Partilhar via

Proteger todos os inquilinos e os seus recursos (Secure Future Initiative)

Nome do pilar: Proteja os locatários e isole os sistemas de produção
Nome do padrão: Proteja todos os locatários e seus recursos

Para reduzir os riscos de segurança de locatários não rastreados e a falta de visibilidade, a Microsoft implementou o padrão Proteger todos os locatários e seus recursos. Isso garante governança e segurança abrangentes em todos os locatários, alinhando-se com os princípios do Zero Trust.

Contexto e problema

O primeiro passo na segurança do locatário é a descoberta. Sem um inventário completo, a segurança e a governação não podem ter êxito. Muitas organizações não têm visibilidade sobre locatários ativos, legados e sombra, deixando ambientes não rastreados vulneráveis à exploração.

A Microsoft investiu fortemente na identificação e catalogação de todos os locatários em seus ambientes. Isso inclui produção, produtividade/teste e inquilinos efêmeros. Sem deteção robusta e governança do ciclo de vida, até mesmo locatários aparentemente de baixo risco podem se tornar infraestrutura sombra — não monitorada, sem patches e explorável como pontos de pivô para invasores.

Os principais riscos incluem:

  • Movimento lateral da não-produção para os arrendatários de produção.
  • Locatários obsoletos ou inativos sem linhas de base de segurança ou controles de ciclo de vida.
  • Segredos compartilhados e configurações incorretas que permitem a reutilização de credenciais entre locatários.

Solução

Como parte da Secure Future Initiative (SFI), a Microsoft implementou o objetivo de proteger todos os locatários e seus recursos, impondo linhas de base de locatário, governando o gerenciamento do ciclo de vida e padronizando proteções em seus ambientes de nuvem.

  • Biblioteca de log de segurança padronizada: garante a captura consistente de dados entre os serviços, reduzindo as lacunas de observabilidade.
  • Coleta centralizada de logs: contas de investigadores especializados fornecem acesso unificado a logs entre serviços, simplificando a correlação e acelerando as investigações.
  • Retenção prolongada de registos: registos de auditoria mantidos por até dois anos em serviços da Microsoft, para possibilitar a investigação forense de padrões de ataque a longo prazo.
  • Análise de deteção avançada: a integração de modelos de aprendizado de máquina e alimentados por IA melhora a deteção de técnicas de ataque complexas e reduz os falsos positivos.
  • Registro de clientes expandido: a Microsoft aumentou a retenção de log de auditoria padrão para clientes do Microsoft 365 para 180 dias, com opções para retenção mais longa.

A abordagem da Microsoft inclui:

  • Linhas de base de segurança: modelos de segurança de cliente pré-configurados para garantir a consistência e acelerar o reforço da segurança.
  • Classificação de locatários e governança do ciclo de vida: categorizar os locatários por finalidade (produção, produtividade, auxiliar, efêmera) e aplicar controles padrão de acordo. 
  • Aplicação do Acesso Condicional: Governa a autenticação e a autorização em escala, incluindo locatários efêmeros e contas não gerenciadas.
  • Secure Admin Workstations (SAWs): dispositivos isolados pelo hardware que separam o acesso privilegiado do acesso a ferramentas de produtividade.
  • Monitorização e análise: Dados de segurança centralizados por meio de logs de auditoria, Microsoft Secure Score e integração com o Defender.
  • Gerenciamento de segredos e isolamento de credenciais: Impedindo segredos compartilhados entre locatários e aplicando MFA resistente a phishing.
  • Prevenção de movimentos laterais: Impediu o movimento lateral isolando inquilinos de produção versus não produção.
  • Inquilinos antigos e inativos: Locatários herdados e inativos desativados por meio de auditorias de ciclo de vida.
  • Visibilidade postural: Melhor visibilidade da postura com o Secure Score em toda a frota de inquilinos.
  • Proliferação de inquilinos: Redução da proliferação de inquilinos e imposição de controlos rigorosos na criação de novos inquilinos.

Essas etapas garantem que todos os locatários, independentemente da finalidade ou origem, sejam visíveis, controlados e protegidos de acordo com os princípios do Zero Trust.

Orientações

As organizações podem adotar um padrão semelhante usando as seguintes práticas acionáveis:

Caso de uso Ação recomendada Resource
Controlos de segurança de base Aplique os padrões de segurança da Microsoft em todos os locatários e, em seguida, estenda com as linhas de base do Microsoft 365 Lighthouse para proteção em escala empresarial.
Acesso Condicional
  • Implantar políticas de acesso condicional (CA) de linha de base: bloqueie a autenticação herdada, exija MFA para todos os usuários e imponha a conformidade do dispositivo para funções privilegiadas.
  • Expanda com políticas baseadas em risco e cientes da localização.
Gestão de acesso privilegiado Utilize a Gestão de Identidade com Privilégios (PIM) para acesso just-in-time (JIT) e acesso suficiente (JEA), minimizando privilégios administrativos permanentes.
Isolamento de inquilinos
  • Inquilinos de produção e não produção separados.
  • Elimine contas de administrador compartilhadas e registros de aplicativos em todos os ambientes.
  • Aplique linhas de base de Acesso Condicional distintas por tipo de locatário.
Monitorização e deteção de ameaças
  • Combine o Microsoft Defender for Identity (sinais AD locais) com o Microsoft Entra ID Protection (sinais de risco baseados na nuvem).
  • Centralize o monitoramento para detetar movimentos laterais, roubo de tokens e comportamento de entrada anormal.

Benefícios

  • Endurecimento padronizado: As linhas de base de segurança garantem que todos os inquilinos cumprem os limites mínimos de proteção.
  • Superfície de ataque reduzida: Locatários legados, ocultos e não utilizados são sistematicamente desativados.
  • Melhor governação: O inventário central e a classificação apoiam a conformidade e a supervisão contínuas.
  • Acesso controlado: Acesso condicional, controle de acesso baseado em função (RBAC) e autenticação multifator (MFA) protegem identidades e limitam riscos de compartilhamento externo.
  • Deteção e resposta aprimoradas: Os logs e dados de segurança integrados fornecem visibilidade em todos os locatários.

Concessões

A aplicação desta abordagem exige:

  • Estabelecer a propriedade centralizada das políticas de ciclo de vida do locatário. 
  • Investimento em automação (aplicação de política padrão, fluxos de trabalho de expiração).
  • Possível rearquitetura dos modelos de acesso (por exemplo, separação entre ambientes de produção e não-produção). A adoção do SAW introduz a complexidade e o custo iniciais do dispositivo.
  • Formação e execução necessárias para eliminar os inquilinos ocultos e a reutilização de credenciais.

Principais fatores de sucesso

Para acompanhar o sucesso, meça o seguinte:

  • Percentagem de inquilinos com linhas de base de segurança aplicadas
  • Número de inquilinos antigos ou ocultos desativados
  • Cobertura de inventário centralizado e relatórios de conformidade
  • Percentagem de identidades com MFA ativada
  • Melhoria da pontuação segura nas métricas do Microsoft Secure Score
  • Volume de tentativas de autenticação herdada bloqueadas ou eventos de compartilhamento não autorizados

Resumo

Proteger todos os locatários e seus recursos é fundamental para os pilares SFI da Microsoft: Secure by Design, Secure by Default e Secure Operations.

Com políticas de linha de base, governança do ciclo de vida e supervisão contínua, as organizações podem reduzir riscos, impor proteções consistentes e evitar que a infraestrutura sombra prejudique a segurança. Em escala, isso garante que todas as identidades, pontos de acesso e locatários sejam protegidos desde o início.

  • Last updated on