Named Locations

Named Locations

No momento de design das políticas de segurança da sua empresa, é importante que nós tenhamos disponível diferentes informações, que nos habilitarão a implementar uma maior granularidade nos controles e proteger o nosso ambiente de maneira mais eficiente, considerando sempre a usabilidade do usuário. Uma informação presente na grande maioria das empresas, é a localização dos seus escritórios. Pensando nisso, hoje vamos falar sobre as named locations, recurso do Entra ID que nos permite configurar esses espaços para personalizar a aplicação das políticas de segurança.


O que são as named locations?

Durante a construção das políticas de segurança da sua empresa, você já se pegou pensando que seria ótimo se houvesse uma maneira de representar o seu escritório, ou a rede confiável da sua empresa para aplicar políticas de acesso personalizadas? Hoje nós temos essa possibilidade com as named locations!

Esse recurso permite que representemos as redes das empresas que devem ser tratadas como "confiáveis" para que possam ser utilizadas na aplicação das políticas de segurança.

Ficou confuso? Vamos a um exemplo.

Suponha que a sua empresa tenha a matriz (escritório principal) localizada no Brasil, porém com filiais na Argentina, Estados Unidos, Itália e também Austrália. Você deseja utilizar na sua análise de segurança o IP de onde vem a chamada e também a localização geográfica. Para isso, nós podemos usar as locations!

Seguindo na linha deste exemplo, nós podemos criar uma location que contenha todos os países e uma outra que contenha os ranges de IP que representam as filiais da sua organização. Dessa forma, nós poderíamos utilizar essas informações dos escritórios como insumo para aplicação das políticas de segurança.

Aplicando as políticas através de IP e das localizações, nós teríamos um ambiente parecido com esse:

💡
Neste cenário acima, as requisições vindas dos ranges de IP das filiais e também a origem da requisição, são levadas em conta. Dentro da política de acesso condicional, nós implementaríamos os controles de uma maneira que apenas as requisições vindas das regiões das filiais e também de seus respectivos ranges de IP seriam permitidos e qualquer chamada fora desses locais, seria negada.

Agora que entendemos como o recurso funciona, vamos falar sobre as melhores estratégias para sua utilização, visando sempre proteger o seu ambiente da melhor forma.


Estratégias para utilização

Como qualquer recurso de segurança, é essencial que seja feito um planejamento antes de sua criação e configuração. Com as locations isso não seria diferente.

A primeira coisa que se deve pensar é: o que eu preciso representar com as locations?

Essa pode parecer uma pergunta óbvia, porém não é. Conforme vamos evoluindo nosso pensamento sobre o que deve ser representado pelas locations vamos percebendo o quão complexa é essa tarefa. Essa complexidade é ainda mais agravada se a sua organização contém múltiplas localidades, escritórios, empresas parceiras, prestadores de serviço, etc. Conforme evoluímos nosso planejamento com maturidade, cada vez mais considerações são feitas préviamente à definição de implementação.

Para adequar a configuração dos seus componentes de maneira satisfatória, essa pergunta deve ser respondida levando em consideração todos os ambientes gerenciados pela sua organização, mas também ambientes externos que tenham acesso à ela, ambientes esses que muitas vezes acessam aplicações e serviços internos através de conexões VPN.

Outra consideração que devemos fazer é: de que forma organizaremos essas informações?

Apesar das locations representarem as localizações de certos ambientes, precisamos tomar cuidado com a governança dessas configurações, pois isso pode fugir de controle rapidamente.

Organizar as localizações confiáveis em grupos e os ranges de IPs "seguros" com uma classificação que nos permita identificar de maneira breve que localidade é aquela, é um desafio. A verdade é que não existe uma resposta certa, cada empresa tem suas peculiaridades e seus cenários próprios, por isso é importante que o time de segurança responsável por analisar esses fatores e registrar as locations, atue com cautela e busque a maior quantidade de informações possíveis, pensando na melhor manutenção do seu ambiente.

Para criarmos a lista de regiões, a informação mais importante é: quais são os lugares onde a sua empresa NÃO opera? Responder essa pergunta nos permite eliminar uma grande quantidade de lugares e reduzir as possibilidades de ataques vindo dessas origens. Podemos criar uma lista apenas com países onde a organização contém filiais presentes e proibir qualquer acesso vindo de fora daquela lista.

Outra estratégia comumente encontrada (mas não necessáriamente recomendada) é marcar como "localização confiável" as redes internas da sua empresa. Não marcar qualquer rede como confiável é o mínimo, agora marcar diversas redes da sua empresa como confiáveis, pode expor o seu ambiente à ataques não esperados. Construir uma arquitetura Zero Trust exige que todas as requisições sejam verificadas de maneira explícita, "confiar" em um ambiente fere esse princípio!

Você deve ter percebido que existe certo trade-off em relação à criação e a organização dessas configurações. Devemos utilizar com cautela e sabedoria esses registros, para não expormos nosso ambiente à possíveis ameaças e vulnerabilidades. Utilizá-los para proibir o acesso de localizações não permitidas pode ser uma boa estratégia, porém utilizar as informações para permitir o acesso à partir de localizações confiáveis e sem a aplicação de controles mais rígidos, trará ao seu ambiente altos riscos.


Configuração

No Portal do Entra, podemos navegar até named locations e iniciar a criação dos nossos regisitros.

Como mencionei anteriormente, esse recurso nos permite trabalhar com regiões globais e com ranges de IP.

Countries Location

Selecionando "Countries location", será necessário fornecer um nome para a nossa política. Após isso, precisaremos escolher qual o modelo de identificação de origem que será utilizado.

💡
Temos duas opções disponíveis, "Determine location by IP address" ou "Determine location by GPS coordinates". A primeira utiliza uma lista de IPs por país para identificar de onde a chamada está vindo. A segunda opção faz uso do aplicativo Microsoft Authenticator para solicitar ao usuário o compartilhamento da sua localização por GPS.

Após isso, teremos uma lista de países para escolher e incluir em nosso registro.

O limite de países por registro é de 195.

IP ranges location

Para os ranges de IP a configuração é mais simples. Além do nome do registro, também é necessário fornecer (é claro) os ranges que devem ser considerados.

Existe um limite máximo de ranges de IP por registro, que é 2.000.

Uma outra configuração que pode ser feita, é marcar aquela location como "confiável". Registrar uma localização como confiável, não fará nenhuma diferença direta. A grande questão é que na montagem da nossa política de acesso condicional, nós poderemos selecionar TODAS as locations marcadas como confiáveis. Isso nos permitirá aplicar controles de segurança homogêneos entra as diferentes localizações da nossa organização.

💡
As locations por IP permitem o cadastramento de endereços IPv4 e IPv6!

Uso no conditional access

Dentro do nosso editor de política, sob a sessão location, nós teremos as seguintes opções:

Essa política estará sendo aplicada para todas as localizações marcadas como confiáveis. Se selecionarmos a primeira opção "Any location", qualquer chamada receberá a aplicação do controle, independente da origem. A última opção "Selected locations" nos permite escolher algumas locations previamente registradas (essa opção é útil caso a política de acesso condicional que está sendo configurada, tenha o intuito de aplicar algum controle personalizado por localidade).

Na aba exclude temos o seguinte:

Podemos eximir as localizações confiáveis da aplicação daquela política ou podemos selecionar locations específicas para sofrerem um bypass dos controles.

💡
Utilizar a opção "All trusted locations" na seção Exclude pode fazer sentido se as locations confiáveis forem de posse da sua organização. Reforçando o que foi mencionado anteriormente, a aplicação desse controle fere o princípio verify explicitly de uma arquitetura Zero Trust!

Como profissionais de cibersegurança, é importante que nós tenhamos conhecimento aprofundado em diversos recursos que podem auxiliar em nosso dia a dia, porém ainda mais importante, é saber quando e como nós devemos utilizar essas funcionalidades.

Espero que tenha gostado do texto e que eu de alguma forma tenha contribuído para o fortalecimento da postura de segurança da sua empresa.

Até logo!