Partilhar via

Acesso Privilegiado

O gerenciamento de acesso privilegiado estabelece controles para proteger credenciais administrativas e operações de alto impacto em ambientes de nuvem. Ao contrário dos modelos locais tradicionais com grupos de administradores estáticos, as plataformas de nuvem modernas exigem atribuição de privilégios dinâmica e com limite de tempo, monitoramento contínuo e acesso just-in-time para lidar com mudanças rápidas na infraestrutura e superfícies de ataque expandidas, incluindo roubo de credenciais, escalonamento de privilégios e movimento lateral. As organizações que implementam esses controles impõem privilégios mínimos e princípios de Zero Trust, mantendo a agilidade operacional, enquanto aquelas que negligenciam essas medidas enfrentam comprometimento de credenciais não detetado e acesso administrativo irrestrito, permitindo violações em todo o locatário.

Aqui estão os quatro pilares principais do domínio de segurança do Acesso Privilegiado.

Proteja as identidades dos usuários: Estabeleça segurança para todas as contas de usuário, especialmente as privilegiadas, por meio de gerenciamento centralizado de identidades, autenticação multifator forte, gerenciamento do ciclo de vida, estações de trabalho de acesso privilegiado e planejamento de acesso de emergência.

Controlos relacionados:

Proteja aplicações e segredos: Gerencie identidades não humanas com segurança por meio de autenticação automatizada de servidor/serviço e gerenciamento seguro de segredos para chaves de API e certificados.

Controlos relacionados:

Acesso seguro: Imponha privilégios mínimos e administração suficiente por meio de permissões limitadas por tempo, políticas de acesso condicional e acesso externo controlado para suporte ao provedor de nuvem.

Controlos relacionados:

Monitorização e governação: Mantenha uma supervisão contínua por meio de revisões regulares de acesso, reconciliação de direitos de usuário, deteção de anomalias e registro de auditoria para garantir permissões apropriadas e revogação oportuna.

Controlos relacionados:

PA-1: Separe e limite usuários altamente privilegiados/administrativos

Azure Policy: Veja definições de políticas incorporadas do Azure: PA-1.

Princípio da segurança

Identifique todas as contas de alto impacto nos negócios e limite o número de contas administrativas privilegiadas no plano de controle, no plano de gerenciamento e no plano de carga de trabalho de dados para minimizar a superfície de ataque e o raio de explosão de credenciais comprometidas.

Risco a mitigar

  • Acesso não autorizado a partir de contas com privilégios excessivos Os adversários exploram contas altamente privilegiadas com permissões excessivas para obter acesso não autorizado a recursos críticos da nuvem, como consoles de gerenciamento, APIs ou armazenamentos de dados confidenciais. Sem separação, uma única conta de administrador comprometida pode fornecer aos invasores acesso irrestrito para modificar políticas do IAM, implantar cargas de trabalho maliciosas ou exfiltrar dados em um locatário inteiro.
  • Escalonamento de privilégios por meio de credenciais administrativas comprometidas Os invasores aproveitam credenciais privilegiadas comprometidas para aumentar o acesso, ganhando controle sobre locatários de nuvem ou infraestrutura crítica. Em ambientes onde as contas administrativas não estão isoladas, uma credencial roubada pode ser usada para manipular atribuições de função, criar novas contas privilegiadas ou desabilitar controles de segurança, permitindo o comprometimento de todo o locatário.
  • Acesso persistente de contas privilegiadas obsoletas ou não monitoradas Os adversários exploram contas privilegiadas obsoletas ou não monitoradas para manter o acesso persistente, evitando a deteção após o comprometimento inicial. As contas de administrador que permanecem ativas após alterações de função ou conclusão do projeto fornecem aos invasores acesso de longo prazo para invocar APIs ou modificar recursos, aumentando o risco de violações prolongadas.

MITRE ATT&CK

  • Acesso Inicial (TA0001) Contas válidas: Contas na nuvem (T1078.004): Comprometendo contas altamente privilegiadas para autenticação em consoles de nuvem ou APIs, acessando recursos críticos usando credenciais de administrador roubadas.
  • Escalonamento de privilégios (TA0004) Abuso do Mecanismo de Controle de Elevação: Infraestrutura de Nuvem (T1548.005): Exploração de contas privilegiadas não limitadas por escopo para aumentar o acesso através da modificação das políticas de Identity and Access Management (IAM), ganhando o controle de todo o locatário.
  • Persistência (TA0003) Manipulação de contas: funções adicionais na nuvem (T1098.001): alterar contas privilegiadas para adicionar funções persistentes, mantendo o acesso de longo prazo aos recursos da nuvem.

PA-1.1: Restringir e limitar usuários altamente privilegiados/administrativos no Microsoft Entra

A restrição de contas administrativas altamente privilegiadas impede o acesso não autorizado de todo o locatário e limita o raio de explosão de credenciais comprometidas. As organizações com administradores globais excessivos enfrentam um risco maior de violações em que os invasores podem manipular políticas do IAM, implantar cargas de trabalho maliciosas ou exfiltrar dados em todos os recursos. Limitar essas contas apenas a pessoal essencial impõe privilégios mínimos e reduz a superfície de ataque.

Implemente as seguintes restrições para funções administrativas de identidade na nuvem:

  • Identificar funções internas críticas As funções internas mais críticas no Microsoft Entra ID são Administrador Global e Administrador de Função Privilegiada, pois os usuários atribuídos a essas funções podem delegar funções de administrador e, direta ou indiretamente, ler e modificar todos os recursos em seu ambiente de nuvem.

  • Avaliar permissões de função personalizadas Analise as funções personalizadas em seu sistema de gerenciamento de identidades para obter permissões privilegiadas que precisam ser controladas com base nas necessidades da sua empresa, aplicando as mesmas restrições que as funções privilegiadas internas.

  • Estenda as restrições para além dos sistemas de identidade na nuvem Restrinja contas privilegiadas em sistemas de identidade locais, ferramentas de segurança e ferramentas de gerenciamento de sistema com acesso administrativo a ativos críticos para os negócios (como controladores de domínio Ative Directory, sistemas de monitoramento de segurança e ferramentas de gerenciamento de configuração), pois o comprometimento desses sistemas de gerenciamento permite que os invasores as armem para movimentação lateral para recursos de nuvem.

PA-1.2: Restringir e limitar usuários altamente privilegiados/administrativos no nível de recursos do Azure

A limitação de funções privilegiadas no nível de recursos impede o acesso não autorizado a recursos de nuvem e impõe privilégios mínimos entre assinaturas e grupos de recursos. As atribuições excessivas de Proprietário ou Colaborador no escopo da assinatura permitem que os invasores manipulem recursos, modifiquem controles de segurança ou escalem privilégios após o comprometimento inicial. A restrição dessas atribuições reduz o raio de jateamento e garante que o acesso administrativo esteja alinhado com as responsabilidades operacionais.

Aplique as seguintes restrições para funções administrativas no nível de recursos na nuvem:

  • Restringir funções de recursos internos críticos O Azure tem funções internas que concedem permissões extensas (o Proprietário concede acesso total, incluindo atribuição de função; O contribuinte concede a gestão integral dos recursos; O Administrador de Acesso de Usuário permite o gerenciamento de acesso de usuários), exigindo as mesmas restrições que as funções privilegiadas no nível de locatário.

  • Governar funções de recursos personalizadas Revise e restrinja funções personalizadas no nível de recursos com permissões privilegiadas atribuídas a partir de necessidades comerciais, garantindo que elas não concedam acesso excessivo inadvertidamente por meio de combinações de permissões.

  • Controlar funções de gestão de subscrição e faturação Para clientes com Enterprise Agreement, restrinja as funções administrativas de Gerenciamento de Custos e Cobrança do Azure (Proprietário da Conta, Administrador Empresarial, Administrador de Departamento), pois eles podem gerenciar assinaturas direta ou indiretamente, criar/excluir assinaturas e gerenciar outros administradores.

Exemplo de implementação

Desafio: Uma organização de serviços financeiros descobriu acesso privilegiado excessivo nas camadas de identidade e recursos: 47 contas de Administrador Global no ID do Microsoft Entra (a maioria não utilizada há mais de seis meses) e 89 usuários com função de Proprietário no escopo da assinatura no Azure, criando uma superfície de ataque maciça e violando os princípios de privilégios mínimos.

Solution:

  • Auditar e reduzir funções privilegiadas do Entra: Conduzi uma auditoria abrangente de todas as atribuições de Administrador Global e Administrador de Função Privilegiada, identificando a justificativa comercial para cada conta e reduzindo de 47 para 8 Administradores Globais alinhados às necessidades operacionais.
  • Implementar atribuições específicas da função no Entra: Fez a transição de usuários de Administrador Global para funções específicas (Administrador de Usuário, Administrador de Segurança, Administrador de Conformidade) com base em funções de trabalho reais, usando funções internas do Microsoft Entra para impor permissões granulares.
  • Reduza as atribuições no âmbito da subscrição do Azure: Foram auditadas todas as atribuições de função de Proprietário e Colaborador ao nível RBAC (controle de acesso baseado em função) do Azure, reduzindo as atribuições de Proprietário no âmbito da subscrição de 89 para 12, definindo o âmbito das funções para grupos de recursos específicos com base nas responsabilidades da equipa.
  • Implementar o escopo do grupo de recursos: Transição das equipas de desenvolvimento de Colaborador a nível de subscrição para Colaborador a nível de grupo de recursos ou funções integradas específicas (Colaborador de Máquina Virtual, Colaborador de Conta de Armazenamento) de acordo com as necessidades reais.
  • Estabeleça uma governança unificada: Criou um fluxo de trabalho de aprovação que exige a aprovação do executivo e da equipe de segurança para novas atribuições de função privilegiada nos níveis de recursos do Entra e do Azure, com revisões de acesso trimestrais e alertas automatizados para atribuições que excedem os escopos aprovados.

Resultado: A organização reduziu drasticamente a superfície de ataque a contas privilegiadas em camadas de identidade e recursos, eliminou o acesso administrativo obsoleto e estabeleceu uma governança sustentável que impede o aumento de privilégios nos níveis de locatário e assinatura.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2(1), AC-2(7), AC-5, AC-6(1), AC-6(5)
  • PCI-DSS v4 7.2.2, 7.2.4, 8.2.2
  • Controles CIS v8.1 5.4, 6.7, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.2

PA-2: Evite o acesso permanente para contas de usuário e permissões

Azure Policy: Ver definições de políticas incorporadas no Azure: PA-2.

Princípio da segurança

Implemente mecanismos de acesso privilegiado just-in-time para atribuir permissões temporárias com limite de tempo em vez de privilégios permanentes persistentes, impedindo que usuários mal-intencionados ou não autorizados explorem o acesso administrativo sempre ativo após credenciais comprometidas ou ações internas.

Risco a mitigar

  • Acesso não autorizado a partir de contas privilegiadas persistentes As funções de alto privilégio permitem que os adversários usem indevidamente credenciais comprometidas para acesso não autorizado a recursos de nuvem, como invocar APIs para exfiltrar dados ou implantar cargas de trabalho maliciosas, explorando permissões sempre ativas sem restrições temporais.
  • Escalonamento de privilégios por meio de credenciais comprometidas Contas comprometidas com funções elevadas persistentes permitem que os invasores escalem os privilégios modificando as políticas do IAM, como a atribuição de funções administrativas em todo o locatário, explorando a ausência de acesso limitado no tempo para obter controle sobre assinaturas ou recursos.
  • Exposição prolongada de acesso obsoleto Funções não revogadas após a conclusão da tarefa criam janelas de exposição estendidas, permitindo que os adversários explorem credenciais obsoletas para acesso não autorizado, como a extração de dados de contas de armazenamento, devido a permissões esquecidas ou não gerenciadas.

MITRE ATT&CK

  • Acesso Inicial (TA0001) Contas Válidas: Contas na Nuvem (T1078.004): Comprometendo contas com funções de alto privilégio permanentes para autenticação em consolas de gestão de nuvem ou APIs, usando credenciais duradouras para acessar recursos sem limites temporais.
  • Escalonamento de privilégios (TA0004) Mecanismo de Controlo de Elevação de Abuso: Infraestrutura de Nuvem (T1548.005): Exploração de funções privilegiadas persistentes para escalar o acesso, modificando políticas do IAM para obter controle não autorizado sobre assinaturas, aproveitando permissões sempre ativas.
  • Persistência (TA0003) Manipulação de contas: funções adicionais na nuvem (T1098.001): modificando atribuições de função para manter o acesso persistente adicionando funções de alto privilégio a contas comprometidas, explorando a falta de acesso limitado por tempo.

PA-2.1: Use o controle just in time (JIT) para acesso a recursos do Azure

O acesso privilegiado just-in-time impede permissões administrativas persistentes que permitem o acesso não autorizado após o comprometimento de credenciais. As organizações com funções privilegiadas enfrentam janelas de exposição estendidas nas quais os invasores podem explorar permissões sempre ativas para exfiltração de dados, escalonamento de privilégios ou movimento lateral sem restrições de tempo. A implementação do acesso JIT garante que as permissões expirem automaticamente, limitando o raio de explosão e reduzindo a superfície de ataque.

Ative o acesso em tempo real por meio da seguinte abordagem:

  • Implantar o gerenciamento privilegiado de identidades Habilite o acesso privilegiado just-in-time (JIT) aos recursos do Azure e ao Microsoft Entra ID usando o Microsoft Entra Privileged Identity Management (PIM), onde os usuários recebem permissões temporárias para executar tarefas privilegiadas que expiram automaticamente, impedindo o acesso não autorizado após as permissões expirarem e gerando alertas de segurança para atividades suspeitas.

  • Configurar atribuições de função qualificadas Os administradores atribuem funções qualificadas a usuários ou grupos via PIM, especificando quem pode solicitar funções privilegiadas e definindo requisitos de ativação, incluindo fluxos de trabalho de aprovação, requisitos de MFA e durações limitadas por tempo (normalmente de 1 a 8 horas).

  • Estabelecer fluxos de trabalho de ativação Os usuários solicitam a ativação da função por meio do portal do Azure ou da API do PIM quando o acesso privilegiado é necessário, fornecendo justificativa e janela de tempo, com os aprovadores revisando solicitações com base em políticas e concedendo ou negando acesso, enquanto o PIM registra todas as ações para fins de auditoria.

  • Implementar expiração automática O acesso expira automaticamente quando o período de ativação termina, ou os usuários podem desativar manualmente antecipadamente se as tarefas forem concluídas, garantindo que as permissões privilegiadas não permaneçam ativas além da necessidade operacional.

  • Habilitar JIT para acesso à máquina virtual Use o Azure Bastion com acesso a VM JIT do Microsoft Defender for Cloud para restringir o tráfego de entrada às portas de gerenciamento de máquinas virtuais confidenciais, concedendo acesso somente quando os usuários precisarem dele e revogando automaticamente quando o tempo expirar.

Exemplo de implementação

Desafio Uma empresa de varejo global tinha 156 usuários com funções permanentes de Proprietário e Colaborador no escopo da assinatura, criando acesso persistente de alto privilégio que permanecia ativo 24 horas por dia, 7 dias por semana, apesar das necessidades administrativas pouco frequentes.

Solution

  • Implementar PIM para recursos do Azure Converteu todas as atribuições de funções permanentes de Proprietário e Colaborador em funções elegíveis no PIM, exigindo que os usuários ativem funções somente ao executar tarefas administrativas com ativação limitada por tempo de 4 horas.
  • Configurar fluxos de trabalho de aprovação Estabeleci aprovação em vários estágios para ativação da função de proprietário, exigindo a aprovação do proprietário do recurso e da equipe de segurança, com requisitos automatizados de aplicação e justificação de MFA para todas as solicitações de acesso privilegiado.
  • Habilitar o acesso à VM JIT Implantou o Azure Bastion com controles JIT do Defender for Cloud restringindo o acesso RDP/SSH a máquinas virtuais de produção, permitindo o acesso apenas por meio de solicitações aprovadas com limite de tempo, eliminando a exposição persistente da porta de gerenciamento.

Resultado A organização eliminou o acesso privilegiado persistente, reduziu substancialmente a superfície de ataque das permissões administrativas permanentes e estabeleceu a expiração automatizada impedindo o acesso elevado esquecido.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2(1), AC-5, AC-6(2), AC-6(5), AC-16
  • PCI-DSS v4 7.2.2, 7.2.5, 8.2.8
  • Controles CIS v8.1 , 5.4, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AA-1
  • ISO 27001:2022 A.5.15, A.5.18, A.8.2
  • SOC 2 CC6.1, CC6.3

PA-3: Gerencie o ciclo de vida de identidades e direitos

Princípio da segurança

Use processos automatizados ou controles técnicos para gerenciar o ciclo de vida completo de identidade e acesso, incluindo solicitação, revisão, aprovação, provisionamento e desprovisionamento, garantindo que as permissões permaneçam alinhadas às necessidades de negócios e sejam revogadas quando não forem mais necessárias.

Risco a mitigar

  • Acesso não autorizado devido a permissões excessivas As identidades concederam mais direitos de acesso do que o necessário, violando privilégios mínimos e aumentando a superfície de ataque.
  • Acesso obsoleto ou órfão de contas não gerenciadas Permissões retidas depois de deixarem de ser necessárias ou contas mantidas ativas após a saída do utilizador, permitindo uma potencial exploração.
  • Ameaças internas de acesso mal configurado ou não monitorado Usuários autorizados abusando de permissões devido a políticas mal configuradas ou falta de supervisão, incluindo ignorar processos de aprovação.
  • Não conformidade com as normas regulamentares Falha na aplicação de privilégios mínimos, auditoria de acesso ou desprovisionamento oportuno, correndo o risco de violações de normas como GDPR, HIPAA, SOC 2 ou ISO 27001.
  • Erro humano na gestão de acessos Processos manuais que levam a concessões de permissão incorretas, desprovisionamento negligenciado ou cadeias de aprovação mal configuradas.
  • Falta de auditabilidade e rastreabilidade Ausência de registro e documentação adequados, dificultando o rastreamento de solicitações de acesso, aprovações ou provisionamento, atrasando a deteção de violações.

MITRE ATT&CK

  • Acesso inicial (TA0001) explorando contas válidas (T1078.004) aproveitando credenciais de nuvem comprometidas ou obsoletas para autenticar APIs ou consoles de gerenciamento, permitindo o acesso não autorizado a recursos de nuvem.
  • Escalonamento de privilégios (TA0004) abusando dos mecanismos de controle de elevação (T1548.005) ao explorar políticas RBAC mal configuradas ou permissões excessivas para atribuir funções elevadas a partir de uma função de grupo de recursos.
  • Persistência (TA0003) manipulando contas (T1098.001) modificando políticas do IAM ou desabilitando MFA para incorporar acesso persistente, permitindo que adversários mantenham controle não autorizado sobre recursos de nuvem.
  • Exfiltração (TA0010) acessando dados do armazenamento em nuvem (T1530) usando contas com privilégios excessivos para enumerar e recuperar dados confidenciais de buckets de armazenamento ou bancos de dados.
  • Defesa Evasão (TA0005) prejudicando defesas (T1562.001) desativando o registro ou monitoramento de auditoria na nuvem com contas de alto privilégio, ocultando ações maliciosas como modificações de recursos.

PA-3.1: Gerencie o ciclo de vida de identidades e direitos

O gerenciamento automatizado do ciclo de vida da identidade evita contas órfãs, permissões não revogadas e acesso excessivo que persistem após alterações de função ou saídas de funcionários. As organizações que dependem do gerenciamento manual de acesso enfrentam atrasos no desprovisionamento, processos de aprovação inconsistentes e falta de auditabilidade, criando lacunas de segurança em que usuários não autorizados exploram credenciais obsoletas para exfiltração de dados ou escalonamento de privilégios. A implementação de fluxos de trabalho automatizados garante que o acesso esteja alinhado com as necessidades atuais dos negócios por meio de processos consistentes de solicitação, aprovação, provisionamento e expiração.

Estabeleça o gerenciamento automatizado do ciclo de vida de identidade e acesso por meio da seguinte abordagem:

  • Planejar objetivos e escopo do gerenciamento de acesso Defina as necessidades de acesso identificando grupos de recursos do Azure que exigem gerenciamento de acesso, incluindo funções específicas (por exemplo, Proprietário, Colaborador) e identidades de usuário ou carga de trabalho, estabelecendo limites para fluxos de trabalho de governança e aprovação.

  • Atribuir responsabilidades Designe Administradores Globais, Administradores de Governança de Identidade ou proprietários de catálogos para gerenciar pacotes de acesso e gerenciamento de direitos , delegando a proprietários de recursos ou gerentes de projeto que revisam e aprovam solicitações de acesso para grupos de recursos específicos do Azure.

  • Configurar o gerenciamento de direitos para fluxos de trabalho de solicitação de acesso Crie catálogos no centro de administração do Microsoft Entra para organizar recursos relacionados e pacotes de acesso, adicionando grupos de recursos específicos do Azure com suas funções (por exemplo, Colaborador, Leitor) como recursos de catálogo e, em seguida, definindo pacotes de acesso especificando quais funções do grupo de recursos do Azure os usuários podem solicitar, juntamente com a duração do acesso e os requisitos de aprovação.

  • Configurar políticas de acesso Permita que os usuários solicitem acesso por meio do portal Microsoft Entra My Access, configurando fluxos de trabalho de aprovação de um ou vários estágios com aprovadores designados (por exemplo, proprietários de recursos, gerentes), definindo datas de expiração de acesso ou acesso com limite de tempo para revogação automática e configurando alertas para envios de solicitações, aprovações, recusas e expirações futuras.

  • Processar e rever pedidos de acesso Os usuários enviam solicitações de acesso para funções do grupo de recursos do Azure por meio do portal Meu Acesso, acionando fluxos de trabalho configurados que notificam aprovadores designados e detalhes da solicitação de log, enquanto os aprovadores avaliam solicitações com base na função do usuário, acesso solicitado e justificativa, solicitando esclarecimentos, se necessário, antes de aprovar ou negar com justificativas documentadas.

  • Provisionar e desprovisionar o acesso automaticamente Após a aprovação, o Microsoft Entra atribui automaticamente as funções solicitadas do Azure aos usuários para grupos de recursos especificados com acesso imediato, impondo a revogação automática quando as datas de expiração predefinidas são atingidas por políticas de pacote de acesso, permitindo que os administradores ou proprietários de recursos removam manualmente o acesso se as funções de usuário ou projetos forem alterados antes da expiração.

  • Detetar e ajustar permissões excessivas Use a Gestão de Permissões do Microsoft Entra para identificar permissões não utilizadas e excessivas atribuídas a identidades de utilizadores e tarefas de trabalho em infraestruturas de várias nuvens, ajustando automaticamente as permissões e monitorizando continuamente para prevenir a escalada de privilégios.

Exemplo de implementação

Desafio Uma empresa multinacional com 8.500 funcionários em 40 países/regiões enfrentou dificuldades com o provisionamento manual de acesso que exigia de 3 a 5 dias úteis por solicitação, criando atrasos operacionais e acumulando 450+ contas órfãs de funcionários falecidos com acesso privilegiado ativo.

Solution

  • Implementar a gestão de direitos Implantou o gerenciamento de direitos do Microsoft Entra ID com pacotes de acesso para todos os grupos de recursos do Azure, estabelecendo fluxos de trabalho automatizados para solicitação, aprovação em vários estágios e acesso com limite de tempo com expiração automática.
  • Configurar fluxos de trabalho dos ciclos de vida Fluxos de trabalho automatizados de entrada/mudança/saída são configurados para acionar o provisionamento imediato para novos funcionários, atualizações de acesso para alterações de função e desprovisionamento instantâneo após o término, com remoção de todos os pacotes de acesso e grupos privilegiados.
  • Implantar o gerenciamento de permissões Implementou monitoramento contínuo detetando permissões não utilizadas em infraestrutura multinuvem, dimensionando automaticamente funções superprovisionadas e gerando alertas para aumento de privilégios que exigem revisão.

Resultado A organização reduziu o tempo de provisionamento de acesso de 3 a 5 dias para menos de 2 horas, eliminou todas as contas órfãs por meio de desprovisionamento automatizado e alcançou auditabilidade de solicitação de acesso de 100% com documentação completa da trilha de aprovação.

Nível de criticidade

Deveria ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, AC-2(1), AC-2(3), AC-2(4), IA-4
  • PCI-DSS v4 7.2.2, 7.2.4, 8.1.3, 8.1.4
  • Controles CIS v8.1 5.1, 5.2, 5.3, 6.1
  • NIST CSF v2.0 PR. AA-3, PR. AC-1, PR. AC-4
  • Certificação ISO 27001:2022 A.5.15, A.5.16, A.5.17, A.5.18
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-4: Revise e reconcilie o acesso do usuário regularmente

Azure Policy: Veja definições de políticas incorporadas no Azure: PA-4.

Princípio da segurança

Realizar auditorias periódicas de direitos de conta privilegiada para verificar se as permissões de acesso estão estritamente alinhadas com as funções administrativas autorizadas, garantindo a conformidade com o princípio do menor privilégio.

Risco a mitigar

  • Acesso não autorizado devido a permissões excessivas As identidades concederam mais direitos de acesso do que o necessário, violando privilégios mínimos e aumentando a superfície de ataque.
  • Acesso obsoleto ou órfão de contas não gerenciadas Permissões retidas depois de deixarem de ser necessárias ou contas mantidas ativas após a saída do utilizador, permitindo uma potencial exploração.
  • Ameaças internas de acesso mal configurado ou não monitorado Usuários autorizados abusando de permissões devido a políticas mal configuradas ou falta de supervisão, incluindo ignorar processos de aprovação.
  • Não conformidade com as normas regulamentares Falha na aplicação de privilégios mínimos, auditoria de acesso ou desprovisionamento oportuno, correndo o risco de violações de normas como GDPR, HIPAA, SOC 2 ou ISO 27001.
  • Erro humano na gestão de acessos Processos manuais que levam a concessões de permissão incorretas, desprovisionamento negligenciado ou cadeias de aprovação mal configuradas.
  • Falta de auditabilidade e rastreabilidade Ausência de registro e documentação adequados, dificultando o rastreamento de solicitações de acesso, aprovações ou provisionamento, atrasando a deteção de violações.

MITRE ATT&CK

  • Acesso inicial (TA0001) explorando contas válidas (T1078.004) aproveitando credenciais de nuvem comprometidas ou obsoletas, como contas de serviço com privilégios excessivos, para autenticar APIs ou consoles de gerenciamento, permitindo o acesso não autorizado a recursos de nuvem sem disparar alertas.
  • Escalonamento de privilégios (TA0004) abusando de mecanismos de controle de elevação (T1548.005) explorando políticas RBAC mal configuradas ou permissões excessivas para atribuir funções elevadas, como acesso administrativo em todo o locatário, a partir de uma função de grupo de recursos.
  • Persistência (TA0003) manipulando contas (T1098.001) modificando políticas do IAM ou desabilitando MFA para incorporar acesso persistente, permitindo que adversários mantenham controle não autorizado sobre recursos de nuvem, como armazenamento ou computação.
  • Exfiltração (TA0010) acessando dados do armazenamento em nuvem (T1530) usando contas com privilégios excessivos para enumerar e recuperar dados confidenciais de buckets de armazenamento ou bancos de dados, explorando permissões não revogadas ou mal validadas.
  • A evasão de defesa (TA0005) prejudica as defesas (T1562.001) ao desativar o registro ou monitoramento de auditoria na nuvem com contas de alto privilégio, ocultando ações maliciosas, como modificações de recursos ou acesso a dados.

PA-4.1: Revisar e reconciliar o acesso do usuário regularmente

Analise todas as contas privilegiadas e direitos de acesso no Microsoft Azure, abrangendo locatários do Azure, serviços do Azure, máquinas virtuais (VMs)/Infraestrutura como Serviço (IaaS), PROCESSOS CI/CD e ferramentas de gerenciamento e segurança corporativas.

Use as revisões de acesso do Microsoft Entra ID para avaliar as funções do Microsoft Entra, as funções de acesso a recursos do Azure, as associações de grupo e o acesso a aplicativos corporativos. Os relatórios do Microsoft Entra ID fornecem logs para identificar contas obsoletas ou contas não utilizadas por um período especificado.

Além disso, o Microsoft Entra Privileged Identity Management (PIM) pode ser configurado para enviar alertas quando um número excessivo de contas de administrador é criado para uma função específica e para detetar contas de administrador obsoletas ou mal configuradas.

Planejar o escopo e os objetivos da revisão de acesso Identifique quais recursos do Azure (por exemplo, assinaturas, grupos de recursos, VMs) e funções do Microsoft Entra (por exemplo, Administrador Global, Administrador de Usuário) exigem revisão, estabelecendo uma frequência de revisão (por exemplo, mensal, trimestral) com base nos requisitos de segurança e nas necessidades regulatórias.

Atribuir responsabilidades de revisão Designe proprietários de recursos, equipes de segurança ou administradores de funções para realizar avaliações, garantindo que os revisores tenham permissões apropriadas no PIM.

Configurar revisões de acesso no Microsoft Entra PIM Crie revisões de acesso para funções do Entra selecionando funções específicas do Microsoft Entra para revisar, especificando revisores (indivíduos, proprietários de grupos ou autoavaliações) e definindo parâmetros de revisão, incluindo duração e recorrência. Para recursos do Azure, escolha assinaturas ou grupos de recursos, selecione funções de recursos do Azure (por exemplo, Proprietário, Colaborador) para avaliação, atribua revisores e defina configurações de revisão, incluindo datas de início/término e recorrência.

Realizar revisões de acesso Os revisores avaliam se os usuários ainda precisam de funções atribuídas ao Microsoft Entra com base nas funções de trabalho ou nas necessidades do projeto, avaliam se os usuários precisam de acesso contínuo a recursos e funções específicos do Azure verificando o alinhamento com as responsabilidades atuais e exigem que os usuários ou revisores forneçam motivos para manter o acesso garantindo que as decisões sejam documentadas.

Tome medidas com base nos resultados das avaliações Remova o acesso desnecessário revogando funções ou acesso para usuários que não precisam mais deles, utilizando relatórios de ID do Microsoft Entra ao lado do PIM para identificar contas sem atividade recente e removendo suas funções ou desativando-as. Você também pode utilizar os recursos do PIM para melhorar a reconciliação, detetar atribuições excessivas de funções e automatizar revisões contínuas em agendas predefinidas.

Exemplo de implementação

Desafio Uma empresa de tecnologia com 650 contas privilegiadas descobriu durante a auditoria anual que 89 contas (14%) não eram usadas há mais de 180 dias, enquanto 34 contas mantinham permissões elevadas, apesar de os usuários mudarem para funções não administrativas.

Solution

  • Implementar revisões de acesso trimestrais Implementou Microsoft Entra PIM access reviews para todas as assinaturas do Azure e funções do Entra com agendas recorrentes trimestrais, atribuindo proprietários de recursos como revisores principais e equipa de segurança como revisores secundários para supervisão.
  • Habilite a deteção automatizada Alertas PIM configurados para atribuições excessivas de funções (>8 Administradores Globais) e contas não utilizadas por 90+ dias, integrando-se ao Microsoft Sentinel para notificações em tempo real ao centro de operações de segurança.
  • Estabelecer fluxos de trabalho de correção Criei procedimentos de resposta padronizados exigindo que os revisores fornecessem justificativas para manter o acesso ou revogar imediatamente permissões desnecessárias, com escalonamento automático para revisões em atraso para a equipe de governança.

Resultado A organização identificou e removeu 89 contas obsoletas e 34 contas provisionadas em excesso, reduziu a contagem de Administradores Globais de 12 para 6 e alcançou 100% taxa de conclusão de revisão trimestral com justificativas documentadas.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2(3), AC-2(7), AC-6(7), IA-4
  • PCI-DSS v4 7.2.4, 8.1.4, 8.2.6
  • Controles CIS v8.1 5.3, 5.4, 6.2
  • NIST CSF v2.0 PR. AA-3, PR. AC-6, DE. CM-3
  • ISO 27001:2022 A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.2, CC6.3

PA-5: Configurar o acesso de emergência

Princípio da segurança

Configure o acesso de emergência para garantir que você não seja acidentalmente bloqueado de sua infraestrutura de nuvem crítica em uma emergência. As contas de acesso de emergência raramente devem ser usadas e podem ser altamente prejudiciais se comprometidas, mas sua disponibilidade é extremamente importante para cenários em que são necessárias.

Risco a mitigar

  • Bloqueio administrativo do gerenciamento de locatários na nuvem Perda de acesso a um locatário de nuvem quando todas as contas privilegiadas são bloqueadas por falhas de MFA, interrupções de federação ou contas comprometidas/excluídas, impedindo atualizações de políticas do IAM ou gerenciamento de recursos.
  • Acesso não autorizado a contas altamente privilegiadas Credenciais fracamente protegidas ou acesso irrestrito a contas de emergência permitem que os adversários se autentiquem em consoles de gerenciamento de nuvem ou APIs, facilitando o escalonamento de privilégios ou a exfiltração de dados.
  • Ameaças internas através de acesso de emergência mal utilizado As contas de emergência que ignoram os controles padrão são usadas indevidamente por pessoal autorizado para tarefas não emergenciais, correndo o risco de exposição a credenciais ou acesso não autorizado.
  • Falta de auditabilidade para acesso de emergência O registro ou monitoramento inadequado da atividade da conta de emergência impede a deteção de uso não autorizado, atrasando a resposta a incidentes.
  • Falha operacional de contas de emergência não testadas Contas de emergência não testadas com credenciais desatualizadas ou ligações do IAM mal configuradas falham durante crises, impedindo a restauração do acesso e exacerbando os bloqueios.

MITRE ATT&CK

  • Acesso Inicial (TA0001) - Contas Válidas: Contas Cloud (T1078.004) Aproveitar contas de acesso de emergência comprometidas com altos privilégios para autenticar em consoles de gerenciamento de nuvem ou APIs, explorando credenciais armazenadas de forma insegura.
  • Escalonamento de privilégios (TA0004) - Mecanismo de controle de elevação de abuso: infraestrutura de nuvem (T1548.005) Contas de emergência com privilégios excessivos com funções excessivas do IAM são exploradas para aumentar o acesso, permitindo que os adversários modifiquem políticas ou atribuam permissões administrativas no nível do locatário.
  • Persistência (TA0003) - Manipulação de conta: credenciais adicionais na nuvem (T1098.001) Modificar configurações de conta de emergência, como adicionar funções persistentes ou desabilitar MFA, para manter o acesso não autorizado.
  • Evasão de Defesa (TA0005) - Prejudicar Defesas: Desativar ou Modificar Logs de Nuvem (T1562.008) Utilizar contas de emergência para desativar o registo de auditoria ou a monitorização em ambientes de nuvem, ocultando as ações maliciosas.
  • Acesso a credenciais (TA0006) - Roubar token de acesso a aplicativos (T1528) Roubo de credenciais de conta de emergência armazenadas de forma insegura para autenticação em serviços na nuvem.

PA-5.1: Configurar acesso de emergência

As contas de acesso de emergência (contas "break-glass") impedem o bloqueio administrativo completo durante falhas de MFA, interrupções de federação ou contas administrativas comprometidas. Sem essas contas, as organizações correm o risco de perder o acesso do locatário quando os caminhos normais de autenticação falham. A implementação do acesso de emergência garante a continuidade dos negócios e, ao mesmo tempo, mantém a segurança por meio do gerenciamento, monitoramento e testes controlados de credenciais.

Estabelecer contas de acesso de emergência através da seguinte abordagem estruturada:

  • Criar contas de acesso de emergência Configure pelo menos duas contas somente na nuvem (não federadas) com a função de Administrador Global no Microsoft Entra ID, usando nomes descritivos (por exemplo, EmergencyAccess01, BreakGlass02) que identifiquem claramente sua finalidade, garantindo que as contas não sejam atribuídas a indivíduos específicos e permaneçam dedicadas exclusivamente para cenários de emergência.

  • Credenciais seguras com duplo controlo Gere senhas fortes e geradas aleatoriamente de pelo menos 32 caracteres configuradas para nunca expirarem, implementando mecanismos de controle duplos dividindo as credenciais em várias partes armazenadas em locais físicos seguros separados (por exemplo, cofres à prova de fogo em locais diferentes) acessíveis apenas a executivos C-level autorizados ou liderança de segurança, documentando procedimentos de recuperação que exigem aprovação de várias pessoas.

  • Configurar exclusões de Acesso Condicional Exclua pelo menos uma conta de emergência de todas as políticas de Acesso Condicional e requisitos de MFA para garantir o acesso durante interrupções de serviço, enquanto opcionalmente protege a segunda conta com chaves de segurança FIDO2 armazenadas em locais seguros, garantindo que a diversidade de credenciais proteja contra falhas de autenticação de ponto único.

  • Permitir monitoramento e alertas abrangentes Configure o Azure Monitor ou o Microsoft Sentinel para analisar os logs de entrada e auditoria do Microsoft Entra ID, criando alertas em tempo real (email e SMS) acionando qualquer autenticação de emergência ou alteração de configuração, estabelecendo procedimentos de resposta a incidentes que exijam notificação imediata da equipe de segurança e documentação de justificação para todo o uso de conta de emergência.

  • Estabelecer procedimentos de teste e manutenção Teste o acesso à conta de emergência trimestralmente para verificar a funcionalidade, atualize as credenciais a cada 90 dias ou imediatamente após as alterações de pessoal que afetam os usuários autorizados, treine os administradores autorizados em procedimentos de quebra-vidro, incluindo recuperação de credenciais e documentação de incidentes, mantenha runbooks escritos documentando o processo completo de acesso de emergência para conformidade e prontidão operacional.

Exemplo de implementação

Desafio Uma organização multinacional de serviços financeiros sofreu uma interrupção de federação que afetou sua infraestrutura de identidade híbrida, descobrindo que não tinha um caminho de acesso de emergência funcional para o Microsoft Entra ID. Todos os 15 Administradores Globais dependiam da autenticação federada, deixando a organização completamente bloqueada durante o incidente, exigindo que o escalonamento de suporte da Microsoft recuperasse o acesso após 6 horas de inatividade.

Solution

  • Criar contas de acesso de emergência Provisionou duas contas de acesso de emergência somente na nuvem (EmergencyAccess01@contoso.onmicrosoft.com, BreakGlass02@contoso.onmicrosoft.com) com atribuições permanentes de função de Administrador Global na ID do Microsoft Entra, garantindo que as contas não fossem federadas ou sincronizadas do Ative Directory local para eliminar a dependência da infraestrutura de federação.

  • Implemente a autenticação sem senha com controle duplo Configurado o EmergencyAccess01 com autenticação de chave de acesso FIDO2 e o BreakGlass02 com autenticação baseada em certificado para diversidade de credenciais, armazenando chaves de segurança FIDO2 em dois cofres à prova de fogo separados na sede e no local de recuperação de desastres, enquanto as chaves privadas de certificado permaneceram em módulos de segurança de hardware acessíveis apenas a executivos de nível C com requisitos de autorização de dupla pessoa documentados em procedimentos de resposta de emergência.

  • Configurar exclusões de Acesso Condicional estrategicamente Criou uma política de exclusão de local nomeado para o EmergencyAccess01, isentando-o de todas as políticas de Acesso Condicional, incluindo os requisitos de MFA, enquanto o BreakGlass02 permaneceu sujeito aos requisitos de MFA resistentes a phishing, fornecendo uma abordagem de segurança equilibrada, garantindo pelo menos uma conta de acesso garantido durante qualquer interrupção do serviço de autenticação.

  • Implantar alertas do Azure Monitor para atividade de conta de emergência Espaço de trabalho do Log Analytics configurado com regras de alerta personalizadas consultando SigninLogs para IDs de objeto de conta de emergência, disparando alertas de gravidade crítica (Sev 0) com notificações imediatas por e-mail e SMS para o centro de operações de segurança, CISO e diretor de TI sempre que contas de emergência forem autenticadas, com consulta de alerta: SigninLogs | project UserId | where UserId == "00aa00aa-bb11-cc22-dd33-44ee44ee44ee" or UserId == "11bb11bb-cc22-dd33-ee44-55ff55ff55ff" avaliação a cada 5 minutos.

  • Estabelecer procedimentos trimestrais de validação e teste Criei um cronograma de exercícios trimestrais documentado exigindo que os membros designados da equipe de segurança recuperassem credenciais do armazenamento seguro, autenticassem usando contas de emergência, executassem tarefas administrativas de teste (consultar a lista de usuários por meio da API do Microsoft Graph), documentassem a atividade no log de incidentes e notificassem imediatamente a equipe de segurança, acionando o acionamento da revisão post-mortem, validando a funcionalidade de alerta e a acessibilidade das credenciais, com troca de credenciais realizada a cada 90 dias e imediatamente após mudanças de pessoal que afetem os indivíduos autorizados.

Resultado A organização estabeleceu um recurso resiliente de acesso de emergência sobrevivendo a falhas completas na infraestrutura de federação, detetou 100% de autenticações de contas de emergência em 5 minutos por meio de alertas automatizados, executou com sucesso 4 exercícios de validação trimestrais com tempo médio de recuperação de credenciais de 12 minutos e manteve zero uso não autorizado de conta de emergência durante um período de 12 meses com trilha de auditoria abrangente para todas as atividades de teste.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, CP-2, CP-9, IR-4, IA-4
  • PCI-DSS v4 8.2.8, 8.6.1, 12.10.1
  • Controles CIS v8.1 5.4, 6.5, 17.9
  • NIST CSF v2.0 PR.IP-10, RS.CO-3, RS.RP-1
  • Certificação ISO 27001:2022 A.5.24, A.5.29, A.17.1
  • SOC 2 CC6.1, CC7.4, CC9.1

PA-6: Use a solução de acesso privilegiado

Princípio da segurança

Soluções de acesso privilegiado seguras e isoladas são extremamente importantes para a segurança de funções confidenciais, como administrador, desenvolvedor e operador de serviços críticos.

Risco a mitigar

  • Comprometimento de credenciais por meio de malware ou phishing em estações de trabalho administrativas Os atacantes implantam keyloggers, páginas de phishing ou malware de raspagem de memória em estações de trabalho não protegidas para capturar credenciais privilegiadas, como tokens de API ou senhas, permitindo o acesso não autorizado a consoles de gerenciamento de nuvem ou APIs. Por exemplo, um ataque de phishing imitando uma página de login do portal na nuvem ou um trojan em um dispositivo não-PAW pode extrair credenciais de administrador, permitindo que adversários invoquem chamadas de API, modifiquem políticas do IAM ou exfiltrem dados.
  • Escalonamento de privilégios por meio de configurações de estação de trabalho não seguras Os adversários exploram direitos de administrador local, vulnerabilidades não corrigidas ou controles de aplicativos fracos em estações de trabalho administrativas para aumentar privilégios, manipulando funções do IAM ou tokens de acesso. Por exemplo, uma estação de trabalho sem políticas do AppLocker pode permitir a execução de scripts mal-intencionados, permitindo que os invasores elevem do nível do usuário para o acesso administrativo em todo o locatário, comprometendo recursos como máquinas virtuais ou armazenamento.
  • Acesso não autorizado através de conectividade remota insegura Os atacantes têm como alvo endpoints RDP/SSH expostos ou protocolos não seguros para intercetar sessões de administração ou executar ataques de força bruta, obtendo acesso a recursos de nuvem. Conexões diretas em IPs públicos correm o risco de sequestro de sessão ou preenchimento de credenciais, permitindo que adversários executem comandos não autorizados ou extraiam dados de máquinas virtuais ou bancos de dados.
  • Ameaças internas de acesso privilegiado usado indevidamente em dispositivos não-PAW Os administradores autorizados abusam do acesso privilegiado permanente ou ignoram os controles usando dispositivos pessoais, arriscando a exposição de credenciais a malware ou violações de políticas. Por exemplo, um administrador que executa tarefas privilegiadas em um dispositivo BYOD pode inadvertidamente vazar credenciais para spyware, permitindo alterações não autorizadas do IAM ou acesso a dados, violando os princípios de privilégios mínimos.
  • Propagação e persistência de malware em estações de trabalho administrativas Os adversários implantam malware persistente, como ransomware ou backdoors, em estações de trabalho não reforçadas para exfiltrar dados ou pivotar para recursos de nuvem. Um dispositivo de administração comprometido sem execução restrita pode permitir que malware manipule configurações do IAM ou implante cargas de trabalho maliciosas, explorando software desatualizado para manter o acesso de longo prazo.
  • Falta de auditabilidade e rastreabilidade para atividades privilegiadas de estações de trabalho O registro inadequado de sessões privilegiadas ou ações do IAM em estações de trabalho impede a deteção de acesso não autorizado, atrasando a resposta a incidentes. Atividades administrativas não monitoradas, como logins de console ou chamadas de API, com retenção limitada de logs (por exemplo, 30 dias), dificultam a análise forense, permitindo que os invasores operem sem serem detetados em ambientes de nuvem.

MITRE ATT&CK

  • Acesso a credenciais (TA0006) Roubo de credenciais (por exemplo, senhas, tokens de API) de estações de trabalho administrativas não protegidas por meio de keyloggers, phishing ou malware de captura de memória (T1552.001), usando credenciais capturadas para autenticar em consoles de gerenciamento de nuvem ou APIs para acesso não autorizado.
  • Escalonamento de privilégios (TA0004) Exploração de direitos de administrador local ou vulnerabilidades não corrigidas em dispositivos não-PAW para aumentar privilégios (T1068), manipulação de funções do IAM ou tokens de acesso para obter acesso administrativo em todo o locatário, como modificar políticas de recursos na nuvem.
  • Acesso Inicial (TA0001) Direcionamento de endpoints RDP/SSH expostos em recursos de nuvem por meio de força bruta ou intercetação de sessão (T1133), usando sessões de administração comprometidas de conexões remotas não seguras para executar comandos ou acessar dados confidenciais.
  • Persistência (TA0003) Estabelecer acesso persistente implantando malware ou backdoors em estações de trabalho não protegidas (T1547.001), mantendo o controle sobre dispositivos administrativos para acessar repetidamente configurações do IAM na nuvem ou implantar cargas de trabalho maliciosas.
  • Evasão de Defesa (TA0005) Desativação de serviços de registo ou monitorização na nuvem através de contas de administrador comprometidas em dispositivos não-PAW (T1562.008), ocultando alterações não autorizadas no IAM ou manipulações de recursos ao suprimir as trilhas de auditoria.

PA-6.1: Use a solução de acesso privilegiado

As Estações de Trabalho de Acesso Privilegiado (PAWs) fornecem ambientes protegidos e isolados que impedem o roubo de credenciais por malware, phishing e acesso não autorizado em dispositivos administrativos. Sem PAWs, os administradores que usam estações de trabalho padrão ou dispositivos pessoais expõem credenciais privilegiadas a keyloggers, malware de raspagem de memória e sequestro de sessão, permitindo que invasores comprometam locatários de nuvem. A implementação de PAWs com proteção de dispositivo, autenticação forte e acesso remoto seguro garante que as operações administrativas permaneçam protegidas contra ataques baseados em endpoint.

Implante estações de trabalho de acesso privilegiado por meio da seguinte abordagem estruturada:

Provisionar e configurar dispositivos PAW protegidos Desdobrar dispositivos Windows dedicados como PAWs (estações de trabalho físicas ou VMs do Azure), inscrevendo-os no Microsoft Intune para gerenciamento centralizado, aplicando linhas de base de segurança do Microsoft Defender for Endpoint, removendo direitos de administrador local, impondo criptografia de dispositivo com BitLocker e configurando políticas do Windows Defender Application Control (WDAC) ou AppLocker, restringindo a execução de aplicativos apenas às ferramentas administrativas aprovadas (portal do Azure, PowerShell, Azure CLI, Visual Studio Code).

Implementar conformidade de dispositivos e controle de aplicativos Configure perfis de configuração de dispositivo do Intune aplicando políticas de segurança, incluindo contas de administrador local desabilitadas, bloqueio de tela obrigatório após 5 minutos de inatividade, dispositivos de armazenamento removíveis bloqueados e instalações restritas da Microsoft Store, implantando o aplicativo Portal da Empresa para entrega de aplicativos gerenciados, garantindo que apenas ferramentas aprovadas alcancem PAWs enquanto bloqueiam aplicativos pessoais e serviços de nuvem para consumidores por meio da integração do Microsoft Defender for Cloud Apps .

Habilite a deteção e o monitoramento de ameaças Integre o Microsoft Defender for Endpoint em todos os PAWs para monitoramento comportamental em tempo real, detetando tentativas de roubo de credenciais, execução de processos suspeitos e atividade de malware, configurando regras de redução de superfície de ataque bloqueando macros do Office, malware baseado em script e ferramentas de despejo de credenciais, com alertas automatizados acionando notificações da equipe de segurança para ameaças de alta gravidade que exigem investigação imediata.

Impor controles de identidade e acesso Crie políticas de Acesso Condicional do Microsoft Entra que exijam MFA resistente a phishing (chaves de segurança FIDO2 ou autenticação baseada em certificado) para todos os acessos de contas privilegiadas ao portal do Azure e ao Microsoft 365 a partir de PAWs, implementando filtros baseados em dispositivos que restrinjam o acesso exclusivamente a PAWs associados ao Entra, ou compatíveis com Intune enquanto bloqueiem cenários de BYOD, e habilitando o Microsoft Entra Privileged Identity Management (PIM) para ativação de função just-in-time que exija aprovação e justificação antes da concessão de permissões administrativas limitadas no tempo.

Implante acesso remoto seguro para recursos de nuvem Implemente o Azure Bastion como um serviço PaaS totalmente gerido pela plataforma em redes virtuais, permitindo a conectividade RDP/SSH para VMs do Azure diretamente através do portal do Azure via navegador da Web sem exposição de IP público, armazenando chaves privadas SSH como segredos no Cofre de Chaves do Azure com políticas de acesso baseadas em ID do Entra que restringem o uso de chaves a dispositivos PAW autorizados, configurando grupos de segurança de rede (NSGs) para limitar o tráfego Bastion por intervalos de IP de origem e protocolos e integrando-se com o Azure Monitor para alertar sobre alterações de configuração ou tentativas de acesso não autorizado.

Estabeleça políticas de uso e treinamento de PAW Documente os requisitos obrigatórios de uso do PAW para todas as operações privilegiadas, incluindo acesso ao portal do Azure, administração do PowerShell e alterações de infraestrutura, proibindo o uso de conta privilegiada de dispositivos não-PAW por meio de controles técnicos e imposição de políticas, treinamento de administradores sobre procedimentos de acesso PAW, uso de ferramentas aprovadas e protocolos de relatório de incidentes, com revisões de conformidade trimestrais verificando a adesão ao acesso administrativo somente PAW.

Exemplo de implementação

Desafio Uma organização de saúde descobriu 23 administradores usando laptops pessoais e estações de trabalho corporativas padrão com direitos de administrador local irrestritos para gerenciar recursos de produção do Azure contendo informações de saúde protegidas (PHI), expondo credenciais privilegiadas a ataques de malware e phishing sem proteção de ponto final, controle de aplicativos ou monitoramento de atividades, criando riscos de conformidade com a HIPAA e permitindo o roubo potencial de credenciais.

Solution

  • Implante uma infraestrutura PAW dedicada Foram provisionados 25 dispositivos dedicados com Windows 11 Enterprise como PAWs, inscritos no Microsoft Intune com políticas rigorosas de conformidade de dispositivos. Aplicou-se a configuração de segurança do Microsoft Defender para Endpoint, removendo todos os direitos de administrador local, habilitou-se a criptografia completa de disco com BitLocker utilizando proteção TPM e configurou-se o Windows Defender Application Control (WDAC) para permitir apenas ferramentas administrativas aprovadas (portal do Azure, PowerShell 7, CLI do Azure, Visual Studio Code, Microsoft Remote Desktop), bloqueando a execução de todas as outras aplicações, incluindo pacotes de produtividade do Office e navegadores da web, com exceção do Edge em modo de proteção de aplicações.

  • Implemente endurecimento abrangente de dispositivos Perfis de configuração do dispositivo Intune que impõem políticas de segurança, incluindo bloqueio de tela obrigatório de 5 minutos com autenticação via Windows Hello, bloqueio de dispositivos de armazenamento USB e mídia externa, desabilitação do acesso à câmera e ao microfone, prevenção do cache de credenciais locais, implantação do Portal da Empresa para entrega de aplicativos geridos com restrição de instalações a ferramentas administrativas aprovadas e integração do Microsoft Defender for Cloud Apps bloqueando o acesso a serviços de armazenamento em nuvem para consumidores (Dropbox, OneDrive pessoal, Gmail) por meio da inspeção de tráfego de rede.

  • Ative a proteção avançada contra ameaças Microsoft Defender for Endpoint integrado em todos os PAWs, com regras que reduzem a superfície de ataque bloqueando macros do Office, ameaças baseadas em script, ferramentas de coleta de credenciais (Mimikatz) e injeções de processos suspeitos, com a deteção e resposta de endpoints (EDR) configurada para investigação e remediação automáticas para ameaças de alta gravidade. A proteção contra violação é ativada para impedir a desativação dos controlos de segurança, e o centro de operações de segurança (SOC) é configurado para alertar com um SLA de resposta de 15 minutos para eventos críticos de segurança dos PAWs.

  • Impor autenticação resistente a phishing Criou políticas de Acesso Condicional do Microsoft Entra que exigem autenticação de chave de segurança FIDO2 para todas as contas privilegiadas que acessam o portal do Azure e o Microsoft 365 a partir de PAWs, implementou filtros de conformidade de dispositivo que permitem o acesso exclusivamente de PAWs gerenciados pelo Intune com postura de segurança compatível, bloqueou protocolos de autenticação herdados (Autenticação Básica, POP3, IMAP), habilitou o Microsoft Entra PIM exigindo fluxo de trabalho de aprovação e ativação com limite de tempo de 4 horas para funções de Proprietário e Colaborador com documentação comprovativa obrigatória.

  • Desprovisionar infraestruturas de acesso remoto seguras Azure Bastion provisionado no SKU Standard em todas as redes virtuais de produção, permitindo acesso RDP/SSH via navegador a VMs do Azure, sem exposição de IPs públicos. Chaves privadas SSH armazenadas no Azure Key Vault Premium com proteção HSM e políticas de acesso com base em Entra ID, restringindo o uso de chaves a identidades específicas de dispositivos PAW. Grupos de Segurança de Rede (NSGs) configurados limitando o tráfego da sub-rede do Bastion a intervalos autorizados de IPs de origem da rede corporativa e da sub-rede PAW. Azure Monitor integrado com regras de alerta que são acionadas em caso de alterações de configuração do Bastion, tentativas de acesso não autorizado ou duração da sessão superior a 8 horas.

  • Estabelecer governança obrigatória de uso de PAW Política de tolerância zero documentada e aplicada que proíbe o uso de contas privilegiadas de dispositivos não-PAW através de blocos de Acesso Condicional. Foram treinados 23 administradores em procedimentos de acesso PAW, incluindo o uso de chaves FIDO2, limitações de ferramentas aprovadas e protocolos de relatórios de incidentes em workshops práticos. Implementaram-se auditorias de conformidade trimestrais com relatórios automatizados do Intune validando que 100% das operações privilegiadas se originam de PAWs compatíveis. Também foi estabelecido um escalonamento executivo para violações de políticas, que exigem investigação e reparação imediatas.

Resultado A organização eliminou o risco de exposição de credenciais de 23 dispositivos administrativos não seguros, alcançou 100% adoção de PAW para acesso privilegiado com zero violações de linha de base de segurança em 25 dispositivos durante um período de 6 meses, impediu 12 tentativas de phishing detetadas pelo Defender for Endpoint com bloqueios automatizados de ferramentas de roubo de credenciais, reduziu o risco de comprometimento de conta privilegiada em 87% por meio de autenticação resistente a phishing e fortalecimento de dispositivos, e alcançou a conformidade com a HIPAA para controles de acesso administrativo com trilha de auditoria completa para todas as operações privilegiadas.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6, IA-2, IA-5, IA-8, SI-4
  • PCI-DSS v4 2.2.1, 7.2.5, 8.2.8, 8.4.2
  • Controles CIS v8.1 4.1, 5.4, 6.3, 6.4
  • NIST CSF v2.0 PR. AC-7, PR. PT-3, DE. CM-1
  • ISO 27001:2022 A.5.15, A.8.5, A.8.16
  • SOC 2 CC6.1, CC6.6, CC6.7

PA-7: Siga o princípio de administração suficiente (menor privilégio)

Azure Policy: Ver definições de políticas incorporadas no Azure: PA-7.

Princípio da segurança

Siga o princípio de administração suficiente (privilégio mínimo) para gerenciar permissões em nível refinado. Use recursos como RBAC (controle de acesso baseado em função) para gerenciar o acesso a recursos por meio de atribuições de função.

Risco a mitigar

  • Acesso não autorizado devido a permissões excessivas Os invasores exploram contas com privilégios excessivos com permissões além do necessário para sua função, permitindo o acesso não autorizado a recursos confidenciais da nuvem, como contas de armazenamento, máquinas virtuais ou bancos de dados. Em ambientes de nuvem, permissões excessivas geralmente resultam de atribuições de função amplas (por exemplo, conceder Proprietário em vez de Colaborador em um escopo de assinatura), permitindo que os adversários executem ações como exfiltração de dados, exclusão de recursos ou modificação de política do IAM. Por exemplo, um usuário com acesso de gravação desnecessário a uma conta de armazenamento pode extrair dados confidenciais ou implantar conteúdo mal-intencionado, amplificando a superfície de ataque.
  • Escalonamento de privilégios de atribuições de função mal configuradas Os adversários aproveitam atribuições de função mal configuradas ou excessivamente permissivas para aumentar os privilégios, ganhando controle não autorizado sobre recursos de nuvem ou locatários inteiros. Sem políticas RBAC granulares, um usuário com uma função aparentemente de baixo privilégio (por exemplo, Leitor em um escopo de grupo de recursos) pode explorar permissões herdadas ou configurações incorretas de função para atribuir a si mesmo privilégios mais altos, como Proprietário em um nível de assinatura. Isso pode levar ao comprometimento de todo o locatário, permitindo que os invasores manipulem configurações do IAM, implantem cargas de trabalho maliciosas ou desativem controles de segurança.
  • Ameaças internas de acesso irrestrito Os usuários autorizados, intencionalmente ou não, abusam de amplos privilégios de acesso para executar ações não autorizadas, como modificar recursos críticos ou acessar dados confidenciais. Em plataformas de nuvem, um insider com uma função que concede permissões excessivas (por exemplo, Colaborador em vários grupos de recursos) pode alterar configurações de máquinas virtuais, extrair dados de bancos de dados ou interromper serviços sem deteção. A falta de aplicação de privilégios mínimos permite que tais ações contornem a supervisão padrão, aumentando o risco de violações de dados ou interrupções operacionais.
  • Movimento lateral entre recursos de nuvem Os atacantes exploram contas com privilégios excessivos para se moverem lateralmente entre recursos de nuvem, acessando sistemas ou dados não relacionados depois de comprometer uma única conta. Em um locatário de nuvem, uma conta comprometida com uma função que concede acesso a vários grupos de recursos (por exemplo, Colaborador em um escopo de assinatura) permite que os adversários alternem de um recurso (por exemplo, uma máquina virtual) para outro (por exemplo, uma conta de armazenamento), aumentando seu impacto. Esse risco aumenta quando as atribuições de função não têm escopo específico de recursos, permitindo que os invasores enumerem e explorem recursos interconectados.

MITRE ATT&CK

  • Acesso Inicial (TA0001) Contas válidas: Contas na nuvem (T1078.004): Comprometer contas com privilégios excessivos com amplas funções RBAC (por exemplo, Proprietário no âmbito da subscrição) para se autenticarem em consolas de gestão na nuvem ou APIs, permitindo que os adversários acedam a recursos confidenciais, como contas de armazenamento ou máquinas virtuais, sem deteção.
  • Escalonamento de Privilégios (TA0004) Mecanismo de Controlo de Elevação de Abuso: Infraestrutura de Nuvem (T1548.005): Exploração de funções RBAC mal configuradas com permissões excessivas para escalar privilégios, como modificar políticas IAM para atribuir funções administrativas de âmbito ao locatário, a partir do escopo de um grupo de recursos, concedendo o controlo não autorizado sobre os recursos de nuvem.
  • Persistência (TA0003) Manipulação de conta: funções adicionais na nuvem (T1098.001): Modificando atribuições de função RBAC para adicionar funções persistentes de alto privilégio a contas comprometidas, permitindo que os adversários mantenham o acesso a recursos de nuvem, como bancos de dados ou instâncias de computação, por meio de associações de função não autorizadas.
  • Exfiltração (TA0010) Dados do armazenamento em nuvem (T1530): Acessando e extraindo dados confidenciais do armazenamento em nuvem usando contas com funções RBAC excessivamente permissivas, permitindo que adversários enumerem e baixem arquivos confidenciais de buckets de armazenamento devido a permissões sem escopo.
  • Evasão de Defesa (TA0005) Interferência nas Defesas: Desativar ou Modificar Logs na Nuvem (T1562.008): Utilizar contas com permissões excessivas do RBAC para desabilitar o registo de auditoria ou serviços de monitorização, ocultando ações maliciosas, como modificações de recursos ou alterações do IAM, suprimindo rastros de auditoria nativos da nuvem.

PA-7.1: Usar o RBAC do Azure para gerenciar o acesso a recursos do Azure

Use o controle de acesso baseado em função do Azure (Azure RBAC) para gerenciar o acesso a recursos do Azure por meio de atribuições de função. Por meio do RBAC, você pode atribuir funções a usuários, grupos, entidades de serviço e identidades gerenciadas. Há funções internas predefinidas para determinados recursos, e essas funções podem ser inventariadas ou consultadas por meio de ferramentas como a CLI do Azure, o Azure PowerShell e o portal do Azure.

Os privilégios atribuídos aos recursos por meio do RBAC do Azure devem sempre ser limitados ao que é exigido pelas funções. Os privilégios limitados complementarão a abordagem just-in-time (JIT) do Microsoft Entra ID Privileged Identity Management (PIM), e esses privilégios devem ser revisados periodicamente. Se necessário, você também pode usar o PIM para definir uma atribuição com limite de tempo, que é uma condição em uma atribuição de função em que um usuário só pode ativar a função dentro das datas de início e término especificadas.

Observação: use funções internas do Azure para alocar permissões e criar funções personalizadas somente quando necessário.

Exemplo de implementação

Desafio Por conveniência, uma empresa de software atribuiu a função de proprietário no escopo da assinatura a 145 desenvolvedores, resultando em permissões excessivas que permitem a exclusão de bases de dados, a modificação de grupos de segurança de rede e alterações nas políticas do IAM, muito além das necessidades de desenvolvimento.

Solution

  • Implementar RBAC de privilégios mínimos Analisei os requisitos reais de permissão e reatribuímos os desenvolvedores a funções personalizadas com escopo, limitando o acesso a grupos de recursos específicos com permissões granulares (leitura/gravação para Serviços de Aplicativo, somente leitura para o Cofre de Chaves, sem acesso a recursos de rede ou do IAM).
  • Implantar o PIM para atribuições com limite de tempo Configurou-se o Microsoft Entra PIM para necessidades de acesso elevado, exigindo que os desenvolvedores ativem a função de Colaborador por períodos de 4 horas, com justificativa e aprovação, substituindo atribuições contínuas de Proprietário por acesso sob demanda.
  • Estabelecer a governança RBAC Criei revisões mensais automatizadas de todas as atribuições de função usando revisões de acesso PIM, exigindo que os proprietários de recursos justifiquem o acesso contínuo e sinalizando automaticamente atribuições de função mais amplas do que o escopo do grupo de recursos para revisão da equipe de segurança.

Resultado A organização reduziu 145 atribuições de Proprietário permanentes para 0, limitou o acesso do desenvolvedor a 23 grupos de recursos com escopo com funções personalizadas com uma média de 8 permissões versus 100+ permissões de Proprietário anteriores e impediu 3 exclusões acidentais de produção no primeiro trimestre por meio de acesso restrito.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-5, AC-6, AC-6(1), AC-6(2)
  • PCI-DSS v4 7.2.1, 7.2.2, 7.2.3, 8.2.2
  • Controles CIS v8.1 3.3, 5.4, 6.1, 6.8
  • NIST CSF v2.0 PR. AC-4, PR. AC-7, PR. AA-1
  • Certificação ISO 27001:2022 A.5.15, A.5.18, A.8.2, A.8.3
  • SOC 2 CC6.1, CC6.3, CC6.7

PA-8: Determinar o processo de acesso para suporte ao provedor de nuvem

Princípio da segurança

Estabeleça um processo de aprovação e um caminho de acesso para solicitar e aprovar solicitações de suporte do fornecedor e acesso temporário aos seus dados por meio de um canal seguro.

Risco a mitigar

  • Acesso não autorizado a dados por meio do suporte ao provedor de nuvem Risco de o pessoal de suporte do provedor de nuvem acessar os armazenamentos de dados do cliente sem consentimento explícito, potencialmente explorando credenciais privilegiadas durante operações de diagnóstico ou manutenção.
  • Exploração de ameaças internas através do acesso ao provedor Potencial para insiders de provedores de nuvem mal-intencionados ou negligentes abusarem do acesso privilegiado, levando à exfiltração de dados ou modificações não autorizadas nos locatários dos clientes.
  • Operações de acesso opacas sem visibilidade Falta de visibilidade dos eventos de acesso aos dados, dificultando a rastreabilidade e a responsabilização, o que pode corroer a confiança e violar os requisitos de auditoria.
  • Escalonamento excessivo de privilégios Risco de os engenheiros de suporte do provedor de nuvem obterem escopos de acesso excessivamente amplos, excedendo o princípio de menor privilégio e aumentando a superfície de ataque dentro dos recursos de nuvem.
  • Não conformidade regulamentar com os requisitos de auditoria O acesso não controlado aos dados viola os quadros de proteção de dados (por exemplo, GDPR, HIPAA, CCPA), correndo o risco de sanções por incumprimento devido a uma governação de acesso inadequada.
  • Exposição de dados durante operações de suporte Potencial para vazamento de dados confidenciais ou manipulação incorreta durante atividades de suporte, como sessões de área de trabalho remota ou análise de logs, sem governança do cliente.

MITRE ATT&CK

  • Contas válidas (T1078.004) Exploração de credenciais de conta na nuvem comprometidas ou utilizadas indevidamente, como as do pessoal de suporte, para acessar dados de clientes em ambientes de nuvem, ignorando os controles de autenticação padrão.
  • Manipulação de conta (T1098.001) Adição de credenciais não autorizadas, como chaves ou tokens, a serviços ou aplicativos de identidade na nuvem, permitindo o acesso persistente aos recursos do cliente durante as operações de suporte.
  • Força Bruta (T1110) Tentativas repetidas de adivinhar credenciais de conta na nuvem, como as usadas por engenheiros de suporte, para obter acesso não autorizado aos dados do cliente durante as atividades de solução de problemas.
  • Roubar token de acesso ao aplicativo (T1528) Roubo de tokens de acesso usados pelo pessoal de suporte para interagir com os recursos de nuvem do cliente, facilitando o acesso não autorizado a dados ou movimentação lateral dentro do locatário.
  • Despejo de Credenciais do SO (T1003.006) Extração de credenciais de serviços de identidade na nuvem por pessoas internas com acesso temporariamente elevado, permitindo a sincronização de dados confidenciais de identidade para acesso persistente.

PA-8.1: Usar o Azure Customer Lockbox

O Customer Lockbox fornece controle de aprovação explícito para o acesso aos dados do engenheiro de suporte da Microsoft, garantindo que os clientes mantenham a governança sobre quem acessa seus recursos de nuvem durante a solução de problemas. Sem o Lockbox, os engenheiros de suporte poderiam acessar os dados do cliente sem consentimento explícito, criando riscos de conformidade e reduzindo a visibilidade das atividades de acesso do fornecedor. A implementação do Lockbox garante que cada solicitação de acesso a dados de suporte exija a aprovação do cliente, mantendo trilhas de auditoria e conformidade regulamentar.

Implemente o Customer Lockbox através do seguinte processo:

  • Ativar Lockbox Um Administrador Global habilita o Customer Lockbox no nível do locatário por meio do módulo Administração do portal do Azure, exigindo um plano de suporte do Azure (Desenvolvedor ou superior) com todas as assinaturas e recursos do locatário cobertos.

  • Iniciar pedido de suporte Os usuários abrem tíquetes de suporte no portal do Azure para problemas de carga de trabalho, onde os engenheiros de suporte da Microsoft analisam tíquetes e determinam se o acesso aos dados é necessário além das ferramentas de solução de problemas padrão.

  • Solicitar acesso elevado Se as ferramentas padrão não conseguirem resolver o problema, os engenheiros solicitarão permissão elevada por meio do serviço de acesso Just-In-Time (JIT), criando solicitações Lockbox para acesso direto a dados (por exemplo, área de trabalho remota de máquina virtual) especificando finalidade, duração e recursos.

  • Notificar os aprovadores designados Os aprovadores designados (Proprietários de Assinaturas, Administradores Globais ou Aprovadores do Azure Customer Lockbox) recebem notificações por email com detalhes da solicitação e links para a folha Lockbox, com notificações de email alternativas configuráveis para contas ou entidades de serviço não habilitadas para email.

  • Rever e aprovar ou negar Os aprovadores entram no portal do Azure para revisar solicitações e tíquetes de suporte associados, aprovando ou negando dentro de quatro dias, com a aprovação concedendo acesso por tempo limitado (padrão: 8 horas) e negação ou expiração impedindo o acesso.

Exemplo de implementação

Desafio Uma organização de serviços financeiros exigia controle de aprovação explícito para acesso a dados de suporte da Microsoft devido a requisitos regulamentares, mas não tinha visibilidade sobre solicitações de acesso de engenheiro de suporte e fluxos de trabalho de aprovação para auditoria de conformidade.

Solution

  • Ativar o Customer LockboxAtivado o Customer Lockbox ao nível do inquilino para todas as subscrições que requerem aprovação do Administrador Global, estabelecendo um processo de aprovação documentado com os Proprietários de Subscrição designados e os Aprovadores do Customer Lockbox do Azure a receberem notificações automáticas por e-mail para todos os pedidos de acesso a dados.
  • Configurar fluxos de trabalho de aprovação Estabeleci uma janela de revisão de 4 dias para todas as solicitações do Lockbox com documentação obrigatória de justificação do aprovador, configurando notificações por e-mail alternativas para entidades de serviço e implementando procedimentos de escalonamento para cenários de suporte sensíveis ao tempo.
  • Implementar a monitorização e o registo de auditoria dos eventos de aprovação integrados do Customer Lockbox com o Microsoft Sentinel, gerando alertas em tempo real para a equipa de segurança, viabilizando um rasto de auditoria abrangente de todas as solicitações de acesso de suporte, decisões de aprovação e duração de acessos para fins de relatórios regulatórios.

Resultado A organização obteve 100% aprovação explícita para acesso a dados de suporte da Microsoft com latência média de aprovação de 2 horas, manteve uma trilha de auditoria completa de 47 solicitações Lockbox durante 6 meses para conformidade regulatória e negou 3 solicitações que não atendiam aos critérios de aprovação demonstrando controle de governança.

Nível de criticidade

Deve ter.

Mapeamento de controle

  • NIST SP 800-53 Rev.5 AC-2, AC-3, AC-6(2), AU-6, CA-3
  • PCI-DSS v4 8.2.2, 10.2.2, 12.8.2, 12.8.5
  • Controles CIS v8.1 5.4, 6.8, 8.2, 8.11
  • NIST CSF v2.0 PR. AC-4, PR. PT-2, DE. AE-3
  • Certificação ISO 27001:2022 A.5.19, A.5.20, A.5.23, A.8.2
  • SOC 2 CC6.3, CC6.7, CC7.2
  • Last updated on