Melhores práticas para segurança do Azure AD

Azure Active Directory (Azure AD) é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Ele permite que os funcionários acessem dados e aplicativos, como Office 365, Exchange Online, OneDrive e muito mais.

Um número crescente de organizações está migrando dados do seu ambiente AD local para o Azure AD, para aproveitar os benefícios que as plataformas em nuvem oferecem.

No entanto, o Azure AD e a implementação local do Active Directory são bastante diferentes na forma como funcionam.

Embora ambos tenham sido projetados para atingir o mesmo objetivo, existem diferentes preocupações de segurança e práticas recomendadas que precisam ser seguidas.

Práticas recomendadas de segurança do Azure AD

Abaixo estão algumas das áreas mais notáveis nas quais se concentrar para garantir que o seu ambiente Azure AD esteja seguro.

Use controle de acesso baseado em função (RBAC)

O Controlo de Acesso Baseado em Funções (RBAC) é uma prática de segurança fundamental que o ajuda a gerir e controlar o acesso aos recursos do Azure. Ao atribuir funções apropriadas aos usuários, você pode garantir que eles tenham as permissões necessárias para executar suas tarefas sem conceder privilégios desnecessários.

O RBAC fornece controle de acesso refinado, permitindo atribuir funções a usuários ou grupos em diferentes escopos, como assinaturas, grupos de recursos ou recursos individuais. Recomenda-se seguir o princípio do menor privilégio, concedendo aos usuários apenas as permissões necessárias para cumprir suas responsabilidades.

Revise regularmente as permissões de acesso e aplicativos

A revisão regular das permissões de acesso e aplicação é essencial para manter um ambiente Azure AD seguro. Com o tempo, as funções e responsabilidades dos usuários podem mudar e novos aplicativos podem ser adicionados, levando a inconsistências de permissão e possíveis riscos de segurança.

Para resolver isso, estabeleça um processo de revisão periódica para validar os direitos de acesso do usuário e as permissões do aplicativo. Remova ou atualize permissões para usuários que não precisam mais delas e garanta que as permissões estejam alinhadas com o princípio do menor privilégio. Além disso, monitore e gerencie aplicativos externos aos quais foi concedido acesso ao seu locatário do Azure AD, revogando o acesso quando necessário.

Pontuação Segura da Microsoft

Encontrado no centro de segurança do Microsoft 365, o Microsoft Secure Score fornece às organizações uma maneira de medir sua postura geral de segurança, com uma pontuação alta indicando que mais trabalho precisa ser feito.

As organizações podem monitorar sua pontuação e agir de acordo com as recomendações de práticas recomendadas da Microsoft, que você encontra na guia Ações de melhoria.

As recomendações são organizadas em três grupos: Identidade, Dispositivo e Aplicativo, sendo que cada grupo possui sua respectiva pontuação.

Além de um gráfico de tendências, que mostra como sua pontuação mudou ao longo do tempo, você também pode visualizar um gráfico que mostra como sua pontuação se compara a outros inquilinos de tamanho semelhante, no mesmo setor.

Adote uma abordagem de “confiança zero” e aplique acesso com “privilégio mínimo”

O modelo de segurança de confiança zero é particularmente relevante ao usar plataformas em nuvem para armazenar e processar dados confidenciais. Isso ocorre porque a abordagem tradicional do fosso-castelo não é compatível com ambientes remotos e distribuídos.

Com confiança zero, todas as atividades são maliciosas até prova em contrário. Todos os utilizadores, dispositivos e processos devem provar a sua legitimidade ao aceder a sistemas e recursos críticos.

Uma parte importante do modelo de confiança zero é o “principal de menor privilégio” (PoLP), que estipula que os usuários só têm acesso aos recursos específicos de que precisam para desempenhar sua função.

Para impor o acesso com privilégios mínimos no Azure AD, você deve garantir que apenas os administradores possam criar e gerenciar grupos de segurança, incluindo grupos do Office 365.

Os administradores devem analisar todos os usuários convidados e restringir seus privilégios adequadamente, o que inclui garantir que somente os administradores possam convidar usuários convidados. O gerenciamento de grupos de autoatendimento deve ser desabilitado para usuários não administradores e a instalação de aplicativos de terceiros também deve ser restrita.

A implementação do PoLP pode ser feita através do controle de acesso baseado em funções (Azure RBAC). Atribuir usuários a funções com acesso restrito ajudará a evitar confusões que podem resultar na concessão de mais acesso ao usuário do que o necessário.

Habilitar autenticação multifator (MFA)

Tal como acontece com qualquer sistema MFA, o Azure AD MFA requer dois ou mais dos seguintes fatores: algo que você conhece, algo que você tem e algo que você é.

Com o Azure AD, há uma variedade de métodos de verificação para escolher, que incluem o aplicativo Microsoft Authenticator, token de hardware OATH, SMS e chamada de voz.

Para começar a usar o Azure AD MFA, você precisará criar uma política de acesso condicional, que defina as condições que o MFA seguirá. Depois disso, você precisará atribuir usuários a essas políticas e lembrar-se de desabilitar a autenticação legada.

Aqui estão vários métodos para habilitar a MFA no Azure AD. Aqui estão alguns dos métodos mais comuns:

• MFA por usuário: esse método exige que todos os usuários ativem a MFA antes de fazer login. Esse é o método mais seguro, mas pode ser inconveniente para usuários que precisam se lembrar de vários códigos de MFA.
• MFA baseada em grupo: este método permite especificar quais grupos de usuários devem ativar a MFA. Este é um bom compromisso entre segurança e conveniência.
• MFA baseada em aplicativo: esse método permite especificar quais aplicativos ou serviços exigem MFA. Esta é uma boa maneira de proteger aplicativos ou serviços confidenciais sem exigir que todos os usuários habilitem a MFA.
• MFA baseada em dispositivo: este método permite especificar quais dispositivos são confiáveis e não exigem MFA. Essa é uma boa maneira de proteger dispositivos considerados mais seguros, como dispositivos de propriedade corporativa.

Além destes métodos, também pode ativar o MFA para utilizadores ou grupos específicos utilizando o Azure AD PowerShell ou a API REST.

Aqui estão alguns dos métodos de autenticação que podem ser usados com o Azure AD MFA:

• Aplicativo Microsoft Authenticator: Este aplicativo gera notificações push ou senhas únicas que podem ser usadas para autenticar usuários.
• Chaves de segurança FIDO2: essas chaves usam biometria ou um PIN para autenticar usuários.
• SMS: Este método envia uma senha única para o número de telefone do usuário.
• Chamada de voz: este método liga para o número de telefone do usuário e pede que ele insira um código.
• Perguntas de segurança: este método pede ao usuário que responda a um conjunto de perguntas de segurança.

O melhor método para ativar a MFA no Azure AD dependerá das suas necessidades e requisitos específicos. No entanto, qualquer um dos métodos listados acima pode ajudar a melhorar a segurança do seu ambiente Azure AD.

Descubra e classifique seus documentos usando Azure AIP

A Proteção de Informações do Azure (AIP) amplia a funcionalidade de rotulagem e classificação fornecida pelo Microsoft 365.

A classificação de dados é uma parte importante da segurança de dados, pois permite que os administradores controlem quais documentos confidenciais possuem e onde estão localizados.

Além disso, o scanner local AIP permite que os administradores verifiquem seus repositórios de arquivos locais em busca de dados confidenciais e classifiquem os dados confidenciais de acordo.

Audite seu ambiente do Azure AD

Os relatórios de auditoria do Azure AD fornecem aos administradores informações sobre o estado do seu ambiente AD. Isto inclui informações sobre a atividade de entrada, o uso do aplicativo e quaisquer alterações feitas que afetem recursos confidenciais.

Ele fornecerá um resumo das alterações relacionadas a usuários, grupos, funções, aplicativos e políticas, bem como informará os administradores sobre quaisquer usuários que tenham sido sinalizados.

O console de relatórios também fornecerá informações adicionais, como data, hora, categoria, nome, iniciador e status do evento, bem como o serviço que registrou o evento.

Use o simulador de ataque da Microsoft para identificar vulnerabilidades

O simulador de ataque, localizado em Gerenciamento de ameaças > Simulador de ataque no Centro de Segurança e Conformidade, permite que os administradores lancem campanhas de spear phishing para identificar quaisquer áreas de fraqueza.

Existem dois tipos de campanhas de spear phishing que podem ser iniciadas. A primeira é onde os usuários são solicitados a clicar em um URL de uma mensagem.

Depois de clicar no URL, eles serão solicitados a entregar suas credenciais e, em seguida, redirecionados para uma página padrão ou personalizada, que essencialmente os avisa para não clicarem em links suspeitos.

A segunda vem na forma de anexo .docx ou .pdf, que contém uma mensagem de aviso e informações sobre como identificar anexos suspeitos.

Para criar uma campanha de spear phishing, você precisa ser membro dos grupos de função Gerenciamento da organização ou Administrador de segurança e precisará da autenticação multifator (MFA) habilitada para sua conta.

Proteja seu Active Directory local

Embora o Azure AD forneça gerenciamento de identidade e acesso baseado em nuvem, muitas organizações ainda mantêm infraestrutura local do Active Directory (AD). É crucial proteger o seu AD local para manter uma postura de segurança geral robusta.

Considere implementar as seguintes medidas de segurança para seu AD local:

• Aplique regularmente atualizações e patches de segurança para solucionar vulnerabilidades conhecidas.
• Implemente políticas de senha fortes e aplique requisitos de complexidade de senha.
• Habilite e configure políticas de bloqueio de conta para evitar ataques de força bruta.
• Implemente uma arquitetura de rede segura, incluindo firewalls, sistemas de detecção de intrusões e segmentação de rede.
• Monitore e audite regularmente seu AD local em busca de atividades suspeitas e implemente mecanismos apropriados de registro e alerta.
• Considere implementar medidas de segurança adicionais, como gerenciamento de acesso privilegiado (PAM) e soluções de monitoramento para aprimorar a segurança do AD local.

Ao proteger o seu AD local, você cria uma base sólida para a segurança geral do gerenciamento de identidade e acesso, complementando as medidas de segurança implementadas no Azure AD.

Conclusão

Como se costuma dizer, não é uma questão de se, mas de quando, ocorrerá uma violação de dados. Esse entendimento deve servir como base para sua estratégia de segurança.

Uma abordagem de confiança zero garantirá que você sempre verifique a autenticidade de todos os usuários e endpoints antes de permitir que eles acessem um recurso crítico. Você deve garantir que sabe exatamente quais dados confidenciais possui, onde estão localizados e quem tem (e deve ter) acesso a eles.

Sempre que possível, a MFA deve ser habilitada e você deve garantir que os usuários só tenham acesso aos recursos de que realmente precisam para cumprir sua função. Você precisará de tanta visibilidade quanto possível sobre “quem, o quê, onde e quando”, as alterações que afetam seus dados confidenciais são feitas e os administradores devem receber alertas em tempo real sobre todas as atividades suspeitas.

Por fim, você deve ter um plano de resposta a incidentes (IRP) testado e comprovado para garantir que seja capaz de identificar, conter e erradicar violações de dados de maneira rápida e eficiente.

Se você quiser ver como o Lepide ajuda as organizações a melhorar a segurança do Azure Active Directory, com a Lepide Data Security Platform, agende uma demonstração com um de nossos engenheiros ou inicie seu teste gratuito hoje mesmo.