É fácil perceber por que as empresas estão a migrar para um modelo híbrido de gestão de identidades que promete o melhor dos dois mundos: um pouco na nuvem e um pouco no local. Num ambiente centrado no Active Directory, aproveitar a nuvem significa integrar-se com o Microsoft Entra ID (anteriormente conhecido como Azure Active Directory).
Afinal, o Entra ID foi concebido com foco em aplicações SaaS, fornecendo autenticação única e controlo de acesso. À medida que a adoção da nuvem aumenta, a capacidade de gerir o acesso local e na nuvem está a tornar-se uma necessidade empresarial. Aproveitar o Entra ID juntamente com o Active Directory (AD) ajuda a tornar a gestão híbrida de identidades uma realidade.
No entanto, como em tudo o que diz respeito às TI, continua a aplicar-se o ditado "olhar antes de saltar".
Leitura relacionada
- Segurança do Active Directory: Principais riscos e melhores práticas
- 4 razões para aumentar a capacidade de recuperação dos recursos da Entra ID
Monumental mudança com a mudança para a nuvem
Mover qualquer parte de uma operação de TI para a nuvem requer um ajuste. A autenticação do utilizador não é diferente. De um ponto de vista conceptual, as organizações precisam de considerar três questões críticas.
1. Um novo modelo de autenticação
Após 20 anos a gerir identidades de uma única forma, adicionar o Entra ID à mistura será um ajuste crítico. Passar de usar apenas AD local para estender a autenticação na nuvem requer uma mentalidade e uma abordagem diferentes. No Entra ID, não há unidades organizacionais ou florestas, nem objetos de política de grupo. Conceitos (e cicatrizes de batalha) sobre como proteger as identidades no AD não se aplicam mais no Entra ID.
Muitos administradores começam acreditando que proteger o Entra ID é semelhante a proteger o AD, o que não é verdade. E talvez já esteja a utilizar o Entra ID sem pensar muito nisso. Se a sua organização estiver a utilizar quaisquer serviços na nuvem da Microsoft, como o Office 365, então o Entra ID já está a ser utilizado em segundo plano. O Entra ID também é amplamente utilizado para se conectar a outros aplicativos SaaS que não são da Microsoft, como o Salesforce. Todos esses fatores introduzem novas considerações e opções. Por exemplo, você deve manter o AD e o Entra ID separados ou fundi-los usando o Microsoft Entra Connect? Muitos novos conceitos precisam ser compreendidos para que você possa tomar essas decisões, mantendo a segurança dos sistemas de informação.
2. A extensão do perímetro
Quando uma organização adota a nuvem, a noção do perímetro de rede tradicional deixa de existir. Para os administradores de TI que passaram as últimas duas décadas executando o AD no local, essa noção é um tremendo ajuste. Em um ambiente de identidade híbrida, as organizações agora devem estar preparadas para se protegerem contra um conjunto infinito de possíveis pontos de entrada.
3. Mudanças radicais no modelo de permissão
A mudança para o Entra ID também altera drasticamente o modelo de permissões que as organizações precisam proteger. No local, é bastante fácil controlar quem tem acesso físico aos controladores de domínio, e os pontos de entrada de gestão geral estão bem definidos e documentados. Num ambiente AD híbrido, as identidades também são agora armazenadas na nuvem, vulneráveis à exploração por qualquer pessoa que tenha acesso à Internet. De repente, os administradores estão a lidar com um modelo inerentemente aberto para conexões de acesso inicial, o que, quando combinado com o maior número de serviços, funções e permissões necessárias, tem um impacto significativo no risco.
A Microsoft tem procurado ativamente fornecer materiais educativos para preparar as empresas para as mudanças causadas pela adoção do Entra ID . No entanto, muitas organizações de TI ainda não compreendem totalmente as implicações da gestão híbrida de identidades. À medida que mais empresas adotam uma abordagem híbrida, os atacantes expandiram o seu modus operandi de acordo.
Em setembro de 2020, investigadores da Mandiant (FireEye) observaram um aumento nos incidentes envolvendo o Microsoft 365 e o Entra ID, principalmente relacionados a e-mails de phishing que tentavam induzir as vítimas a inserir as suas credenciais do Office 365 num site de phishing. Os investigadores da Mandiant também observaram que os atacantes estavam a usar um módulo do PowerShell chamado AADInternals, que permite que os atacantes passem do ambiente local para o Entra ID, criem backdoors, roubem senhas e realizem outras ações maliciosas. Essas ameaças continuarão a crescer com o aumento exponencial do interesse no Entra ID e do Office 365.
Permissões, permissões, permissões
De longe, dos três assuntos mencionados acima, o maior risco de segurança é causado pelas alterações no modelo de permissões. Há um grande número de serviços disponíveis quando as organizações migram para um ambiente de identidade híbrido. Em vez de um conjunto bem definido de grupos administrativos no Active Directory, agora você tem funções no Entra ID, que serão desconhecidas. Você pode ver esta lista de funções aqui. Cada função tem uma longa lista de permissões atribuídas. É difícil entender as permissões atribuídas a cada função apenas pela descrição, mas muitas têm um alto nível de acesso que não é aparente.
Além disso, ligar qualquer serviço SaaS ao Entra ID, que é provavelmente a razão pela qual adicionou o Entra ID à mistura, adiciona modelos de permissão que precisam ser geridos. O Microsoft Teams, por exemplo, usa integração com o SharePoint no back-end. Com configurações erradas, adicionar um convidado ao Teams pode criar uma situação em que esse novo utilizador agora tem acesso a ficheiros armazenados no SharePoint para Teams. As pessoas podem não estar cientes de que esses ficheiros agora estão disponíveis para utilizadores convidados que foram adicionados ao seu canal apenas para uma conversa rápida. Além disso, a capacidade de adicionar aplicações no Teams efetivamente estende o modelo de permissão a essas ferramentas de terceiros. Este é apenas um exemplo da matriz de questões complexas para cada serviço gerido através do Entra ID.
Na verdade, acompanhar as permissões de aplicativos de terceiros é fundamental e é uma área que é mal gerenciada na maioria das implementações do Entra ID . Essas solicitações de permissão acionarão um pop-up único que lista as permissões necessárias para o aplicativo. Essas listas podem ser longas e devem ser analisadas cuidadosamente antes da aceitação, mas raramente são.
As organizações também mpode As organizações também se podem deparar com estes dois novos cenários relacionados com as permissões que têm de ser compreendidas num contexto de segurança:
- Ferramentas de terceiros que extraem dados do Entra ID e os armazenam na sua própria base de dados. Por exemplo, uma aplicação registada no Entra ID que permite que um sistema CRM leia perfis de utilizadores ou tenha outras permissões de leitura tem, efetivamente, a capacidade de recuperar e armazenar dados para si própria. Uma vez que os dados são extraídos do Entra ID, ficam armazenados numa base de dados externa, deixando a organização dependente da estrutura de segurança da ferramenta de terceiros.
- Ferramentas de terceiros com acesso de escrita que podem fazer alterações dentro da sua ferramenta. Nesse caso, a autenticação necessária para fazer alterações no locatário é transferida do Entra ID para o que quer que seja que controla a ferramenta de terceiros. Um utilizador pode conseguir iniciar sessão na ferramenta sem autenticação multifator, porque ela não suporta o início de sessão único (SSO), operando em vez disso com a aplicação a atuar como proxy de permissão que realiza a ação em seu nome, sem algumas das verificações que normalmente seriam necessárias.
As organizações de TI devem considerar fortemente a possibilidade de restringir quem pode aprovar aplicações ou, no mínimo, tere orientações claras sobre quais as permissões que devem ser consideradas adequadas. Adoptar uma abordagem de identidade híbrida requer lidar com um modelo de permissão muito mais amplo. Para o fazer de forma eficaz, as organizações têm de estabelecer uma forte governação das aplicações que vão ser activadas e dos direitos de acesso que lhes serão concedidos.
Compreender o risco da gestão de identidades híbridas
Quer a autenticação seja feita na nuvem, no local ou em ambos, colocar a segurança em primeiro lugar é sempre uma necessidade. Embora a gestão de identidades num ambiente híbrido possa parecer tão simples quanto associar um dispositivo Windows ao Entra ID, não levar em conta as mudanças no panorama de riscos abre a porta para problemas que podem causar dores de cabeça no futuro. O conhecimento é sempre a sua primeira linha de defesa, mas a quantidade de documentação necessária para compreender totalmente a segurança no Entra ID é assustadora. Ferramentas nativas ou de terceiros que automatizam essa compreensão e reduzem a complexidade da segurança ajudarão a diminuir os riscos de segurança durante e após a implementação do seu ambiente híbrido.
