Melhores práticas de segurança de controlo de acesso e Gestão de Identidades do Azure

Neste artigo, discutimos uma coleção de práticas recomendadas de segurança de gerenciamento de identidade e controle de acesso do Azure. Essas práticas recomendadas são derivadas de nossa experiência com o Microsoft Entra ID e das experiências de clientes como você.

Para cada prática recomendada, explicamos:

  • Qual é a melhor prática
  • Por que você deseja habilitar essa prática recomendada
  • Qual pode ser o resultado se você não habilitar as melhores práticas
  • Alternativas possíveis às melhores práticas
  • Como você pode aprender a habilitar as melhores práticas

Este artigo de práticas recomendadas de segurança de gerenciamento de identidade e controle de acesso do Azure é baseado em uma opinião consensual e nos recursos e conjuntos de recursos da plataforma Azure, conforme existentes no momento em que este artigo foi escrito.

A intenção ao escrever este artigo é fornecer um roteiro geral para uma postura de segurança mais robusta após a implantação, guiada por nossa lista de verificação "5 passos para proteger sua infraestrutura de identidade", que orienta você por alguns de nossos principais recursos e serviços.

As opiniões e tecnologias mudam ao longo do tempo e este artigo será atualizado regularmente para refletir essas mudanças.

As práticas recomendadas de segurança de controle de acesso e gerenciamento de identidade do Azure discutidas neste artigo incluem:

  • Tratar a identidade como o perímetro de segurança principal
  • Centralize o gerenciamento de identidades
  • Gerenciar locatários conectados
  • Ativar o início de sessão único
  • Ativar Acesso Condicional
  • Planejar melhorias de segurança de rotina
  • Ativar a gestão de palavras-passe
  • Impor a verificação multifator para os usuários
  • utilizar o controlo de acesso baseado em funções
  • Menor exposição de contas privilegiadas
  • Controlar locais onde os recursos estão localizados
  • Usar o Microsoft Entra ID para autenticação de armazenamento

Tratar a identidade como o perímetro de segurança principal

Muitos consideram a identidade como o principal perímetro para a segurança. Trata-se de uma mudança em relação ao foco tradicional na segurança da rede. Os perímetros de rede continuam ficando mais porosos, e essa defesa de perímetro não pode ser tão eficaz quanto era antes da explosão de dispositivos BYOD e aplicativos em nuvem.

O Microsoft Entra ID é a solução do Azure para gerenciamento de identidade e acesso. O Microsoft Entra ID é um serviço de gerenciamento de identidades e diretório multilocatário baseado em nuvem da Microsoft. Combina serviços de diretório base, gestão de acesso a aplicações e proteção de identidade numa única solução.

As seções a seguir listam as práticas recomendadas para segurança de identidade e acesso usando o Microsoft Entra ID.

Práticas recomendadas: centralize controles de segurança e deteções em torno de identidades de usuários e serviços. Detalhe: Use o Microsoft Entra ID para colocar controles e identidades.

Centralize o gerenciamento de identidades

Em um cenário de identidade híbrida, recomendamos que você integre seus diretórios locais e na nuvem. A integração permite que sua equipe de TI gerencie contas de um local, independentemente de onde uma conta é criada. A integração também ajuda seus usuários a serem mais produtivos, fornecendo uma identidade comum para acessar recursos locais e na nuvem.

Prática recomendada: estabeleça uma única instância do Microsoft Entra. A consistência e uma única fonte autorizada aumentarão a clareza e reduzirão os riscos de segurança decorrentes de erros humanos e da complexidade da configuração.
Detalhe: Designe um único diretório do Microsoft Entra como a fonte autorizada para contas corporativas e organizacionais.

Práticas recomendadas: integre seus diretórios locais com o Microsoft Entra ID.
Detalhe: use o Microsoft Entra Connect para sincronizar seu diretório local com seu diretório de nuvem.

Nota

Existem fatores que afetam o desempenho do Microsoft Entra Connect. Certifique-se de que o Microsoft Entra Connect tenha capacidade suficiente para impedir que sistemas com baixo desempenho impeçam a segurança e a produtividade. Organizações grandes ou complexas (organizações que provisionam mais de 100.000 objetos) devem seguir as recomendações para otimizar sua implementação do Microsoft Entra Connect.

Prática recomendada: não sincronize contas com o ID do Microsoft Entra que tenham altos privilégios em sua instância existente do Ative Directory.
Detalhe: não altere a configuração padrão do Microsoft Entra Connect que filtra essas contas. Essa configuração reduz o risco de os adversários girarem da nuvem para os ativos locais (o que pode criar um incidente importante).

Prática recomendada: ative a sincronização de hash de senha.
Detalhe: a sincronização de hashes de senha é um recurso usado para sincronizar hashes de senha de usuário de uma instância do Ative Directory local para uma instância do Microsoft Entra baseada em nuvem. Essa sincronização ajuda a proteger contra credenciais vazadas que estão sendo repetidas de ataques anteriores.

Mesmo se você decidir usar a federação com os Serviços de Federação do Ative Directory (AD FS) ou outros provedores de identidade, você pode, opcionalmente, configurar a sincronização de hash de senha como um backup caso seus servidores locais falhem ou fiquem temporariamente indisponíveis. Essa sincronização permite que os usuários entrem no serviço usando a mesma senha que usam para entrar em sua instância local do Ative Directory. Ele também permite que a Proteção de Identidade detete credenciais comprometidas comparando hashes de senha sincronizados com senhas conhecidas por estarem comprometidas, se um usuário tiver usado o mesmo endereço de email e senha em outros serviços que não estão conectados ao Microsoft Entra ID.

Para obter mais informações, consulte Implementar sincronização de hash de senha com o Microsoft Entra Connect Sync.

Práticas recomendadas: para o desenvolvimento de novos aplicativos, use o Microsoft Entra ID para autenticação.
Detalhe: use os recursos corretos para dar suporte à autenticação:

  • Microsoft Entra ID para funcionários
  • Microsoft Entra B2B para utilizadores convidados e parceiros externos
  • Azure AD B2C para controlar como os clientes se inscrevem, entram e gerenciam seus perfis quando usam seus aplicativos

As organizações que não integram sua identidade local com sua identidade na nuvem podem ter mais sobrecarga no gerenciamento de contas. Essa sobrecarga aumenta a probabilidade de erros e violações de segurança.

Nota

Você precisa escolher em quais diretórios as contas críticas residirão e se a estação de trabalho de administração usada é gerenciada por novos serviços de nuvem ou processos existentes. O uso de processos de gerenciamento e provisionamento de identidade existentes pode diminuir alguns riscos, mas também pode criar o risco de um invasor comprometer uma conta local e pivotar para a nuvem. Talvez você queira usar uma estratégia diferente para funções diferentes (por exemplo, administradores de TI versus administradores de unidades de negócios). Você tem duas opções. A primeira opção é criar contas do Microsoft Entra que não estejam sincronizadas com sua instância local do Ative Directory. Junte a sua estação de trabalho de administração à ID do Microsoft Entra, que pode gerir e corrigir utilizando o Microsoft Intune. A segunda opção é usar contas de administrador existentes sincronizando com sua instância do Ative Directory local. Use estações de trabalho existentes em seu domínio do Ative Directory para gerenciamento e segurança.

Gerenciar locatários conectados

Sua organização de segurança precisa de visibilidade para avaliar o risco e determinar se as políticas de sua organização e quaisquer requisitos regulatórios estão sendo seguidos. Você deve garantir que sua organização de segurança tenha visibilidade de todas as assinaturas conectadas ao seu ambiente de produção e rede (via Azure ExpressRoute ou VPN site a site. Um Administrador Global no Microsoft Entra ID pode elevar seu acesso à função de Administrador de Acesso de Usuário e ver todas as assinaturas e grupos gerenciados conectados ao seu ambiente.

Consulte Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure para garantir que você e seu grupo de segurança possam exibir todas as assinaturas ou grupos de gerenciamento conectados ao seu ambiente. Você deve remover esse acesso elevado depois de avaliar os riscos.

Ativar o início de sessão único

Em um mundo mobile-first, cloud-first, você deseja habilitar o logon único (SSO) para dispositivos, aplicativos e serviços de qualquer lugar para que seus usuários possam ser produtivos onde e quando quiserem. Quando você tem várias soluções de identidade para gerenciar, isso se torna um problema administrativo não apenas para a TI, mas também para os usuários que precisam se lembrar de várias senhas.

Usando a mesma solução de identidade para todos os seus aplicativos e recursos, você pode obter SSO. E os seus utilizadores podem utilizar o mesmo conjunto de credenciais para iniciar sessão e aceder aos recursos de que necessitam, quer os recursos estejam localizados no local ou na nuvem.

Prática recomendada: habilite o SSO.
Detalhe: o Microsoft Entra ID estende o Ative Directory local para a nuvem. Os usuários podem usar sua conta principal de trabalho ou escola para seus dispositivos associados ao domínio, recursos da empresa e todos os aplicativos Web e SaaS de que precisam para realizar seus trabalhos. Os usuários não precisam se lembrar de vários conjuntos de nomes de usuário e senhas, e seu acesso ao aplicativo pode ser automaticamente provisionado (ou desprovisionado) com base em suas associações de grupo de organização e seu status como funcionário. E você pode controlar esse acesso para aplicativos de galeria ou para seus próprios aplicativos locais que você desenvolveu e publicou por meio do proxy de aplicativo Microsoft Entra.

Use o SSO para permitir que os usuários acessem seus aplicativos SaaS com base em sua conta corporativa ou de estudante no Microsoft Entra ID. Isso é aplicável não apenas para aplicativos SaaS da Microsoft, mas também para outros aplicativos, como o Google Apps e o Salesforce. Você pode configurar seu aplicativo para usar o Microsoft Entra ID como um provedor de identidade baseado em SAML. Como um controle de segurança, o Microsoft Entra ID não emite um token que permite que os usuários entrem no aplicativo, a menos que tenham recebido acesso por meio do Microsoft Entra ID. Você pode conceder acesso diretamente ou por meio de um grupo do qual os usuários sejam membros.

As organizações que não criam uma identidade comum para estabelecer SSO para seus usuários e aplicativos estão mais expostas a cenários em que os usuários têm várias senhas. Esses cenários aumentam a probabilidade de os usuários reutilizarem senhas ou usarem senhas fracas.

Ativar Acesso Condicional

Os usuários podem acessar os recursos da sua organização usando uma variedade de dispositivos e aplicativos de qualquer lugar. Como administrador de TI, você deseja garantir que esses dispositivos atendam aos seus padrões de segurança e conformidade. Apenas focar em quem pode acessar um recurso não é mais suficiente.

Para equilibrar segurança e produtividade, você precisa pensar em como um recurso é acessado antes de tomar uma decisão sobre o controle de acesso. Com o Acesso Condicional do Microsoft Entra, você pode atender a esse requisito. Com o Acesso Condicional, pode tomar decisões automatizadas de controlo de acesso com base nas condições de acesso às suas aplicações na nuvem.

Melhores práticas: gerencie e controle o acesso aos recursos corporativos.
Detalhe: Configure políticas comuns de Acesso Condicional do Microsoft Entra com base em um grupo, local e sensibilidade de aplicativo para aplicativos SaaS e aplicativos conectados ao Microsoft Entra ID.

Prática recomendada: bloqueie protocolos de autenticação herdados.
Detalhe: os atacantes exploram fraquezas em protocolos mais antigos todos os dias, especialmente para ataques de pulverização de senha. Configure o Acesso Condicional para bloquear protocolos herdados.

Planejar melhorias de segurança de rotina

A segurança está sempre evoluindo, e é importante incorporar à sua estrutura de gerenciamento de identidade e nuvem uma maneira de mostrar regularmente o crescimento e descobrir novas maneiras de proteger seu ambiente.

O Identity Secure Score é um conjunto de controles de segurança recomendados que a Microsoft publica e que funciona para fornecer uma pontuação numérica para medir objetivamente sua postura de segurança e ajudar a planejar futuras melhorias de segurança. Você também pode ver sua pontuação em comparação com as de outros setores, bem como suas próprias tendências ao longo do tempo.

Práticas recomendadas: planeje revisões e melhorias de segurança de rotina com base nas práticas recomendadas do seu setor.
Detalhe: use o recurso Pontuação segura de identidade para classificar suas melhorias ao longo do tempo.

Ativar a gestão de palavras-passe

Se você tiver vários locatários ou quiser permitir que os usuários redefinissem suas próprias senhas, é importante usar as políticas de segurança apropriadas para evitar abusos.

Prática recomendada: configure a redefinição de senha de autoatendimento (SSPR) para seus usuários.
Detalhe: use o recurso de redefinição de senha de autoatendimento do Microsoft Entra ID.

Práticas recomendadas: Monitore como ou se o SSPR está realmente sendo usado.
Detalhe: Monitore os usuários que estão se registrando usando o relatório de atividade de registro de redefinição de senha do Microsoft Entra ID. O recurso de relatório que o Microsoft Entra ID fornece ajuda você a responder a perguntas usando relatórios pré-criados. Se você estiver devidamente licenciado, também poderá criar consultas personalizadas.

Práticas recomendadas: Estenda as políticas de senha baseadas em nuvem para sua infraestrutura local.
Detalhe: aprimore as políticas de senha em sua organização executando as mesmas verificações para alterações de senha no local que você faz para alterações de senha baseadas em nuvem. Instale a proteção por senha do Microsoft Entra para agentes do Ative Directory do Windows Server no local para estender as listas de senhas proibidas à sua infraestrutura existente. Os utilizadores e administradores que alteram, definem ou repõem palavras-passe no local têm de cumprir a mesma política de palavra-passe que os utilizadores apenas na nuvem.

Impor a verificação multifator para os usuários

Recomendamos que você exija uma verificação em duas etapas para todos os seus usuários. Isso inclui administradores e outras pessoas em sua organização que podem ter um impacto significativo se sua conta for comprometida (por exemplo, diretores financeiros).

Há várias opções para exigir a verificação em duas etapas. A melhor opção para si depende dos seus objetivos, da edição Microsoft Entra que está a executar e do seu programa de licenciamento. Consulte Como exigir a verificação em duas etapas para um usuário determinar a melhor opção para você. Consulte as páginas de preços do Microsoft Entra ID e da autenticação multifator do Microsoft Entra para obter mais informações sobre licenças e preços.

A seguir estão as opções e os benefícios para habilitar a verificação em duas etapas:

Opção 1: Habilitar MFA para todos os usuários e métodos de login com os padrões de segurança do Microsoft Entra
Benefício: Esta opção permite que você aplique a MFA de forma fácil e rápida para todos os usuários em seu ambiente com uma política rigorosa para:

  • Contestar contas administrativas e mecanismos de logon administrativo
  • Exigir desafio de MFA via Microsoft Authenticator para todos os usuários
  • Restrinja protocolos de autenticação herdados.

Esse método está disponível para todas as camadas de licenciamento, mas não pode ser misturado com as políticas de Acesso Condicional existentes. Você pode encontrar mais informações em Padrões de Segurança do Microsoft Entra

Opção 2: Habilite a autenticação multifator alterando o estado do usuário.
Benefício: Este é o método tradicional para exigir a verificação em duas etapas. Ele funciona com a autenticação multifator Microsoft Entra na nuvem e o Servidor Azure Multi-Factor Authentication. O uso desse método exige que os usuários executem a verificação em duas etapas sempre que entrarem e substitui as políticas de Acesso Condicional.

Para determinar onde a autenticação multifator precisa ser habilitada, consulte Qual versão da autenticação multifator do Microsoft Entra é adequada para minha organização?.

Opção 3: Habilite a autenticação multifator com a política de Acesso Condicional.
Benefício: Esta opção permite que você solicite a verificação em duas etapas sob condições específicas usando o Acesso Condicional. As condições específicas podem ser o início de sessão do utilizador a partir de diferentes locais, dispositivos não fidedignos ou aplicações que considere arriscadas. Definir condições específicas em que você precisa de verificação em duas etapas permite que você evite solicitações constantes para seus usuários, o que pode ser uma experiência de usuário desagradável.

Esta é a maneira mais flexível de habilitar a verificação em duas etapas para seus usuários. Habilitar uma política de Acesso Condicional funciona apenas para a autenticação multifator do Microsoft Entra na nuvem e é um recurso premium do Microsoft Entra ID. Você pode encontrar mais informações sobre esse método em Implantar autenticação multifator do Microsoft Entra baseada em nuvem.

Opção 4: Habilite a autenticação multifator com políticas de Acesso Condicional avaliando as políticas de Acesso Condicional baseadas em risco.
Benefício: Esta opção permite-lhe:

  • Detete possíveis vulnerabilidades que afetam as identidades da sua organização.
  • Configure respostas automatizadas para ações suspeitas detetadas relacionadas às identidades da sua organização.
  • Investigue incidentes suspeitos e tome as medidas apropriadas para resolvê-los.

Esse método usa a avaliação de risco do Microsoft Entra ID Protection para determinar se a verificação em duas etapas é necessária com base no risco do usuário e de entrada para todos os aplicativos em nuvem. Este método requer o licenciamento Microsoft Entra ID P2. Você pode encontrar mais informações sobre esse método em Microsoft Entra ID Protection.

Nota

A opção 2, que habilita a autenticação multifator alterando o estado do usuário, substitui as políticas de Acesso Condicional. Como as opções 3 e 4 usam políticas de Acesso Condicional, não é possível usar a opção 2 com elas.

As organizações que não adicionam camadas extras de proteção de identidade, como a verificação em duas etapas, são mais suscetíveis a ataques de roubo de credenciais. Um ataque de roubo de credenciais pode levar ao comprometimento de dados.

utilizar o controlo de acesso baseado em funções

O gerenciamento de acesso para recursos de nuvem é fundamental para qualquer organização que use a nuvem. O controle de acesso baseado em função do Azure (Azure RBAC) ajuda você a gerenciar quem tem acesso aos recursos do Azure, o que eles podem fazer com esses recursos e a quais áreas eles têm acesso.

Designar grupos ou funções individuais responsáveis por funções específicas no Azure ajuda a evitar confusões que podem levar a erros humanos e de automação que criam riscos de segurança. Restringir o acesso com base na necessidade de conhecer e nos princípios de segurança de privilégios mínimos é imperativo para organizações que desejam aplicar políticas de segurança para acesso a dados.

Sua equipe de segurança precisa de visibilidade em seus recursos do Azure para avaliar e corrigir riscos. Se a equipe de segurança tiver responsabilidades operacionais, ela precisará de permissões adicionais para fazer seu trabalho.

Você pode usar o RBAC do Azure para atribuir permissões a usuários, grupos e aplicativos em um determinado escopo. O âmbito da atribuição de uma função pode ser uma subscrição, um grupo de recursos ou um único recurso.

Práticas recomendadas: segregue tarefas dentro de sua equipe e conceda apenas a quantidade de acesso aos usuários de que eles precisam para executar seus trabalhos. Em vez de conceder a todos permissões irrestritas em sua assinatura ou recursos do Azure, permita apenas determinadas ações em um escopo específico.
Detalhe: use funções internas do Azure no Azure para atribuir privilégios aos usuários.

Nota

Permissões específicas criam complexidade e confusão desnecessárias, acumulando-se em uma configuração "legada" que é difícil de corrigir sem medo de quebrar algo. Evite permissões específicas de recursos. Em vez disso, use grupos de gerenciamento para permissões em toda a empresa e grupos de recursos para permissões dentro de assinaturas. Evite permissões específicas do usuário. Em vez disso, atribua acesso a grupos no Microsoft Entra ID.

Práticas recomendadas: conceda às equipes de segurança com responsabilidades do Azure acesso para ver os recursos do Azure para que possam avaliar e corrigir riscos.
Detalhe: conceda às equipes de segurança a função de Leitor de Segurança do RBAC do Azure. Você pode usar o grupo de gerenciamento raiz ou o grupo de gerenciamento de segmento, dependendo do escopo das responsabilidades:

  • Grupo de gerenciamento raiz para equipes responsáveis por todos os recursos da empresa
  • Grupo de gerenciamento de segmento para equipes com escopo limitado (geralmente devido a limites regulatórios ou outros limites organizacionais)

Práticas recomendadas: conceda as permissões apropriadas às equipes de segurança que têm responsabilidades operacionais diretas.
Detalhe: analise as funções internas do Azure para a atribuição de função apropriada. Se as funções internas não atenderem às necessidades específicas da sua organização, você poderá criar funções personalizadas do Azure. Assim como acontece com as funções internas, você pode atribuir funções personalizadas a usuários, grupos e entidades de serviço em escopos de assinatura, grupo de recursos e recursos.

Práticas recomendadas: conceda ao Microsoft Defender for Cloud acesso às funções de segurança que precisam dele. O Defender for Cloud permite que as equipes de segurança identifiquem e corrijam riscos rapidamente.
Detalhe: adicione equipes de segurança com essas necessidades à função de Administrador de Segurança do RBAC do Azure para que elas possam exibir políticas de segurança, exibir estados de segurança, editar políticas de segurança, exibir alertas e recomendações e descartar alertas e recomendações. Você pode fazer isso usando o grupo de gerenciamento raiz ou o grupo de gerenciamento de segmento, dependendo do escopo das responsabilidades.

As organizações que não impõem o controle de acesso a dados usando recursos como o Azure RBAC podem estar dando mais privilégios do que o necessário para seus usuários. Isso pode levar ao comprometimento de dados, permitindo que os usuários acessem tipos de dados (por exemplo, alto impacto nos negócios) que não deveriam ter.

Menor exposição de contas privilegiadas

Proteger o acesso privilegiado é um primeiro passo crítico para proteger os ativos da empresa. Minimizar o número de pessoas que têm acesso a informações ou recursos seguros reduz a chance de um usuário mal-intencionado obter acesso ou de um usuário autorizado afetar inadvertidamente um recurso confidencial.

Contas privilegiadas são contas que administram e gerenciam sistemas de TI. Os atacantes cibernéticos têm como alvo essas contas para obter acesso aos dados e sistemas de uma organização. Para proteger o acesso privilegiado, você deve isolar as contas e os sistemas do risco de serem expostos a um usuário mal-intencionado.

Recomendamos que desenvolva e siga um roteiro para proteger o acesso privilegiado contra ciberatacantes. Para obter informações sobre como criar um roteiro detalhado para proteger identidades e acessos gerenciados ou relatados no Microsoft Entra ID, Microsoft Azure, Microsoft 365 e outros serviços de nuvem, consulte Protegendo o acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.

A seguir resume as práticas recomendadas encontradas em Protegendo acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID:

Práticas recomendadas: gerencie, controle e monitore o acesso a contas privilegiadas.
Detalhe: ative o Microsoft Entra Privileged Identity Management. Depois de ativar o Gerenciamento de Identidades Privilegiadas, você receberá mensagens de e-mail de notificação para alterações de função de acesso privilegiado. Essas notificações fornecem um aviso antecipado quando usuários adicionais são adicionados a funções altamente privilegiadas em seu diretório.

Práticas recomendadas: certifique-se de que todas as contas de administrador críticas sejam gerenciadas pelo Microsoft Entra. Detalhe: remova todas as contas de consumidor de funções críticas de administrador (por exemplo, contas da Microsoft como hotmail.com, live.com e outlook.com).

Práticas recomendadas: certifique-se de que todas as funções críticas de administrador tenham uma conta separada para tarefas administrativas, a fim de evitar phishing e outros ataques que comprometam os privilégios administrativos.
Detalhe: crie uma conta de administrador separada à qual sejam atribuídos os privilégios necessários para executar as tarefas administrativas. Bloqueie o uso dessas contas administrativas para ferramentas de produtividade diárias, como email do Microsoft 365 ou navegação arbitrária na Web.

Práticas recomendadas: identifique e categorize contas que estão em funções altamente privilegiadas.
Detalhe: depois de ativar o Microsoft Entra Privileged Identity Management, exiba os usuários que estão no administrador global, administrador de função privilegiada e outras funções altamente privilegiadas. Remova todas as contas que não são mais necessárias nessas funções e categorize as contas restantes atribuídas a funções de administrador:

  • Atribuído individualmente a usuários administrativos e pode ser usado para fins não administrativos (por exemplo, e-mail pessoal)
  • Atribuído individualmente a utilizadores administrativos e designado apenas para fins administrativos
  • Compartilhado entre vários usuários
  • Para cenários de acesso de emergência
  • Para scripts automatizados
  • Para utilizadores externos

Práticas recomendadas: implemente o acesso "just in time" (JIT) para reduzir ainda mais o tempo de exposição de privilégios e aumentar sua visibilidade sobre o uso de contas privilegiadas.
Detalhe: o Microsoft Entra Privileged Identity Management permite:

  • Limite os usuários a assumir apenas seus privilégios JIT.
  • Atribua funções por um período reduzido com a confiança de que os privilégios são revogados automaticamente.

Práticas recomendadas: defina pelo menos duas contas de acesso de emergência.
Detalhe: as contas de acesso de emergência ajudam as organizações a restringir o acesso privilegiado em um ambiente Microsoft Entra existente. Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas de acesso de emergência são limitadas a cenários em que as contas administrativas normais não podem ser usadas. As organizações devem limitar o uso da conta de emergência apenas ao período de tempo necessário.

Avalie as contas atribuídas ou qualificadas para a função de administrador global. Se você não vir nenhuma conta somente na nuvem usando o domínio (destinado ao *.onmicrosoft.com acesso de emergência), crie-as. Para obter mais informações, consulte Gerenciando contas administrativas de acesso de emergência no Microsoft Entra ID.

Melhores práticas: Ter um processo de "quebrar vidro" em caso de emergência.
Detalhe: siga as etapas em Protegendo acesso privilegiado para implantações híbridas e em nuvem no Microsoft Entra ID.

Práticas recomendadas: exija que todas as contas de administrador críticas não tenham senha (preferencial) ou exijam autenticação multifator.
Detalhe: use o aplicativo Microsoft Authenticator para entrar em qualquer conta do Microsoft Entra sem usar uma senha. Como o Windows Hello for Business, o Microsoft Authenticator usa autenticação baseada em chave para habilitar uma credencial de usuário vinculada a um dispositivo e usa autenticação biométrica ou um PIN.

Exija a autenticação multifator do Microsoft Entra no início de sessão para todos os utilizadores individuais atribuídos permanentemente a uma ou mais das funções de administrador do Microsoft Entra: Administrador Global, Administrador de Função Privilegiada, Administrador do Exchange Online e Administrador do SharePoint Online. Habilite a autenticação multifator para suas contas de administrador e verifique se os usuários da conta de administrador se registraram.

Práticas recomendadas: para contas de administrador críticas, tenha uma estação de trabalho de administração onde as tarefas de produção não são permitidas (por exemplo, navegação e e-mail). Isso protegerá suas contas de administrador contra vetores de ataque que usam navegação e e-mail e reduzirá significativamente o risco de um incidente grave.
Detalhe: use uma estação de trabalho de administração. Escolha um nível de segurança da estação de trabalho:

  • Dispositivos de produtividade altamente seguros fornecem segurança avançada para navegação e outras tarefas de produtividade.
  • As Estações de Trabalho de Acesso Privilegiado (PAWs) fornecem um sistema operacional dedicado que é protegido contra ataques da Internet e vetores de ameaças para tarefas confidenciais.

Práticas recomendadas: desprovisione contas de administrador quando os funcionários deixarem sua organização.
Detalhe: tenha em vigor um processo que desative ou exclua contas de administrador quando os funcionários deixarem sua organização.

Prática recomendada: teste regularmente contas de administrador usando técnicas de ataque atuais.
Detalhe: use o Microsoft 365 Attack Simulator ou uma oferta de terceiros para executar cenários de ataque realistas em sua organização. Isso pode ajudá-lo a encontrar usuários vulneráveis antes que um ataque real ocorra.

Melhores práticas: Tome medidas para mitigar as técnicas de ataque usadas com mais frequência.
Detalhe: identifique contas da Microsoft em funções administrativas que precisam ser alternadas para contas corporativas ou de estudante

Garantir contas de usuário separadas e encaminhamento de e-mails para contas de administrador global

Verifique se as senhas das contas administrativas foram alteradas recentemente

Ativar a sincronização de hash de senha

Exigir autenticação multifator para usuários em todas as funções privilegiadas, bem como usuários expostos

Obter o Microsoft 365 Secure Score (se estiver a utilizar o Microsoft 365)

Reveja as orientações de segurança do Microsoft 365 (se estiver a utilizar o Microsoft 365)

Configurar o Monitoramento de Atividades do Microsoft 365 (se estiver usando o Microsoft 365)

Estabelecer proprietários de planos de resposta a incidentes/emergências

Contas administrativas privilegiadas locais seguras

Se você não proteger o acesso privilegiado, poderá descobrir que tem muitos usuários em funções altamente privilegiadas e está mais vulnerável a ataques. Os agentes mal-intencionados, incluindo atacantes cibernéticos, geralmente têm como alvo contas de administrador e outros elementos de acesso privilegiado para obter acesso a dados e sistemas confidenciais usando roubo de credenciais.

Controlar locais onde os recursos são criados

Permitir que os operadores de nuvem executem tarefas, evitando que quebrem as convenções necessárias para gerenciar os recursos da sua organização, é muito importante. As organizações que desejam controlar os locais onde os recursos são criados devem codificar esses locais.

Você pode usar o Azure Resource Manager para criar políticas de segurança cujas definições descrevem as ações ou recursos que são especificamente negados. Você atribui essas definições de política no escopo desejado, como a assinatura, o grupo de recursos ou um recurso individual.

Nota

As políticas de segurança não são as mesmas do Azure RBAC. Na verdade, eles usam o RBAC do Azure para autorizar os usuários a criar esses recursos.

As organizações que não estão controlando como os recursos são criados são mais suscetíveis a usuários que podem abusar do serviço criando mais recursos do que precisam. Proteger o processo de criação de recursos é uma etapa importante para proteger um cenário multilocatário.

Monitore ativamente atividades suspeitas

Um sistema de monitoramento de identidade ativo pode detetar rapidamente comportamentos suspeitos e disparar um alerta para investigação adicional. A tabela a seguir lista os recursos do Microsoft Entra que podem ajudar as organizações a monitorar suas identidades:

Melhores práticas: Tenha um método para identificar:

  • Tenta entrar sem ser rastreado.
  • Ataques de força bruta contra uma conta específica.
  • Tenta iniciar sessão a partir de várias localizações.
  • Inicia sessão a partir de dispositivos infetados.
  • Endereços IP suspeitos.

Detalhe: Use relatórios de anomalias do Microsoft Entra ID P1 ou P2. Ter processos e procedimentos em vigor para que os administradores de TI executem esses relatórios diariamente ou sob demanda (geralmente em um cenário de resposta a incidentes).

Práticas recomendadas: Tenha um sistema de monitoramento ativo que notifique você sobre riscos e possa ajustar o nível de risco (alto, médio ou baixo) às suas necessidades de negócios.
Detalhe: use o Microsoft Entra ID Protection, que sinaliza os riscos atuais em seu próprio painel e envia notificações resumidas diárias por e-mail. Para ajudar a proteger as identidades da sua organização, você pode configurar políticas baseadas em risco que respondem automaticamente aos problemas detetados quando um nível de risco especificado é atingido.

As organizações que não monitoram ativamente seus sistemas de identidade correm o risco de ter as credenciais do usuário comprometidas. Sem o conhecimento de que atividades suspeitas estão ocorrendo por meio dessas credenciais, as organizações não podem mitigar esse tipo de ameaça.

Usar o Microsoft Entra ID para autenticação de armazenamento

O Armazenamento do Azure dá suporte à autenticação e autorização com o Microsoft Entra ID para armazenamento de Blob e armazenamento de filas. Com a autenticação do Microsoft Entra, você pode usar o controle de acesso baseado em função do Azure para conceder permissões específicas a usuários, grupos e aplicativos até o escopo de um contêiner ou fila de blob individual.

Recomendamos que você use o Microsoft Entra ID para autenticar o acesso ao armazenamento.

Próximo passo

Consulte Práticas recomendadas e padrões de segurança do Azure para obter mais práticas recomendadas de segurança a serem usadas ao projetar, implantar e gerenciar suas soluções de nuvem usando o Azure.