Compartilhar via

Introdução ao Guia de implantação da solução Security Service Edge (SSE) da Microsoft para prova de conceito

  • Artigo

Este guia de implantação de PoC (prova de conceito) ajuda você a implantar a solução de SSE (Borda de Serviço de Segurança) da Microsoft que apresenta o Acesso à Internet do Microsoft Entra, o Acesso à Internet do Microsoft Entra para o Tráfego da Microsoft e o Acesso privado do Microsoft Entra.

Visão geral

A solução Security Service Edge centrada em identidade da Microsoft converge controles de acesso de rede, identidade e ponto de extremidade para que você possa proteger o acesso a qualquer aplicativo ou recurso, de qualquer local, dispositivo ou identidade. Ela habilita e orquestra o gerenciamento de políticas de acesso para funcionários, parceiros de negócios e cargas de trabalho digitais. Você pode monitorar e ajustar continuamente o acesso do usuário em tempo real se as permissões ou o nível de risco mudarem em seus aplicativos privados, aplicativos SaaS e pontos de extremidade da Microsoft.

Benefícios do recurso

Com o aumento contínuo de uma força de trabalho híbrida e moderna, é importante reconhecer e adotar novas formas de implementar a segurança. Redes corporativas tradicionais tensas e desafiadas resultam em maiores riscos de segurança e má experiência do usuário. As abordagens herdadas apresentam importantes desafios:

  • controles de segurança inconsistentes e ineficientes
  • lacunas de segurança de soluções e políticas isoladas
  • maiores complexidades operacionais e custos
  • recursos e habilidades técnicas limitados

A solução Microsoft Security Service Edge ajuda a proteger todos os estágios da comunicação digital. Ela aproveita a vasta rede global da Microsoft para minimizar a latência e aumentar a produtividade dos funcionários com acesso rápido e contínuo a aplicativos e recursos.

Baseada nos princípios de confiança zero, esta solução de SSE fácil de implantar protege contra ameaças com serviços de segurança abrangentes fornecidos pela nuvem: ZTNA (Zero Trust Network Access), gateway da Web seguro (SWG), agente de segurança de acesso à nuvem (CASB) e integrações profundas em todo o ecossistema de segurança da Microsoft. Os controles de acesso unificados de identidade e rede ajudam a gerenciar facilmente políticas de acesso granulares em um só lugar para eliminar lacunas nas defesas e reduzir a complexidade operacional.

A arquitetura unificada de confiança zero e mecanismo de política simplificam o controle de acesso e o gerenciamento de tecnologia para diretório, logon único (SSO), federação, RBAC (controle de acesso baseado em função) e proxy. Para impor o acesso aos seus dados, aplique consistentemente uma política centralizada em recursos corporativos, como identidade, dados, rede e infraestrutura, e em aplicativos na nuvem, locais, Internet das Coisas (IoT) e tecnologia operacional (OT).

  • Imponha controles de acesso adaptáveis unificados. Elimine lacunas em suas defesas e proteja o acesso de ponta a ponta estendendo o Acesso Condicional do Microsoft Entra e a avaliação contínua de acesso (CAE) a qualquer aplicativo, recurso ou outro destino de rede. ​
  • Simplifique a segurança de acesso à rede. Minimize o risco de ameaças e escape da complexidade e do custo das ferramentas de segurança de rede independentes tradicionais com serviços de segurança abrangentes, simples de implantar e fornecidos na nuvem.
  • Proporcione uma ótima experiência do usuário em qualquer lugar e aumente a produtividade do trabalho híbrido. Forneça acesso rápido e contínuo por meio de uma edge de rede segura distribuída globalmente com pontos de presença (PoP) mais próximos do usuário. Elimine hops extras para otimizar o roteamento de tráfego para aplicativos e recursos locais, entre nuvens e em qualquer lugar intermediário.
  • Malha integrada. Os controles de identidade e acesso à rede convergentes protegem o acesso a todos os aplicativos e recursos. ​

Recursos da solução Security Service Edge (SSE) da Microsoft

O Acesso à Internet do Microsoft Entra ajuda você a proteger o acesso a todos os aplicativos e recursos da Internet, SaaS e Microsoft, protegendo sua organização contra ameaças à Internet, tráfego de rede mal-intencionado e conteúdo inseguro ou não compatível. O Acesso à Internet do Microsoft Entra unifica os controles de acesso em uma única política para fechar lacunas de segurança e minimizar o risco de ameaças cibernéticas. Ele simplifica e moderniza a segurança de rede tradicional para proteger usuários, aplicativos e recursos. Os recursos avançados incluem controles de acesso universal, restrição universal de locatário, proteção de token, filtragem de conteúdo da Web, firewall na nuvem, proteção contra ameaças e inspeção TLS (Transport Layer Security).

Acesso à Internet do Microsoft Entra parao tráfego da Microsoft apresenta acesso adaptável, controles robustos de exfiltração de dados e proteção contra roubo de token. A resiliência por meio de túneis redundantes fornece segurança avançada e visibilidade granular para os serviços da Microsoft, o aplicativo de produtividade mais amplamente adotado no mundo. Escolha o que funciona melhor para sua organização com opções de implantação flexíveis: uma solução SSE completa da Microsoft ou uma implantação lado a lado com outras soluções SSE. Por exemplo, é possível implantar o Acesso à Internet do Microsoft Entra para o Tráfego da Microsoft para obter segurança exclusiva, visibilidade e acesso otimizado para aplicativos da Microsoft, mantendo sua solução de SSE existente para outros recursos. O Acesso à Internet do Microsoft Entra para o Tráfego da Microsoft oferece cenários que aprimoram a segurança e melhoram sua arquitetura de Confiança Zero e a experiência do usuário final.

  • Proteja-se contra a exfiltração dos dados implantando restrições de locatário v2 e impondo o local de rede compatível com acesso condicional (consulte Cenário de PoC de exemplo: proteja-se contra exfiltração de dados).
  • Restaure o endereço IP de origem a partir do IP de saída original para aprimorar os logs de segurança, manter a compatibilidade com localizações nomeadas configuradas no acesso condicional e manter as detecções de risco relacionadas ao local de proteção de identidade (consulte Cenário de PoC de exemplo: restauração do endereço IP de origem).

O Microsoft Entra Private Access ajuda você a proteger o acesso a aplicativos e recursos privados para usuários em qualquer lugar com o ZTNA. Baseado nos princípios de confiança zero, o Acesso Privado do Microsoft Entra elimina o risco e a complexidade operacional das redes virtuais privadas (VPN) herdadas e aumenta a produtividade do usuário. Substitua VPNs herdadas por ZTNA para minimizar o risco de confiança implícita e movimentação lateral. Conecte com rapidez e segurança usuários remotos a partir de qualquer dispositivo e qualquer rede a aplicativos privados: locais, entre nuvens e intermediários. Elimine o acesso excessivo e interrompa o movimento de ameaças laterais com a descoberta automática de aplicativos, integração fácil, controle de acesso adaptável por aplicativo, segmentação granular de aplicativos e acesso local inteligente.

Prepare para seu projeto de prova de conceito

O sucesso do projeto de tecnologia depende do gerenciamento de expectativas, resultados e responsabilidades. Siga as orientações desta seção para garantir os melhores resultados do seu projeto de Prova de Conceito (PoC).

Identificar stakeholders

Ao iniciar seus planos de implantação, inclua os principais stakeholders. Identifique e documente stakeholders, funções, responsabilidades. Títulos e funções podem ser diferentes de uma organização para outra, no entanto, as áreas de propriedade são semelhantes.

Função Responsabilidade
Responsável Um líder sênior da empresa com autoridade para aprovar e/ou atribuir orçamento e recursos. Conexão entre os gerentes e a equipe executiva. Tomador de decisões técnicas para implementação de produtos e recursos.
Usuário final As pessoas para as quais você implementou o serviço. Os usuários podem participar de um programa piloto.
Gerente de suporte de TI Fornece informações sobre a possibilidade de suporte das alterações propostas.
Arquiteto de identidades Define como a alteração se alinha à infraestrutura de gerenciamento de identidades. Compreende o ambiente atual.
Proprietário de negócios do aplicativo Possui os aplicativos afetados, que podem incluir o gerenciamento de acesso. Fornece informações sobre a experiência do usuário.
Proprietário de segurança Confirma que o plano de alteração atende aos requisitos de segurança.
Gerenciador de conformidade Garante a conformidade com requisitos corporativos, do setor ou governamentais.
Gerente técnico de programa Supervisiona o projeto, gerencia requisitos, coordena fluxos de trabalho e garante a aderência ao cronograma e orçamento. Facilita o plano de comunicação e a geração de relatórios.
Administrador de locatários Proprietários de TI e recursos técnicos responsáveis pelas alterações de locatário do Microsoft Entra durante todas as fases.

Criar um gráfico RACI

O acrônimo RACI refere-se às principais responsabilidades: responsável, acreditado, consultado e informado. Para o seu projeto e para projetos e processos multifuncionais ou departamentais, defina e esclareça as responsabilidades em um gráfico RACI.

Planejar comunicações

Comunique-se de forma proativa e regular com os usuários sobre alterações pendentes e atuais. Informe-os sobre como e quando a experiência muda. Forneça a eles um contato de suporte. Gerencie as comunicações internas e as expectativas dentro de sua equipe e da liderança de acordo com seu gráfico RACI.

Estabeleça cronogramas

Defina expectativas realistas e fazer planos de contingência para atender aos principais marcos:

  • Prova de conceito
  • Data do piloto
  • Data de lançamento
  • Datas que afetam a entrega
  • Dependências

Para a prova de conceito neste guia, você precisa de cerca de seis horas. Planeje esses estágios que se vinculam às seções correspondentes para obter detalhes:

  • Configurar pré-requisitos: 1 hora
  • Configurar o produto inicial: 20 minutos
  • Configurar rede remota: 1 a 2 horas
  • Implantar e testar o Acesso à Internet do Microsoft Entra para o Tráfego da Microsoft: 1 hora
  • Implantar e testar o Acesso Privado do Microsoft Entra: 1 hora
  • Fechar a prova de conceito: 30 minutos
  • Compartilhar seu feedback com a Microsoft: 30 minutos

Obter permissões

Os administradores que interagem com os recursos do Acesso Global Seguro exigem as funções Administrador Global de Acesso Seguro e Administrador de Aplicativos.

As restrições de locatário universal requerem a função de Administrador de acesso condicional ou Administrador da Segurança para criar e interagir com políticas de acesso condicional e localizações nomeadas. Alguns recursos também podem exigir outras funções.

Configurar os pré-requisitos

Para implantar e testar com êxito o Security Service Edge (SSE) da Microsoft, configure os seguintes pré-requisitos:

  1. Locatário do Microsoft Entra com licença Microsoft Entra ID P1. Você pode adquirir licenças ou obter licenças de avaliação.
    1. Um usuário com pelo menos as funções administrador global de acesso seguro e administrador de aplicativos para configurar os recursos do Security Service Edge (SSE) da Microsoft.
    2. Pelo menos um usuário ou grupo que funcione como o usuário de teste de cliente em seu locatário.
    3. Um grupo do Microsoft 365 chamado Permitido e outro chamado Bloqueado, ambos contendo o usuário de teste.
    4. Um usuário de teste em um locatário estrangeiro para testar as restrições do locatário.
  2. Um dispositivo cliente Windows com a seguinte configuração:
    1. Versão de 64 bits do Windows 10/11.
    2. Microsoft Entra ingressado ou híbrido juntou.
    3. Conectado à Internet e sem acesso a corpnet ou VPN.
  3. Baixe e instale o Cliente de Acesso Global Seguro no dispositivo cliente. O artigo Cliente do Acesso Global Seguro para Windows ajuda a entender os pré-requisitos e a instalação.
  4. Para testar o Acesso Privado do Microsoft Entra, um servidor Windows que funcione como o servidor de aplicativos com a seguinte configuração:
    1. Windows Server 2012 R2 ou posterior.
    2. Um aplicativo de teste hospedado no servidor de aplicativos. Este guia usa o protocolo RDP e o acesso a um compartilhamento de arquivos como exemplos.
  5. Para testar o Acesso Privado do Microsoft Entra, um servidor Windows que funcione como o servidor de conector com a seguinte configuração:
    1. Windows Server 2012 R2 ou posterior.
    2. Conectividade de rede com o serviço Microsoft Entra.
    3. Portas 80 e 443 abertas para o tráfego de saída.
    4. Permitir acesso aos URLs necessários.
  6. Estabeleça conectividade entre o servidor conector e o servidor de aplicativos. Confirme se você pode acessar seu aplicativo de teste no servidor de aplicativos (por exemplo, conexão RDP bem-sucedida e acesso ao compartilhamento de arquivos).

O diagrama a seguir ilustra os requisitos mínimos de arquitetura para implantar e testar o Acesso Privado do Microsoft Entra.

Diagrama que mostra os componentes mínimos de arquitetura necessários para o locatário do Microsoft Entra.

Configure o produto inicial

Siga as etapas nesta seção para configurar o SSE por meio do centro de administração do Microsoft Entra e instalar o Cliente do Acesso Global Seguro em seu dispositivo cliente Windows 10/11.

Configurar o Microsoft SSE por meio do centro de administração do Microsoft Entra

Ative o Microsoft SSE por meio do centro de administração do Microsoft Entra e faça as configurações iniciais que são requisitos para essa PoC.

  1. Abra o centro de administração do Microsoft Entra usando uma identidade atribuída à função Administrador de Acesso Seguro Global.

  2. Acesse Acesso Seguro>Introdução>Ativar o Acesso Global Seguro em seu locatário. Selecione Ativar para habilitar os recursos de SSE em seu locatário.

    Diagrama que mostra a página de ativação inicial da Solução de Borda do Serviço de Segurança da Microsoft.

  3. AcesseAcesso Global Seguro>Conectar>Encaminhamento de tráfego. Ative o Perfil da Microsoft, o Perfil de acesso privado e o Perfil de acesso à Internet. O encaminhamento de tráfego permite configurar o tipo de tráfego de rede para túnel por meio dos serviços da solução Security Service Edge (SSE) da Microsoft. Você configura perfis de encaminhamento de tráfego para gerenciar tipos de tráfego. O perfil de tráfego da Microsoft é para o Acesso à Internet do Microsoft Entra para o Tráfego da Microsoft. O Perfil de acesso privado é para o Microsoft Entra Private Access e o Perfil de acesso à Internet é para o Microsoft Entra Internet Access. A solução Security Service Edge (SSE) da Microsoft captura apenas o tráfego em dispositivos cliente que tenham o Cliente de Acesso Seguro Global instalado.

    Observação

    Ao habilitar o perfil de encaminhamento do acesso à Internet, você também deve habilitar o perfil de encaminhamento de tráfego da Microsoft para obter seu roteamento ideal.

    Diagrama que mostra como habilitar perfis de acesso privado e de tráfego da Microsoft.

  4. Para habilitar a restauração de IP de origem, acesse Acesso Global Seguro>Conectar>Configurações>Gerenciamento de sessão>Acesso adaptável e ative Habilitar sinalização do Acesso Global Seguro no acesso condicional. A restauração do IP de origem é necessária para as políticas de Acesso Condicional que você vai configurar como parte desta prova de conceito.

    Diagrama que mostra como habilitar políticas de Acesso Condicional para a Solução de Borda do Serviço de Segurança da Microsoft.

Instale o Acesso Global Seguro Cliente no seu dispositivo cliente Windows 10/11

O Acesso à Internet do Microsoft Entra para o Tráfego da Microsoft e o Acesso privado do Microsoft Entra usam o Cliente de Acesso Seguro Global em dispositivos Windows. Esse cliente adquire e encaminha o tráfego de rede para a solução Security Service Edge (SSE) da Microsoft.

  1. Certifique-se de que o seu dispositivo Windows está associado ao Microsoft Entra ou associado híbrido.

  2. Inicie sessão no dispositivo Windows com uma função de usuário do Microsoft Entra que tenha privilégios de administrador local.

  3. Abra o centro de administração do Microsoft Entra usando uma identidade atribuída à função Administrador de Acesso Seguro Global.

  4. Acesse Acesso Global Seguro>Conectar>Download do Cliente. Selecione Baixar cliente e conclua a instalação.

    Diagrama que mostra onde baixar o software cliente do Acesso Seguro Global.

  5. Na barra de tarefas do Windows, o Cliente de Acesso Global Seguro aparece primeiro como desconectado. Depois de alguns segundos, será solicitado que você forneça credenciais. Insira as credenciais de usuário de teste.

  6. Na barra de tarefas do Windows, passe o mouse sobre o ícone do Cliente de Acesso Global Seguro e verifique o status Conectado.

  7. Na barra de tarefas do Windows, clique com o botão direito do mouse no Cliente de Acesso Global Seguro.

  8. Selecione Diagnóstico avançado para exibir o Diagnóstico de conexão do cliente de Acesso Global Seguro. Clique em Verificação de integridade e verifique se todas as verificações mostram o status Sim.

Próximas etapas