Todas as organizações enfrentam dificuldades para responder às questões de segurança que surgem com o advento dos agentes de IA. Em nenhum outro domínio estas questões são mais críticas do que na infraestrutura de segurança de identidade.
Os ciberatacantes têm como alvo constante os ambientes híbridos do Active Directory, do Entra ID e do Okta, pois, se conseguirem assumir o controlo do sistema de identidades, poderão assumir o controlo de toda a rede. Sem uma infraestrutura de identidades operacional, a atividade empresarial fica paralisada, uma vez que os utilizadores deixam de poder aceder a aplicações e serviços críticos.
Este guia prático centra-se especificamente nas identidades dos agentes do Entra ID e nos ataques que as visam. Desenvolvido pela equipa de investigação da Semperis, o guia está dividido em capítulos que podem ser consultados, com o objetivo de ajudar as organizações a compreender como a Microsoft aborda as identidades humanas e não humanas no Entra ID e como as organizações podem proteger estes ativos críticos contra os autores de ameaças.
À medida que for avançando pelos capítulos, irá encontrar links e referências aos «Practice Checkpoints»— pequenos tutoriais práticos que mostram exatamente os objetos e comportamentos que estamos a discutir. Se o seu objetivo for compreender o modelo mental, sinta-se à vontade para os ler rapidamente. Se estiver a validar no seu próprio tenant, estes são a forma mais rápida de acompanhar o conteúdo. Cada ponto de verificação é autónomo e mantém uma lista atualizada de IDs (blueprint, principal, identidade do agente, utilizador do agente), para que artigos posteriores do guia possam fazer referência aos mesmos objetos.
Pronto? Vamos começar!
Índice da série
- Conheça as identidades dos agentes da Entra ID (a propósito, não são pessoas)
- A taxonomia das identidades de carga de trabalho no Entra ID: aplicações empresariais, entidades de serviço e outras formas de confusão organizada
- Compreender o Microsoft Agent ID e a Plataforma de Identidade do Agente
- Identidades dos agentes: análise aprofundada do design
- O Registo de Agentes: Não é o registo em que estás a pensar
- O que pode correr mal com as identidades dos agentes no Entra ID — e como evitar o desastre
- Ponto de verificação 1 do exercício prático: Criação do ID do agente com o MS Graph
- Ponto de verificação 2: Definição de permissões de identidade do agente
- Ponto de verificação 3: Registo de um agente — com e sem ID de agente
- Ponto de verificação 4: Verificação de tokens e reivindicações em três fluxos de autenticação
Declaração de exoneração de responsabilidade
Este guia baseia-se na documentação oficial da Microsoft, em apresentações públicas e em observações pessoais. Uma vez que as funcionalidades do Agent ID ainda se encontram em pré-visualização pública, tenha em atenção que alguns comportamentos, APIs e elementos da interface do utilizador poderão sofrer alterações ao longo do tempo.
