Conditional Access - guia completo!

Conditional Access - guia completo!

Nas empresas onde trabalhamos, é comum termos diversos desafios relacionados às identidades. Muitos desses desafios dizem respeito à diferentes cenários, com os quais devemos nos preocupar (cenários como: empresas terceirizadas acessando nossas aplicações). Se considerarmos também os temas de segurança, os desafios ficam ainda maiores e mais complexos. Hoje vamos falar sobre um aliado nessa nossa jornada rumo à uma proteção melhor do nosso ambiente e dos ativos da nossa organização.


O que são as políticas de acesso condicional?

Diagram showing a high level Conditional Access overview

Nós podemos interpretar, de maneira correta, as políticas de acesso condicional como o motor das políticas de acesso e de segurança aplicáveis no Microsoft Entra.

Mas como assim?

Por mais que esse não seja um recurso acessado diretamente em um fluxo de autenticação ou autorização, é um componente presente em todas as etapas desses processos. As políticas são criadas com o intuito de implementar diferentes controles de segurança, em diversos cenários e levando em consideração múltiplas informações diferentes fornecidas pelo próprio Entra ID.

Resumindo: tudo (ou quase tudo) dentro do seu tenant, passará por uma ou mais políticas de acesso condicional (depende de quantas estão definidas).

Neste primeiro momento a explicação pode ter ficado um pouco genérica, porém nessa próxima sessão vamos falar em detalhes sobre as capacidades desses recursos.

💡
Para utilizarmos as políticas de acesso condicional, é necessário termos em nosso tenant licenças P1 ou P2 do Entra.

O que podemos fazer com elas?

Após entendermos o que são essas políticas, chegou a hora de falarmos um pouco sobre alguns recursos importantes que podem ser usados para proteger o seu ambiente.

Controle por dispositivos

Como é comum nas organizações termos dispositivos fornecidos aos funcionários e controlados pela própria empresa, podemos utilizar esse controle como vantagem para proteger o acesso às aplicações de maneira mais efetiva.

Aplicando as políticas em dispositivos gerenciados (ou não, dependendo do caso), podemos exigir controles mais fortes para permitir o acesso ou regras mais "folgadas", como por exemplo em requisições vindas de um dispositivo gerenciado pelo Microsoft Intune à partir de uma rede confiável.

Podemos também aplicar controles baseados na plataforma de acesso. É possível escolher dispositivos windows, ios, android, linux e mac, como também acessos feitos à partir de browser ou de um client.

Aplicação

Como no final das contas nós estaremos protegendo o acesso aos nosso recursos (aplicações), nada mais justo do que ter a habilidade de selecionar quais aplicações nós queremos que estejam incluídas nas políticas.

Todas as aplicações integradas ao Entra ID, estarão disponíveis para terem os controles de acesso aplicados à elas.

Essa granularidade nos permite testar o funcionamento das políticas em aplicações de diferentes tipos e também aplicar políticas diferentes de acordo com o público que estará acessando as aplicações. Isso é útil para cenários onde as aplicações não serão acessadas apenas pelo público interno, mas também por convidados/terceirizados, para isso devemos aplicar controles mais rígidos e diferentes dos determinados para os funcionários da organização.

MFA

Recurso essencial para todos os momentos, as políticas de acesso condicional são as responsáveis por garantir a aplicação do multi-factor authentication em diversos momentos. Não temos apenas a possibilidade de solicitar um segundo fator de autenticação quando julgarmos necessário, mas também podemos escolher quais os fatores que podem ser utilizados naquele determinado momento.

O Microsoft Entra disponibiliza uma série de opções de fatores de autenticação que podem ser escolhidos e habilitados pelos times de segurança da sua organização. Também é possível organizar esses fatores de autenticação em "grupos" para que possam ser solicitados como opções diferentes para aquela situação.

Riscos

Esse recurso não faz parte diretamente das políticas de acesso condicional, porém podem ser utilizados na implementação das políticas.

Com as capacidades de análise de risco do Microsoft Entra, é possível aplicar os controles baseados no risco apresentado em determinada atividade. Isso quer dizer que de acordo com o risco avaliado (baixo, médio ou crítico), nós podemos aplicar determinados controles (como exigir um segundo fator de autenticação, solicitar a troca de senha ou até bloquear a conta de usuário até que a mesma seja desbloquada por alguém com os privilégios para executar tal ação).

Isso nos permite não apenas aplicar controles específicos em alguns cenários determinados, mas também proteger de fato o nosso ambiente e as nossas aplicações de acessos perigosos!

Token protection

Um controle moderno e avançado que podemos implementar é o de token protection, ou no Entra, "Continuous Access Evaluation".

Esse recurso permite a análise do contexto das requisições à cada chamada, não ficando preso apenas ao tempo de expiração do token para revogação da sessão.

Esse controle pode ser aplicado em políticas que levam em conta o risco do login ou da identidade do usuário, tornando assim uma funcionalidade valiosa para a mitigação de acessos "arriscados" ao seu ambiente.

Redes confiáveis

É comum termos nas empresas uma série de redes (IP ranges) configurados para serem tratados como confiáveis. Redes essas da nossa própria organização ou de empresas parceiras, com conexões do tipo VPN estabelecidas com o nosso ambiente.

Utilizar essas redes confiáveis nos permitirá "fechar o cerco" para ataques de segurança, uma vez que configuraremos as aplicações para permitirem acesso apenas à partir dessas redes determinadas, mas também poderemos controlar de maneira assertiva os acessos vindo das empresas parceiras, uma vez que temos seus ranges de IP configurados em nosso tenant.


Boas práticas

Todo deploy relacionado à atividades de segurança, tem suas peculiaridades de acordo com o ambiente e a estratégia da sua empresa.

As boas práticas podem ser interpretadas como recomendações de controles que devem ser aplicados, mas também podem ser tratadas como as estratégias de implementação e configuração desses controles.

É importante que como toda implementação, a estratégia adotada seja estudada e planejada. Não podemos nos esquecer que no final da cadeia, temos os usuários que em grande parte do tempo, não tem a menor ideia do que está sendo feito pelos times de segurança. A única coisa desejada por eles é que a habilidade de executar as atividades triviais do seu trabalho não seja afetada.

Sobre a criação das políticas, é interessante que sua empresa defina a própria estratégia, porém alguns pontos que podem ser compartilhados para auxiliar nessa tomada de decisão são:

  • Crie políticas básicas, que se apliquem à grande maioria dos seus usuários. Essas políticas podem ser para solicitar o segundo fator de autenticação independente de quem esteja acessando as aplicações, bloquear acessos com risco considerado crítico, entre outras opções;

  • Implemente controles que o permita proteger seu ambiente, não apenas controlar o acesso. Políticas que levam em consideração os riscos de login e implementam os controles adequados, poderão poupar o seu time de segurança de muita dor de cabeça;

  • É importante pensar também no longo prazo, em como o time responsável pelos acessos daqui alguns anos irá tomar conta do ambiente. Criar suas políticas com nomes claros e descritivos e construir documentações que contenham todo o histórico de criação delas, será essencial para manter a estabilidade no seu ambiente. Ter esses insumos, tornará o trabalho do novo time menos moroso e permitirá um melhor planejamento das mudanças que serão aplicadas;

  • Agora possívelmente a boa prática mais importante. Não fique bloqueado para fora do seu tenant!!! Aplicar as políticas de acesso condicional para TODOS os usuários é um perigo, pois existe a possibilidade (mesmo que improvável), de que todos os usuários fiquem sem acesso aos recursos. Para isso, é improtante termos algumas contas com MFA diferente dos utilizados pelos demais usuários e também é importante que essas contas sejam colocadas na sessão exclude das políticas, para que esses controles "globais" não sejam aplicados à elas.


Por hoje é isso, espero que as informações passadas nesse texto tenham feito você sentir mais confiança no momento de criar suas políticas de acesso. É importante lembrarmos sempre de apoiar nossas decisões com dados e informações de fontes confiáveis, principalmente se tratando da segurança do nosso ambiente.

Até logo!