Controlo de Segurança: Controlo de Identidade e Acesso

As recomendações de gerenciamento de identidade e acesso se concentram em resolver problemas relacionados ao controle de acesso baseado em identidade, bloqueio de acesso administrativo, alerta sobre eventos relacionados à identidade, comportamento anormal da conta e controle de acesso baseado em função.

3.1: Manter um inventário das contas administrativas

O Azure AD tem funções internas que devem ser atribuídas explicitamente e podem ser consultadas. Use o módulo Azure AD PowerShell para executar consultas ad hoc para descobrir contas que são membros de grupos administrativos.

• Como obter uma função de diretório no Azure AD com o PowerShell

• Como obter membros de uma função de diretório no Azure AD com o PowerShell

3.2: Alterar senhas padrão quando aplicável

O Azure AD não tem o conceito de senhas padrão. Outros recursos do Azure que exigem uma senha forçam a criação de uma senha com requisitos de complexidade e um comprimento mínimo de senha, que difere dependendo do serviço. Você é responsável por aplicativos de terceiros e serviços de mercado que podem usar senhas padrão.

3.3: Use contas administrativas dedicadas

Crie procedimentos operacionais padrão em torno do uso de contas administrativas dedicadas. Use as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure para monitorar o número de contas administrativas.

Você também pode ativar um Just-In-Time / Just-Enough-Access usando o Azure AD Privileged Identity Management, Funções PIM do Microsoft Services e o Azure Resource Manager.

• Saiba mais sobre o Privileged Identity Management

3.4: Usar logon único (SSO) com o Azure Ative Directory

Sempre que possível, use o SSO do Azure Ative Directory em vez de configurar credenciais autônomas individuais por serviço. Use as recomendações no controle de segurança "Gerenciar acesso e permissões" da Central de Segurança do Azure.

• Compreender o SSO com o Azure AD

3.5: Usar a autenticação multifator para todo o acesso baseado no Azure Ative Directory

Habilite o Azure AD MFA e siga as recomendações do Gerenciamento de Identidade e Acesso da Central de Segurança do Azure.

• Como habilitar o MFA no Azure

• Como monitorar a identidade e o acesso na Central de Segurança do Azure

3.6: Use máquinas dedicadas (Estações de Trabalho de Acesso Privilegiado) para todas as tarefas administrativas

Use PAWs (estações de trabalho de acesso privilegiado) com MFA configurado para fazer logon e configurar recursos do Azure.

• Saiba mais sobre as estações de trabalho com acesso privilegiado

• Como habilitar o MFA no Azure

3.7: Registrar e alertar sobre atividades suspeitas de contas administrativas

Use os relatórios de segurança do Ative Directory do Azure para gerar logs e alertas quando ocorrer atividade suspeita ou insegura no ambiente. Use a Central de Segurança do Azure para monitorar a identidade e a atividade de acesso.

• Como identificar usuários do Azure AD sinalizados para atividades de risco

• Como monitorar a identidade e a atividade de acesso dos usuários na Central de Segurança do Azure

3.8: Gerir recursos do Azure apenas a partir de localizações aprovadas

Use Locais Nomeados de Acesso Condicional para permitir o acesso apenas de agrupamentos lógicos específicos de intervalos de endereços IP ou países/regiões.

• Como configurar locais nomeados no Azure

3.9: Usar o Ative Directory do Azure

Use o Azure Ative Directory como o sistema central de autenticação e autorização. O Azure AD protege os dados usando criptografia forte para dados em repouso e em trânsito. O Azure AD também adiciona sal, faz o hash e armazena credenciais de usuário com segurança.

• Como criar e configurar uma instância do Azure AD

3.10: Rever e reconciliar regularmente o acesso dos utilizadores

O Azure AD fornece logs para ajudar a descobrir contas obsoletas. Além disso, use as Revisões de Acesso de Identidade do Azure para gerenciar com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função. O acesso do usuário pode ser revisado regularmente para garantir que apenas os usuários certos tenham acesso contínuo.

• Compreender os relatórios do Azure AD

• Como usar as Revisões do Azure Identity Access

3.11: Monitorar tentativas de acessar credenciais desativadas

Você tem acesso às fontes de log de Atividade de Início de Sessão, Auditoria e Eventos de Risco do Azure AD, que permitem a integração com qualquer ferramenta de Monitorização/SIEM.

Você pode simplificar esse processo criando Configurações de Diagnóstico para contas de usuário do Azure Ative Directory e enviando os logs de auditoria e os logs de entrada para um Espaço de Trabalho do Log Analytics. Você pode configurar os alertas desejados no espaço de trabalho do Log Analytics.

• Como integrar os Logs de Atividade do Azure no Azure Monitor

3.12: Alerta sobre desvio de comportamento de login da conta

Use os recursos de Proteção de Identidade e Risco do Azure AD para configurar respostas automatizadas para ações suspeitas detetadas relacionadas às identidades dos usuários. Você também pode ingerir dados no Azure Sentinel para investigação adicional.

• Como exibir entradas arriscadas do Azure AD

• Como configurar e habilitar políticas de risco da Proteção de Identidade

• Como integrar o Azure Sentinel

3.13: Fornecer à Microsoft acesso a dados relevantes do cliente durante cenários de suporte

Em cenários de suporte em que a Microsoft precisa acessar dados do cliente, o Customer Lockbox fornece uma interface para você revisar e aprovar ou rejeitar solicitações de acesso a dados do cliente.

• Entenda o Customer Lockbox

Próximos passos

• Consulte o próximo Controle de Segurança: Proteção de Dados