Estabelecer uma disciplina de Acesso e Identidades

Este artigo ajuda as equipes de segurança e tecnologia a estabelecer e modernizar uma disciplina de Arquitetura de Segurança que fornece uma visão técnica clara e de ponta a ponta para a segurança em toda a organização.

As disciplinas de segurança são agrupamentos de trabalhos de segurança relacionados que ajudam as organizações a fornecer resultados de segurança consistentemente em toda a propriedade tecnológica. No modelo de adoção de segurança, as disciplinas ajudam a fornecer uma ponte entre cenários de negócios e implementação técnica, garantindo que os investimentos em segurança se traduzam em resultados reais mensuráveis como parte do modelo de adoção de segurança.

Por que essa disciplina?

O acesso e a identidade são a disciplina de segurança com a qual a maioria das pessoas interage primeiro — e na maioria das vezes. Cada usuário o experimenta sempre que entra em um dispositivo, acessa um aplicativo, compartilha um arquivo, se conecta remotamente ou usa credenciais físicas para entrar em um edifício.

Como os controles de acesso estão na interseção de segurança e produtividade, eles influenciam diretamente o risco organizacional e a experiência do usuário.

A disciplina de Acesso e Identidades:

-

  • Reduz o risco moldando e regendo caminhos de acesso para ativos empresariais, garantindo que as entidades certas tenham o acesso certo sob as condições certas, evitando abusos por parte dos invasores.
  • Habilita a produtividade com acesso consistente e de baixo atrito que desencoraja soluções alternativas inseguras e TI sombra
  • Fornece uma estratégia comum à qual os líderes de segurança e os profissionais podem se alinhar e executar consistentemente em toda a organização

Essa é uma prioridade estratégica porque as identidades são o ponto de entrada mais comum para ataques e porque o comprometimento de acesso privilegiado amplifica drasticamente o impacto do ataque. Técnicas como pulverização de senha, phishing e roubo de token são usadas rotineiramente para obter uma base inicial. Ataques como pass-the-hash, pass-the-ticket e outros semelhantes de comprometimento de identidade são usados regularmente para movimentar-se lateralmente, escalar privilégios e atingir ativos de alto valor.

Sem uma disciplina efetiva de Acesso e Identidades, as organizações enfrentam um risco maior de:

  • Comprometimento externo: os invasores podem assumir rapidamente identidades legítimas de usuário ou serviço, incluindo contas privilegiadas, e usá-las para descobrir e explorar ativos comerciais.
  • Abuso interno e uso indevido de privilégios: insiders mal-intencionados, negligentes ou comprometidos podem abusar de privilégios elevados para acessar sistemas e dados confidenciais.
  • Perda de produtividade e soluções alternativas inseguras: controles de acesso excessivamente restritivos ou inconsistentes frustram os usuários e impulsionam a adoção da TI sombra com controles mais fracos e visibilidade limitada, aumentando o risco e o raio de explosão.

Missão e resultados

Uma disciplina efetiva de Acesso e Identidades é criada em torno de dois objetivos estratégicos complementares:

  • Proteger o acesso geral – aumentar a segurança da linha de base em todos os ativos organizacionais aplicando consistentemente garantias de segurança mínimas para o acesso diário.
  • Acesso privilegiado seguro – proteger o acesso que pode ter impacto nos negócios materiais, incluindo ativos de negócios de alto valor, contas administrativas de TI, identidades de carga de trabalho e artefatos que concedem controle amplo ou profundo.

Juntos, esses objetivos garantem que a segurança de acesso seja dimensionada com valor e risco de negócios, fornecendo forte proteção onde mais importa, sem obstruir desnecessariamente o trabalho rotineiro.

O diagrama a seguir ilustra estas duas metas complementares:

Diagrama de duas metas estratégicas de segurança de acesso: proteger o acesso geral e proteger o acesso privilegiado.

Como aplicar essa disciplina

Para aplicar a disciplina de Acesso e Identidade efetivamente, concentre-se em estabelecer uma abordagem consistente e centrada na identidade de como o acesso é gerenciado em toda a organização:

  1. Definir um modelo de acesso centrado em identidade alinhado ao risco de negócios
    Estabeleça uma abordagem clara de como usuários, dispositivos, aplicativos e cargas de trabalho acessam recursos organizacionais com base no risco e no impacto nos negócios.
  2. Garantir a verificação consistente do acesso em todos os ambientes
    Aplique uma abordagem uniforme para validar a identidade, o dispositivo e as condições de acesso, independentemente da localização, aplicativo ou rede.
  3. Padronizar controles de acesso e políticas em toda a organização
    Forneça diretrizes claras para garantir que as decisões de acesso sejam aplicadas de forma consistente e reduza a fragmentação entre sistemas e ambientes.
  4. Alinhar o gerenciamento de acesso com cenários de negócios e ativos críticos
    Priorize os controles de acesso que protegem ativos de alto valor e dão suporte a cenários-chave, como trabalho remoto seguro e proteção de sistemas críticos.
  5. Monitorar e refinar continuamente o acesso com base no risco e na atividade
    Use insights de padrões de acesso, sinais de risco e eventos de segurança para fortalecer os controles e reduzir a exposição ao longo do tempo.

Gerenciar alteração

Modelos de controle de acesso tradicionais focados em perímetros de rede, sistemas de identidade em camadas e VPNs em torno de uma rede interna confiável. Esses modelos não atendem mais às necessidades das empresas modernas que operam em ambientes de nuvem, SaaS, móveis, IA e híbridos. Abordagens herdadas geralmente resultam em:

  • Soluções fragmentadas entre camadas de identidade, rede e aplicativo.
  • Proteção de acesso privilegiado fraca ou inconsistente.
  • Integração ruim com operações de segurança e detecção.
  • Lacunas que os invasores exploram rotineiramente.

O diagrama a seguir ilustra essa limitação:

Diagrama do controle de acesso herdado com sistemas isolados e lacunas na segurança de acesso privilegiado.

Uma disciplina moderna de Acesso e Identidades vai além das tecnologias individuais. Ele se concentra em prioridades de negócios, integração e integridade em todos os caminhos de acesso, ao mesmo tempo em que impõe uma estratégia de acesso única e coerente. O controle de acesso moderno deve ser:

  • Segurança: Valide explicitamente usuários, dispositivos e cargas de trabalho usando sinais abrangentes. Evite o escalonamento de privilégios não autorizados e proteja o acesso privilegiado.
  • Consistente e abrangente: Cubra todos os caminhos de acesso, humanos e não humanos, e aplique garantias de segurança uniformemente para eliminar lacunas e melhorar a experiência do usuário.
  • Integrada: Use uma política centralizada e um número mínimo de motores de política para aplicar controles de forma consistente em escala, evitando desvio de configuração.
  • Centrado em identidade: priorize os controles baseados em identidade, que fornecem um contexto mais avançado do que os sinais somente de rede. Use controles de rede como uma camada complementar, não o limite de confiança primário.

Este diagrama do Modelo de Acesso Empresarial ilustra todos os diferentes tipos de caminhos de acesso que uma organização deve proteger em várias cargas de trabalho, várias nuvens, vários níveis de confidencialidade de negócios e acesso por pessoas e dispositivos.

Diagrama do Modelo de Acesso Empresarial mostrando caminhos de acesso seguros, consistentes e integrados entre usuários, dispositivos e cargas de trabalho.

Funções de disciplina e colaboradores

O planejamento e a entrega da disciplina de Acesso e Identidades normalmente pertencem a equipes responsáveis pela identidade, acesso e rede. Em organizações maiores, as responsabilidades são distribuídas entre funções e processos formais. Em organizações menores, as funções podem ser combinadas e tratadas de forma mais informal. Em todos os casos, é recomendável documentar o acesso e a estratégia de identidade à medida que evolui.

As funções primárias incluem:

  • Arquitetos de acesso: defina a estratégia de acesso de ponta a ponta e o design entre camadas de identidade, rede, aplicativo e plataforma.
  • Engenheiros e operadores de identidade e rede: implementar, operar e manter sistemas de identidade, imposição de acesso e infraestrutura de suporte.

Os arquitetos devem entender todas as tecnologias de acesso de forma holística. Os engenheiros normalmente têm profunda experiência em sistemas de identidade e/ou rede.

Os principais colaboradores internos incluem:

  • Arquitetos corporativos e de segurança, para alinhar os controles de acesso com uma arquitetura e prioridades de segurança mais amplas
  • Equipes de engenharia e operações, que implementam requisitos de acesso em plataformas e cargas de trabalho**
  • Líderes de segurança (CISO e delegados), que fornecem direção e supervisão
  • Desenvolvedores, que projetam e criam aplicativos usando padrões modernos de identidade e acesso

Nenhuma função única possui acesso isoladamente. O controle de acesso bem-sucedido depende da responsabilidade compartilhada e da coordenação entre as equipes.

Componentes de estratégia

Uma estratégia efetiva de acesso e identidade protege todo o ciclo de vida das ações autorizadas. Conceitualmente, isso espelha a estrutura de uma frase:

  • Sujeito de identidade – quem ou o que está solicitando acesso.
  • Verbo de acesso – a ação que está sendo executada.
  • Objeto de acesso – o ativo que está sendo acessado.

Titular da identidade (quem)

A segurança de acesso começa com saber quem ou o que está solicitando acesso:

  • Todos os tipos de identidade: proteger contas de usuário humano, identidades de carga de trabalho, agentes de IA, aplicativos, entidades de serviço, certificados e chaves criptográficas.
    • O ciclo de vida completo de identidades1: gerencie identidades desde a ausência de acesso até a criação da identidade, passando por alterações e elevação de privilégios, até o desprovisionamento e o retorno à ausência de acesso quando isso não for mais necessário.
  • Fontes de identidade: defina quais provedores de identidade internos e externos são confiáveis, como as identidades são governadas e como os controles de ciclo de vida são impostos entre essas fontes.

Acessar verbo (como)

A aplicação de controles de acesso deve abranger todos os ativos e vias de acesso ao longo de todo o ciclo de acesso.

  • Cobertura abrangente: impor a política para ativos de nuvem, local, SaaS, IA, OT/IoT, entre acesso interativo, APIs e comunicação de máquina a máquina.
  • Sistemas intermediários: dispositivos seguros, diretórios, gateways, VPNs e proxies de acesso que mediam o acesso.
  • Política consistente: aplique a política uniformemente em acesso geral, acesso privilegiado, acesso à rede, acesso externo e modelos de autorização no nível da carga de trabalho.
  • Acesso adaptável: avalie continuamente se as identidades são conhecidas, confiáveis e permitidas usando sinais em tempo real e encerre as sessões se houver alterações de risco.
  • Autenticação forte: imponha a autenticação resistente a phishing e mecanismos que reduzem ataques baseados em senha.
  • Mecanismos de acesso modernos: imponha o mínimo de privilégios no nível do aplicativo e substitua as tecnologias de perímetro herdadas por abordagens centradas na identidade, como o SSE (Security Service Edge).

Objeto de acesso (o quê)

A política de acesso deve refletir os requisitos de valor comercial, confidencialidade e governança:

  • Alinhar a política aos negócios: classifique os ativos e alinhe os controles de acesso ao seu valor e risco.
  • Gerenciar relações de controle: as estratégias de acesso devem considerar relações de controle transitivas no grafo de segurança. Se A controla B e B controla C, A efetivamente controla C — aumentando drasticamente o raio de explosão.
  • Reduzir a dívida técnica: desativar protocolos herdados inseguros e criptografia (como LM/NTLM) que minam as garantias de acesso. Isso geralmente exige uma ação coordenada em identidade, dispositivos e infraestrutura.

Alinhamento com outras disciplinas

A disciplina acesso e identidades não funciona de forma independente. Ele se alinha de perto com outras disciplinas de segurança, incluindo:

  • Estratégia, integração e governança. As decisões de acesso moldam o risco e a priorização dos negócios.
  • Arquitetura de segurança: os controles de acesso impõem decisões de arquitetura.
  • Operações de segurança: a telemetria de identidade e os sinais de acesso alimentam a detecção, a investigação e a resposta.
  • Segurança de endpoint: a postura do dispositivo influencia diretamente o nível de confiança de acesso.
  • Segurança de Dados: as políticas de acesso refletem a confidencialidade e a governança dos dados.

Esse alinhamento garante que as decisões de acesso ofereçam suporte a resultados de segurança de ponta a ponta, não controles fragmentados.

Alinhamento com pilares de tecnologia

A disciplina acesso e identidades abrange todos os pilares da tecnologia e serve como uma camada de controle unificadora entre eles, conforme mostrado neste diagrama.

Diagrama de pilares de tecnologia mostrando como o acesso e as proteções de identidade abrangem identidades, pontos de extremidade e infraestrutura.

A disciplina se alinha da seguinte maneira:

  • Identidades: Autenticação, autorização, gerenciamento de ciclo de vida e controles de privilégio definem quem pode acessar ativos e sob quais condições.
  • Dispositivos: a postura do dispositivo e a proteção de credenciais influenciam as decisões de confiança relacionadas ao acesso. Dispositivos comprometidos prejudicam os controles de identidade.
  • Infraestrutura: os sistemas de identidade e as interfaces administrativas são executados na infraestrutura e exigem forte proteção de acesso privilegiado.
  • Aplicativos: os aplicativos devem usar padrões de identidade modernos e impor acesso de privilégios mínimos para usuários, APIs e pipelines.
  • Dados: os controles de acesso baseados em identidade regem quem pode ler, modificar ou exfiltrar dados confidenciais.
  • Rede: Os controles de rede complementam o acesso centrado em identidade mitigando ataques herdados e dando suporte a padrões de SSE (Borda do Serviço de Segurança).
  • IA: os agentes e serviços de IA introduzem novos tipos de identidade que exigem gerenciamento de ciclo de vida, menos privilégios e monitoramento.

Próximas Etapas 

  • Microsoft Unified oferece arquiteturas de referência de segurança cibernética, diretrizes de Confiança Zero e workshops liderados por especialistas para ajudar as organizações com arquitetura de segurança de ponta a ponta. Saiba mais.

    Diagrama dos workshops unificados da Microsoft para a adoção da tecnologia de acesso e identidade, mostrando as principais fases e atividades.

  • Examine outras disciplinas de segurança.

  • Last updated on