Gestão de acesso Azure.

Uma boa governança de acesso equilibra a segurança de acesso e uma produtividade sobre o controle de acesso, facilitando uma possível auditoria.

A governança de identidade do Azure oferece a capacidade de controle de ciclo de vida e identidade e a proteção de acesso privilegiado.

Essas capacidades vem para resolver questões como: Qual usuário tem acesso a determinados recursos? O que o usuário está fazendo? Consigo gerenciar o acesso organizacional? Posso ser auditado?

Lembrando que esses controles de acessos devem contemplar funcionários, parceiros, visitantes, acesso via nuvem ou local.

Um ponto de atenção é que nem todas as capacidades estão liberadas para versão standard, algumas podem requerer as versões Premium P1 ou P2.

Governança de identidade Azure.

O controle de ciclo de vida da identidade é o ato de controlar e identificar novos usuários, alteração de grupos e remoção do mesmo quando não faz mais parte da organização.

O controle de ciclo de vida de acesso são os controles de acesso do usuário ao longo do ciclo de vida, podendo ser diferentes alterações de acessos e grupos durante o ciclo de vida do usuário.

O controle de ciclo de vida privilegiado permite monitorar acessos de usuários com acesso administrativo privilegiado.

Ainda falando sobre acessos privilegiados, podemos utilizar o Azure AD PIM (Privileged Identity Manager), que fornece controles extras personalizados para proteger os direitos de acesso.

Lembrando que algumas capacidades estão liberadas somente em algumas versões, o PIM está liberado somente na versão Premium P2.

Conclusão.

A governança de identidade de usuário é muito importante para evitar acessos que possam ter vazado, ou de usuários que não fazem mais parte da organização mas ainda estão com acessos ao sistema, além de acessos maliciosos.

Controle de acesso Azure AD.

Basicamente, o Azure AD é responsável pela administração e controle de acesso para a maioria dos produtos Azure.

O Azure AD oferece 2 tipos de controle de acesso, o acesso baseado em condicional e o controle de acesso baseado em funções.

Com a infinidade de técnicas de ataques, a Azure AD constantemente está aprimorando a segurança de acesso.

Um ponto de atenção aqui, é que para utilizar todas as capacidades que o Azure AD oferece, o administrador deve assinar uma versão Premium.

Todos os temas abordados aqui serão sobre Azure AD, não vamos abordar o Microsoft AD.

Acesso baseado em condicional e funções.

O acesso condicional é uma forma de controlar acesso do usuário condicionando a alguma outra forma de autenticação.

As condicionais exigidas podem ser a verificação de localização, verificar se o usuário está em um grupo autorizado, exigir uma segunda autenticação utilizando um dispositivo, entre outros fatores.

O acesso baseado em funções também conhecido como RBAC (controle de acesso baseado em função) é utilizado para controlar acessos aos recursos do Azure AD baseados em funções, que podem ser internas ou personalizadas.

As funções internas são conjuntos de permissões fixas como Administrador Global que tem acesso total, Administrador de Usuário que permite criar usuário e grupos, e o Administrador de cobrança que podem fazer compras, gerenciar assinaturas e tíquete de suporte.

As funções personalizadas permitem a criação de perfis selecionando os acessos e controles desse perfil.

Conclusão.

O controle de acesso do Azure AD oferece um leque de opções de segurança que garantem a integridade da plataforma e dos produtos Microsoft baseado em nuvem.

Azure Active Directory.

Continuando os estudos para o exame Azure SC-900, vamos abordar um pouco sobre a Azure Active Directory.

A solução abordada pela Azure AD é a mesma utilizada no Microsoft Active Directory usada nos servidores Windows Server locais, a única diferença é que o Azure AD está nas nuvens e o Microsoft AD está local.

O interessante em utilizar o Azure AD é a possibilidade de sincronizar, migrar ou utilizar de forma híbrida as autenticações entre os 2 ambientes.

Com Azure AD é possível gerenciar autenticação e autorização de usuários, dispositivos e aplicações de forma híbrida, ingressada e com usuários externos utilizando outros domínios.

O Azure AD oferece algumas formas de assinaturas: Grátis, Microsoft Office 365, Premium P1 e P2.

Recursos ofertados.

O carro chefe do Azure AD é oferecer uma solução para gerenciamento de usuários, mantendo o ambiente seguro utilizando segurança de autenticação e autorização de usuários.

A solução Azure AD também oferece algumas formas de autenticação e autorização via dispositivos:

Registrados ao Azure AD: Onde o usuário é autenticado e autorizado a utilizar seu dispositivo pessoal previamente cadastrado no Azure AD;
Ingressado ao Azure AD: O usuário é autenticado e autorizado a utilizar somente dispositivos da organização previamente cadastrada.
Ingressado ao Azure AD híbrido: O usuário se beneficia do Ingresso Azure AD mais as capacidades oferecidas pela Microsoft AD.

Outro recurso importante do Azure AD é o Azure AD Connect, onde o recurso oferece algumas capacidades de migração:

Sincronização de hash de senha: Essa capacidade sincroniza as credenciais do Microsoft AD com Azure AD, possibilitando a utilização da credencial cadastrada no Microsoft AD no Azure AD e vice versa;
Sincronização de passagem: O Azure AD se conecta ao Microsoft AD para validar as credenciais;
Integração de federação: Um recurso que possibilita utilização de autenticação incompatíveis com Azure AD como Smart Card, outra opção é utilizar o recurso Serviços de Federação do Active Directory (AD FS) para validar os usuários localmente.

Conclusão.

O Azure AD oferece uma forma de validar as credenciais de usuários locais, híbridos ou até mesmo externos, o que deixa flexível e segura a utilização em soluções dentro do Azure.