Compartilhar via

Proteger todos os locatários e seus recursos (Iniciativa Secure Future)

Nome do pilar: proteger locatários e isolar sistemas de produção
Nome do padrão: proteger todos os locatários e seus recursos

Para reduzir os riscos de segurança de locatários não rastreados e falta de visabilidade, a Microsoft implementou o padrão Proteger todos os locatários e seus recursos. Isso garante uma governança e segurança abrangentes em todos os locatários, alinhando-se aos princípios de Confiança Zero.

Contexto e problema

A primeira etapa na segurança do locatário é a descoberta. Sem um inventário completo, a segurança e a governança não podem ser bem-sucedidas. Muitas organizações não têm visibilidade de locatários ativos, herdados e sombra, deixando ambientes não rastreados vulneráveis à exploração.

A Microsoft investiu pesado na identificação e catalogação de todos os locatários em seus ambientes. Isso inclui produção, produtividade/teste e locatários efêmeros. Sem a descoberta robusta e a governança do ciclo de vida, até mesmo locatários aparentemente de baixo risco podem se tornar infraestrutura de sombra — não monitorados, não agendados e exploráveis como pontos dinâmicos para invasores.

Os principais riscos incluem:

  • Movimentação lateral da não produção para locatários de produção.
  • Locatários antigos ou inativos sem padrões de segurança ou controles de ciclo de vida.
  • Segredos compartilhados e configurações incorretas que permitem a reutilização de credenciais entre locatários.

Solução

Como parte da SFI (Secure Future Initiative), a Microsoft implementou o objetivo de proteger todos os locatários e seus recursos aplicando linhas de base de locatário, regendo o gerenciamento do ciclo de vida e padronizando proteções em seus ambientes de nuvem.

  • Biblioteca de log de segurança padronizada: garante a captura de dados consistente entre serviços, reduzindo as lacunas de observabilidade.
  • Coleção de logs centralizados: contas de investigador especializadas fornecem acesso unificado a logs entre serviços, simplificando a correlação e acelerando as investigações.
  • Retenção de log estendida: logs de auditoria mantidos nos serviços da Microsoft por até dois anos, a fim de possibilitar a investigação forense de padrões de ataque de longo prazo.
  • Análise de detecção avançada: a integração de machine learning e modelos alimentados por IA melhora a detecção de técnicas de ataque complexas e reduz falsos positivos.
  • Expansão do registro em log de clientes: a Microsoft ampliou a retenção de log de auditoria padrão para os clientes do Microsoft 365 para 180 dias, com opções para retenção mais longa.

A abordagem da Microsoft inclui:

  • Linhas de base de segurança: modelos de segurança de inquilino pré-configurados para garantir a consistência e acelerar o fortalecimento.
  • Classificação de locatários e governança do ciclo de vida: Categorizando locatários por finalidade (produção, produtividade, auxiliar, efêmera) e aplicando controles padrão adequadamente. 
  • Aplicação de Acesso Condicional: gerenciando autenticação e autorização em escala, incluindo inquilinos temporários e contas não gerenciadas.
  • SAWs (Estações de Trabalho de Administrador Seguro): dispositivos isolados por hardware que separam os privilegiados do acesso à produtividade.
  • Monitoramento e análise: Dados de segurança centralizados por meio de logs de auditoria, Microsoft Secure Score e integração do Defender.
  • Gerenciamento de segredos e isolamento de credenciais: prevenção de segredos compartilhados entre locatários e imposição de MFA resistente a phishing.
  • Prevenção de movimento lateral: Impediu o movimento lateral isolando locatários de produção dos de ambientes não produtivos.
  • Locatários legados e inativos: Locatários legados e inativos descomissionados por meio de auditorias de ciclo de vida.
  • Visibilidade da postura: Visibilidade de postura aprimorada com a Pontuação Segura em toda a frota de locatários.
  • Expansão de inquilinos: Redução da expansão de inquilinos e reforço de controles estritos na criação de novos inquilinos.

Essas etapas garantem que todos os locatários, independentemente da finalidade ou origem, estejam visíveis, regidos e protegidos de acordo com os princípios de Confiança Zero.

Orientação

As organizações podem adotar um padrão semelhante usando as seguintes práticas acionáveis:

Caso de uso Ação recomendada Resource
Controles de segurança de linha de base Aplique os padrões de segurança da Microsoft em todos os locatários e, em seguida, estenda com as linhas de base do Microsoft 365 Lighthouse para proteção em escala empresarial.
Acesso Condicional
  • Implantar políticas de AC (acesso condicional) de linha de base: bloquear a autenticação herdada, exigir MFA para todos os usuários e impor a conformidade do dispositivo para funções privilegiadas.
  • Expanda com políticas baseadas em risco e em localização.
Gerenciamento de Acesso Privilegiado Use a Gestão de Identidades Privilegiadas (PIM) para acesso pontual (JIT) e acesso suficiente (JEA) a fim de minimizar os privilégios de administrador permanentes.
Isolamento de locatário
  • Separar locatários de produção e não produção.
  • Elimine contas de administrador compartilhadas e registros de aplicativo entre ambientes.
  • Aplique linhas de base de acesso condicional distintas por tipo de locatário.
Monitoramento e detecção de ameaças
  • Combine o Microsoft Defender para Identidade (sinais do AD local) com o Microsoft Entra ID Protection (sinais de risco baseados em nuvem).
  • Centralize o monitoramento para detectar movimentação lateral, roubo de token e comportamento anormal de entrada.

Benefícios

  • Proteção padronizada: As linhas de base de segurança garantem que todos os locatários atendam aos limites mínimos de proteção.
  • Superfície de ataque reduzida: Locatários herdados, sombras e não utilizados são sistematicamente desativados.
  • Governança aprimorada: O inventário central e a classificação dão suporte à conformidade e à supervisão contínuas.
  • Acesso controlado: O Acesso Condicional, o RBAC (controle de acesso baseado em função) e a MFA (autenticação multifator) protegem identidades e limitam os riscos de compartilhamento externo.
  • Detecção e resposta aprimoradas: Os logs e dados de segurança integrados fornecem visibilidade em todos os locatários.

Compensações

A implementação dessa abordagem requer:

  • Estabelecendo a propriedade centralizada das políticas de ciclo de vida do inquilino. 
  • Investimento em automação (aplicativo de política padrão, fluxos de trabalho de expiração).
  • Possível rearquitetura de modelos de acesso (por exemplo, separando produção/não-produção). A adoção da tecnologia SAW introduz complexidade e custo iniciais no dispositivo.
  • Treinamento e aplicação necessários para eliminar usuários ocultos e uso repetido de credenciais.

Principais fatores de sucesso

Para acompanhar o sucesso, meça o seguinte:

  • Porcentagem de locatários com linhas de base de segurança impostas
  • Número de locatários herdados ou sombra desativados
  • Cobertura de relatórios centralizados de inventário e conformidade
  • Porcentagem de identidades com Autenticação Multifator habilitada
  • Aprimoramento da Pontuação Segura em métricas do Microsoft Secure Score
  • Volume de tentativas de autenticação herdadas bloqueadas ou eventos de compartilhamento não autorizados

Resumo

Proteger todos os locatários e seus recursos é fundamental para os pilares SFI da Microsoft: Proteção por Design, Segurança por Padrão e Operações Seguras.

Com políticas de linha de base, governança do ciclo de vida e supervisão contínua, as organizações podem reduzir o risco, impor proteções consistentes e impedir que a infraestrutura de sombra prejudize a segurança. Em escala, isso garante que cada identidade, ponto de acesso e locatário seja protegido pelo design.

  • Last updated on