PADRÕES DE SEGURANÇA RELACIONADO AS AQUISIÇÕES FEITAS NO MODELO MICROSOFT CSP ATRAVÉS DA SND.
MFA – Padrões de segurança
Pode ser difícil fazer o gerenciamento da segurança quando estão mais populares os ataques comuns relacionados à identidade. Com os padrões de segurança, fica mais fácil proteger sua organização contra esses ataques devido a configurações de segurança pré-definidas que:
- Exigem que todos os usuários se registrem para a Autenticação multifator do Azure AD.
- Exigem que os administradores façam a autenticação multifator.
- Bloqueiem protocolos de autenticação herdados.
- Exigem que os usuários façam a autenticação multifator quando necessário.
- Que protejam atividades privilegiadas como o acesso ao portal do Azure.
A Microsoft está disponibilizando padrões de segurança para todos. A meta é garantir que todas as organizações tenham um nível básico de segurança habilitado sem custos adicionais. A ativação dos padrões de segurança é feita no portal do Azure. Caso seu locatário tenha sido criado em 22 de outubro de 2019 ou após essa data, os padrões de segurança já podem estar habilitados em seu locatário. Para proteger todos os nossos usuários, padrões de segurança estão sendo distribuídos para todos os locatários que são criados.
Esses padrões de segurança gratuitos permitem o registro e o uso da MFA do Azure Active Directory usando apenas o aplicativo Microsoft Authenticator com notificações.
Caso sua organização seja um antigo usuário MFA do Azure Active Directory por usuário, não se assuste caso não veja usuários com um status “Habilitado” ou “Imposto” ao observar a página de status da MFA no portal de administração do Microsoft 365. “Desabilitado” é o status apropriado para os usuários que estão usando padrões de segurança.
Caso sua organização não possua os padrões de segurança habilitado, você pode habilitá-lo seguindo os passos abaixo:
- Entre no portal do Azure (portal.azure.com) como administrador de segurança, administrador de acesso condicional ou administrador global.
- Acesse “Azure Active Directory” > “Propriedades”
- Selecione “Gerenciar padrões de segurança”
- Alterne a opção “Habilitar padrões de segurança” para “Sim”
- Clique em “Salvar”
IMPORTANTE: ESTA CONFIGURAÇÃO É HABILITADA POR PADRÃO E É UMA POLÍTICA DEFINIDA PELA SND/MICROSOFT. Esta configuração não deve de forma nenhuma ser desabilitada, caso seja, é de total responsabilidade de quem realizou a desabilitação caso haja alguma invasão ou fraude dentro do ambiente por falta de segurança adicional.
Acesso de CONTRIBUIDOR nas assinaturas de Azure
Devido a recorrência de ataques a usuários que possuem acesso completo, função de Proprietário, as assinaturas de Azure, seguimos com uma medida de segurança importante para minimizar os danos causados por esses ataques.
As assinaturas de Azure são provisionadas para os seus usuários com a função de “Contribuidor”. Com isso, em caso de ataque e invasão ao seu ambiente de Azure, o atacante não conseguirá remover os acessos delegados do distribuidor e assim nos permite uma ação rápida para remoção de acessos comprometidos e uma recuperação mais eficaz dos seus acessos ao ambiente.
Diferenças entre os acessos de Proprietário e Contribuidor:
- Proprietário - Concede o acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no Azure RBAC.
- Contribuidor - Concede o acesso completo para gerenciar todos os recursos, mas não permite atribuir funções no Azure RBAC, gerenciar atribuições no Azure Blueprints nem compartilhar galerias de imagens.
Caso, em sua implementação, seja necessário a utilização da função de Proprietário, você pode abrir um ticket de suporte em https://suporte.2bc.com.br ou enviar um e-mail para suportecloud@2bc.com.br solicitando o acesso de Proprietário a assinatura. Neste caso, você receberá o termo de responsabilidade sobre o ambiente de Azure e terá que aceitar as condições.
IMPORTANTE: ESTA CONFIGURAÇÃO É HABILITADA POR PADRÃO E É UMA POLÍTICA DEFINIDA PELA SND/MICROSOFT. Esta alteração de propriedade na assinatura pode ser feita, porém da mesma forma que o MFA, é de total responsabilidade de quem realizou a solicitação caso haja alguma invasão ou fraude dentro do ambiente por falta de segurança adicional.
Abaixo informações sobre o modelo de responsabilidade compartilhada da Microsoft.
Responsabilidade compartilhada na nuvem
Conforme você considera e avalia os serviços de nuvem pública, é essencial entender o modelo de responsabilidade compartilhada e quais tarefas de segurança são tratadas pelo provedor de nuvem e quais tarefas são tratadas por você. As responsabilidades da carga de trabalho variam dependendo se a carga de trabalho está hospedada no SaaS (software como serviço), PaaS (plataforma como serviço), IaaS (infraestrutura como serviço) ou em um datacenter local.
Em um datacenter local, você tem a propriedade inteira. À medida que você faz a migração para a nuvem, algumas responsabilidades são transferidas para a Microsoft. O diagrama a seguir ilustra as áreas de responsabilidade entre você e a Microsoft, de acordo com o tipo de implantação.
Para todos os tipos de implantação de nuvem, você tem seus dados e suas identidades. Você é responsável por proteger a segurança de seus dados e identidades, dos recursos locais e dos componentes da nuvem que você controla (que varia por tipo de serviço).
Independentemente do tipo de implantação, as seguintes responsabilidades sempre são retidas por você:
- Dados
- Pontos de extremidade
- Conta
- Gerenciamento de acesso