Descrever o Acesso Global Seguro no Microsoft Entra

  • 6 minutos

O Acesso Seguro Global é a solução SSE (Security Service Edge) da Microsoft, baseada em princípios de Confiança Zero de verificar explicitamente, usar privilégios mínimos e assumir violação. Ele combina o Microsoft Entra Internet Access, o Microsoft Entra Internet Access para Microsoft Services e o Microsoft Entra Private Access, juntamente com o Microsoft Defender para Aplicativos de Nuvem, para convergir controles de acesso de rede, identidade e ponto de extremidade para que as organizações possam proteger o acesso a qualquer aplicativo ou recurso, de qualquer local, dispositivo ou identidade.

Diagrama mostrando componentes que compõem o Acesso Seguro Global.

A SSE ajuda as organizações a enfrentar desafios de segurança, como:

  • Reduzindo o risco de movimentação lateral por meio de um túnel VPN comprometido.
  • Colocando um perímetro de segurança em torno de ativos baseados na Internet.
  • Aprimoramento do serviço em locais remotos, como filiais.

A solução emprega um cliente de Acesso Global Seguro que fornece às organizações controle sobre o tráfego de rede no dispositivo de computação do usuário final. As organizações roteiam perfis de tráfego específicos por meio do serviço, permitindo uma integração profunda com políticas de Acesso Condicional e avaliação de risco em tempo real entre identidade, dispositivo, localização e aplicativos.

Acesso à Internet do Microsoft Entra

O Microsoft Entra Internet Access fornece uma solução de SWG (Secure Web Gateway) centrada em identidade para aplicativos SaaS e outros tráfegos de Internet. Ele protege usuários, dispositivos e dados contra ameaças baseadas na Internet com controles de segurança e visibilidade por meio de logs de tráfego.

Os principais recursos incluem:

  • Filtragem de conteúdo da Web – regula o acesso a sites com base em suas categorias de conteúdo e nomes de domínio.
  • Acesso Condicional Universal – aplica políticas de Acesso Condicional a todos os destinos da Internet, mesmo aqueles não federados com a ID do Microsoft Entra.
  • CAE (Avaliação Universal de Acesso Contínuo)— os aplicativos e o Microsoft Entra se comunicam constantemente para garantir que o acesso do usuário seja up-to-date. Se algo mudar, como a localização de um usuário ou uma preocupação de segurança, o sistema poderá ajustar ou bloquear rapidamente o acesso quase em tempo real.

O Microsoft Entra Internet Access requer a licença do Microsoft Entra Suite ou uma licença autônoma do Microsoft Entra Internet Access.

Microsoft Entra Internet Access para serviços Microsoft

O Microsoft Entra Internet Access para Serviços Microsoft aprimora os recursos da ID do Microsoft Entra com conectividade direta com os serviços da Microsoft compatíveis, melhorando a segurança, o desempenho e a resiliência. Ele usa um perfil de encaminhamento de tráfego da Microsoft pré-preenchido que abrange o Exchange Online, o SharePoint Online, o Microsoft Teams e outras cargas de trabalho do Microsoft 365.

Os principais recursos incluem:

  • Verificação de rede em conformidade – usa políticas de Acesso Condicional para exigir que os usuários se conectem por meio do Acesso Seguro Global antes de acessar qualquer aplicativo integrado da ID do Microsoft Entra, protegendo contra o roubo de token no plano de autenticação e no plano de dados.
  • Restrições universais de locatário – impede a exfiltração de dados para locatários estrangeiros não autorizados ou contas pessoais, incluindo acesso anônimo.
  • Restauração do IP de origem—restaura o endereço IP original do usuário nos logs de entrada do Microsoft Entra ID, garantindo que as políticas de Acesso Condicional e as detecções de risco baseadas em localização permaneçam precisas, mesmo com o tráfego passando pelo proxy SSE.
  • Logs enriquecidos do Microsoft 365—proporcionam registros detalhados do tráfego de rede da Microsoft, incluindo detalhes sobre políticas impostas.

O Microsoft Entra Internet Access para Microsoft Services está incluído com uma licença do Microsoft Entra ID P1 ou P2, disponibilizando-a para uma ampla gama de organizações.

Acesso privado do Microsoft Entra

O Microsoft Entra Private Access fornece aos usuários, seja em um escritório ou trabalhando remotamente, acesso seguro a recursos corporativos privados. Ele substitui VPNs herdadas por uma abordagem ZTNA (Acesso à Rede de Confiança Zero) que concede acesso por aplicativo em vez de conectividade ampla em nível de rede.

O Acesso Privado funciona criando aplicativos empresariais que servem como contêineres para recursos privados. Um conector de rede faz o tráfego entre o serviço e o recurso que um usuário deseja acessar. As organizações podem configurar o acesso de duas maneiras:

  • Acesso Rápido — os administradores definem recursos privados por FQDN (nome de domínio totalmente qualificado), endereço IP ou intervalo de IP e portas, agrupando-os em um único aplicativo com políticas de Acesso Condicional vinculadas.

  • Acesso por aplicativo (aplicativo acesso seguro global) – fornece uma abordagem mais granular em que cada aplicativo empresarial tem suas próprias definições de recursos, atribuições de usuário e políticas de Acesso Condicional, habilitando políticas diferentes para diferentes grupos de recursos.

Painel de acesso seguro global

O Acesso Seguro Global inclui um painel no Centro de administração do Microsoft Entra que fornece visualizações do tráfego de rede adquirido pelo serviço. Os administradores podem monitorar usuários, dispositivos, acesso entre locatários, filtragem de categoria da Web e status do dispositivo para identificar atividades suspeitas e melhorar as configurações de rede.

Protegendo cargas de trabalho de IA com controles de rede

À medida que as organizações implantam serviços de IA que se conectam a recursos locais e de nuvem, o Acesso Seguro Global ajuda a garantir que o tráfego de e para esses serviços passe pelos mesmos controles de segurança com reconhecimento de identidade aplicados a outro tráfego empresarial. As políticas de Acesso Condicional integradas aos perfis de tráfego do Acesso Seguro Global podem impor verificações de rede compatíveis e restringir o acesso com base no risco do usuário, no estado do dispositivo e na localização, estendendo os princípios de Confiança Zero para cargas de trabalho de IA que acessam dados corporativos confidenciais.