Uma visão geral sobre o Zero Trust e exemplos práticos com o Acesso Condicional do Azure
Introdução
Esse artigo mostra uma visão geral do que é a abordagem Zero Trust mostrando exemplos práticos de implementação no mundo real usando o acesso condicional do Azure (Azure Conditional Access).
O modelo Zero Trust – Uma visão geral
Com base no princípio “nunca confie, sempre verifique”, o Zero Trust ajuda a proteger seus recursos corporativos, eliminando dispositivos desconhecidos e não gerenciados e limitando o movimento lateral.
A implementação de um verdadeiro modelo de Zero Trust exige que todos os componentes – identidade do usuário, dispositivo, rede e aplicativos – sejam validados e comprovadamente confiáveis. Sendo assim, o Zero Trust é uma jornada e, como cada organização é diferente, cada jornada será única.
Quanto ao nome ele já é antigo, mas foi a Forrester que cunhou o termo no mercado em 2010, como podemos ver na imagem ilustrada abaixo.
Ref: https://www.microsoft.com/security/blog/2019/11/11/zero-trust-strategy-what-good-looks-like/
Com a crescente demanda do uso de Cloud Computing, nós tivemos uma quebra de paradigma, evoluindo do perímetro (DMZ) para um modelo de acesso de qualquer lugar, integrando-se adicionalmente à evolução do BYOD. Isso fez com que o modelo de perímetro evoluísse da DMZ para uma postura de segurança de identidade.
Segundo o NIST, uma ZTA (Zero Trust Architecture) é a estratégia em que não há confiança implícita concedida aos sistemas com base em sua localização física ou de rede (ou seja, redes de área local vs. Internet). Nesse modelo, o acesso ao recurso é fornecido quando ele é requerido e a autenticação (usuário e dispositivo) é realizada antes da conexão ser estabelecida. Sendo assim, o ZTA concentra-se em proteger recursos, não segmentos de rede, pois o local da rede não é mais visto como o principal componente da postura de segurança do recurso.
Sendo assim, ao invés de assumir que tudo que atrás do meu firewall corporativo é seguro, o modelo Zero Trust assume que sempre possa haver uma violação e verifica cada solicitação como se fosse originada de uma rede aberta. Independentemente de onde a solicitação foi feita ou de quais recursos ela acessa, o modelo de Zero Trust nos ensina a “nunca confiar, sempre verificar“. Toda solicitação de acesso é totalmente autenticada, autorizada e criptografada antes de conceder o acesso.
Ref: https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE3YnRL
Planejando a implantação do Zero Trust
A Microsoft recomenda a priorização rigorosa dos esforços do Zero Trust para maximizar o retorno do investimento em segurança (ROI). Essa priorização padrão é baseada em aprendizados de nossa experiência, de nossos clientes e de outras pessoas do setor.
Implemente o Zero Trust com o Acesso Condicional do Azure
O acesso condicional (Conditional Acces) do Azure AD, habilita o Zero Trust estabelecendo a identidade como o novo plano de controle.
Nós podemos entender esse fluxo da seguinte maneira:
1. Estabelecer a identidade como plano de controle
2. Supor que todos os recursos se conectem da Internet
3. Nunca confiar – sempre verificar
Hoje, os usuários trabalham de qualquer lugar com vários dispositivos e aplicativos diferentes e a única constante é a identidade. Por isso, o primeiro passo para o modelo de Zero Trust é tornar a identidade seu plano de controle de segurança.
A segunda etapa é conectar todos os seus aplicativos locais e na nuvem, juntamente com as identidades do usuário e seus dispositivos.
E finalmente, todo acesso deve ser verificado. O acesso condicional do Azure AD te fornece a capacidade de verificar sinais de identidade, dispositivo, aplicativo, dados e risco antes de permitir o acesso aos recursos corporativos.
Cenários práticos com o Acesso Condicional do Azure
Para garantirmos um retorno do investimento rápido (quick wins), podemos começar trabalhando com os principais cenários de acesso condicional no Azure AD, os quais não precisam de um esforço tão relevante e são de baixa complexidade de execução.
Eu listei aqui três dos principais cenários que temos ajudados nossos clientes hoje, segue abaixo.
Solicitar o múltiplo fator de autenticação (MFA) para administradores
Nesse exemplo, vamos solicitar MFA para funções de administradores do Office e Azure.
1 – Faça login no Azure portal (http://portal.azure.com/) como um Global Administrator, Security Administrator, ou Conditional Access administrator.
2 – Navegue para Azure Active Directory > Security > Conditional Access.
3 – Selecione New policy e crie um nome para a sua política.
4 – Em Assignments, selecione Users and groups.
- Em Include, selecione Select users and groups.
- Marque Directory roles (Preview) e selecione as roles desejadas.
- Em Exclude, selecione Users and groups e escolha uma conta de emergência. Geralmente, essa é uma conta não sincronizada do mundo on-premises e deve ter permissões de desfazer possíveis configurações incorretas, evitando o lock-in (também conhecidas como break-glass accounts).
- Selecione Done.
5 – Em Cloud apps or actions > Include, selecione All cloud apps.
- Se você precisar excluir aplicativos específicos da sua política, poderá selecioná-los em Exclude e Select excluded cloud apps escolhendo Select.
- Selecione Done.
6 – Marque Enforce Policy como On.
7 – Clique em Save.
Pronto! Sua regra já está funcionando. Basta testar! 🙂
Acesso Condicional Baseado em Risco
Se você possui licenciamento do Azure AD Premium 2 (Azure P2), você pode criar políticas usando o Azure Identity Protection, com a configuração de detecção de risco de login.
1 – Faça login no Azure portal como um Global Administrator, Security Administrator, ou Conditional Access Administrator.
2 – Navegue para Azure Active Directory > Security > Conditional Access.
3 – Selecione New policy e crie um nome para a sua política.
4 – Em Assignments, selecione Users and groups
- Em Include, selecione All users.
- Em Exclude, selecione Users and groups e escolha uma conta de emergência (break-glass accounts).
- Selecione Done.
5 – Em Conditions, selecione Sign-in risk.
6 – Vamos escolher nesse exemplo logins de risco: Medium e High.
Obs.: Para saber mais sobre o Azure Identity Protection, visite: https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/overview-identity-protection
7 – Marque Enforce Policy como On.
8 – Clique em Save.
Exigir dispositivos em conformidade
1 – Faça login no Azure portal como um Global Administrator, Security Administrator, ou Conditional Access Administrator.
2 – Navegue para Azure Active Directory > Security > Conditional Access.
3 – Selecione New policy e crie um nome para a sua política.
4 – Em Assignments, selecione Users and groups
- Em Include, selecione All users.
- Em Exclude, selecione Users and groups e escolha uma conta de emergência (break-glass accounts).
- Selecione Done.
5 – Em Cloud apps or actions > Include, selecione All cloud apps.
- Se você precisar excluir aplicativos específicos da sua política, poderá selecioná-los em Exclude em Select excluded cloud apps escolhendo Select.
- Selecione Done.
6 – Em Access controls > Grant, selecione Require device to be marked as compliant.
- Selecione Select.
7 – Confirme as configurações e clique em Enable policy e marque On.
8 – Selecione Create para criar e habilitar sua política.
Obs.: Exigir que o dispositivo seja marcado como controle compatível não bloqueia a inscrição no Intune.
Conclusão
Nesse artigo mostrei uma visão geral do que é o modelo de Zero Trust, porque ele é cada vez mais importante e como utilizar o Azure AD e as regras de conditional access para ilustrar como podemos fazer para implementar algumas configurações em nossa jornada Zero Trust. Recomendo fortemente que vejam as referências abaixo para se aprofundar no tema, pois ele é muito interessante!
Referências
- Reach the optimal state in your Zero Trust journey
- Implementing a Zero Trust security model at Microsoft
- Zero Trust strategy—what good looks like
- CISO Workshop Module 3: Identity and Zero Trust User Access
- Improve security with a Zero Trust access model
- Microsoft Zero Trust eBook
- Traditional perimeter-based network defense is obsolete—transform to a Zero Trust model
- Zero Trust part 1: Identity and access management
- Implementing Zero Trust with Microsoft Azure: Identity and Access Management (1 of 6)
- Building Zero Trust networks with Microsoft 365
- How to start your journey to zero trust | Azure Active Directory
- NIST SP 800-207 Zero Trust Architecture (2nd Draft)
- Zero Trust Wikipedia
- RSA Conference – No More Firewalls! How Zero-Trust Networks Are Reshaping Cybersecurity
- SANS – Zero-Trust Networks: The Future Is Here – SANS Blue Team Summit 2019