Visando facilitar a aplicação dos controles de acesso, o Entra ID disponibiliza uma série de templates com os controles mais “comuns” para facilitar sua aplicação. Hoje vamos conhecer a lista de templates e aplicá-las ao nosso ambiente.
Introdução
Os benefícios que as políticas de acesso condicional geram para a empresa já são conhecidos, porém para empresas que estão iniciando sua utilização, muitas vezes os times responsáveis pela segurança dos ambientes não sabem por onde começar. Os novos templates de políticas são um bom começo.
Visando a implementação dos controles que reforçam a aplicação de padrões de segurança (como o zero trust), os templates permitem uma configuração simples e rápida para os times, com controles “básicos” para reforçar a segurança no seu ambiente.
Hoje vamos falar sobre as categorias das políticas existentes, alguns controles que elas reforçam no ambiente, como aplicar algumas dessas políticas e os benefícios de tê-las configuradas.
Para saber mais sobre as políticas de acesso condicional, acesse este link!
Visualizando as políticas
Acessando o Portal do Entra e navegando até a aba de Conditional Access (abaixo de Protection) nós nos encontramos com a opção “Create new policy from templates”. Clique sobre ela e vamos estudar as políticas existentes.
Logo de início, nos deparamos com a seguinte imagem:
Através deste painel nós podemos visualizar as categorias nas quais as políticas foram divididas e já temos também uma breve descrição dos controles aplicados por cada uma.
Vamos aproveitar essa política que está selecionada e clicar sobre a opção “View”.
Você também pode realizar o download do template em formato JSON, formato utilizado pelo Entra ID para exportar e importar novas políticas.
À direita da sua tela uma seção foi aberta. Essa seção demonstra as configurações realizadas na política. As sessões demonstradas são as mesmas encontradas no formulário que utilizamos para construir as políticas do zero.
Essa política que selecionamos aplica um controle básico em contas com privilégios de administrador. Contas que contém alto nível de privilégio de acesso aos recursos, devem ser protegidas por camadas adicionais além do login. Essa política exige que usuários que contém as roles mostradas abaixo realizem a autenticação multi-fator disponível para eles.
Se navegarmos até a opção “Emerging threats” nós veremos que temos apenas uma opção disponível. O template “Require phishing-resistant multifactor authentication for admins” visa aplicar controles que garantem a utilização da autenticação multi-fator por administradores, porém através de mecanismos resistentes à phishing.
Phishing é uma forma de ataque que visa obter as credenciais de certo usuário. Isso pode ser feito de diversas maneiras, como: e-mails enganosos, engenharia social, entre outras maneiras.
Os mecanismos de autenticação resistentes a phishing disponíveis no Entra ID são: certificados, FIDO2 key e Windows Hello for Business. Essa política de acesso condicional exige que os usuários com roles privilegiadas realizem a autenticação multi-fator utilizando um desses métodos. Se aplicada, o usuário com privilégios NÃO conseguirá utilizar nenhum dos outros métodos para autenticação multi-fator existentes no Entra, apenas os aceitos por essa política.
Esse controle sobre quais dispositivos de autenticação multi-fator o usuário poderá utilizar é feito através de um recurso chamado Authentication Strenghts, que permite agrupar diferentes fatores de autenticação.
Vimos que as políticas existentes já nos permitem aplicar uma série de controles básicos ao nosso ambiente. Agora vamos ao simples processo de ativação de uma delas.
Aplicando uma política em seu ambiente
Após escolher da lista de funções disponível a que você deseja aplicar, basta selecionar a opção “Review + Create”. Você será levado para uma página que o permitirá alterar o nome da política e também selecionar o seu estado.
É importante deixar claro que para conseguir ativar uma política de acesso condicional, é necessário que o security defaults esteja desativado em seu tenant, caso contrário a criação da política só poderá ser feita se estiver desligada ou no estado report-only.
Ao clicar sobre o botão “Create” a sua política estará criada e no estado que foi definido!
Caso deseje testá-la, você pode utilizar um recurso do Entra chamado “What If”. Te explico tudo que precisa saber sobre esse recurso e como utilizá-lo neste artigo.
Pronto! Em questão de segundos você fortaleceu a segurança do seu ambiente, precisando de apenas alguns cliques e sem a necessidade de inúmeras reuniões para criação e configuração das políticas.
As políticas de acesso condicional realmente são extremamente importantes para a garantia de segurança no ambiente em nuvem pública, então espero que este artigo tenha agregado valor à sua jornada e acima de tudo, tenha permitido que você reforçasse a segurança do seu perímetro.
Até logo!