Guido Grillenmeier

A identidade é o novo perímetro de segurança. Qualquer violação neste perímetro pode permitir que utilizadores maliciosos obtenham acesso às suas aplicações, aos seus dados e às suas operações comerciais. Para as organizações que dependem do Azure Active Directory ou de um ambiente híbrido do Azure AD e do Active Directory no local para fornecer serviços de identidade, a protecção da identidade híbrida pode ser uma tarefa complexa e morosa. No entanto, é uma tarefa absolutamente vital.

Os ambientes híbridos, em especial, são propensos a erros e configurações incorrectas que deixam a porta aberta a ciberataques. E ao comprometer o Active Directory local, os atacantes podem estender o seu trabalho sujo ao Azure AD ou vice-versa. O ataque da SolarWinds é um excelente exemplo deste tipo de estratégia.

Os desafios da protecção de identidades híbridas são bastante diferentes dos encontrados em ambientes puramente locais. Se a sua infra-estrutura inclui o Azure AD - e se a sua organização utiliza o Microsoft Office 365, inclui - eis os principais problemas a evitar.

Ataques laterais a partir do AD no local

Os cibercriminosos utilizam frequentemente ataques de phishing e engenharia social para visar utilizadores vulneráveis e induzi-los a divulgar informações sensíveis, incluindo credenciais de identidade. Os ataques da SolarWinds e da Colonial Pipeline ilustram o risco. Os agentes da ameaça nestes ciberataques ganharam domínio sobre o AD no local, comprometeram a federação ADFS para forjar tokens SAML e ganharam acesso ao Azure AD.

O que pode fazer para frustrar os atacantes ao proteger a identidade híbrida

Em primeiro lugar e mais óbvio, aplicar a MFA. As credenciais de identidade roubadas são uma das ferramentas mais perigosas dos ciberataques, e a utilização dessas credenciais pode passar despercebida durante longos períodos. Nem todos os sistemas de monitorização assinalam a actividade invulgar da conta, pelo que esta camada adicional de protecção é importante.

Em segundo lugar, compreenda que a gestão moderna da identidade híbrida exige controlos de segurança adicionais para além dos disponíveis numa implementação tradicional do ADFS. A manutenção da infra-estrutura necessária para alojar o ADFS acarreta os seus próprios riscos, incluindo patches falhados, hardware desactualizado, etc.

Em vez disso, considere a autenticação de passagem do AD, que permite o uso da mesma senha para fazer logon em aplicativos locais e na nuvem. Essa abordagem usa um modelo de conexão somente de saída e autenticação baseada em certificado para delegar o processo de autenticação ao Active Directory local, fornecendo uma alternativa mais segura ao ADFS. Também pode integrar a autenticação de passagem do AD com outras medidas de segurança do Azure AD para se proteger contra infiltrações e roubos de credenciais. E pode sincronizar hashes de palavra-passe do AD para o Azure AD.

Também pode considerar o Proxy de Aplicação do Azure AD, que utiliza credenciais do Azure AD para configurar o acesso remoto seguro a aplicações alojadas no local e fornece a mesma experiência de utilizador que qualquer aplicação integrada no Azure AD.

Aumento da configuração e complexidade

A protecção de identidade híbrida complica o seu trabalho - quer seja um administrador do AD, um profissional de identidade ou um especialista em segurança. As ameaças estão em constante evolução e bloquear o acesso aos seus activos de Nível 0 - incluindo o AD e o Azure AD - é uma tarefa morosa. Mas se a negligenciar, pode facilmente dar por si a passar esse tempo a lutar para recuperar o AD de um ciberataque.

A utilização do Azure AD para autenticação de aplicações de terceiros acrescenta complexidade ao modelo de segurança. Em alguns casos, estas aplicações podem ler e armazenar dados do Azure AD, alargando o seu perímetro de risco e deixando a segurança dos dados dependente da aplicação de terceiros com a qual o Azure AD se integra.

Outro possível ponto fraco é o nível de permissões dadas às aplicações no Azure AD. Se não analisar cuidadosamente as definições de permissão antes de conceder acesso, estas aplicações podem acabar por ter mais permissões no Azure AD do que as necessárias. Este potencial descuido aumenta o risco de as aplicações fazerem alterações no inquilino do AD.

E medidas de segurança como a MFA podem não funcionar para algumas aplicações, tornando-as dependentes de quaisquer controlos de segurança que a aplicação possa fornecer.

O que pode fazer para restringir o acesso

Esta potencial lacuna de segurança exige uma governação rigorosa e auditorias periódicas das permissões de aplicações para compreender onde implementar restrições adicionais. Resolva todas as pontas soltas e certifique-se de que tem o conjunto certo de funções activadas no Azure AD, audite as definições de permissão da aplicação e reforce as configurações de segurança da aplicação, e adicione protecções como o MFA.

Além disso, avalie a forma como gere o RBAC. A atribuição de funções no Azure AD difere da gestão de acesso tradicional do AD, por isso considere cuidadosamente a forma como as funções são definidas e as permissões concedidas.

Seguir o princípio do menor privilégio é importante ao proteger a identidade híbrida. Não adicione contas que sincronizou do AD local para o Azure AD a uma função RBAC privilegiada, como Administradores Globais. Reserve essas funções altamente privilegiadas para contas nativas do Azure AD. Também pode criar Unidades Administrativas no seu inquilino do Azure AD. Esta capacidade permite-lhe restringir os objectos que os membros da equipa de TI podem gerir através de uma função RBAC específica, apoiando ainda mais o privilégio mínimo.

Configurações incorrectas e outras vulnerabilidades de segurança

As configurações incorrectas e as vulnerabilidades de segurança associadas à sua solução de gestão de identidades fornecem pontos de acesso para os ciber-atacantes. O Azure AD consiste em serviços geridos; a Microsoft gere a segurança da sua infra-estrutura subjacente na nuvem. Mas a segurança dos seus dados e a configuração do Azure AD são da sua responsabilidade.

Durante um ataque informático, os atacantes podem alterar ou eliminar utilizadores, grupos, funções, políticas de acesso condicional, etc. A menos que tenha um plano de recuperação adequado, poderá ter um impacto devastador e duradouro. Existem poucos controlos nativos para proteger os dados ou as configurações no Azure AD de serem substituídos durante um ataque.

O que pode fazer para tornar a protecção da identidade híbrida menos complicada

A reciclagem do Azure AD fornece uma funcionalidade de eliminação suave que pode ajudá-lo a restaurar utilizadores eliminados. No entanto, esta funcionalidade tem capacidades mínimas para restaurar algo para além de uma janela de 30 dias.

Outras formas de comprometimento podem ser difíceis de detectar e mitigar, especialmente se os atacantes se deslocarem lateralmente do AD local para a nuvem. Para além das medidas de segurança nativas, os líderes de TI devem explorar ferramentas com capacidades avançadas para o ajudar a rastrear ataques que se possam estender lateralmente por ambientes híbridos. As funcionalidades de rastreio de alterações e de correcção automática podem proteger contra credenciais roubadas e pessoas internas mal-intencionadas. E tenha sempre um plano de recuperação proactivo e testado para o Active Directory e o Azure AD.

Saiba mais

Para obter mais informações sobre como proteger a identidade híbrida, consulte estes recursos.