Como aplicar o modelo Zero Trust usando Entra ID e Intune

Como aplicar o modelo Zero Trust usando Entra ID e Intune

08/02/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na implementação do modelo de segurança Zero Trust utilizando as capacidades do Microsoft Entra ID (anteriormente Azure Active Directory) e do Microsoft Intune. O modelo Zero Trust, fundamentado no princípio "nunca confiar, sempre verificar", é uma abordagem de segurança moderna que assume que nenhuma solicitação de acesso deve ser automaticamente confiável, independentemente de onde se origina ou qual recurso tenta acessar [1].

Introdução

Com a expansão do trabalho remoto, a proliferação de dispositivos pessoais e a migração para a nuvem, o perímetro de segurança tradicional das redes corporativas tornou-se obsoleto. O modelo Zero Trust surge como uma resposta a esse novo cenário, exigindo verificação explícita para cada tentativa de acesso, concedendo acesso com privilégios mínimos e assumindo sempre uma violação. Microsoft Entra ID e Microsoft Intune são componentes cruciais para a construção de uma arquitetura Zero Trust robusta, atuando na proteção de identidades e endpoints, respectivamente [2].

Este guia prático abordará os princípios do Zero Trust e demonstrará como configurar e integrar o Microsoft Entra ID e o Microsoft Intune para aplicar esses princípios. Serão fornecidas instruções passo a passo, exemplos de configurações e métodos de validação para que o leitor possa implementar e fortalecer a postura de segurança de sua organização com uma abordagem Zero Trust.

Princípios do Zero Trust

O modelo Zero Trust é construído sobre três princípios fundamentais [3]:

  1. Verificar explicitamente: Sempre autentique e autorize com base em todos os pontos de dados disponíveis, incluindo identidade do usuário, localização, integridade do dispositivo, sensibilidade do recurso e anomalias.
  2. Usar acesso com privilégios mínimos: Limite o acesso do usuário apenas ao que é necessário. Use acesso Just-In-Time (JIT) e Just-Enough Access (JEA), políticas adaptativas baseadas em risco e proteção de dados para proteger dados e produtividade.
  3. Assumir violação: Minimize o raio de explosão e segmente o acesso. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade, detectar ameaças e melhorar as defesas.

Pré-requisitos

Para implementar o modelo Zero Trust com Microsoft Entra ID e Intune, você precisará dos seguintes itens:

  1. Licenciamento: Licenças apropriadas para Microsoft Entra ID Premium P1 ou P2 (para Acesso Condicional) e Microsoft Intune (geralmente parte de pacotes Microsoft 365 E3/E5 ou EMS E3/E5) [4].
  2. Acesso Administrativo: Contas com permissões de Administrador Global, Administrador de Segurança ou Administrador de Intune nos portais do Microsoft Entra admin center (entra.microsoft.com) e Microsoft Endpoint Manager admin center (endpoint.microsoft.com).
  3. Dispositivos Registrados no Intune: Dispositivos Windows 10/11 já registrados e gerenciados pelo Microsoft Intune.
  4. Identidades no Microsoft Entra ID: Usuários e grupos sincronizados ou criados no Microsoft Entra ID.

Passo a Passo: Aplicando o Modelo Zero Trust

Vamos focar em como o Microsoft Entra ID e o Intune trabalham juntos para aplicar os princípios de Zero Trust, especialmente "Verificar explicitamente" e "Usar acesso com privilégios mínimos".

1. Fortalecendo a Identidade com Microsoft Entra ID

O Microsoft Entra ID é a espinha dorsal do Zero Trust para identidades, garantindo que apenas usuários verificados tenham acesso.

1.1. Implementar Autenticação Multifator (MFA)

A MFA é um componente fundamental do princípio "verificar explicitamente".

  1. Configurar MFA via Acesso Condicional: Conforme detalhado no Artigo 3, crie uma política de Acesso Condicional para exigir MFA para todos os usuários, ou para grupos específicos, ou para acessos de fora da rede corporativa.
    • No Microsoft Entra admin center, vá para Proteção > Acesso Condicional.
    • Crie uma nova política com as seguintes configurações:
      • Atribuições > Usuários ou cargas de trabalho de identidade: Selecione Todos os usuários (excluindo contas de emergência).
      • Recursos de nuvem ou ações: Todos os aplicativos de nuvem.
      • Conceder: Marque Exigir autenticação multifator.
      • Habilitar política: Ativado.

1.2. Habilitar o Azure AD Identity Protection

O Identity Protection detecta vulnerabilidades que afetam as identidades da sua organização, configura políticas automatizadas baseadas em risco para proteger essas identidades e investiga atividades de risco [5].

  1. No Microsoft Entra admin center, vá para Proteção > Identity Protection.
  2. Políticas de Risco de Usuário: Configure esta política para exigir MFA ou redefinição de senha para usuários com risco médio ou alto.
    • Atribuições > Usuários: Selecione Todos os usuários.
    • Condições > Risco do usuário: Selecione Médio e superior.
    • Controles > Acesso: Conceder acesso e Exigir redefinição de senha ou Exigir autenticação multifator.
    • Habilitar política: Ativado.
  3. Políticas de Risco de Entrada: Configure esta política para bloquear ou exigir MFA para entradas de risco.
    • Atribuições > Usuários: Selecione Todos os usuários.
    • Condições > Risco de entrada: Selecione Médio e superior.
    • Controles > Acesso: Conceder acesso e Exigir autenticação multifator (ou Bloquear acesso para risco alto).
    • Habilitar política: Ativado.

2. Garantindo a Integridade do Endpoint com Microsoft Intune

O Intune garante que os dispositivos que acessam recursos corporativos sejam saudáveis e compatíveis, aplicando o princípio "verificar explicitamente" ao dispositivo.

2.1. Criar Políticas de Conformidade de Dispositivo

Políticas de conformidade definem os requisitos de segurança que um dispositivo deve atender para ser considerado compatível. Dispositivos não compatíveis podem ter o acesso bloqueado ou restrito via Acesso Condicional.

  1. No Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com), vá para Segurança de endpoint > Conformidade de dispositivo > Políticas.
  2. Clique em Criar política.
  3. Plataforma: Windows 10 e posterior.
  4. Configurações de conformidade:
    • Integridade do Dispositivo: Exija BitLocker, Inicialização Segura, etc.
    • Segurança do Dispositivo: Exija antivírus (ex: Microsoft Defender Antivírus), firewall, senhas complexas, etc.
    • Propriedades do Dispositivo: Exija uma versão mínima do SO.
  5. Ações para não conformidade: Configure ações como marcar o dispositivo como não compatível imediatamente ou após um período de carência.
  6. Atribuições: Atribua a política aos grupos de dispositivos Windows relevantes.

2.2. Criar Perfis de Configuração de Dispositivo

Perfis de configuração permitem implantar configurações de segurança específicas, como configurações de firewall, configurações de segurança do Microsoft Defender e restrições de dispositivo.

  1. No Microsoft Endpoint Manager admin center, vá para Dispositivos > Windows > Perfis de configuração.
  2. Clique em Criar perfil.
  3. Plataforma: Windows 10 e posterior.
  4. Tipo de perfil: Selecione modelos como Endpoint protection para configurar o Microsoft Defender Antivírus e Firewall, ou Device restrictions para desabilitar funcionalidades específicas.
  5. Configure as definições de segurança conforme as melhores práticas de sua organização.
  6. Atribuições: Atribua o perfil aos grupos de dispositivos Windows relevantes.

3. Integrando Entra ID e Intune com Acesso Condicional

O Acesso Condicional é o motor que une as políticas de identidade (Entra ID) e de dispositivo (Intune) para impor o Zero Trust.

3.1. Criar uma Política de Acesso Condicional para Exigir Dispositivo Compatível

Esta política garantirá que apenas dispositivos que atendam aos padrões de conformidade do Intune possam acessar os aplicativos de nuvem.

  1. No Microsoft Entra admin center, vá para Proteção > Acesso Condicional.
  2. Clique em Nova política > Criar nova política.
  3. Nome: Exigir Dispositivo Compatível para Acesso.
  4. Atribuições > Usuários ou cargas de trabalho de identidade: Selecione Todos os usuários (excluindo contas de emergência).
  5. Recursos de nuvem ou ações: Todos os aplicativos de nuvem.
  6. Condições (Opcional): Você pode adicionar condições como Plataformas de dispositivo para Windows.
  7. Conceder:
    • Selecione Conceder acesso.
    • Marque Exigir que o dispositivo seja marcado como compatível.
    • Clique em Selecionar.
  8. Habilitar política: Ativado.
  9. Clique em Criar.

Validação e Teste

Validar a implementação do Zero Trust é crucial para garantir que as políticas estejam funcionando conforme o esperado.

1. Testar Acesso de um Dispositivo Compatível

  1. Em um dispositivo Windows gerenciado pelo Intune e que esteja em conformidade, tente acessar um aplicativo de nuvem (ex: portal.office.com).
  2. O acesso deve ser concedido após a autenticação do usuário (e MFA, se configurada).

2. Testar Acesso de um Dispositivo Não Compatível

  1. Em um dispositivo Windows que não esteja em conformidade (ex: desabilite o firewall, altere a versão do SO para uma não permitida pela política de conformidade do Intune, ou use um dispositivo não gerenciado).
  2. Tente acessar um aplicativo de nuvem (ex: portal.office.com).
  3. O acesso deve ser bloqueado, e o usuário deve receber uma mensagem indicando que o dispositivo não está em conformidade e não pode acessar o recurso.

3. Monitorar Relatórios de Acesso Condicional

  1. No Microsoft Entra admin center, vá para Proteção > Acesso Condicional > Relatórios.
  2. Analise os logs de entrada para ver quais políticas de Acesso Condicional foram aplicadas e o resultado (sucesso, falha, somente relatório).

Dicas de Segurança e Melhores Práticas

  • Comece Pequeno, Expanda Gradualmente: Implemente políticas Zero Trust em grupos de teste antes de expandir para toda a organização para minimizar interrupções.
  • Educação e Comunicação: Comunique claramente as mudanças aos usuários e forneça treinamento sobre como manter seus dispositivos compatíveis e como usar a MFA.
  • Monitoramento Contínuo: Monitore regularmente os relatórios de conformidade do Intune e os logs de Acesso Condicional e Identity Protection para identificar quaisquer lacunas ou anomalias.
  • Acesso com Privilégios Mínimos: Combine as políticas de Acesso Condicional com o PIM (Privileged Identity Management) para garantir que o acesso privilegiado seja Just-In-Time e Just-Enough.
  • Assuma Violação: Configure o Microsoft Defender for Endpoint para detecção avançada de ameaças em endpoints e o Microsoft Sentinel para orquestração de segurança e resposta automatizada.
  • Revisão Periódica: Revise e ajuste suas políticas Zero Trust regularmente para se adaptar às mudanças no ambiente de ameaças e nos requisitos de negócios.

Troubleshooting Comum

  • Acesso Bloqueado Inesperadamente: Verifique os logs de entrada do Acesso Condicional para identificar qual política está bloqueando o acesso. Verifique as políticas de conformidade do Intune para o dispositivo afetado.
  • Dispositivo Não Compatível: Verifique o status de conformidade do dispositivo no Intune. Pode ser que o dispositivo não tenha recebido as políticas, ou que alguma configuração esteja impedindo a conformidade (ex: antivírus desabilitado, versão do SO antiga).
  • Conflitos de Política: Revise todas as políticas de Acesso Condicional e conformidade para garantir que não haja exclusões ou inclusões conflitantes que possam levar a comportamentos inesperados.
  • Problemas de Sincronização: Certifique-se de que os dispositivos e usuários estão sincronizando corretamente com o Intune e o Azure AD, respectivamente.

Conclusão

A aplicação do modelo Zero Trust é uma estratégia de segurança essencial para proteger as organizações no cenário digital atual. Ao alavancar o Microsoft Entra ID para gerenciar identidades e o Microsoft Intune para garantir a integridade dos endpoints, as empresas podem implementar uma abordagem de segurança robusta que verifica explicitamente cada solicitação de acesso e opera com base no princípio do privilégio mínimo. A integração dessas ferramentas através do Acesso Condicional cria uma defesa adaptativa e poderosa, garantindo que apenas usuários e dispositivos confiáveis possam acessar os recursos corporativos, independentemente de sua localização. A jornada para o Zero Trust é contínua e exige monitoramento e refinamento constantes, mas os benefícios em termos de redução de riscos e fortalecimento da segurança são inestimáveis.

Referências:

[1] Microsoft Learn. O que é Zero Trust?. Disponível em: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft Learn. Zero Trust com Microsoft Intune. Disponível em: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Learn. Princípios orientadores do Zero Trust. Disponível em: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Learn. Licenciamento para Microsoft Entra ID. Disponível em: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft Learn. O que é o Identity Protection?. Disponível em: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection