Quando se trata de serviços de nuvem como o Microsoft Entra ID (antigo Azure Active Directory), muitos supõem que a Microsoft lida com tudo, da segurança ao backup de dados. Na realidade, as organizações ainda têm suas próprias responsabilidades. O Modelo de Responsabilidade Compartilhada da Microsoft é uma estrutura fundamental que explica quais funções recaem sobre a Microsoft e quais pertencem a uma organização.
Neste blog, vamos explorar em detalhes o modelo de responsabilidade compartilhada, esclarecendo como as responsabilidades são distribuídas entre a sua organização e a Microsoft em relação aos principais componentes. Também abordaremos as principais práticas para aplicar esse modelo na estratégia de proteção de dados da Microsoft Entra ID da sua empresa, além de como a Veeam pode contribuir para cobrir possíveis lacunas.
Modelo de responsabilidade compartilhada
À medida que o setor passa a adotar soluções de software como serviço (SaaS) baseadas em nuvem em seus negócios, o conceito de responsabilidade compartilhada se tornou mais importante do que nunca. Entender até onde vai a responsabilidade da Microsoft e onde começam as obrigações da sua organização é fundamental para proteger seu locatário do Entra ID. Vamos passar por essa divisão de responsabilidades.
Responsabilidade principal
Responsabilidade da Microsoft
A função principal da Microsoft no ambiente do Entra ID está centrada na manutenção da disponibilidade e da integridade operacional da plataforma. Isso significa garantir que a infraestrutura permaneça globalmente operacional, autenticando corretamente os usuários e habilitando o acesso entre aplicativos. Como provedor de nuvem, a Microsoft gerencia hosts físicos, redes e data centers no back-end.
Sua responsabilidade
Além disso, cabe principalmente à sua organização a responsabilidade de gerenciar os ciclos de vida de identidades, as políticas de acesso e a governança. Mesmo utilizando uma plataforma em nuvem, a responsabilidade pela configuração e administração das identidades no seu ambiente continua sendo sua.
E quanto aos seus dados? Um erro frequente em relação aos aplicativos SaaS é acreditar que, por estarem na nuvem, eles já estão totalmente seguros e protegidos. Mas não é bem assim. Embora a Microsoft gerencie a plataforma que processa seus dados, a responsabilidade sobre a disponibilidade, integridade e uso adequado dos dados é da sua organização. Garantir a resiliência dos dados no Entra ID é essencial para apoiar a gestão eficiente das identidades, assegurar configurações adequadas e manter a proteção contra incidentes relacionados a dados.
Embora a Microsoft gerencie a plataforma que processa seus dados, a responsabilidade sobre a disponibilidade, integridade e uso adequado dos dados é da sua organização.
Tecnologia de suporte
Responsabilidade da Microsoft
A Microsoft preencheu a plataforma Entra ID com recursos para garantir a disponibilidade da plataforma com redundância e infraestrutura de failover. No entanto, essas tecnologias de suporte à plataforma não se estendem aos dados do Entra ID. Por exemplo: Com a redundância, as alterações do usuário são duplicadas em todas as réplicas. Isso significa que, se um erro for cometido em uma versão, ele será refletido diretamente nela.
A Microsoft também investe pesado na resiliência da plataforma Entra ID, mantendo um sistema robusto de autenticação de backup para garantir a continuidade do serviço. Essas tecnologias são eficazes para garantir a estabilidade e o bom funcionamento da plataforma. Mas quando se trata de proteger seu locatário do Entra ID, é fundamental implementar salvaguardas que permitam a continuidade dos negócios mesmo quando as coisas dão errado.
Sua responsabilidade
Embora a Microsoft forneça uma plataforma continuamente disponível para o Entra ID, sua organização está guiando o navio a partir daí. As Políticas de Acesso Condicional, as atribuições de função e outras configurações de identidade só são realmente eficazes quando são adaptadas aos requisitos de segurança da sua organização.
Mesmo assim, as configurações mais bem trabalhadas ainda estão vulneráveis se não puderem ser recuperadas. Uma exclusão acidental de configuração incorreta pode causar uma grande interrupção na continuidade dos negócios.
“Mas e a lixeira? Isso pode recuperar meus dados do Entra ID.”
Aqui está a pegadinha: A lixeira nativa do Entra ID permite a recuperação apenas de itens excluídos temporariamente, por um período de 30 dias. Embora isso possa parecer tempo suficiente, o Relatório de Defesa 2024 da Microsoft afirma que pode levar 207 dias, em média, para detectar e resolver um incidente de dados. Com o período de retenção limitado da lixeira nativa, é muito provável que, quando você identificar um problema em potencial, descubra que os dados não são mais recuperáveis. Todos os dados essenciais agora precisam ser reconfigurados manualmente, o que causa contratempos significativos. É um equívoco comum (e arriscado) pensar que a lixeira é um plano de recuperação, e não uma salvaguarda básica. No caso de configurações incorretas, não há uma opção nativa para restaurar a plataforma a um ponto anterior. Isso significa que quaisquer erros detectados precisarão ser corrigidos manualmente, ajustando as configurações de volta ao seu estado adequado. Sem um backup do Entra ID, exclusões e configurações incorretas podem ser um processo demorado e propenso a erros.
Assim como a Microsoft faz o backup de sua infraestrutura para manter seu lado do modelo de responsabilidade compartilhada, sua organização deve fazer o mesmo. A Microsoft promove as melhores práticas de recuperabilidade, que sugerem que as organizações são proativas na criação de processos para restaurar seus locatários a um estado funcional. Esse nível ideal de recuperabilidade de dados do Entra ID só pode ser alcançado por meio de uma solução de backup adequada.
Segurança
Responsabilidade da Microsoft
Quando se trata de segurança, a Microsoft é responsável por proteger seus data centers, redes e a plataforma Entra ID. Eles implementam diversas camadas de proteção para prevenir ataques, como o Distributed Denial of Service (DDoS), direcionados aos servidores. Observe que a Microsoft fornece criptografia limitada aos dados do Entra ID, mas somente quando esses dados estão em repouso nos data centers do Azure.
Sua responsabilidade
Na sua organização, é responsabilidade da estratégia de IAM preencher as lacunas de segurança e proteger as identidades dos usuários. Isso envolve uma criptografia adicional dos dados em trânsito, além do gerenciamento das chaves de criptografia em repouso fornecidas pela Microsoft. Além disso, sua organização é responsável por manter suas identidades armazenadas e as configurações de identidade associadas seguras. Para alcançar o melhor nível de proteção de dados do Entra ID, sua empresa deve buscar uma solução de backup abrangente para preencher a lacuna de segurança.
Regulamentação
Responsabilidade da Microsoft
A responsabilidade da Microsoft no gerenciamento da conformidade com o Entra ID está relacionada à manutenção regulatória da plataforma. Eles garantem que a aplicação permaneça em conformidade no back-end, mas não têm qualquer responsabilidade por manter os dados da sua organização em conformidade.
Sua responsabilidade
No Entra ID, em que a Microsoft atua como processadora de dados, sua organização é a controladora dos dados. Você é responsável pela conformidade com regulamentos específicos do setor e políticas internas que ditam como seus dados de identidade são coletados, usados, armazenados e protegidos. Você também tem a responsabilidade direta de gerenciar as políticas de retenção e exportação de registros para fins de auditoria. Com backups do Entra ID, a recuperação de registros se torna mais fácil, simplificando o processo de preparação para auditorias. Isso elimina a necessidade de uma busca apressada para reunir os dados necessários antes da auditoria.
Exemplos de responsabilidade compartilhada da Entra ID
Conhecer o papel da sua empresa como proprietária dos seus dados do Entra ID é essencial para evitar mal-entendidos, fechar lacunas de segurança e alinhar os dois lados do modelo de responsabilidade compartilhada. Embora a Microsoft forneça ferramentas úteis no Entra ID, elas não funcionam como soluções completas de backup e recuperação. Para ilustrar como essa responsabilidade compartilhada se aplica na prática, vamos explorar alguns cenários em que vulnerabilidades podem surgir na sua estratégia de proteção de dados de identidade. Os exemplos a seguir destacam lacunas na proteção nativa do Microsoft Entra ID e por que etapas adicionais para a continuidade dos negócios e conformidade são essenciais.
Exclusões: Quando objetos de ID do Microsoft Entra são excluídos por acidente ou por um agente mal-intencionado, os efeitos podem interromper determinadas funções de negócios.
Imagine o seguinte: um grupo do Microsoft 365 é excluído acidentalmente, resultando na perda de acesso dos usuários a caixas de correio compartilhadas, sites do Microsoft Teams e do SharePoint. No momento em que o administrador de TI tiver localizado o problema, o objeto de grupo já passou do período de exclusão reversível de 30 dias e está perdido para sempre. Sem um backup, será um processo demorado restaurar o grupo e todas as outras políticas associadas.
Mesmo no caso de detecção e restauração oportunas do grupo, algumas dependências associadas, como atribuições de função, não são retidas na lixeira e se tornam imediatamente irrecuperáveis, exigindo reconfiguração manual para preencher essas lacunas na funcionalidade.
Configurações incorretas: Ao fazer novas configurações em seu ambiente do Entra ID, a Microsoft afirma que é sua responsabilidade monitorar e registrar as alterações à medida que elas são feitas. Idealmente, ter essas práticas em vigor mitigará a chance de percalços de configuração, mas ainda assim: Acidentes ou ameaças externas podem ocorrer.
Imagine isso: Um ataque virtual dá a um agente malicioso acesso ao ambiente do Entra ID da sua empresa. Uma vez dentro, eles reconfiguram as políticas de acesso condicional para bloquear todos os usuários, exceto a si mesmos. Usuários e administradores legítimos são bloqueados do ambiente da sua organização por um período de tempo desconhecido. Isso está se tornando uma ameaça muito real para as organizações, já que há mais de 600 milhões de ataques baseados em identidade que ocorrem diariamente.
Como não há recursos nativos de versão ou reversão para as configurações, as configurações anteriores devem ser reconfiguradas ou reatribuídas manualmente. Esse processo pode levar a tempos de inatividade variáveis, dependendo da escala do incidente. Em uma instância como a acima, isso pode paralisar uma organização por mais tempo, já que o tempo para recuperar o acesso pode variar. Se a sua empresa não tiver uma conta de emergência, o acesso ao ambiente do Entra ID poderá demorar dias, dificultando a reconfiguração. Quer saber mais sobre por que o Microsoft Entra ID precisa de proteção além das ferramentas nativas? Explore os 6 motivos para fazer backup do Entra ID.
Melhores práticas de responsabilidade compartilhada do Entra ID
Para gerenciar suas responsabilidades do Entra ID, a Microsoft define as melhores práticas para a sua estratégia de dados do Entra ID:
- Crie regularmente snapshots do seu ambiente do Entra ID: Isso é essencial para manter a documentação do “estado íntegro conhecido” do seu locatário para reverter em caso de desastre de dados.
- Monitore de perto as alterações e reconfigurações: exporte e monitore os registros de auditoria para detectar alterações não autorizadas e não intencionais. Embora o monitoramento seja o primeiro passo, sem um backup do Entra ID, reverter uma alteração indesejada muitas vezes se torna impossível.
- Teste regularmente suas restaurações: a Microsoft recomenda que você teste seus processos de restauração para entender melhor seu tempo de resolução e quaisquer possíveis desafios. Isso, é claro, pressupõe que você esteja armazenando seus dados do Entra ID em algum lugar seguro, como uma solução de backup de terceiros.
Como a Veeam mantém sua organização responsável
Abordamos como funciona o Modelo de responsabilidade compartilhada no Microsoft Entra ID e por que depender apenas das ferramentas nativas pode criar lacunas críticas em sua estratégia de gerenciamento de identidade e acesso.
É aí que entra o Veeam Data Cloud for Microsoft Entra ID. A solução de backup baseada na nuvem da Veeam oferece recursos de backup e recuperação criados especialmente para simplificar a proteção dos dados do Entra ID. Diante de incidentes de dados ou de problemas de conformidade, a Veeam pode ajudar sua organização a manter a continuidade dos negócios com facilidade. Você também pode proteger seus dados do Microsoft 365 com a Veeam usando a mesma solução.
Quem é responsável por quê?
- Microsoft: Garante a disponibilidade da plataforma, protege a infraestrutura de back-end e alguns recursos integrados de segurança e recuperação.
- Sua organização: Configura políticas de acesso, gerencia identidades, monitora possíveis ameaças e protege contra alterações indesejadas.
- Veeam Data Cloud for Microsoft Entra ID: Fortalece sua estratégia de dados de identidade fornecendo backup abrangente, recuperação granular de objetos e retenção de longo prazo para configurações e objetos.
O Veeam Data Cloud for Microsoft Entra ID foi criado em uma parceria comprovada. A Veeam e a Microsoft vêm trabalhando juntas há anos para levar resiliência de dados aos ambientes Microsoft, e essa parceria se expandiu recentemente.
A proteção do Entra ID é apenas o começo. A Veeam Data Cloud oferece proteção abrangente para toda a sua empresa, oferecendo proteção para outras cargas de trabalho essenciais, como Microsoft 365 e Salesforce, a fim de desbloquear uma abordagem unificada à sua estratégia de resiliência de dados.
Para saber mais sobre o que o Veeam Data Cloud for Entra ID oferece, clique aqui.
Assim como neste blog, leia também o blog sobre o Modelo de responsabilidade compartilhada do Microsoft 365.
