Controle de Segurança V2: Gerenciamento de Identidade

O Gerenciamento de Identidades abrange controles para estabelecer uma identidade segura e controles de acesso usando o Azure Ative Directory. Isso inclui o uso de logon único, autenticações fortes, identidades gerenciadas (e entidades de serviço) para aplicativos, acesso condicional e monitoramento de anomalias de conta.

Para ver a Política do Azure interna aplicável, consulte Detalhes da iniciativa interna de Conformidade Regulatória do Azure Security Benchmark: Gerenciamento de Identidades

IM-1: Padronizar o Ative Directory do Azure como o sistema central de identidade e autenticação

O Azure Ative Directory (Azure AD) é o serviço de gerenciamento de identidade e acesso padrão do Azure. Você deve padronizar no Azure AD para controlar o gerenciamento de identidade e acesso da sua organização em:

• Recursos de nuvem da Microsoft, como o portal do Azure, Armazenamento do Azure, Máquinas Virtuais do Azure (Linux e Windows), Azure Key Vault, PaaS e aplicativos SaaS.

• Recursos da sua organização, como aplicativos no Azure ou recursos da rede corporativa.

Proteger o Azure AD deve ser uma alta prioridade na prática de segurança na nuvem da sua organização. O Azure AD fornece uma pontuação segura de identidade para ajudá-lo a avaliar sua postura de segurança de identidade em relação às recomendações de práticas recomendadas da Microsoft. Use a pontuação para avaliar até que ponto sua configuração corresponde às recomendações de práticas recomendadas e para fazer melhorias em sua postura de segurança.

Observação: o Azure AD dá suporte a provedores de identidade externos, que permitem que usuários sem uma conta da Microsoft entrem em seus aplicativos e recursos com sua identidade externa.

• Arrendamento no Azure AD

• Como criar e configurar uma instância do Azure AD

• Definir locatários do Azure AD

• Usar provedores de identidade externos para um aplicativo

• Qual é a pontuação de segurança de identidade no Azure AD

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão de identidades e chaves

• Arquitetura de segurança

• Segurança de aplicativos e DevSecOps

• Gestão postural

IM-2: Gerencie identidades de aplicativos de forma segura e automática

Para contas não humanas, como serviços ou automação, use identidades gerenciadas do Azure, em vez de criar uma conta humana mais poderosa para acessar recursos ou executar código. As identidades gerenciadas do Azure podem se autenticar nos serviços e recursos do Azure que dão suporte à autenticação do Azure AD. A autenticação é habilitada por meio de regras de concessão de acesso predefinidas, evitando credenciais codificadas no código-fonte ou nos arquivos de configuração.

Para serviços que não dão suporte a identidades gerenciadas, use o Azure AD para criar uma entidade de serviço com permissões restritas no nível de recurso. Recomenda-se configurar princípios de serviço com credenciais de certificado e recorrer aos segredos do cliente. Em ambos os casos, o Cofre da Chave do Azure pode ser usado em conjunto com identidades gerenciadas do Azure, para que o ambiente de tempo de execução (como uma função do Azure) possa recuperar a credencial do cofre de chaves.

• Identidades gerenciadas do Azure

• Serviços que dão suporte a identidades gerenciadas para recursos do Azure

• Entidade de serviço do Azure

• Criar um principal de serviço com certificados

Utilizar o Azure Key Vault para o registo da entidade de segurança: authentication#authorize-a-security-principal-to-access-key-vault

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão de identidades e chaves

• Segurança de aplicativos e DevSecOps

IM-3: Usar o logon único (SSO) do Azure AD para acesso ao aplicativo

O Azure AD fornece gerenciamento de identidade e acesso a recursos do Azure, aplicativos em nuvem e aplicativos locais. O gerenciamento de identidade e acesso aplica-se a identidades corporativas, como funcionários, bem como identidades externas, como parceiros, fornecedores e fornecedores.

Use o logon único (SSO) do Azure AD para gerenciar e proteger o acesso aos dados e recursos da sua organização no local e na nuvem. Conecte todos os seus usuários, aplicativos e dispositivos ao Azure AD para acesso contínuo e seguro e maior visibilidade e controle.

• Compreender o SSO do aplicativo com o Azure AD

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de identidades e chaves

• Segurança de aplicativos e DevSecOps

IM-4: Usar controles de autenticação forte para todo o acesso baseado no Azure Ative Directory

O Azure AD dá suporte a controles de autenticação forte por meio de MFA (autenticação multifator) e métodos sem senha forte.

• Autenticação multifator: habilite o Azure AD MFA e siga as recomendações no controle de segurança "Habilitar MFA" da Central de Segurança do Azure. A MFA pode ser imposta a todos os usuários, usuários selecionados ou no nível por usuário com base nas condições de entrada e fatores de risco.

• Autenticação sem senha: três opções de autenticação sem senha estão disponíveis: Windows Hello for Business, aplicativo Microsoft Authenticator e métodos de autenticação local, como cartões inteligentes.

Para administradores e usuários privilegiados, certifique-se de que o nível mais alto do método de autenticação forte seja usado, seguido pela implementação da política de autenticação forte apropriada para outros usuários.

Se a autenticação baseada em senha herdada ainda for usada para autenticação do Azure AD, lembre-se de que as contas somente na nuvem (contas de usuário criadas diretamente no Azure) têm uma política de senha de linha de base padrão. E as contas híbridas (contas de usuário que vêm do Ative Directory local) seguem as políticas de senha locais. Ao usar a autenticação baseada em senha, o Azure AD fornece um recurso de proteção por senha que impede que os usuários definam senhas fáceis de adivinhar. A Microsoft fornece uma lista global de senhas proibidas que é atualizada com base na telemetria, e os clientes podem aumentar a lista com base em suas necessidades (como marca, referências culturais, etc.). Esta proteção por palavra-passe pode ser utilizada apenas para contas híbridas e na nuvem.

Nota: A autenticação baseada apenas em credenciais de senha é suscetível a métodos de ataque populares. Para maior segurança, use autenticação forte, como MFA e uma política de senha forte. Para aplicativos de terceiros e serviços de mercado que podem ter senhas padrão, você deve alterá-las durante a configuração inicial do serviço.

• Como habilitar o MFA no Azure

• Introdução às opções de autenticação sem senha para o Azure Ative Directory

• Política de senha padrão do Azure AD

• Elimine senhas incorretas usando a Proteção por Senha do Azure AD

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Gestão de identidades e chaves

• Segurança de aplicativos e DevSecOps

IM-5: Monitorizar e alertar sobre anomalias na conta

O Azure AD fornece as seguintes fontes de dados:

• Entradas – O relatório de entradas fornece informações sobre o uso de aplicativos gerenciados e atividades de entrada do usuário.

• Logs de auditoria - Fornece rastreabilidade por meio de logs para todas as alterações feitas através de várias funcionalidades no Azure Active Directory. Exemplos de logs de auditoria de alterações registadas incluem adicionar ou remover utilizadores, aplicações, grupos, funções e políticas.

• Entradas arriscadas - Um início de sessão arriscado é um indicador de uma tentativa de início de sessão que pode ter sido realizada por alguém que não é o proprietário legítimo de uma conta de utilizador.

• Usuários sinalizados para risco - Um usuário arriscado é um indicador para uma conta de usuário que pode ter sido comprometida.

Essas fontes de dados podem ser integradas ao Azure Monitor, ao Azure Sentinel ou a sistemas SIEM de terceiros.

A Central de Segurança do Azure também pode alertar sobre determinadas atividades suspeitas, como um número excessivo de tentativas de autenticação com falha e contas preteridas na assinatura.

O Microsoft Defender for Identity é uma solução de segurança que pode usar sinais do Ative Directory local para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas.

• Relatórios de atividade de auditoria no Azure AD

• Como exibir entradas arriscadas do Azure AD

• Como identificar usuários do Azure AD sinalizados para atividades de risco

• Como monitorar a identidade e a atividade de acesso dos usuários na Central de Segurança do Azure

• Alertas na Central de Segurança do Azure e nos planos do Azure Defender

• Como integrar logs de atividade do Azure no Azure Monitor

• Conectar dados do Azure AD Identity Protection

• Microsoft Defender para identidade

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Segurança de aplicativos e DevSecOps

• Gestão postural

IM-6: Restringir o acesso aos recursos do Azure com base em condições

Use o acesso condicional do Azure AD para um controle de acesso mais granular com base em condições definidas pelo usuário, como exigir logons de usuário de determinados intervalos de IP para usar MFA. Um gerenciamento de sessão de autenticação granular também pode ser usado por meio da política de acesso condicional do Azure AD para diferentes casos de uso.

• Visão geral do Acesso Condicional do Azure

• Políticas comuns de acesso condicional

• Configurar o gerenciamento de sessão de autenticação com Acesso Condicional

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Gestão de identidades e chaves

• Segurança de aplicativos e DevSecOps

• Gestão postural

• Informações sobre ameaças

IM-7: Eliminar a exposição não intencional de credenciais

Implemente o Azure DevOps Credential Scanner para identificar credenciais dentro do código. O Verificador de Credenciais também incentiva a movimentação de credenciais descobertas para locais mais seguros, como o Azure Key Vault.

Para o GitHub, você pode usar o recurso de verificação de segredo nativo para identificar credenciais ou outra forma de segredos dentro do código.

• Como configurar o Credential Scanner

• Verificação de segredos do GitHub

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Segurança de aplicativos e DevSecOps

• Gestão postural

IM-8: Acesso seguro do usuário a aplicativos herdados

Certifique-se de ter controles de acesso modernos e monitoramento de sessão para aplicativos herdados e os dados que eles armazenam e processam. Embora as VPNs sejam comumente usadas para acessar aplicativos legados, elas geralmente têm apenas controle de acesso básico e monitoramento de sessão limitado.

O Proxy de Aplicativo do Azure AD permite que você publique aplicativos locais herdados para usuários remotos com logon único (SSO) enquanto valida explicitamente a confiabilidade de usuários remotos e dispositivos com Acesso Condicional do Azure AD.

Como alternativa, o Microsoft Defender for Cloud Apps é um serviço de agente de segurança de acesso à nuvem (CASB) que pode fornecer controles para monitorar as sessões de aplicativos de um usuário e bloquear ações (para aplicativos locais herdados e aplicativos SaaS (software como serviço) na nuvem).

• Proxy de Aplicativo do Azure AD

• Práticas recomendadas do Microsoft Defender for Cloud Apps

Responsabilidade: Cliente

Partes interessadas na segurança do cliente (Saiba mais):

• Arquitetura de segurança

• Segurança de infraestruturas e terminais

• Segurança de aplicativos e DevSecOps