Controlo de Segurança: Identidade e Controlo de Acesso

As recomendações de gestão de identidades e acessos focam-se em resolver problemas relacionados com o controlo de acesso baseado em identidades, bloquear o acesso administrativo, alertar sobre eventos relacionados com identidades, comportamento anormal da conta e controlo de acesso baseado em funções.

3.1: Manter um inventário de contas administrativas

Azure AD tem funções incorporadas que têm de ser explicitamente atribuídas e podem ser consultadas. Utilize o módulo Azure AD PowerShell para executar consultas ad hoc para detetar contas que são membros de grupos administrativos.

• Como obter uma função de diretório no Azure AD com o PowerShell

• Como obter membros de uma função de diretório no Azure AD com o PowerShell

3.2: Alterar palavras-passe predefinidas sempre que aplicável

Azure AD não tem o conceito de palavras-passe predefinidas. Outros recursos do Azure que exigem uma palavra-passe forçam a criação de uma palavra-passe com requisitos de complexidade e um comprimento mínimo de palavra-passe, o que difere consoante o serviço. É responsável por aplicações de terceiros e serviços do marketplace que podem utilizar palavras-passe predefinidas.

3.3: Utilizar contas administrativas dedicadas

Crie procedimentos operacionais padrão em torno da utilização de contas administrativas dedicadas. Utilize as recomendações no controlo de segurança "Gerir acesso e permissões" do Centro de Segurança do Azure para monitorizar o número de contas administrativas.

Também pode ativar um Just-In-Time/Just-Enough-Access com Azure AD Privileged Identity Management Funções Privilegiadas para Serviços Microsoft e Resource Manager do Azure.

• Saiba mais sobre Privileged Identity Management

3.4: Utilizar o início de sessão único (SSO) com o Azure Active Directory

Sempre que possível, utilize o SSO do Azure Active Directory em vez de configurar credenciais autónomas individuais por serviço. Utilize as recomendações no controlo de segurança "Gerir acesso e permissões" do Centro de Segurança do Azure.

• Compreender o SSO com Azure AD

3.5: Utilizar a autenticação multifator para todo o acesso baseado no Azure Active Directory

Ative Azure AD MFA e siga Centro de Segurança do Azure recomendações de Gestão de Identidades e Acessos.

• Como ativar o MFA no Azure

• Como monitorizar a identidade e o acesso no Centro de Segurança do Azure

3.6: Utilizar máquinas dedicadas (Estações de Trabalho de Acesso Privilegiado) para todas as tarefas administrativas

Utilize PAWs (estações de trabalho de acesso privilegiado) com a MFA configurada para iniciar sessão e configurar recursos do Azure.

• Saiba mais sobre as Estações de Trabalho de Acesso Privilegiado

• Como ativar o MFA no Azure

3.7: Registar e alertar sobre atividades suspeitas de contas administrativas

Utilize relatórios de segurança do Azure Active Directory para geração de registos e alertas quando ocorrer atividade suspeita ou não segura no ambiente. Utilize Centro de Segurança do Azure para monitorizar a atividade de identidade e acesso.

• Como identificar utilizadores do Azure AD sinalizados por atividade de risco

• Como monitorizar as atividades de identidade e acesso dos utilizadores no Centro de Segurança do Azure

3.8: Gerir recursos do Azure apenas a partir de localizações aprovadas

Utilize Localizações Nomeadas de Acesso Condicional para permitir o acesso apenas a partir de agrupamentos lógicos específicos de intervalos de endereços IP ou países/regiões.

• Como configurar Localizações Nomeadas no Azure

3.9: Utilizar o Azure Active Directory

Utilize o Azure Active Directory como o sistema central de autenticação e autorização. Azure AD protege os dados através da encriptação forte para dados inativos e em trânsito. Azure AD também sais, hashes e armazena credenciais de utilizador de forma segura.

• Como criar e configurar instâncias do Azure AD

3.10: Rever e reconciliar regularmente o acesso dos utilizadores

Azure AD fornece registos para ajudar a detetar contas obsoletas. Além disso, utilize as Revisões de Acesso de Identidade do Azure para gerir de forma eficiente as associações a grupos, o acesso a aplicações empresariais e atribuições de funções. O acesso do utilizador pode ser revisto regularmente para garantir que apenas os Utilizadores corretos têm acesso contínuo.

• Compreender os relatórios de Azure AD

• Como utilizar as Revisões de Acesso de Identidade do Azure

3.11: Monitorizar tentativas de acesso a credenciais desativadas

Tem acesso a Azure AD origens de registo de Eventos de Atividade, Auditoria e Risco de Início de Sessão, que lhe permitem integrar com qualquer ferramenta SIEM/Monitorização.

Pode simplificar este processo ao criar Definições de Diagnóstico para contas de utilizador do Azure Active Directory e ao enviar os registos de auditoria e os registos de início de sessão para uma Área de Trabalho do Log Analytics. Pode configurar os Alertas pretendidos na Área de Trabalho do Log Analytics.

• Como integrar os Registos de Atividades do Azure no Azure Monitor

3.12: Alerta sobre o desvio do comportamento de início de sessão da conta

Utilize Azure AD funcionalidades de Risco e Proteção de Identidade para configurar respostas automatizadas a ações suspeitas detetadas relacionadas com identidades de utilizador. Também pode ingerir dados no Azure Sentinel para uma investigação mais aprofundada.

• Como ver os inícios de sessão de risco do Azure AD

• Como configurar e ativar políticas de risco do Identity Protection

• Como integrar o Azure Sentinel

3.13: Conceder à Microsoft acesso a dados relevantes do cliente durante cenários de suporte

Em cenários de suporte em que a Microsoft precisa de aceder aos dados dos clientes, o Sistema de Proteção de Dados do Cliente fornece uma interface para rever e aprovar ou rejeitar pedidos de acesso a dados do cliente.

• Compreender o Sistema de Proteção de Dados do Cliente

Passos seguintes

• Veja o próximo Controlo de Segurança: Proteção de Dados