TECH Talk: Acesso Condicional em Azure AD

Autor: Goce Argirov, Formador Microsoft Certificado | Consultor | Arquitecto de Soluções | Azure Infra-estruturas e Segurança em Semos Education

 

Azure O AD no coração da sua estratégia do Trust Zero

Há muito que se foi o tempo em que a segurança se concentrava numa forte defesa perimetral para manter os hackers maliciosos afastados. Qualquer coisa fora do perímetro era tratada como hostil, enquanto que dentro da parede, os sistemas de uma organização eram confiáveis.

A postura de segurança atual é assumir a violação, uma mentalidade que orienta os investimentos em segurança, as decisões de projeto e as práticas operacionais de segurança. Em sua essência, a suposta violação o orienta a pensar diferente, a mudar sua mentalidade: você já está violado, ou você será - não há outro resultado.

Em 2012, durante uma entrevista, o ex-diretor da CIA e o general aposentado da Agência Nacional de Segurança declarou: "Fundamentalmente, se alguém quer entrar, está a entrar. Muito bem, óptimo. Aceite isso."

Durante esse tempo, muitas pessoas não entendiam bem o que ele realmente queria dizer, mas esta frase é o cerne da abordagem de suposição de violação.

As violações de dados podem causar perdas financeiras devastadoras e afectar a reputação de uma organização durante anos. De negócios perdidos a multas regulatórias e custos de remediação, as violações de dados têm conseqüências de longo alcance. O Estudo de Quebra de Dados de 2019, conduzido pelo Instituto Ponemon, patrocinado pela IBM, constatou que o custo médio global de uma quebra de dados para o estudo de 2019 é de US$ 3,92 milhões, um aumento de 1,5 por cento em relação ao estudo de 2018.

Estudo de Quebra de Dados de 2019

Tendo tudo isso em mente, você provavelmente diz: ok, e agora? Do meu ponto de vista, implementar a Arquitectura Zero Trust é a próxima coisa a visar!

Não importa qual especialista em segurança você pergunte sobre o "modelo de confiança zero", todos concordarão que esta é a melhor maneira de impedir violações de dados e agilizar o caminho para a conformidade na sua organização. "Nunca confie, verifique sempre" Zero Trust ajuda a proteger os recursos corporativos, eliminando dispositivos desconhecidos e não gerenciados e limitando os movimentos laterais.

Em 2010 John Kindervag, analista principal da Forrester Research, criou o modelo Zero Trust. Este modelo diz que você nunca deve assumir a confiança, mas sim validar continuamente a confiança. Quando usuários, dispositivos e dados residiam todos dentro do firewall da organização, eles eram assumidos como confiáveis. Esta confiança assumida permitiu um movimento lateral fácil após um hacker malicioso ter comprometido um dispositivo endpoint.

A implementação de um verdadeiro modelo de Confiança Zero ou Arquitectura de Confiança Zero requer que todos os componentes - identidade de utilizador, dispositivo, rede e aplicações - sejam validados e de confiança comprovada. O Zero Trust verifica a identidade e a saúde do dispositivo antes de conceder acesso aos recursos corporativos. Quando o acesso é concedido, a aplicação do princípio de menor privilégio limita o acesso do usuário apenas aos recursos explicitamente autorizados para cada usuário, reduzindo assim o risco de movimento lateral dentro do ambiente. Em um ambiente ideal de confiança zero, os quatro elementos a seguir são necessários:

  • Forte autenticação de identidade em toda parte (verificação do usuário através de autenticação)
  • Os dispositivos são inscritos na gestão de dispositivos e a sua saúde é validada
  • Direitos de utilizador menos privilegiados (o acesso é limitado apenas ao que é necessário)
  • A saúde dos serviços é verificada (objetivo futuro)

Implementando um modelo de Segurança Trust Zero

A migração para um modelo de segurança Zero Trust proporciona uma melhoria simultânea da segurança em relação às abordagens convencionais baseadas em rede, e habilita melhor os usuários onde eles precisam de acesso. Um modelo de confiança zero requer sinais para informar as decisões, políticas para tomar decisões de acesso e capacidades de aplicação para implementar essas decisões de forma eficaz.

Modelo de Segurança Trust Zero

Acesso condicional na Azure AD no centro da estratégia

No ambiente de trabalho atual, vimos que os usuários podem trabalhar em qualquer dispositivo, seja usando um laptop fornecido pela organização ou usando um smartphone pessoal e de qualquer lugar, trabalhando de casa, no escritório ou em trânsito. Os funcionários esperam ter acesso sem problemas ao que precisam para fazer o seu trabalho. Embora a necessidade de produtividade não mude com as circunstâncias de acesso, o nível de risco de cada conexão evolui. Nem todos os dispositivos, aplicativos ou redes são seguros, e é provável que os atacantes explorem quaisquer vulnerabilidades que lhes dêem acesso aos seus usuários e/ou recursos. Portanto, é essencial proteger as identidades, mas isso não é suficiente. Gerenciar e verificar identidades é o primeiro passo para proteger o seu ambiente. Prover identidades de usuários através do Azure AD e conectar seu serviço Active Directory no local, se necessário, permite que você centralize as identidades para que cada usuário possa estabelecer políticas baseadas em dispositivos, grupos e aplicativos.

Como discutido anteriormente, a abordagem "Zero Trust" requer políticas de segurança flexíveis que satisfaçam os requisitos de acesso dos usuários aos dados e recursos. Além disso, um dos aspectos essenciais de uma "boa" segurança é que ela deve ser quase invisível para os usuários legítimos. O atrito excessivo inibe a produtividade, e os usuários legítimos encontrarão formas de contornar as provisões que bloqueiam a sua produtividade, criando assim riscos (adicionais). Embora você possa impor a autenticação multi-factor (AMF) para cada utilizador, espera-se que a maximização da produtividade permita aos utilizadores legítimos fazer o seu trabalho com o mínimo de interrupções enquanto bloqueia as pessoas maliciosas. Azure O AD permite que você defina políticas de acesso condicional para os usuários de sua organização para ajudar a proteger seu ambiente híbrido ou em nuvem. O Acesso Condicional é a ferramenta utilizada pelo Azure Active Directory para reunir sinais, tomar decisões e aplicar políticas organizacionais.

Configuração de políticas de acesso condicional na Azure AD

Configuração de políticas de acesso condicional na Azure AD

É recomendado que você aplique políticas apropriadas à sua organização para as seguintes condições:

  • Usuários e grupos de usuários: para reduzir o risco de vazamento de dados sensíveis, definir quais usuários ou grupos de usuários podem acessar aplicativos ou recursos, prestando especial atenção às fontes de informação altamente sensíveis, como recursos humanos ou dados financeiros.
Utilizadores e grupos de utilizadores
  • Risco de ligação: Os algoritmos de Machine Learning no Azure AD avaliam cada ligação e dão-lhe uma pontuação baixa, média ou de alto risco com base na probabilidade de alguém que não seja o proprietário legítimo da conta estar a tentar ligar-se. Qualquer pessoa com um risco médio deve ser desafiada com autenticação multi-factor (AMF) quando se conectar. Se a conexão for de alto risco, o acesso deve ser bloqueado. Esta condição requer a Proteção de Identidade Azure AD.
Risco de conexão
  • Plataforma de dispositivo: para esta condição, você pode definir uma política para cada plataforma de dispositivo que bloqueia o acesso, exige, por exemplo, a conformidade com a Microsoft Intune, ou exige que o dispositivo seja unido ao domínio.
Plataforma do dispositivo
  • Localização: uma localização pode ser arriscada se for um país com políticas de segurança limitadas ou se a rede sem fio não estiver segura. Além disso, pode ser arriscado simplesmente porque não é um lugar onde a organização normalmente tem suas atividades. Você pode alterar os requisitos de acesso para conexões de locais que não estão em uma lista de endereços IP seguros ou que são arriscados por outros motivos. Os usuários que acessam um serviço quando estão fora da rede corporativa devem ser forçados a usar autenticação multi-fator.
Localização
  • Status do dispositivo: você pode usar esta condição para definir políticas para dispositivos que não são gerenciados por sua organização.
Estado do dispositivo
  • Aplicações clientes: os usuários podem acessar muitas aplicações usando diferentes tipos de aplicações clientes, tais como aplicações Web, aplicações móveis ou aplicações de produtividade de escritório. Você pode aplicar políticas de segurança se uma tentativa de acesso for feita usando um tipo de aplicativo cliente que cause problemas conhecidos, ou pode exigir que apenas dispositivos gerenciados acessem determinados tipos de aplicativos.
Aplicações do cliente
  • Aplicações em nuvem: esta condição especifica políticas únicas para aplicações sensíveis. Por exemplo, você pode exigir que aplicações de RH como o Dia de Trabalho sejam bloqueadas se o Azure AD detectar uma conexão arriscada ou se um usuário tentar acessá-la com um dispositivo não gerenciado.
Aplicações em nuvem

Quando uma condição é cumprida, você pode escolher a política que o Azure AD irá aplicar em termos de controle:

  • Exigir autenticação multi-factor para provar a identidade;
  • Modificar as ações que o usuário pode realizar nas aplicações na nuvem;
  • Restringir o acesso a dados sensíveis, tais como limitação de downloads ou compartilhamento de recursos;
  • Exigir redefinição de senha;
  • Bloqueie o acesso.
Azure Política de AD

O acesso condicional no Azure AD permite-lhe aplicar as suas "regras de compromisso" definindo um conjunto de políticas que especificam condições e controlos. Você pode definir níveis de acesso pelo funcionário, pelo dispositivo ou pelo grupo. O acesso condicional no Azure AD é um núcleo de políticas de segurança baseadas em identidade. Anteriormente, você deveria ter especificado: "nenhum acesso fora da rede corporativa" ou "nenhum acesso a partir de um dispositivo pessoal"; hoje, a capacidade de bloquear ou autorizar o acesso é oferecida sob condições.

Implementando uma abordagem de confiança zero com Azure Active Directory O acesso condicional no Azure AD permite aplicar políticas de segurança que são acionadas automaticamente quando certas condições são cumpridas. Você pode bloquear o acesso se os dados de contexto sugerirem que o usuário tenha sido comprometido, ou se for muito improvável que o usuário faça o login sob estas condições. Você pode aplicar requisitos de autenticação adicionais quando o sistema detectar um risco médio com base nas condições de conexão.

Note que o acesso condicional no Azure AD é uma característica do Azure AD Premium (P1 ou P2). Todos os usuários que acessam uma aplicação ou recurso limitado por políticas de acesso condicional devem ter uma Azure licença AD Premium.

ACESSO CONDICIONAL NO AZUL DIRECTÓRIO ACTIVO: https://docs.microsoft.com/en-us/Azure/active-directory/active-directoryconditional-access

"Nunca confie, verifique sempre"

Gerenciamento de dispositivos com Azure
Menu