Guia

Implementar um modelo de segurança que assume violação e requer verificação para cada solicitação.

→Adotar o modelo de segurança Zero Trust.

Por quê: Opera com base em três princípios fundamentais: Verificar explicitamente, usar acesso de menor privilégio e assumir violação. É uma abordagem estratégica, não um único produto.

Referência↗

Definir os limites de propriedade da segurança para serviços em nuvem.

→Aplicar o Modelo de Responsabilidade Compartilhada. O cliente é sempre responsável por: Informações e dados, Dispositivos (endpoints), Contas e identidades.

Por quê: A responsabilidade do provedor de nuvem aumenta de IaaS para PaaS para SaaS, mas o cliente sempre mantém a responsabilidade por seus dados e gerenciamento de acesso.

Proteger contra a falha de uma única camada de segurança.

→Implementar uma estratégia de segurança em várias camadas (Defesa em Profundidade) em todas as camadas física, de identidade, perímetro, rede, computação, aplicativo e dados.

Por quê: Uma violação em uma camada é atrasada ou contida por camadas subsequentes, reduzindo o risco geral e o impacto de um ataque.

Diferenciar entre verificar a identidade de um usuário e conceder-lhe permissões.

→Usar Autenticação (AuthN) para verificar a identidade (provar quem você diz ser). Usar Autorização (AuthZ) para determinar os direitos de acesso de uma identidade autenticada (o que você tem permissão para fazer).

Por quê: A autenticação deve sempre ocorrer antes da autorização. Um usuário pode ser autenticado, mas não autorizado a acessar um recurso específico.

Proteger a confidencialidade dos dados quando eles estão armazenados e quando estão sendo transmitidos.

→Usar Criptografia em Repouso para dados armazenados (por exemplo, em discos, em bancos de dados). Usar Criptografia em Trânsito para dados que se movem em uma rede (por exemplo, TLS/SSL).

Por quê: Protege contra diferentes vetores de ameaça. A criptografia em repouso mitiga o roubo físico de mídia de armazenamento, enquanto a criptografia em trânsito impede a interceptação.

Gerenciar identidades de usuário e acesso para recursos em nuvem e locais a partir de um único painel de controle.

→Usar Microsoft Entra ID como o provedor de identidade centralizado.

Por quê: Fornece uma única fonte de verdade para identidade, habilitando Single Sign-On (SSO), autenticação multifator (MFA) e políticas de acesso consistentes em todo o ambiente híbrido.

Impor controles de acesso dinâmicos e baseados em risco para aplicativos e dados.

→Configurar políticas de Acesso Condicional do Microsoft Entra.

Por quê: Este é o mecanismo de política Zero Trust. Ele avalia sinais (usuário, local, integridade do dispositivo, risco) para impor decisões como exigir MFA, limitar o acesso à sessão ou bloquear o acesso.

Referência↗

Minimizar os riscos de segurança associados a privilégios administrativos permanentes.

→Implementar Microsoft Entra Privileged Identity Management (PIM) para funções do Azure e Microsoft 365.

Por quê: Fornece acesso Just-In-Time (JIT), exigindo que os usuários ativem funções quando necessário. A ativação pode exigir MFA, justificativa e/ou aprovação, reduzindo drasticamente a superfície de ataque. Requer Entra ID P2.

Eliminar vetores de ataque baseados em senha, como phishing e password spray.

→Implementar métodos de autenticação sem senha, como Windows Hello for Business, chaves de segurança FIDO2 ou o aplicativo Microsoft Authenticator.

Por quê: Oferece uma alternativa mais segura e fácil de usar às senhas, contando com biometria ou chaves criptográficas vinculadas a um dispositivo físico.

Fornecer aos usuários uma única identidade para recursos locais e em nuvem.

→Sincronizar o Active Directory local com o Microsoft Entra ID usando o Microsoft Entra Connect.

Por quê: Cria uma identidade de usuário comum, permitindo Single Sign-On (SSO) contínuo e gerenciamento de acesso consistente em todo o ambiente híbrido.

Permitir que parceiros externos acessem recursos da empresa sem criar e gerenciar contas para eles.

→Usar a colaboração Microsoft Entra B2B (Business-to-Business).

Por quê: Convida usuários externos como convidados que usam suas próprias identidades corporativas ou sociais para autenticar, reduzindo a sobrecarga administrativa e os riscos de segurança.

Detectar proativamente e responder automaticamente a ameaças baseadas em identidade.

→Habilitar Microsoft Entra ID Protection.

Por quê: Usa aprendizado de máquina para detectar riscos de identidade (por exemplo, credenciais vazadas, logins de IPs anônimos). Sinais de risco podem ser usados no Acesso Condicional para acionar respostas automatizadas, como forçar a redefinição de senha ou MFA.

Permitir que aplicativos hospedados no Azure acessem outros recursos do Azure sem gerenciar credenciais no código.

→Atribuir uma Identidade Gerenciada ao recurso do Azure (por exemplo, VM, App Service).

Por quê: Elimina a necessidade de os desenvolvedores lidarem com segredos, cadeias de conexão ou certificados. O Azure gerencia automaticamente o ciclo de vida da identidade.

Reduzir a carga de trabalho do helpdesk e capacitar os usuários a resolver seus próprios bloqueios de conta ou senhas esquecidas.

→Configurar a Redefinição de Senha de Autoatendimento (SSPR) no Microsoft Entra ID.

Por quê: Permite que os usuários redefinam suas senhas com segurança após verificar sua identidade usando métodos pré-registrados (por exemplo, telefone, aplicativo autenticador, perguntas de segurança).

Validar periodicamente se o acesso do usuário a aplicativos e funções privilegiadas ainda é necessário.

→Agendar revisões de acesso recorrentes do Microsoft Entra.

Por quê: Automatiza o processo de revisão de acesso, garantindo que o princípio do menor privilégio seja mantido ao longo do tempo, removendo direitos de acesso desnecessários.

Agregar dados de segurança de toda a empresa para detecção de ameaças e automatizar a resposta a incidentes.

→Implantar Microsoft Sentinel.

Por quê: Atua como um Security Information and Event Management (SIEM) nativo da nuvem para coleta e análise de dados, e uma plataforma Security Orchestration, Automation and Response (SOAR) usando Playbooks para ações automatizadas.

Referência↗

Avaliar e fortalecer continuamente a configuração de segurança dos recursos da nuvem.

→Usar Microsoft Defender for Cloud por suas capacidades de Cloud Security Posture Management (CSPM).

Por quê: Fornece uma Pontuação de Segurança, recomendações de segurança acionáveis e rastreia a conformidade com padrões regulatórios para melhorar a postura de segurança geral.

Proteger cargas de trabalho em nuvem e híbridas, como VMs, contêineres e bancos de dados, contra ameaças avançadas.

→Habilitar os planos específicos do Defender (Cloud Workload Protection - CWP) dentro do Microsoft Defender for Cloud.

Por quê: Fornece capacidades avançadas de detecção e proteção contra ameaças específicas da carga de trabalho, como detecção de endpoint para servidores e varredura de vulnerabilidades para registros de contêineres.

Investigar e responder a ataques complexos que abrangem endpoints, e-mail, identidades e aplicativos em nuvem.

→Usar Microsoft 365 Defender.

Por quê: Fornece uma solução de Extended Detection and Response (XDR) que correlaciona alertas de vários produtos Microsoft Defender em um único incidente, oferecendo uma experiência unificada de investigação e resposta.

Proteger dispositivos de usuário (endpoints) contra malware, ransomware e outros ataques sofisticados.

→Implantar Microsoft Defender for Endpoint.

Por quê: Fornece proteção preventiva, detecção pós-violação (EDR), investigação automatizada e capacidades de resposta para proteger endpoints.

Proteger contra phishing, comprometimento de e-mail comercial e anexos maliciosos em e-mails e ferramentas de colaboração.

→Implementar Microsoft Defender for Office 365.

Por quê: Oferece recursos avançados de proteção contra ameaças, como Anexos Seguros (câmara de detonação) e Links Seguros (reescrita e varredura de URL) para serviços do Microsoft 365.

Detectar ataques direcionados à infraestrutura local do Active Directory.

→Implantar Microsoft Defender for Identity.

Por quê: Monitora sinais do AD local para detectar ameaças avançadas, identidades comprometidas e ações internas maliciosas que são frequentemente precursoras de grandes violações.

Descobrir aplicativos de nuvem não autorizados ("shadow IT") usados por funcionários e controlar o fluxo de dados para aplicativos sancionados.

→Usar Microsoft Defender for Cloud Apps.

Por quê: Funciona como um Cloud Access Security Broker (CASB) para fornecer visibilidade do uso de aplicativos em nuvem, avaliar riscos, impor políticas e proteger contra ameaças na nuvem.

Controlar o tráfego de rede entre recursos do Azure em uma rede virtual.

→Aplicar Grupos de Segurança de Rede (NSGs) a sub-redes e/ou interfaces de rede.

Por quê: Atua como um firewall de filtragem de pacotes com estado básico para permitir ou negar tráfego com base no endereço IP, porta e protocolo. É um controle de segurança de rede fundamental.

Proteger centralmente todos os recursos da rede virtual com um serviço de firewall gerenciado inteligente.

→Implantar o Azure Firewall em uma VNet hub.

Por quê: Um firewall como serviço totalmente gerenciado e nativo da nuvem que fornece filtragem baseada em inteligência de ameaças, alta disponibilidade e escalabilidade irrestrita.

Proteger aplicativos voltados para o público no Azure contra sobrecarga por ataques de Distributed Denial of Service (DDoS).

→Habilitar o Azure DDoS Protection Standard na rede virtual.

Por quê: Fornece capacidades de mitigação aprimoradas, incluindo ajuste adaptativo, análise de ataque e proteção de custos, além da proteção padrão em nível de infraestrutura.

Fornecer acesso RDP e SSH seguro a VMs do Azure sem expor portas de gerenciamento à internet pública.

→Implantar o Azure Bastion na rede virtual.

Por quê: Fornece uma conexão segura baseada em navegador para VMs através do portal do Azure sobre TLS, eliminando a necessidade de endereços IP públicos nas VMs e reduzindo a superfície de ataque.

Classificar e proteger documentos e e-mails sensíveis com base em seu conteúdo, independentemente de onde são armazenados ou enviados.

→Usar Microsoft Purview Information Protection com Rótulos de Sensibilidade.

Por quê: Os rótulos aplicam proteção persistente (criptografia, marcação de conteúdo, restrições de acesso) que acompanha os dados, garantindo que permaneçam protegidos durante todo o seu ciclo de vida.

Referência↗

Impedir que os usuários compartilhem acidentalmente ou intencionalmente informações sensíveis (por exemplo, números de cartão de crédito, PII) fora da organização.

→Configurar políticas de Microsoft Purview Data Loss Prevention (DLP).

Por quê: As políticas DLP identificam, monitoram e aplicam automaticamente ações protetoras a conteúdos sensíveis em serviços Microsoft 365, endpoints e aplicativos em nuvem.

Avaliar, gerenciar e rastrear a conformidade com regulamentações e padrões da indústria como GDPR, HIPAA e ISO 27001.

→Usar Microsoft Purview Compliance Manager.

Por quê: Fornece um painel centralizado com uma pontuação de conformidade, modelos de avaliação pré-construídos e ações de melhoria recomendadas para simplificar o gerenciamento da conformidade.

Reter automaticamente o conteúdo por um período exigido e excluí-lo quando não for mais necessário por motivos comerciais ou regulatórios.

→Implementar o Microsoft Purview Data Lifecycle Management usando políticas de retenção e rótulos de retenção.

Por quê: Impõe políticas de governança de dados em todo o Microsoft 365 para gerenciar o ciclo de vida do conteúdo, reduzir riscos e cumprir regulamentações.

Uma questão legal exige a identificação, preservação e coleta de dados eletrônicos do Microsoft 365.

→Usar Microsoft Purview eDiscovery (Standard ou Premium).

Por quê: Fornece as ferramentas para pesquisar conteúdo relevante, colocá-lo em retenção legal para evitar modificação ou exclusão e exportá-lo para revisão legal.

Detectar e investigar potenciais roubos de dados ou violações de políticas de segurança por funcionários.

→Configurar Microsoft Purview Insider Risk Management.

Por quê: Correlaciona vários sinais do Microsoft 365 para identificar atividades internas potencialmente arriscadas e fornece fluxos de trabalho para investigá-las e agir sobre elas.

Uma empresa regulamentada precisa impedir a comunicação entre departamentos específicos (por exemplo, traders e analistas) para evitar conflitos de interesse.

→Implementar Microsoft Purview Information Barriers.

Por quê: Impõe políticas que restringem a comunicação e colaboração entre grupos de usuários definidos no Microsoft Teams, SharePoint e OneDrive.

Criar um mapa abrangente e atualizado de todos os ativos de dados em ambientes locais, multinuvem e SaaS.

→Usar o Microsoft Purview Data Map e Data Catalog.

Por quê: Automatiza a descoberta de dados, classificação de dados sensíveis e rastreamento de linhagem para fornecer uma visão holística do patrimônio de dados para uma governança eficaz.

Detectar, capturar e agir sobre mensagens inadequadas (por exemplo, assédio, compartilhamento de segredos) nas comunicações da empresa.

→Implantar Microsoft Purview Communication Compliance.

Por quê: Ajuda a minimizar os riscos de comunicação usando aprendizado de máquina para detectar violações de política em e-mail, Teams e outros canais para revisão.

Garantir que os engenheiros de suporte da Microsoft não possam acessar os dados de sua organização sem sua aprovação explícita e auditável.

→Habilitar Customer Lockbox para Microsoft 365 ou Azure.

Por quê: Fornece uma interface para os clientes aprovarem ou rejeitarem solicitações de acesso a dados de engenheiros da Microsoft, dando-lhe o controle final em cenários de suporte raros.

Investigar um incidente de segurança ou problema de conformidade revisando as atividades de usuários e administradores no Microsoft 365.

→Pesquisar o log do Microsoft Purview Audit (Standard ou Premium).

Por quê: Fornece uma trilha de auditoria unificada de atividades em serviços como Exchange Online, SharePoint Online, OneDrive e Entra ID para investigação forense.