Microsoft

Confiança Zero.


No mundo da tecnologia, mais especificamente no setor de infraestrutura, a Confiança Zero significa não confiar em nada e ninguém.

O princípio da Confiança Zero é autenticar e verificar todos os acessos e recursos.

A capacidade e técnica utilizadas pelos invasores estão cada vez melhores, e as estratégias convencionais de segurança podem não ser suficientes.

Colocando em prática, somente a autenticação das credenciais não são suficientes para segurança do sistema, podendo aumentar a segurança adicionando por exemplo uma autenticação multifator.

Outra forma de diminuir ataques é diminuir o privilégio e controles concedidos aos usuários.

Pilares da Confiança Zero.

São seis pilares básicos que a Confiança Zero deve ser atendidas junto com os princípios de verificação explícita, acesso com privilégio mínimo e pressuposição de violação:

  1. Identidade devem ser verificadas fortemente e com acessos mínimos;
  2. Dispositivos devem ser monitorados constantemente;
  3. Aplicativos são formas de consumo de dados e devem ser monitorados e controlados os acessos e permissões;
  4. Dados devem ser rotulados, marcados e criptografados para evitar furto de informações;
  5. Infraestrutura devem ser monitorados e ser gerenciado de uma forma rápida para tomar ações contra anomalias e invasões;
  6. Redes devem ser segmentadas, monitoradas, criptografadas de ponta a ponta e protegidas contra ameaças em tempo real.

Conclusão.

A confiança zero são boas práticas para a camada de infraestrutura que diminui as chances contra ameaças e invasões, além de prevenir e preparar para tomadas de decisões rápidas.

Azure Sentinel.

O Azure Sentinel é uma solução Azure SIEM/SOAR para análise inteligente de segurança e contra ameaças.

O SIEM (gerenciamento de eventos e informações de segurança) é uma ferramenta para coleta de informação dentro da infraestrutura, software e outros recursos.

O SOAR (resposta automatizada de orquestração de segurança) dispara fluxos e processos baseados nas informações coletadas pelo processo do SIEM.

Com Azure Sentinel é possível coletar informações de diversas fontes e com processos utilizando inteligência artificial atuando e respondendo rapidamente contra possíveis ameaças e problemas de segurança.

O custo do Azure Sentinel pode ser baseado em reserva de capacidade, onde é pago por uma quantidade certa de processamento ou pagar por demanda, onde é cobrado por dados inseridos e processados.

Processos Azure Sentinel.

O processo do Azure Sentinel é coletar informações de diversas fontes, utilizar essas informações analisando com inteligência artificial e respondendo a ataques ou alertando sobre problemas de segurança.

Assim que o Sentinel estiver conectado às fontes de dados, as informações são apresentadas no Azure Monitor, onde é possível fazer análises manuais.

Com base nas análises, o próximo processo é adicionar regras para acionar alguma ação, o Azure oferece regras utilizando Machine Learning.

Também é possível adicionar alertas de monitoramento de segurança com base nas informações coletadas.

Outra opção é utilizar os dados coletados no Jupyter notebooks e fazer análises mais precisas e apresentações.

Conclusão.

Uma ótima ferramenta que mostra a importância que os dados coletados podem fazer a diferença para tomar determinadas ações.

Microsoft Purview.

Microsoft Purview oferece um conjunto de ferramentas para auxiliar o administrador a melhorar e gerenciar as conformidades da organização.

A principal ferramenta é o Gerenciador de conformidade que além de gerenciamento de conformidade, a ferramenta pontua e oferece soluções para correções.

As conformidades são atualizadas constantemente, utilizando a ferramenta o administrador não precisa se preocupar em verificar essas atualizações, a Microsoft apresenta essas atualizações.

Uma das vantagens em utilizar o Purview são as formas em que as conformidades são apresentados de forma fácil, sem termos jurídicos.

Gerenciar e corrigir conformidades dentro da organização reduz os riscos de invasões, protege os dados e evita problemas jurídicos.

Gerenciador de conformidade.

Como falamos anteriormente, o Gerenciador de conformidade é a principal ferramenta do Purview, gerenciando e pontuando conformidades.

O Gerenciador de conformidade apresenta uma pontuação sobre a conformidade da organização, quanto maior a pontuação, melhor a sua cobertura de conformidade.

Além de pontuar, a ferramenta oferece dicas e soluções para corrigir ou melhorar sua pontuação de conformidade.

As conformidades podem ser divididas em responsabilidade da organização, de responsabilidade da Microsoft ou de responsabilidade compartilhada(Organização e Microsoft).

As conformidades são atualizadas diariamente e podem ser obrigatórias, condicionais, preventivas, corretivas e detecção, além de ser possível incluir conformidades personalizadas para organização.

Conclusão.

A Microsoft oferece ferramentas para melhorar a produtividade, e o Purview é um produto que ajuda a gerenciar as conformidades de forma mais produtiva.

Gestão de acesso Azure.


Uma boa governança de acesso equilibra a segurança de acesso e uma produtividade sobre o controle de acesso, facilitando uma possível auditoria.

A governança de identidade do Azure oferece a capacidade de controle de ciclo de vida e identidade e a proteção de acesso privilegiado.

Essas capacidades vem para resolver questões como: Qual usuário tem acesso a determinados recursos? O que o usuário está fazendo? Consigo gerenciar o acesso organizacional? Posso ser auditado?

Lembrando que esses controles de acessos devem contemplar funcionários, parceiros, visitantes, acesso via nuvem ou local.

Um ponto de atenção é que nem todas as capacidades estão liberadas para versão standard, algumas podem requerer as versões Premium P1 ou P2.

Governança de identidade Azure.

O controle de ciclo de vida da identidade é o ato de controlar e identificar novos usuários, alteração de grupos e remoção do mesmo quando não faz mais parte da organização.

O controle de ciclo de vida de acesso são os controles de acesso do usuário ao longo do ciclo de vida, podendo ser diferentes alterações de acessos e grupos durante o ciclo de vida do usuário.

O controle de ciclo de vida privilegiado permite monitorar acessos de usuários com acesso administrativo privilegiado.

Ainda falando sobre acessos privilegiados, podemos utilizar o Azure AD PIM (Privileged Identity Manager), que fornece controles extras personalizados para proteger os direitos de acesso.

Lembrando que algumas capacidades estão liberadas somente em algumas versões, o PIM está liberado somente na versão Premium P2.

Conclusão.

A governança de identidade de usuário é muito importante para evitar acessos que possam ter vazado, ou de usuários que não fazem mais parte da organização mas ainda estão com acessos ao sistema, além de acessos maliciosos.

Recursos de Segurança Azure.

A plataforma Azure oferece um leque de opções para proteção contra ataques maliciosos que possam atacar sua rede virtual e outros perímetros do seu sistema.

Além de oferecer recursos de proteção contra acessos maliciosos, existem outros recursos que ajudam a filtrar e dificultar a invasão, criando também uma análise baseada nas tentativas de invasão para criar regras de segurança.

Outro ponto muito importante que é oferecido pelos recursos de segurança Azure é a camada de criptografia, onde podemos criptografar e descriptografar rapidamente os dados ou até mesmo o disco todo.

Esses recursos de segurança são de extrema importância a fim de evitar uma série de dores de cabeça como sequestro do sistema, roubo de dados, entre outros.

Com uma resposta rápida oferecida pelas ferramentas de proteção Azure é possível bloquear grande parte dos ataques cibernéticos conhecidos.

Recursos de segurança oferecidos pela Azure.

Grupo de Segurança de Rede: permite filtrar entrada e saída de dados baseados em regras pré estabelecidas baseados em origem, origem de rede, destino, destino rede, porta e protocolo, bloqueando qualquer entrada e saída que atenda a regra;

Proteção contra DDoS do Azure Standard: oferece uma proteção contra ataques DDOS(Ataque de negação distribuído) para até 100 Ip’s públicos;

Azure Firewall: protege a camada de rede, sub-rede e aplicação contra ataques que por algum motivo não foram filtrados pela camada de rede distribuída;

Azure Bastion: um serviço PAAS que permite o acesso remoto via RDP ou SSH sem a necessidade de um IP público nas máquinas virtuais;

Firewall do Aplicativo Web: ou WAF, protege seus aplicativos contra ataques na camada de aplicação como ataques baseados em SQL Injection e XSS;

Criptografia: a Azure oferece recursos que podem criptografar e descriptografar dados em discos, banco de dados e aplicações.

Conclusão.

Com as diversas formas de ataques cibernéticos que estão consolidados na Web, é muito perigoso deixar o sistema desprotegido contra esses ataques maliciosos, a Azure oferece desde proteções simples que estão incluídas na assinatura até proteções premium que podem ser customizadas pelo administrador.

Microsoft 365 Defender.

Microsoft 365 Defender é um pacote de pré e pós defesa contra violação do sistema Microsoft.

Entre as capacidades do Microsoft 365, estão a detecção, prevenção, investigação e resposta em pontos de extremidade, identidades, e-mail e aplicativos para fornecer proteção integrada contra ataques.

Diante da variedade de pontos de ataques, não podemos proteger somente a camada de rede, o Microsoft 365 Defender aborda a proteção de aplicativos, e-mail, colaborações, pontos de extremidade, soluções de SaaS cruzadas, identidade e outros pontos.

Os administradores do Microsoft 365 Defender conseguem prevenir ataques e atuar rapidamente na defesa das áreas afetadas por meio de ferramentas de alertas caso o sistema seja atacado.

Apesar do Microsoft 365 Defender não fazer parte diretamente do Azure, ela funciona como uma pré validação contra ataques ao Azure e pode ser integrada a algumas capacidades do Azure como o Azure Sentinel, além de monitoração e proteção de dados, acessos e conformidades do Azure.

Conteúdo do pacote Microsoft 365 Defender.

Aqui abordaremos somente o conteúdo do pacote Microsoft 365 Defender, não abordaremos o conteúdo do Office 365 Defender.

O Microsoft 365 Defender é composto por algumas defesas:

  1. Microsoft 365 Defender para pontos de extremidade: oferece proteção pré e pós violação, prevenção de ataques e relatórios para endpoints;
  2. Microsoft 365 Defender para proteção de identidade: uma solução para proteção contra violação de credenciais de acesso de usuários mal intencionados;
  3. Email e a colaboração com o Microsoft Defender para Office 365: proteção para sua organização contra e-mails, links e mensagens mal intencionadas e ferramentas de colaboração;
  4. Microsoft Defender for Cloud Apps: fornece uma visão e controle sobre tráfego de dados, além de análise para identificar e combater ataques a serviços na nuvem
  5. Gestão de Vulnerabilidade do Microsoft Defender: oferece uma painel com possíveis fragilidades no sistema e como corrigi-la.

Conclusão.

Apesar do Microsoft Defender 365 não ser um módulo diretamente ligado ao Azure, ele faz um papel muito importante para segurança e integridade do Azure.

Controle de acesso Azure AD.

Basicamente, o Azure AD é responsável pela administração e controle de acesso para a maioria dos produtos Azure.

O Azure AD oferece 2 tipos de controle de acesso, o acesso baseado em condicional e o controle de acesso baseado em funções.

Com a infinidade de técnicas de ataques, a Azure AD constantemente está aprimorando a segurança de acesso.

Um ponto de atenção aqui, é que para utilizar todas as capacidades que o Azure AD oferece, o administrador deve assinar uma versão Premium.

Todos os temas abordados aqui serão sobre Azure AD, não vamos abordar o Microsoft AD.

Acesso baseado em condicional e funções.

acesso condicional é uma forma de controlar acesso do usuário condicionando a alguma outra forma de autenticação.

As condicionais exigidas podem ser a verificação de localização, verificar se o usuário está em um grupo autorizado, exigir uma segunda autenticação utilizando um dispositivo, entre outros fatores.

acesso baseado em funções também conhecido como RBAC (controle de acesso baseado em função) é utilizado para controlar acessos aos recursos do Azure AD baseados em funções, que podem ser internas ou personalizadas.

As funções internas são conjuntos de permissões fixas como Administrador Global que tem acesso total, Administrador de Usuário que permite criar usuário e grupos, e o Administrador de cobrança que podem fazer compras, gerenciar assinaturas e tíquete de suporte.

As funções personalizadas permitem a criação de perfis selecionando os acessos e controles desse perfil.

Conclusão.

O controle de acesso do Azure AD oferece um leque de opções de segurança que garantem a integridade da plataforma e dos produtos Microsoft baseado em nuvem.