Proteja os endpoints com Zero Trust

A empresa moderna tem uma incrível diversidade de endpoints que acessam dados. Nem todos os endpoints são gerenciados ou mesmo de propriedade da organização, levando a diferentes configurações de dispositivos e níveis de patch de software. Isso cria uma superfície de ataque maciça e, se não for resolvido, o acesso a dados de trabalho de endpoints não confiáveis pode facilmente se tornar o elo mais fraco em sua estratégia de segurança Zero Trust. (Faça o download do Modelo de Maturidade Zero Trust: Zero_Trust_Vision_Paper_Final 10.28.pdf.)

A Zero Trust adere ao princípio "Nunca confie, verifique sempre". Em termos de endpoints, isso significa sempre verificar todos os endpoints. Isso inclui não apenas dispositivos de contratantes, parceiros e convidados, mas também aplicativos e dispositivos usados por funcionários para acessar dados de trabalho, independentemente da propriedade do dispositivo.

Em uma abordagem Zero Trust, as mesmas políticas de segurança são aplicadas independentemente de o dispositivo ser de propriedade corporativa ou pessoal por meio do bring your own device (BYOD); se o dispositivo é totalmente gerenciado pela TI ou se apenas os aplicativos e os dados estão protegidos. As políticas aplicam-se a todos os terminais, seja PC, Mac, smartphone, tablet, wearable ou dispositivo IoT onde quer que estejam ligados, seja a rede empresarial segura, banda larga doméstica ou Internet pública. Mais importante ainda, a integridade e a confiabilidade dos aplicativos executados nesses pontos de extremidade afetam sua postura de segurança. Você precisa evitar que dados corporativos vazem para aplicativos ou serviços não confiáveis ou desconhecidos, acidentalmente ou com intenção maliciosa.

Existem algumas regras importantes para proteger dispositivos e pontos de extremidade em um modelo Zero Trust: As políticas de segurança Zero Trust são aplicadas centralmente através da nuvem e abrangem a segurança do ponto final, a configuração do dispositivo, a proteção do aplicativo, a conformidade do dispositivo e a postura de risco.

• A plataforma, bem como os aplicativos que são executados nos dispositivos, são provisionados com segurança, configurados corretamente e mantidos atualizados.
• Há uma resposta automatizada e rápida para conter o acesso aos dados corporativos dentro dos aplicativos em caso de comprometimento da segurança.
• O sistema de controle de acesso garante que todos os controles de política estejam em vigor antes que os dados sejam acessados.

Objetivos de implantação do Zero Trust para proteger endpoints

Antes de a maioria das organizações iniciar a jornada do Zero Trust, a segurança do endpoint é configurada da seguinte forma:

• Os pontos de extremidade ingressam no domínio e são gerenciados com soluções como Objetos de Política de Grupo ou Gerenciador de Configurações. Essas são ótimas opções, mas não aproveitam os CSPs (Provedores de Serviços de Configuração do Windows ) modernos ou exigem um dispositivo de gateway de gerenciamento de nuvem separado para atender dispositivos baseados em nuvem.
• Os endpoints devem estar em uma rede corporativa para acessar dados. Isso pode significar que os dispositivos precisam estar fisicamente no local para acessar a rede corporativa ou que exigem acesso VPN, o que aumenta o risco de que um dispositivo comprometido possa acessar recursos corporativos confidenciais.

Ao implementar uma abordagem completa de Zero Trust para proteger dispositivos, recomendamos que se concentre primeiro nos três objetivos iniciais de implementação. Depois de concluídos, concentre-se no quarto objetivo:

1. Os endpoints são registrados com provedores de identidade em nuvem. Para monitorizar a segurança e o risco em vários pontos de extremidade usados por qualquer pessoa, é necessário ter visibilidade para todos os dispositivos e pontos de ligação que possam ter acesso aos seus recursos. Em dispositivos registrados, você pode impor uma linha de base de segurança que também forneça aos usuários um método biométrico ou baseado em PIN para autenticação para ajudar a eliminar a dependência de senhas.

2. O acesso só é concedido a terminais e aplicações geridos na nuvem e em conformidade. Defina regras de conformidade para garantir que os dispositivos atendam aos requisitos mínimos de segurança antes que o acesso seja concedido. Além disso, crie regras de correção e notificações para dispositivos não compatíveis para que as pessoas saibam como resolver problemas de conformidade.

3. As políticas de prevenção contra perda de dados (DLP) são aplicadas para dispositivos corporativos e BYOD. Controle o que o usuário pode fazer com os dados depois de ter acesso. Por exemplo, restrinja o salvamento de arquivos em locais não confiáveis (como um disco local) ou restrinja o compartilhamento de copiar e colar com um aplicativo de comunicação com o consumidor ou aplicativo de bate-papo para proteger dados.

4. A deteção de ameaças no endpoint é utilizada para monitorizar o risco dos dispositivos. Procure uma única solução de painel de vidro para gerenciar todos os endpoints de forma consistente. Utilize uma solução de gestão de eventos e informações de segurança (SIEM) para rotear registos de endpoints e transações de forma que receba menos alertas, mas alertas acionáveis.

Como tarefa final, examine os princípios do Zero Trust para IoT e redes de tecnologia operacional.

Guia de implantação do Endpoint Zero Trust

Este guia orienta você pelas etapas necessárias para proteger seus dispositivos seguindo os princípios de uma estrutura de segurança Zero Trust.

1. Registre pontos de extremidade com um provedor de identidade na nuvem

Para ajudar a limitar a exposição ao risco, monitore os pontos de extremidade para garantir que cada um tenha uma identidade confiável, que os principais requisitos de segurança sejam aplicados e que o nível de risco para itens como malware ou exfiltração de dados tenha sido medido, corrigido ou considerado aceitável.

Depois que um dispositivo se registra, os usuários podem acessar os recursos restritos da sua organização usando seu nome de usuário e senha corporativos para entrar. Quando disponível, aumente a segurança através do uso de recursos como o Windows Hello for Business.

Registrar dispositivos corporativos com o Microsoft Entra ID

Faça com que os dispositivos Windows que são usados para aceder aos dados das suas organizações ingressem e se registem junto do Entra ID através de um dos seguintes caminhos:

• Experiência pronta para uso do Windows – Usar a experiência pronta para uso (OOBE) para unir dispositivos Windows ao Microsoft Entra ID simplifica a configuração, garantindo que os dispositivos estejam prontos para acesso seguro aos recursos organizacionais imediatamente. Para obter orientação, consulte Microsoft Entra associar um novo dispositivo Windows.

• Dispositivos Windows provisionados anteriormente – Os usuários de um dispositivo de trabalho do Windows provisionado anteriormente podem usar sua conta corporativa ou escolar para registrá-lo com o Microsoft Entra ID. Consulte Adicionar a sua conta escolar ou profissional a um dispositivo Windows.

• Registar um dispositivo pessoal - Os utilizadores podem registar os seus dispositivos Windows pessoais com o Microsoft Entra ID. Consulte Registar o seu dispositivo pessoal na sua rede escolar ou profissional.

Para dispositivos corporativos, você pode usar os seguintes métodos específicos da plataforma para provisionar novos sistemas operacionais e registrar dispositivos com o Microsoft Entra ID:

• Windows – O Windows Autopilot é uma coleção de tecnologias usadas para configurar e pré-configurar novos dispositivos, preparando-os para uso produtivo. Consulte Visão geral do Windows Autopilot.

• iOS/iPadOS - Os dispositivos empresariais adquiridos através do Apple Business Manager ou do Apple School Manager podem ser inscritos no Intune através do registo automatizado de dispositivos. Consulte Configurar o registro automatizado de dispositivos.

Melhore a segurança da autenticação com o Windows Hello for Business

Para permitir aos utilizadores um método de início de sessão alternativo que substitua a utilização de palavras-passe por autenticação forte de dois fatores nos dispositivos e imponha regras para a utilização de PINs, chaves de segurança para início de sessão e muito mais, ative o Windows Hello para Empresas nos dispositivos Windows dos utilizadores.

O Microsoft Intune suporta dois métodos complementares para aplicar e impor as definições do Windows Hello para Empresas:

• Na adesão do dispositivo com a política abrangente do locatário – Use este método para aplicar uma política padrão do Windows Hello for Business a cada dispositivo Windows ao inscrever-se no Intune. Esta política ajuda a garantir que cada novo dispositivo Windows que ingressa na sua organização seja mantido nos mesmos padrões de configuração inicial para requisitos de PIN, autenticação de dois fatores e muito mais.

  Para obter mais informações e orientações de configuração, consulte Windows Hello em registro de dispositivo na documentação do Intune.

• Após o registro com perfis de proteção de conta – Os perfis de proteção de conta permitem que você aplique configurações específicas do Windows Hello for Business a diferentes grupos em sua organização depois que eles se registrarem no Intune. Se houver um conflito entre o perfil de proteção de conta e o perfil de todo o locatário, o perfil de proteção de conta terá precedência. Isso permite que sejam feitos ajustes para diferentes grupos com base em suas necessidades.

  Os perfis de proteção de conta do Intune são um tipo de perfil para o tipo de política de Proteção de Conta, que, por sua vez, é um tipo de política de segurança de terminal do Intune. Para obter orientação sobre como configurar esse perfil, consulte Criar uma política de segurança de ponto de extremidade e escolha o tipo de política de proteção de conta, seguido pelo tipo de perfil de proteção de conta.

2. Limite o acesso a endpoints e aplicativos gerenciados e compatíveis com a nuvem

Com identidades para pontos de extremidade que se juntam à sua organização estabelecidos e requisitos de autenticação aprimorados em vigor, certifique-se de que esses pontos de extremidade atendam às expectativas de segurança da sua organização antes de serem usados para acessar os dados e recursos da sua organização.

Para bloquear o acesso, use as políticas de conformidade de dispositivo do Intune, que funcionam com o Acesso Condicional do Microsoft Entra para garantir que apenas os dispositivos que atualmente estão em conformidade com seus requisitos de segurança possam ser usados por seus usuários autenticados para acessar recursos. Uma parte importante das políticas de conformidade são as notificações de correção e as regras que ajudam os usuários a trazer um dispositivo não compatível de volta à conformidade.

Criar uma política de conformidade com o Microsoft Intune

As políticas de conformidade do Microsoft Intune são conjuntos de regras e condições que você usa para avaliar a configuração de seus dispositivos gerenciados. Essas políticas podem ajudá-lo a proteger dados e recursos organizacionais de dispositivos que não atendem a esses requisitos de configuração. Os dispositivos gerenciados devem satisfazer as condições definidas em suas políticas para serem considerados compatíveis pelo Intune.

A conformidade do dispositivo do Intune tem duas partes que funcionam em conjunto:

• As configurações de política de conformidade são um único conjunto de configurações que se aplicam a todo o locatário para fornecer uma política de conformidade interna que cada dispositivo recebe. As configurações da política de conformidade estabelecem como a política de conformidade funciona em seu ambiente, incluindo como lidar com dispositivos aos quais não é atribuída uma política explícita de conformidade de dispositivos.

  Para definir essas configurações em todo o locatário, consulte Configurações de política de conformidade.

• As políticas de conformidade de dispositivos são conjuntos discretos de regras e configurações específicas da plataforma que você implanta em grupos de usuários ou dispositivos. Os dispositivos avaliam as regras da política para informar sobre seu status de conformidade. Um status de não conformidade pode resultar em uma ou mais ações por não conformidade. As políticas de Acesso Condicional do Microsoft Entra também podem usar esse status para bloquear o acesso a recursos organizacionais desse dispositivo.

  Para configurar grupos com políticas de conformidade de dispositivos, consulte Criar uma política de conformidade no Microsoft Intune. Para obter exemplos de níveis crescentes de configurações de conformidade que você pode usar, consulte Plano de políticas de conformidade do Intune.

Estabeleça ações e notificações voltadas para o usuário para dispositivos não compatíveis

Cada política de conformidade do Intune inclui Ações para não conformidade. As ações se aplicam quando um dispositivo não atende à configuração de política de conformidade atribuída. Tanto o Intune quanto o Acesso Condicional leem o status de um dispositivo para ajudar a determinar etapas adicionais que você pode configurar ou bloquear o acesso aos recursos da organização a partir desse dispositivo enquanto ele permanecer não compatível.

Você configura Ações para não conformidade como parte de cada política de conformidade de dispositivo criada.

As ações por não conformidade incluem, entre outras, as seguintes opções, com diferentes opções disponíveis para diferentes plataformas:

• Marcar o dispositivo como não compatível
• Enviar um e-mail pré-configurado para o usuário do dispositivo
• Bloquear remotamente o dispositivo
• Enviar uma notificação por push pré-configurada para o usuário

Para saber mais sobre as ações disponíveis, como adicioná-las a políticas e como pré-configurar emails e notificações, consulte Configurar ações para dispositivos não compatíveis no Intune.

3. Implante políticas que imponham a prevenção contra perda de dados (DLP) para dispositivos corporativos e BYOD

Depois que o acesso aos dados é concedido, você deseja controlar o que o usuário pode fazer com os dados e como eles são armazenados. Por exemplo, se um usuário acessar um documento com sua identidade corporativa, você deseja impedir que esse documento seja salvo em um local de armazenamento do consumidor desprotegido ou que seja compartilhado com um aplicativo de comunicação ou bate-papo do consumidor.

Aplicar configurações de segurança recomendadas

As linhas de base de segurança podem ajudar a estabelecer uma linha de base ampla e consistente de configurações seguras que ajudam a proteger usuários, dispositivos e dados. As linhas de base de Segurança do Intune são grupos pré-configurados de definições do Windows que o ajudam a aplicar um grupo conhecido de definições e valores predefinidos recomendados pelas equipas de segurança relevantes. Você pode usar essas linhas de base com suas configurações padrão ou editá-las para criar instâncias personalizadas que atendam às variadas necessidades de diferentes grupos em sua organização.

Consulte Usar linhas de base de segurança para ajudar a proteger dispositivos Windows que você gerencia com o Microsoft Intune.

Implantar atualizações automaticamente em dispositivos finais

Para manter os dispositivos gerenciados em conformidade com as ameaças de segurança em evolução, use as políticas do Intune que podem automatizar implantações de atualização:

• Atualizações do Windows para Empresas – Pode utilizar as políticas do Intune para as Atualizações do Windows para Empresas para instalar automaticamente atualizações do Windows nos seus dispositivos. As políticas podem automatizar quando as atualizações são instaladas e o tipo de atualizações, incluindo a versão do Windows, as atualizações de segurança mais recentes e os novos drivers. Para começar, consulte Gerir atualizações de software do Windows 10 e Windows 11 no Intune.

• Atualizações do Android Enterprise – O Intune suporta atualizações automáticas over-the-air para o sistema operativo e firmware para dispositivos Zebra Android através de uma integração de parceiros.

• iOS/iPadOS - As políticas do Intune podem instalar automaticamente atualizações em dispositivos iOS/iPad inscritos como um dispositivo supervisionado através de uma das opções de Automated Device Enrollment (ADE) da Apple. Para configurar uma política de atualização do iOS, consulte Gerir políticas de atualização de software iOS/iPadOS no Intune.

Criptografar dispositivos

Use as seguintes opções específicas da plataforma para criptografar dados corporativos em repouso nos dispositivos:

• MacOS - Para configurar a encriptação total do disco no macOS, utilize a encriptação de disco FileVault para macOS com o Intune.

• Windows – Para dispositivos Windows, gerencie a política de criptografia de disco para dispositivos Windows com o Intune. A política do Intune pode impor o BitLocker para volumes e discos e a Encriptação de Dados Pessoais que fornece capacidades de encriptação de dados baseadas em ficheiros associadas às credenciais de um utilizador.

Proteja os dados corporativos no nível do aplicativo com políticas de proteção de aplicativos

Para manter os seus dados empresariais seguros em aplicações geridas, utilize as políticas de proteção de aplicações do Intune. As políticas de proteção de aplicações do Intune ajudam a proteger os dados da sua organização controlando a forma como são acedidos e partilhados. Por exemplo, essas políticas podem impedir que os usuários copiem e colem dados corporativos em aplicativos pessoais ou exijam um PIN para acessar o e-mail corporativo.

Para começar a criar e usar essas políticas, consulte Como criar e atribuir políticas de proteção de aplicativos. Para obter alguns exemplos de três níveis crescentes de configurações de segurança que você pode usar, consulte a estrutura de proteção de dados do Intune para a política de proteção de aplicativos.

4. Monitore o risco do dispositivo com a deteção de ameaças no dispositivo final

Depois de atingir os três primeiros objetivos, configure a segurança do endpoint em dispositivos e comece a monitorar ameaças emergentes para que você possa corrigi-las antes que se tornem um problema maior.

A seguir estão algumas das soluções da Microsoft que você pode usar e combinar:

• Microsoft Defender com o Microsoft Intune - Quando integra o Microsoft Defender for Endpoint com o Intune, pode utilizar o centro de administração do Intune para configurar o Defender for Endpoint em dispositivos geridos pelo Intune, ver dados de ameaças e recomendações do Defender e, em seguida, agir para corrigir esses problemas. Também pode utilizar o cenário de gestão de definições de segurança do Defender for Endpoint que permite a utilização da política do Intune para gerir configurações para o Defender em dispositivos que não estão inscritos no Intune.

• Microsoft Sentinel – O Microsoft Sentinel é uma solução de gerenciamento de eventos e informações de segurança (SIEM) nativa da nuvem que ajuda você a descobrir e responder rapidamente a ameaças sofisticadas.

Com o Intune Data warehouse, pode enviar dados de gestão de dispositivos e aplicações para ferramentas de relatórios para filtragem inteligente de alertas para reduzir o ruído. As opções incluem, mas não estão limitadas a, conexão ao Data Warehouse com o Power BI e uso de soluções SIEM por meio do uso de um cliente personalizado OData.

Zero Trust e as suas redes OT

O Microsoft Defender for IoT é uma solução de segurança unificada criada especificamente para identificar dispositivos, vulnerabilidades e ameaças em redes de IoT e tecnologia operacional (OT). Use o Defender for IoT para aplicar segurança em todo o seu ambiente IoT/OT, incluindo dispositivos existentes que podem não ter agentes de segurança integrados.

As redes OT geralmente diferem da infraestrutura de TI tradicional e precisam de uma abordagem especializada para o Zero Trust. Os sistemas OT usam tecnologia exclusiva com protocolos proprietários e podem incluir plataformas antigas com conectividade e potência limitadas, requisitos de segurança específicos e exposições exclusivas a ataques físicos.

O Defender for IoT suporta os princípios do Zero Trust ao abordar desafios específicos de OT, como:

• Ajudamo-lo a controlar ligações remotas nos seus sistemas OT.
• Rever e ajudá-lo a reduzir as interconexões entre sistemas dependentes.
• Encontrar pontos únicos de falha na sua rede.

Implante sensores de rede do Defender for IoT para detetar dispositivos e tráfego e observe vulnerabilidades específicas de OT. Segmente seus sensores em sites e zonas em toda a sua rede para monitorar o tráfego entre zonas e siga as etapas de mitigação baseadas em risco do Defender for IoT para reduzir o risco em seu ambiente de OT. Em seguida, o Defender for IoT monitoriza continuamente os seus dispositivos em busca de comportamentos anómalos ou não autorizados.

Integre-se com serviços da Microsoft, como o Microsoft Sentinel e outros serviços de parceiros, incluindo sistemas SIEM e de emissão de tíquetes, para compartilhar dados do Defender for IoT em toda a sua organização.

Para obter mais informações, consulte:

• Zero Trust e as suas redes OT
• Monitorize as suas redes OT com os princípios Zero Trust
• Investigue incidentes do Defender para IoT com o Microsoft Sentinel

Produtos abrangidos por este guia

Microsoft Azure

Microsoft Entra ID

Sentinela da Microsoft

O Microsoft 365

Microsoft Intune

Microsoft Defender para Ponto de Extremidade

Microsoft Defender para IoT

Microsoft Intune

Conclusão

Uma abordagem Zero Trust pode fortalecer significativamente a postura de segurança de seus dispositivos e endpoints. Para obter mais informações ou ajuda com a implementação, entre em contato com sua equipe de Customer Success ou continue a ler os outros capítulos deste guia que abrange todos os pilares do Zero Trust.

Saiba mais sobre como implementar uma estratégia Zero Trust de ponta a ponta para:

• Identidade
• Dados

Série de guias de implementação da Zero Trust