Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece as práticas recomendadas para proteger sua solução Azure Ative Directory B2C (Azure AD B2C). Para criar sua solução de identidade usando o Azure AD B2C envolve muitos componentes que você deve considerar proteger e monitorar.
Dependendo da sua solução, você tem um ou mais dos seguintes componentes no escopo:
- Pontos de extremidade de autenticação do Azure AD B2C
-
Fluxos de usuário do Azure AD B2C ou políticas personalizadas
- Entrar
- Inscrever-se
- Senha única de e-mail (OTP)
- Controles de autenticação multifator
- APIs REST externas
Você deve proteger e monitorar todos esses componentes para garantir que seus usuários possam entrar em aplicativos sem interrupções. Siga as orientações neste artigo para proteger sua solução contra ataques de bots, criação de contas fraudulentas, fraude de compartilhamento de receita internacional (ISRF) e pulverização de senha.
Como proteger a sua solução
Sua solução de identidade usa vários componentes para fornecer uma experiência de login suave. A tabela a seguir mostra os mecanismos de proteção recomendados para cada componente.
| Componente | Ponto final | Porquê | Como proteger |
|---|---|---|---|
| Pontos de extremidade de autenticação do Azure AD B2C |
/authorize, /token, /.well-known/openid-configuration, /discovery/v2.0/keys |
Evitar o esgotamento de recursos | Web Application Firewall (WAF) e Azure Front Door (AFD) |
| Iniciar sessão | NA | Logins mal-intencionados podem tentar forçar brutalmente as contas ou usar credenciais vazadas | Proteção de Identidade |
| Inscrição | NA | Inscrições fraudulentas que podem tentar esgotar recursos. |
Proteção de terminais Tecnologias de prevenção de fraude, como o Dynamics Fraud Protection |
| E-mail OTP | NA | Tentativas fraudulentas de força bruta ou esgotamento de recursos | Proteção de ponto final e aplicativo autenticador |
| Controles de autenticação multifator | NA | Chamadas telefónicas ou mensagens SMS não solicitadas ou esgotamento de recursos. | Proteção de ponto final e aplicativo autenticador |
| APIs REST externas | Os seus endpoints de API REST | O uso mal-intencionado de fluxos de usuários ou políticas personalizadas pode levar ao esgotamento de recursos em seus pontos de extremidade de API. | WAF e AFD |
Mecanismos de proteção
A tabela a seguir fornece uma visão geral dos diferentes mecanismos de proteção que você pode usar para proteger diferentes componentes.
| O que | Porquê | Como |
|---|---|---|
| Firewall de Aplicações Web (WAF) | O WAF funciona como primeira camada de defesa contra solicitações mal-intencionadas feitas a endpoints do Azure AD B2C. Ele fornece uma proteção centralizada contra exploits e vulnerabilidades comuns, como DDoS, bots, OWASP Top 10 e assim por diante. É aconselhável que você use o WAF para garantir que as solicitações mal-intencionadas sejam interrompidas antes mesmo de chegarem aos pontos de extremidade do Azure AD B2C.
Para habilitar o WAF, você deve primeiro habilitar domínios personalizados no Azure AD B2C usando AFD. |
|
| Azure Front Door (AFD) | O AFD é um ponto de entrada global e escalável que usa a rede de borda global da Microsoft para criar aplicativos Web rápidos, seguros e amplamente escaláveis. As principais capacidades do AFD são:
|
|
| Verificação de Identidade e Prova / Proteção contra Fraude | A verificação e a verificação de identidade são essenciais para criar uma experiência de usuário confiável e proteger contra a tomada de conta e a criação fraudulenta de contas. Ele também contribui para a higiene do locatário, garantindo que os objetos do usuário reflitam os usuários reais, que se alinham com os cenários de negócios.
O Azure AD B2C permite a integração de verificação e prova de identidade e proteção contra fraudes de vários parceiros fornecedores de software. |
|
| Proteção de identidade | A Proteção de Identidade fornece deteção contínua de riscos. Quando um risco é detetado durante a entrada, você pode configurar a política condicional do Azure AD B2C para permitir que o usuário corrija o risco antes de prosseguir com a entrada. Os administradores também podem usar relatórios de proteção de identidade para analisar usuários arriscados que estão em risco e revisar os detalhes de deteção. O relatório de deteções de risco inclui informações sobre cada deteção de risco, como seu tipo e o local da tentativa de entrada, e muito mais. Os administradores também podem confirmar ou negar que o usuário está comprometido. | |
| Acesso condicional (AC) | Quando um usuário tenta entrar, a autoridade de certificação coleta vários sinais, como riscos da proteção de identidade, para tomar decisões e aplicar políticas organizacionais. A CA pode ajudar os administradores a desenvolver políticas consistentes com a postura de segurança da sua organização. As políticas podem incluir a capacidade de bloquear completamente o acesso do usuário ou fornecer acesso depois que o usuário tiver concluído outra autenticação, como MFA. | |
| Autenticação com múltiplos fatores | O MFA adiciona uma segunda camada de segurança ao processo de inscrição e entrada e é um componente essencial para melhorar a postura de segurança da autenticação do usuário no Azure AD B2C. O aplicativo Authenticator - TOTP é o método MFA recomendado no Azure AD B2C. | |
| Gerenciamento de eventos e informações de segurança (SIEM)/ Orquestração, automação e resposta de segurança (SOAR) | Você precisa de um sistema confiável de monitoramento e alerta para analisar padrões de uso, como entradas e inscrições, e detetar qualquer comportamento anômalo que possa ser indicativo de um ataque cibernético. É um passo importante que adiciona uma camada extra de segurança. Também ajuda a entender padrões e tendências que só podem ser capturados e desenvolvidos ao longo do tempo. O alerta ajuda a determinar fatores como a taxa de alteração nos logins gerais, um aumento nas entradas com falha e jornadas de inscrição com falha, fraudes baseadas em telefone, como ataques IRSF, e assim por diante. Todos estes podem ser indicadores de um ciberataque em curso que requer atenção imediata. O Azure AD B2C dá suporte ao log de alto nível e de grão fino, bem como à geração de relatórios e alertas. É aconselhável implementar monitoramento e alertas em todos os locatários de produção. |
Protegendo suas APIs REST
O Azure AD B2C permite que você se conecte a sistemas externos usando os Conectores de API ou o perfil técnico da API REST. Você precisa proteger essas interfaces. Você pode evitar solicitações mal-intencionadas para suas APIs REST protegendo os pontos de extremidade de autenticação do Azure AD B2C. Você pode proteger estes endpoints com um WAF e um AFD.
Cenário 1: Como proteger a sua experiência de início de sessão
Depois de criar uma experiência de início de sessão ou um fluxo de utilizador, terá de proteger componentes específicos do seu fluxo contra atividades maliciosas. Por exemplo, se o fluxo de entrada envolver o seguinte, a tabela mostrará os componentes que você precisa proteger e a técnica de proteção associada:
- Autenticação de e-mail e senha da conta local
- Autenticação multifator Microsoft Entra usando SMS ou chamada telefônica
| Componente | Ponto final | Como proteger |
|---|---|---|
| Pontos de extremidade de autenticação do Azure AD B2C |
/authorize, /token, /.well-known/openid-configuration, /discovery/v2.0/keys |
WAP e AFD |
| Entrar | NA | Proteção de identidade |
| Controles de autenticação multifator | NA | Aplicação de autenticação |
| API REST externa | Seu endpoint de API. | Aplicativo autenticador, WAF e AFD |
Cenário 2: Como proteger sua experiência de inscrição
Depois de criar uma experiência de inscrição ou fluxo de usuário, você precisa proteger componentes específicos do seu fluxo contra atividades maliciosas. Se o fluxo de entrada envolver o seguinte, a tabela mostra os componentes que você precisa proteger e a técnica de proteção associada:
- Inscrição de e-mail e senha da conta local
- Verificação de e-mail usando OTP de e-mail
- Autenticação multifator Microsoft Entra usando SMS ou chamada telefônica
| Componente | Ponto final | Como proteger |
|---|---|---|
| Pontos de extremidade de autenticação do Azure AD B2C |
/authorize, /token, /.well-known/openid-configuration, /discovery/v2.0/keys |
WAF e AFD |
| Inscrever-me | NA | Proteção dinâmica contra fraudes |
| E-mail OTP | NA | WAF e AFD |
| Controles de autenticação multifator | NA | Aplicação de autenticação |
Nesse cenário, o uso dos mecanismos de proteção WAF e AFD protege os pontos de extremidade de autenticação do Azure AD B2C e os componentes OTP de email.
Próximos passos
- Configure um firewall de aplicativo Web para proteger os pontos de extremidade de autenticação do Azure AD B2C.
- Configure a prevenção de fraude com o Dynamics para proteger suas experiências de autenticação.
- Investigue o risco com a Proteção de Identidade no Azure AD B2C para descobrir, investigar e corrigir riscos baseados em identidade.
- Assegurar a autenticação multifator baseada em telefone para proteger a sua autenticação multifator baseada em telefone.
- Configure a Proteção de Identidade para proteger a sua experiência de início de sessão.
- Configure o monitoramento e os alertas para serem alertados sobre quaisquer ameaças.