Protegendo identidades com o Microsoft Entra ID
A identidade tornou-se o item mais crítico e sensível em um ambiente corporativo quando o perímetro deixou de ser um limitador para o uso de informações e sistemas corporativos. Em uma época em que seus ativos de TI estavam atrás de um firewall e/ou ingressavam em um domínio com uma boa solução antivírus, seu dispositivo e suas informações estavam protegidos. Hoje, em um mundo onde a cultura do trabalho remoto é realidade e o perímetro da rede não existe, o foco deve e precisa ser a identidade.
Sem o perímetro de rede o conceito Zero Trust se torna o padrão recomendado para gerenciar e proteger ambientes. Uma parte essencial do Zero Trust refere-se à proteção e governança da Identidade, pela qual a Entra ID é responsável.
Anteriormente conhecido como Azure AD, o Entra ID, tem é responsável por fornecer recursos que gerenciam, protegem e controlam a identidade de seu usuário, seja em nuvem ou sincronizadas com o domínio local. Quando as credenciais são sincronizadas do Active Directory para o Entra ID, temos o famoso ambiente de identidade híbrida.
Sincronizando suas identidades com a nuvem
Para gerenciar e fornecer um alto nível de segurança às credenciais locais você precisa primeiro sincronizá-las com a nuvem usando o Microsoft Entra Connect, onde exitem três opções de métodos de autenticação de entrada para escolher.
PHS
O principal e mais utilizado é o PHS (Password Hash Synchronization), eu já escrevi sobre ele aqui, o método padrão e mais fácil de se ter um ambiente de Identidade Híbrida. Como o nome sugere, o PHS sincroniza apenas os hashes de senha, que é um processo matemático de transformar qualquer chave ou uma cadeia de caracteres em outro valor do Active Directory para o Entra ID. Por conta desse processo de hash contínuo e repetido, a Microsoft garante que é impossível usar engenharia reversa para ter acesso à senha em texto plano no caso de uma interceptação de tráfego ou vazamento de dados. É essencial deixar claro que nem o Active Directory nem o Entra têm contato com a senha em si.
Durante a configuração do Entra Connect, um link é criado entre o objeto local (usuário) e o objeto na nuvem. Assim, sempre que um usuário alterar sua senha localmente, o hash de senha do AD será sincronizado com o Entra ID. Isso significa que, usando o PHS, não há dependência do ambiente local para autenticar um usuário em uma carga de trabalho de nuvem, como Exchange, Teams ou OneDrive. Tudo acontece na nuvem.
Também vale ressaltar que o uso do PHS Entra ID pode avaliar se as credenciais estão listadas na deep ou dark web. Esse tipo de informação é essencial para que a equipe de segurança possa aprimorar a política de senhas, exigindo maior complexidade, por exemplo. E mais uma vez, NENHUMA SENHA É ENVIADA OU MANTIDA NA NUVEM, o que é sincronizado é o Hash de sua senha.
PTA
A segunda opção disponível como método de autenticação de sign-in é o Pass Through Authentication (PTA). Essa opção, diferente do PHS, depende do AD para autenticar os usuários que acessam cargas de trabalho na nuvem. Quando os usuários tentam acessar suas caixas de correio ou arquivos na nuvem, a solicitação é enviada de volta ao ambiente local por meio de agentes PTA e o Active Directory valida as credenciais. Com base nisso, a Microsoft garante que o Entra ID não tem contato com as credenciais dos usuários.
O principal aspecto do PTA que você deve ter em mente se estiver planejando escolher esse método é que você de agentes PTA para lidar com as solicitações de autenticação. Considerando que há uma dependência de entrar em contato com o AD para autenticar o usuário, ter uma abordagem de failover é essencial para seu ambiente. Como recomendação, você deve ter pelo menos 3 agentes PTA instalados em servidores diferentes que não sejam Controladores de Domínio.
Por que escolher PTA em vez de PHS se o custo operacional é maior? Bem, certas organizações podem querer impor suas diretivas locais de segurança e senha do Active Directory. Algumas empresas usam o recurso AD de horário de logon para definir quando um usuário pode ou não fazer logon no ambiente. Então, se esse é o seu caso, a PTA é para você.
ADFS
O ADFS (Serviço de Federação do Active Directory) é uma tecnologia antiga usada para integrar e consolidar o processo de autenticação, aproveitando as credenciais do Active Directory. Aquite termos a mesma dependencia e no PTA em relação ao ambiente local. A grande diferença é em como o ADFS lida com as requisições e claro a estrutura necessária para ter um ambiente setguindo as recomendações Microsoft.
Hoje em dia, a menos que seu ambiente solicite o uso do ADFS, não consigo ver uma razão para escolher essa opção em vez de PHS ou PTA. Embora a Microsoft não tenha anunciado uma data de fim de vida útil para o ADFS, ela aconselha a transição para o Entra ID em vez de atualizar para uma versão mais recente do ADFS devido ao serviço de gerenciamento de identidade e acesso baseado em nuvem que pode ajudá-lo a gerenciar seus usuários e aplicativos com mais eficiência.
Agora que você tem uma visão melhor das opções de sincronização, vamos checar como e quais recursos estão disponíveis no Entra ID para melhorar a segurança de identidade em seu negócio.
Protegendo senhas com o Entra ID
Considero o gerenciamento de senhas um dos calquanhares de aquiles para qualquer ambiente, independentemente do tamanho. Mesmo com treinamentos e uma excelente política de segurança, os usuários tendem a escolher combinações facilmente adivinháveis ou termos simples como parte da senha.
O Entra Password Protection ajuda você a enfrentar esse desafio e evitar o uso de combinações nao seguras. Usando uma lista Global da Microsoft somado a uma lista de termos proibidos personalizadas, o Microsoft Entra Password Protection pode detectar e bloquear senhas fracas/conhecidas e suas variantes. A lista global é mantida pela Microsoft e é atualizada constantemente com base nos dados de telemetria de segurança da Microsoft, enquanto a lista personalizada pode ser preenchida com até 1000 itens, de acordo com as necessidades da empresa.
Com um algoritmo robusto de validação de senha, o Entra Password Protection usa um processo chamado normalização para detectar e bloquear variantes. Se eu incluir a palavra “Nathan” à lista de banidos personalizados e tentado definir “N41h4n” como uma senha o Entra bloquearia a ação. Isso é útil porque você não precisa lembrar ou considerar todas as variações possíveis, o Entra faz isso por você.
Você pode expandir essas políticas para seu ambiente local usando um agente e um proxy. A recomendação é ter o agente instalado em todos os Controladores de Domínio e, em pelo menos dois servidores membro, instâncias do serviço Proxy. Esses dois componentes são responsáveis por receber as políticas do Entra ID e avaliar se a senha pode ou não ser aceita. Os DCs, usando uma DLL de filtro, recebem a nova solicitação de alteração de senha e a encaminham para um proxy que, que por sua vez, a envia ao Entra ID para verificação. O processo acontece da mesma forma nos dois sentidos.
É importante mencionar que a validação, detecção e bloqueio de senha só acontecem durante o evento de redefinição. Se o seu usuário já tiver uma senha fraca, o Entra Password Protection não fará nada a respeito.
Redefinição de senha de autoatendimento (SSPR)
Ainda falando sobre gerenciamento de senhas, um recurso simples, mas útil, é o Self-Service Password Reset (SSPR), um portal da web que permite aos usuários redefinir suas senhas, fornecendo apenas o endereço de e-mail e o segundo fator de autenticação, como um código de verificação, um token para um aplicativo ou respondendo a perguntas de segurança.
Mas o que isso tem a ver com segurança? Well, well…todas as senhas estarão sob a política da empresa, e o principal fator é que ninguém além do próprio usuário terá acesso à senha. Assim como no Entra Password Protection, você também pode aproveitar esse recurso no ambiente local sinalizando uma opção para habilitar a opção de password Writeback no Entra Connect. Como o nome sugere, esse recurso permitirá que senhas alteradas na nuvem sejam gravadas de volta no Active Directory.
Proteção avançada de identidade
O Microsoft Entra ID Protection é um recurso avançado que pode detectar, investigar e corrigir riscos baseados em identidade. Ele usa insights a partir de trilhões de sinais que a Microsoft coleta para detectar e determinar usuários, logins ou aplicativos em risco.
Antes de entrar na explicação do recurso, é importante definir um risco. A Microsoft define um risco como qualquer ação suspeita identificada relacionada a contas de usuário em seu Tenant. Essas ações podem ser consideradas um risco para o ambiente e podem ser detectadas no nível de Usuário (risk user) e Login (risky sign-in), em tempo real (online) ou offline.
O processo de detecção é baseado em comportamentos de risco que já estão catalogados pela Microsoft (25 built-in) para te ajudar seu ambiente. Alguns deles são:
Detecções de risco de entrada
- Endereço IP mal-intencionado – Essa detecção indica a entrada de um endereço IP mal-intencionado. Um endereço IP é considerado malicioso com base em altas taxas de falha devido a credenciais inválidas recebidas do endereço IP ou de outras fontes de reputação de IP
- Viagem impossível – Esta detecção identifica as atividades do usuário (sessões únicas ou múltiplas) originadas de locais geograficamente distantes dentro de um período de tempo menor do que o tempo que leva para viajar do primeiro local para o segundo.
- Usuário confirmado pelo administrador comprometido — essa detecção indica que um administrador selecionou ‘Confirmar usuário comprometido’ na interface do usuário de Usuários de Risco ou usou a API de Usuários Arriscados.
Detecções de risco do usuário
- Credenciais vazadas – Esse tipo de detecção de risco indica que as credenciais válidas do usuário foram vazadas com base nos dados da Microsoft coletados da investigação na deep/dark web.
- Tráfego de API suspeito – Essa detecção de risco é relatada quando o tráfego anormal do gráfico ou a enumeração de diretório é observada por um usuário. O tráfego suspeito da API pode sugerir que um usuário está comprometido e realizando reconhecimento em seu ambiente.
- Atividade anômala do usuário – Essa detecção de risco linha de base o comportamento normal do usuário administrativo no Microsoft Entra ID e identifica padrões de comportamento estranhos, como alterações suspeitas no diretório.
Durante cada evento de autenticação, o Identity Protection executa um conjunto de algoritmos de detecção em tempo real, gerando assim uma métrica de risco que indica a probabilidade de comprometimento de determinada sessão. Com base nessa pontuação de risco, um conjunto específico de regras de segurança é automaticamente colocado em ação.
Para a etapa de investigação, o Entra ID Protection fornece relatórios importantes com dados chave para os administradores analisarem e entenderem o que está ocorrenco e como pode ser corrigido.
Quando existe um match para um evento arriscado, você tem a opção de agir manualmente ou aproveitar as ações de correção built-in usando o Acesso Condicional. O Acesso Condicional pode exigir controles de acesso, como uma alteração de senha ou fornecer um método de autenticação forte. Se o usuário concluir as etapas necessárias com êxito, o risco será corrigido automaticamente.
Acesso Condicional
O Acesso Condicional é uma validação de segundo estágio que fornece um amplo conjunto de verificações usadas como condições para saber se o acesso é permitido ou bloqueado durante o processo de autenticação, eu já escrevi sobre os serviço aqui. Com o Acesso Condicional, o Entra ID pode determinar a localização, o tipo de dispositivo, o aplicativo que está sendo acessado, o status de conformidade do dispositivo, os alertas da Proteção de Identidade e até mesmo se a empresa gerencia o dispositivo no qual o usuário está acessando um aplicativo específico.
Dependendo dos resultados da validação das condições, a política de Acesso Condicional pode impor um processo de MFA (Multi-Factor Authentication), uma solicitação de alteração de senha ou até mesmo bloquear o processo de logon.
Um recurso interessante que faz parte das políticas de acesso condicional é a avaliação contínua de acesso (CAE), que avalia as sessões dos usuários em tempo real e pode responder a violações ou atualizações de políticas prontamente. Ele garante que o acesso do usuário será afetado quase em tempo real quando um token de sessão for revogado.
Conclusão
O Microsoft Entra ID oferece uma vasta oportunidade de proteger suas identidades locais e na nuvem com uma abordagem flexível e moderna. Para as empresas nascidas na nuvem, o processo de modernização pode ser menos complexo em comparação com as empresas que planejam iniciar a jornada na nuvem. Em qualquer caso, validações e MUITO planejamento devem ser os primeiro passo pra quem deseja seguir o futuro em relação a gerenciamento e proteção de identidades!
Fique a vontade para me pingar!
Abraço \,,/
Faça o primeiro comentário a "Como o Entra ID protege suas credenciais"