 100% adoção da PAW para acesso privilegiado com zero violações de linha de base de segurança em 25 dispositivos durante o período de 6 meses, impediu 12 tentativas de phishing detectadas pelo Defender para Ponto de Extremidade com blocos de ferramentas de roubo de credenciais automatizadas, redução do risco de comprometimento de conta privilegiada em 87% por meio de autenticação resistente a phishing e proteção de dispositivos, e atingiu a conformidade hipaa para controles de acesso administrativo com trilha de auditoria completa para todas as operações privilegiadas.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6, IA-2, IA-5, IA-8, SI-4
  • PCI-DSS v4 2.2.1, 7.2.5, 8.2.8, 8.4.2
  • Controles CIS v8.1 4.1, 5.4, 6.3, 6.4
  • NIST CSF v2.0 PR. AC-7, PR. PT-3, DE. CM-1
  • ISO 27001:2022 A.5.15, A.8.5, A.8.16
  • SOC 2 CC6.1, CC6.6, CC6.7

PA-7: Siga o princípio de administração suficiente (privilégio mínimo)

Azure Policy: Confira as definições de política internas do Azure: PA-7.

Princípio de segurança

Siga o princípio de administração suficiente (privilégio mínimo) para gerenciar permissões em nível refinado. Use recursos como RBAC (controle de acesso baseado em função) para gerenciar o acesso a recursos por meio de atribuições de função.

Risco a mitigar

  • Acesso não autorizado devido a permissões excessivas Os invasores exploram contas com privilégios excessivos com permissões além do necessário para sua função, permitindo acesso não autorizado a recursos de nuvem confidenciais, como contas de armazenamento, máquinas virtuais ou bancos de dados. Em ambientes de nuvem, permissões excessivas geralmente resultam de atribuições de função amplas (por exemplo, conceder Proprietário em vez de Colaborador em um escopo de assinatura), permitindo que os adversários executem ações como exfiltração de dados, exclusão de recursos ou modificação de política de IAM. Por exemplo, um usuário com acesso de gravação desnecessário a uma conta de armazenamento pode extrair dados confidenciais ou implantar conteúdo mal-intencionado, ampliando a superfície de ataque.
  • Escalonamento de privilégios de atribuições de função configuradas incorretamente Os adversários aproveitam atribuições de função configuradas incorretamente ou excessivamente permissivas para escalonar privilégios, ganhando controle não autorizado sobre recursos de nuvem ou locatários inteiros. Sem políticas de RBAC granulares, um usuário com uma função aparentemente de baixo privilégio (por exemplo, Leitor em um escopo de grupo de recursos) pode explorar permissões herdadas ou configurações incorretas de função para atribuir a si mesmo privilégios mais altos, como Proprietário em um nível de assinatura. Isso pode levar a um comprometimento em todo o locatário, permitindo que os invasores manipulem configurações de IAM, implantem cargas de trabalho mal-intencionadas ou desabilitem controles de segurança.
  • Ameaças internas de acesso irrestrito Usuários autorizados, intencionalmente ou não, usam indevidamente privilégios amplos de acesso para executar ações não autorizadas, como modificar recursos críticos ou acessar dados confidenciais. Em plataformas de nuvem, um insider com uma função que concede permissões excessivas (por exemplo, Colaborador em vários grupos de recursos) pode alterar configurações de máquina virtual, extrair dados de bancos de dados ou interromper serviços sem detecção. A falta de aplicação de privilégios mínimos permite que essas ações ignorem a supervisão padrão, aumentando o risco de violações de dados ou interrupções operacionais.
  • Movimentação lateral entre recursos de nuvem Os invasores exploram contas com privilégios excessivos para se mover lateralmente entre recursos de nuvem, acessando sistemas ou dados não relacionados depois de comprometer uma única conta. Em um locatário de nuvem, uma conta comprometida com uma função que concede acesso a vários grupos de recursos (por exemplo, Colaborador em um escopo de assinatura) permite que os adversários pivotem de um recurso (por exemplo, uma máquina virtual) para outro (por exemplo, uma conta de armazenamento), escalando seu impacto. Esse risco é aumentado quando as atribuições de função não têm escopo específico do recurso, permitindo que os invasores enumerem e explorem recursos interconectados.

MITRE ATT&CK

  • Acesso Inicial (TA0001) Contas Válidas: Contas de Nuvem (T1078.004): comprometendo contas com privilégios excessivos com funções RBAC amplas (por exemplo, Proprietário no escopo da assinatura) para autenticar em consoles de gerenciamento de nuvem ou APIs, permitindo que os adversários acessem recursos confidenciais, como contas de armazenamento ou máquinas virtuais sem detecção.
  • Escalonamento de privilégios (TA0004) Mecanismo de Controle de Elevação de Abuso: Infraestrutura de Nuvem (T1548.005): exploração de funções RBAC configuradas incorretamente com permissões excessivas para escalonar privilégios, como modificar políticas de IAM para atribuir funções administrativas em todo o locatário de um escopo de grupo de recursos, concedendo controle não autorizado sobre recursos de nuvem.
  • Persistência (TA0003) Manipulação de conta: funções de nuvem adicionais (T1098.001): modificando atribuições de função RBAC para adicionar funções persistentes de alto privilégio a contas comprometidas, permitindo que os adversários mantenham acesso a recursos de nuvem, como bancos de dados ou instâncias de computação por meio de associações de função não autorizadas.
  • Exfiltração (TA0010) Dados de Armazenamento em Nuvem (T1530): Acesso e extração de dados confidenciais de armazenamento em nuvem usando contas com funções RBAC excessivamente permissivas. Isso permite que os adversários enumerem e baixem arquivos confidenciais de buckets de armazenamento devido às permissões amplas.
  • Evasão de defesa (TA0005) Defesas prejudicadas: desabilitar ou modificar logs de nuvem (T1562.008): usar contas com permissões de RBAC excessivas para desabilitar os serviços de registro em log ou monitoramento de auditoria, ocultando ações mal-intencionadas, como modificações de recursos ou alterações de IAM suprimindo trilhas de auditoria nativas da nuvem.

PA-7.1: Usar o RBAC do Azure para gerenciar o acesso a recursos do Azure

Use o RBAC (controle de acesso baseado em função) do Azure para gerenciar o acesso a recursos do Azure por meio de atribuições de função. Por meio do RBAC, você pode atribuir funções a usuários, grupos, entidades de serviço e identidades gerenciadas. Há funções internas predefinidas para determinados recursos e essas funções podem ser inventariadas ou consultadas por meio de ferramentas como a CLI do Azure, o Azure PowerShell e o portal do Azure.

Os privilégios que você atribui aos recursos por meio do RBAC do Azure devem ser sempre limitados ao que é exigido pelas funções. Privilégios limitados complementarão a abordagem JIT (just-in-time) do PIM (Privileged Identity Management) do Microsoft Entra ID, e esses privilégios devem ser revisados periodicamente. Se necessário, você também pode usar o PIM para definir uma atribuição de limite de tempo, que é uma condição em uma atribuição de função em que um usuário só pode ativar a função dentro das datas de início e término especificadas.

Observação: use funções internas do Azure para alocar permissões e criar apenas funções personalizadas quando necessário.

Exemplo de implementação

Desafio Uma empresa de software concedeu a 145 desenvolvedores a função de proprietário no escopo da assinatura por conveniência, fornecendo permissões excessivas que permitem a exclusão de banco de dados, modificação de grupo de segurança de rede e alterações de política de IAM muito além das necessidades de desenvolvimento.

Solution

  • Implementar RBAC de privilégios mínimos Analisamos os requisitos reais de permissão e reatribuímos os desenvolvedores a funções personalizadas com escopo específico, limitando o acesso a grupos de recursos com permissões granulares (leitura/gravação para Serviços de Aplicativo, somente leitura para Key Vault, sem acesso a recursos de rede ou gerenciamento de identidade e acesso - IAM).
  • Implantar o PIM para atribuições com limite de tempo Configurou o Microsoft Entra PIM para necessidades de acesso elevado, exigindo que os desenvolvedores ativem a função Colaborador para janelas de 4 horas, mediante justificativa e aprovação, substituindo as atribuições de Proprietário permanentes por acesso sob demanda.
  • Estabelecer governança RBAC Foram criadas revisões mensais automatizadas de todas as atribuições de função usando revisões de acesso do PIM, exigindo que os proprietários de recursos justificassem o acesso contínuo e automaticamente sinalizando atribuições de função que excedam o escopo do grupo de recursos para revisão da equipe de segurança.

Resultado A organização reduziu 145 atribuições de Proprietário permanentes para 0, limitou o acesso dos desenvolvedores a 23 grupos de recursos definidos, utilizando funções personalizadas que incluem em média 8 permissões, em comparação com as mais de 100 permissões de Proprietário anteriores, e impediu três exclusões acidentais de produção no primeiro trimestre por meio de acesso restrito.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-5, AC-6, AC-6(1), AC-6(2)
  • PCI-DSS v4 7.2.1, 7.2.2, 7.2.3, 8.2.2
  • Controles CIS v8.1 3.3, 5.4, 6.1, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AC-7, PR. AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.3, CC6.7

PA-8: determinar o processo de acesso para suporte ao provedor de nuvem

Princípio de segurança

Estabeleça um processo de aprovação e um caminho de acesso para solicitar e aprovar solicitações de suporte do fornecedor e acesso temporário aos seus dados por meio de um canal seguro.

Risco a mitigar

  • Acesso a dados não autorizados por meio do suporte ao provedor de nuvem Risco de o provedor de nuvem dar suporte à equipe que acessa armazenamentos de dados do cliente sem consentimento explícito, potencialmente explorando credenciais privilegiadas durante operações de diagnóstico ou manutenção.
  • Exploração de ameaças internas por meio do acesso ao provedor Potencial para insiders mal-intencionados ou negligentes de provedores de nuvem abusarem do acesso privilegiado, levando à exfiltração de dados ou a modificações não autorizadas nos ambientes dos clientes.
  • Operações de acesso opaco sem visibilidade Falta de visibilidade em eventos de acesso a dados, dificultando a rastreabilidade e a responsabilidade, o que pode corroer a confiança e violar os requisitos de auditoria.
  • Escalonamento excessivo de privilégios O risco de os engenheiros de suporte do provedor de nuvem obterem escopos de acesso excessivamente amplos, excedendo o princípio de privilégio mínimo e aumentando a superfície de ataque dentro dos recursos de nuvem.
  • Não conformidade regulatória com os requisitos de auditoria Acesso a dados descontrolado violando estruturas de proteção de dados (por exemplo, GDPR, HIPAA, CCPA), arriscando penalidades de não conformidade devido à governança de acesso inadequada.
  • Exposição de dados durante operações de suporte Potencial para vazamento de dados confidenciais ou manipulação incorreta durante atividades de suporte, como sessões de área de trabalho remota ou análise de log, sem governança do cliente.

MITRE ATT&CK

  • Contas válidas (T1078.004) Exploração de credenciais de conta de nuvem comprometidas ou mal utilizadas, como as da equipe de suporte, para acessar dados do cliente em ambientes de nuvem, ignorando controles de autenticação padrão.
  • Manipulação de conta (T1098.001) Adição de credenciais não autorizadas, como chaves ou tokens, a serviços ou aplicativos de identidade de nuvem, permitindo o acesso persistente aos recursos do cliente durante operações de suporte.
  • Força Bruta (T1110) Tentativas repetidas de adivinhar credenciais de conta de nuvem, como as usadas por engenheiros de suporte, para obter acesso não autorizado aos dados do cliente durante as atividades de solução de problemas.
  • Roubar token de acesso de aplicativo (T1528) Roubo de tokens de acesso usados pela equipe de suporte para interagir com recursos de nuvem do cliente, facilitando o acesso a dados não autorizados ou a movimentação lateral dentro do locatário.
  • Despejo de credenciais do sistema operacional (T1003.006) Extração de credenciais de serviços de identidade de nuvem por insiders com acesso elevado temporário, permitindo a sincronização de dados confidenciais de identidade para acesso persistente.

PA-8.1: Usar o Azure Customer Lockbox

O Customer Lockbox fornece controle de aprovação explícito para o acesso de dados do engenheiro de suporte da Microsoft, garantindo que os clientes mantenham a governança sobre quem acessa seus recursos de nuvem durante a solução de problemas. Sem o Lockbox, os engenheiros de suporte poderiam acessar dados do cliente sem consentimento explícito, criando riscos de conformidade e reduzindo a visibilidade das atividades de acesso do fornecedor. A implementação do Lockbox garante que cada solicitação de acesso a dados de suporte exija aprovação do cliente, mantendo trilhas de auditoria e conformidade regulatória.

Implemente o Sistema de Bloqueio do Cliente por meio do seguinte processo:

  • Habilitar o Lockbox O Administrador Global habilita o Customer Lockbox no nível do locatário por meio do módulo Administração do portal do Azure, exigindo um plano de suporte do Azure (Desenvolvedor ou superior) cobrindo todas as assinaturas e recursos do locatário.

  • Iniciar solicitação de suporte Os usuários abrem tíquetes de suporte no portal do Azure para problemas de carga de trabalho, em que os engenheiros de suporte da Microsoft revisam tíquetes e determinam se o acesso a dados é necessário além das ferramentas de solução de problemas padrão.

  • Solicitar acesso elevado Se as ferramentas padrão não puderem resolver o problema, os engenheiros solicitarão permissão elevada por meio do serviço de acesso just-In-Time (JIT), criando solicitações do Lockbox para acesso direto a dados (por exemplo, área de trabalho remota de máquina virtual) especificando finalidade, duração e recursos.

  • Notificar aprovadores designados Os aprovadores designados (Proprietários de Assinatura, Administradores Globais ou Azure Customer Lockbox Approvers) recebem notificações por email com detalhes da solicitação e links para o blade do Lockbox, com notificações de email alternativas configuráveis para contas não habilitadas para email ou entidades de serviço.

  • Examinar e aprovar ou negar Os aprovadores entram no portal do Azure para examinar solicitações e tíquetes de suporte associados, aprovando ou negando dentro de quatro dias, com a aprovação concedendo acesso por tempo limitado (padrão: 8 horas) e negação ou expiração impedindo o acesso.

Exemplo de implementação

Desafio Uma organização de serviços financeiros exigia um controle de aprovação explícito para que a Microsoft oferece suporte ao acesso a dados devido aos requisitos regulatórios, mas não tinha visibilidade sobre solicitações de acesso de engenheiro de suporte e fluxos de trabalho de aprovação para auditoria de conformidade.

Solution

  • Habilitar Customer Lockbox O Customer Lockbox foi ativado no nível de locatário para todas as assinaturas que exigem aprovação do Administrador Global, estabelecendo um processo de aprovação documentado, com proprietários de assinatura designados e aprovadores do Azure Customer Lockbox recebendo notificações automáticas por email para todas as solicitações de acesso a dados.
  • Configurar fluxos de trabalho de aprovação Janela de revisão de 4 dias estabelecida para todas as solicitações do Lockbox com documentação obrigatória de justificativa do aprovador, configurando notificações de e-mails alternativos para principais de serviço e implementando procedimentos de escalonamento para cenários de suporte sensíveis ao tempo.
  • Implementar o monitoramento e o registro em log de auditoria Eventos integrados de aprovação do Customer Lockbox com o Microsoft Sentinel gerando alertas em tempo real para a equipe de segurança, permitindo uma trilha de auditoria abrangente de todas as solicitações de acesso de suporte, decisões de aprovação e durações de acesso para relatórios regulatórios.

Resultado A organização obteve 100% aprovação explícita para o acesso a dados de suporte da Microsoft com latência média de aprovação de 2 horas, manteve a trilha de auditoria completa de 47 solicitações do Lockbox ao longo de 6 meses para conformidade regulatória e negou 3 solicitações que não atendem aos critérios de aprovação que demonstram o controle de governança.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6(2), AU-6, CA-3
  • PCI-DSS v4 8.2.2, 10.2.2, 12.8.2, 12.8.5
  • Controles CIS v8.1 5.4, 6.8, 8.2, 8.11
  • NIST CSF v2.0 PR. AC-4, PR. PT-2, DE. AE-3
  • ISO 27001:2022 A.5.19, A.5.20, A.5.23, A.8.2
  • SOC 2 CC6.3, CC6.7, CC7.2
  • Last updated on