Conceitos básicos de

segurança, conformidade
e identidade da Microsoft
SC-900
 Módulo 1
No módulo anterior de Introdução, aprendemos sobre a Introdução à Cyber Security e
Características do exame).

Descrever os conceitos de segurança, conformidade e identidade (10 a 15%)

• Descrever conceitos de segurança e conformidade

• Definir conceitos de identidade
Módulo 1: Descrever conceitos de
segurança e conformidade
IaaS (Infraestrutura como serviço)

IaaS

Infraestrutura de TI de pagamento
conforme o uso alugando
servidores, máquinas virtuais,
armazenamento, redes e sistemas
operacionais de um provedor de
nuvem.
Servidores Rede Datacenter
e armazenamento de rede/segurança Físico do
data center
Plataforma como serviço (PaaS)
Fornece um ambiente para criação, teste e implantação de aplicativos de
software, sem focar no gerenciamento da infraestrutura física.

PaaS
IaaS

Ferramentas de
Servidores Rede Datacenter Sistemas
desenvolvimento,
e armazenamento de rede/segurança Físico do operacionais
gerenciamento de banco de
data center
dados,análise de negócios
Software como Serviço (SaaS)
Os usuários se conectam e usam aplicativos com base em nuvem pela Internet:
por exemplo, Microsoft Office 365, Portal do Azure, Gmail, [Link].

SaaS
PaaS
IaaS

Servidores Rede Datacenter Sistemas Ferramentas de Hospedado

e armazenamento de rede/segurança Físico do operacionais desenvolvimento, aplicativos/apps
data center gerenciamento de banco de
dados,análise de negócios
Modelo de responsabilidade compartilhada
As responsabilidades variam
dependendo de onde está a carga
de trabalho (workload)
• SaaS (software como serviço)
• PaaS (plataforma como
serviço)
• IaaS (infraestrutura como
serviço)
• Datacenter local
O que é defesa em profundidade
O que é Defesa em Profundidade?

A defesa em profundidade (defense-in-depth) usa uma abordagem em camadas de

segurança, em vez de depender de um único perímetro.

Cada camada fornece proteção para que, se uma camada for violada, uma camada
subsequente impedirá que um invasor receba acesso não autorizado aos dados.
Camadas de defesa em profundidade
• Segurança física: é a primeira camada de defesa, o foco é limitar o
acesso a um datacenter somente ao pessoal autorizado.
• Segurança de identidade e acesso: controlar o acesso à
infraestrutura e ao controle de alterações.
• Segurança de perímetro: proteção contra negação de serviço
distribuído (DDOS) atribuída para filtrar ataques em grande escala
antes que eles possam causar uma interrupção para os usuários.
• Segurança de rede: limite a comunicação entre recursos usando
controles de segmentação e acesso.
• Segurança da camada de computação: proteger o acesso a máquinas
virtuais fechando determinadas portas.
• Segurança da camada de aplicativo: certifique-se de que os
aplicativos estejam seguros e livres de vulnerabilidades de segurança.
• Segurança da camada de dados: controle o acesso a dados
comerciais e de clientes e use criptografia para proteger dados.
Defesa da segurança física

Nesta camada é importante:

• Proteger fisicamente o acesso aos edifícios e controlar o acesso
ao hardware de computação dentro do datacenter são a
primeira linha de defesa.
• Com a segurança física, a intenção é fornecer proteções físicas
contra o acesso aos ativos. Essas proteções garantem que outras
camadas não possam ser ignoradas e que a perda ou roubo seja
tratado de forma adequada. A Microsoft usa vários mecanismos
de segurança física em seus datacenters em nuvem.
Defesa de Identidade e Acesso

Nesta camada é importante:

• Controle de acesso pra infraestrutura e controle de
mudanças
• Utilizar SSO (Single sign-on/login único) and múltiplo fator
de autenticação.
• Auditar eventos e mudanças.
Defesa de Perímetro

Nesta camada é importante:

• Usar proteção DDoS para filtrar ataques em grande escala antes
que eles possam afetar a disponibilidade de um sistema para os
usuários.
• Use firewalls de perímetro para identificar e alertar sobre ataques
maliciosos contra sua rede.
• No perímetro da rede, trata-se de proteção contra ataques
baseados em rede contra seus recursos. Identificar esses ataques,
eliminar seu impacto e alertá-lo quando eles acontecerem são
formas importantes de manter sua rede segura.
Defesa de Redes

Nesta camada é importante:

• Limite a comunicação entre recursos.
• Negar por padrão.
• Restrinja o acesso de entrada à Internet e limite o acesso de
saída quando apropriado.
• Implemente conectividade segura com redes locais.
Defesa da Computação

Nesta camada é importante:

• Proteger o acesso às máquinas virtuais.
• Implementar proteção de pontos de extremidades (endpoints)
em dispositivos e mantenha os sistemas atualizados e atualizados.
• Malware, sistemas não corrigidos e sistemas protegidos
incorretamente expõem seu ambiente a ataques. O foco nesta
camada é garantir que seus recursos de computação estejam
seguros e que você tenha os controles adequados para minimizar
problemas de segurança.
Defesa da Aplicação

Nesta camada é importante:

• Garantir que os aplicativos estejam seguros e livres de
vulnerabilidades.
• Armazenar os segredos confidenciais de aplicativos em um meio de
armazenamento seguro.
• Fazer da segurança um requisito de design para todo o
desenvolvimento de aplicativos.
• A integração da segurança no ciclo de vida de desenvolvimento de
aplicativos ajuda a reduzir o número de vulnerabilidades
introduzidas no código. Toda equipe de desenvolvimento deve
garantir que seus aplicativos sejam seguros por padrão.
Defesa de Dados
Em quase todos os casos, os invasores buscam dados:
• Armazenado em um banco de dados.
• Armazenado em disco dentro de máquinas virtuais.
• Armazenado em aplicativos de software como serviço (SaaS), como
o Office 365.
• Gerenciado por meio de armazenamento em nuvem.
• Aqueles que armazenam e controlam o acesso aos dados são
responsáveis por garantir que eles estejam devidamente
protegidos. Muitas vezes, os requisitos de regulamentação ditam os
controles e processos que devem ser implementados para garantir
a confidencialidade, integridade e disponibilidade dos dados.
Ataque Com x Sem defesa em profundidade

Proteção e Monitoramento de dados confidenciais

• Descoberta de ativos críticos para os negócios, tecnologia e
times de segurança
• Aumento de proteções de segurança e os processos de
monitoramento
• Criptografia de dados com a Proteção de Informação do Azure.

PROTEÇÃO TOTAL!

Aos DADOS (Informações)!

Substituir [Link] ‘processo’ with

• PIM/PAM
• Identidades de carga de trabalho.

Modernizar Operações de Segurança Proteger Contas Privilegiadas

Higiene de Segurança Forte
• Adicionar XDR pra Identidade, Endpoint Exigir contas separadas para
• Patching Rápido
(EDR), cloud apps, e outros caminhos. administradores e aplicar
• Configuração Segura
• Treinar analistas de SecOps em endpoints MFA/Passwordless (Sem senha
• Práticas Operacionais Seguras
e fluxos de autenticação de identidade Estações de trabalho de acesso
privilegiado(PAWs) + Imposição with
Acesso Condicional
Postura de Segurança e a CIA

Postura de Segurança (Security Posture): É a

habilidade da organização de se proteger e responder
das ameaças de segurança.
CIA – A tríade da CIA (Confidentiality, Integrity and
Availability) representam os 3 pilares da segurança da
informação.
Confidencialidade: preservar restrições autorizadas
sobre acesso e divulgação de informações, incluindo
meios para proteger a privacidade pessoal e
informações proprietárias.
Integridade: proteção contra modificação ou
destruição inadequada de informações e garantia de
não repúdio e autenticidade das informações
Disponibilidade – garantir acesso e uso oportuno e
confiável à informação
Como aplico a CIA no mundo real?

• Identificar: desenvolver um entendimento organizacional para

gerenciar riscos de segurança cibernética para sistemas, pessoas,
ativos, dados e capacidades
• Proteger: desenvolver e implementar proteções apropriadas para
garantir a prestação de serviços críticos
• Detectar: desenvolver e implementar atividades apropriadas para
identificar a ocorrência de um evento de segurança cibernética
• Responder: desenvolver e implementar atividades apropriadas
para tomar medidas em relação a um incidente de segurança
cibernética detectado
• Recuperar: desenvolver e implementar atividades apropriadas
para manter planos de resiliência e restaurar quaisquer
capacidades ou serviços que foram prejudicados devido a um
incidente de segurança cibernética
Modelo de Confiança Zero
O que é o modelo de confiança zero?

A confiança zero pressupõe que tudo está em uma rede aberta e não confiável, até
mesmo os recursos por trás dos firewalls de rede corporativa.
O modelo de Confiança Zero opera com o princípio de "não confiar em ninguém e
verificar tudo".

Para se adaptar às ameaças constantes contra à tecnologia nas empresas, seja ela
pequena, média ou grande, o modelo de segurança de confiança zero foi criado e
adapta melhor efetivamente à todas as complexidades de um ambiente moderno,
cobrindo um ambiente de trabalho híbrido, e protegendo pessoas, dispositivos,
aplicações, dados seja onde eles estiverem localizados.
Modelo Confiança Zero (Zero Trust)
Confiança Zero é uma estratégia de segurança. Não se trata de um produto ou
serviço, mas de uma abordagem para projetar e implementar o seguinte conjunto
de princípios de segurança.

Princípio Descrição
Verificação explícita (Verify Everything) Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis.

Usar o acesso com privilégio mínimos Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis
(Use least privilege access) baseadas em risco e proteção de dados.

Pressupor a violação (Assume breach) Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a
análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.
Princípios de orientação de confiança zero
Seis pilares fundamentais

• As identidades podem ser

usuários, serviços ou dispositivos.
• Os dispositivos criam uma grande
superfície de ataque à medida
que os dados fluem.
• Os aplicativos são a maneira
como os dados são consumidos.
• Os dados devem ser classificados,
rotulados e criptografados.
• Infraestrutura, se representa um
vetor de ameaça.
• As redes devem ser segmentadas.
Criptografia e Hash
O que é criptografia?
A criptografia, derivada da palavra grego "Kryptos", que significa oculto ou secreto, é a
aplicação da comunicação segura em qualquer forma entre um remetente e um
destinatário. Normalmente, a criptografia é usada para obscurecer o significado de uma
mensagem gravada, mas também pode ser aplicada a imagens.
O primeiro uso conhecido da criptografia remonta ao Antigo Egito e o uso de hieróglifos
complexos. Uma das primeiras codificações já usadas para proteger as comunicações
dos EUS veio de Júlio César e o Império Romano.

Criptografia é o processo de tornar dados ilegíveis e inutilizáveis para visualizadores não

autorizados. Uma maneira de mitigar ameaças comuns de segurança cibernética é
criptografar dados confidenciais ou valiosos.
Para usar ou ler os dados criptografados, eles precisam ser descriptografados, o que
exige o uso de uma chave secreta.
Criptografia de chave simétrica

Existem dois tipos de criptografia de nível

superior:
• Simétrico – usa a mesma chave para
criptografar e descriptografar dados.
• Assimétrico – usa uma chave pública e um par
de chaves privadas.
Criptografia de chave assimétrica

A criptografia assimétrica usa um par de chaves

públicas e de chaves privadas. Qualquer chave
pode criptografar dados, mas uma única chave
não pode ser usada para descriptografar dados
criptografados. Para descriptografar, você precisa
de uma chave emparelhada.
Chave assimétrica – Cenário de um exemplo real

A criptografia assimétrica, com seu uso de chaves

públicas e privadas, remove a carga de
distribuição segura de chaves. Esse conceito
também aborda a proliferação de chaves que
vimos na criptografia simétrica.
Como funciona a criptografia assimética?
Criptografia de dados inativos (em repouso)
Dados inativos são dados armazenados em um dispositivo físico,
como um servidor.

Ele pode ser armazenado em um banco de dados ou em uma conta

de armazenamento, mas, independentemente de onde ele esteja
armazenado, a criptografia de dados inativos garante que ele seja
ilegível sem as chaves e os segredos necessários para
descriptografá-lo.

Considerado um estado de dado passivo – Não pode ser acessado,

atualizado ou processado. Ex. Backups, discos rígidos, cartão de
memória (SD), PenDrive (USB)

Se um invasor obtiver um disco rígido com dados criptografados e

não tiver acesso às chaves de criptografia, ele não poderá lê-lo.
Criptografia de dados em trânsito (Data-In-Transit)

Dados em trânsito são os dados que se movem de um local para

outro (dois ou mais pontos), como pela Internet ou por meio de
uma rede privada. A transferência segura pode ser feita por várias
camadas diferentes.

Isso pode ser feito criptografando os dados na camada de

aplicativo antes de enviá-los por uma rede.
Ex. HTTPS, dados sendo movido entre roteadores pela rede ou
entre discos moveis

A criptografia dos dados em trânsito protege-os de observadores

externos e fornece um mecanismo para transmitir os dados,
limitando o risco de exposição.
Criptografia de dados em uso (In use)
Um caso de uso comum para criptografia de dados em uso envolve protegê-los no armazenamento
não persistente, como caches de RAM ou CPU.

Isso pode ser feito por meio de tecnologias que criam um enclave (pense nisso como uma caixa de
bloqueio protegida) que protege os dados e os mantém criptografados enquanto a CPU os processa.
Os 3 estados de dados em Mobile App
A primeira coisa que um aplicativo faz quando envia o
dado e trafega pra qualquer lugar do mundo é
armazenar o dado na memória.

Dados em uso podem ser:

• Credenciais de um usuario
• Chaves de encriptação
• Tokens de autenticação
• Informação identificável pessoal (PII)

Android e iOS não oferecem encriptação de dados em

uso
Hash/Hashing
• O hash usa um algoritmo para converter o texto original em um valor de hash de comprimento fixo único. Toda vez que o mesmo texto tem
hash usando o mesmo algoritmo, o mesmo valor de hash é produzido
• É diferente da criptografia, pois não usa chaves, e o valor de hash não é subsequentemente descriptografado de volta para o original.
• É utilizado para armazenar senhas. Quando um usuário insere sua senha, o mesmo algoritmo que criou o hash armazenado cria um hash da
senha digitada. Isso é comparado com a versão de hash armazenada da senha. Se as senhas corresponderem, o usuário terá digitado sua
senha corretamente. Isso é mais seguro do que armazenar senhas de texto sem formatação, mas os algoritmos de hash também são
conhecidos por hackers.
• É determinístico, a mesma entrada produz a mesma saída.
• Para cada hash correspondente, eles conseguem saber qual a senha real. Para mitigar o risco de ataque de força bruta (force brute) ou ataque
de dicionário, as senhas geralmente “têm sal”, que adiciona um valor aleatório de comprimento único antes da função de hash iniciar.
Assinatura Digital (Digital Signature)

Uma aplicação comum de hash é a assinatura

digital. Como uma assinatura em papel, uma
assinatura digital valida que a assinatura que
consta no documento realmente vem da pessoa
que o assinou. Além disso, uma assinatura
digital é usada para validar que o documento
não foi adulterado.
Governança, conformidade e risco (GRC)
Governança, conformidade e risco (GRC)
O GRC ajuda as organizações a reduzir o risco e melhorar a
eficácia da conformidade
Uma abordagem estruturada para gerenciar a GRC ajuda as
organizações a reduzir o risco e melhorar a eficácia da
conformidade.

Uma abordagem estruturada para gerenciar a GRC ajuda as

organizações a reduzir o risco e melhorar a eficácia da
conformidade.

À medida que as organizações estabelecem competência de GRC,

elas podem estabelecer uma estrutura que inclua a
implementação de políticas específicas e processos operacionais.
Uma abordagem estruturada para gerenciar a GRC ajuda as
organizações a reduzir o risco e melhorar a eficácia da
conformidade.
Governança (Grc)

Governança – as regras, práticas e processos

que uma organização usa para direcionar e
controlar suas atividades.
Gerenciamento de riscos (gRc)

Gerenciamento de riscos é o processo de

identificar, avaliar e responder a ameaças ou
eventos que podem afetar os objetivos da empresa
ou do cliente.
Conformidade (grC)

Conformidade– o país/região, as leis estaduais

ou federais ou até mesmo as regulamentações
multinacionais que uma organização deve seguir.
LGPD e GDPR

LGPD – Lei Geral de Proteção de Dados Pessoais

GDPR – Proteção Geral e Regra de dados (General Data Protection Rules)
Autenticação x
autorização
Autenticação

Autenticação (AuthN)
A autenticação é o processo de controle de acesso pra provar que
uma pessoa é quem ela diz ser. A autenticação concede acesso.

3 importantes fatores utilizados pra autenticação:

- Algo que você sabe (como a senha)

- Algo que você tem (como o crachá, uma identidade)
- Algo que você é (biometria digital, facial, etc.)
Autorização
Autorização (AuthZ)
A autorização é o processo determina o nível de acesso ou as
permissões que uma pessoa autenticada tem aos seus dados e
recursos.

Um bom exemplo, o dono de uma casa tem acesso total à

propriedade (o recurso) mas podemos permitir acesso à outras
pessoas pra entrar e visitor. O dono que é o “owner” (proprietário)
autoriza as pessoas pra acessar a casa dele.

No mundo dos recursos no Azure ou no Microsoft 365 é a mesma

coisa, os recursos são os serviços e componentes disponiveis após
a autenticação e a autorização.

Às vezes, autenticação é abreviado como Autoriz.

Identidade é o 1º perímetro de segurança
Uma identidade, que pode ser usada para autenticar e autorizar alguém
ou algo, pode estar associada a:

• Usuário
• Aplicativo
• Dispositivo
• Outro

Quatro pilares de uma infraestrutura

de identidade:
• Administração
• Autenticação
• Autorização
• Auditoria
Autenticação moderna
Autenticação moderna é um termo abrangente para os métodos de
autenticação e autorização entre um cliente, como laptop ou telefone, e
um servidor, como um site ou aplicativo
Autenticação Moderna e a função de IdP

• A função de provedor de identidade é o principal

recurso
da autenticação moderna.
• A função de provedor de identidade (IdP) está no
centro da autenticação moderna.
• O IdP oferece serviços de autenticação, autorização e
auditoria.
• O IdP permite que as organizações estabeleçam
políticas de autenticação e autorização,
monitorem o comportamento do usuário e muito mais.
• Uma capacidade essencial do IdP e da “autenticação
moderna” é o suporte para SSO (logon único).
• O Entra ID é um exemplo de um provedor de
identidade baseado em nuvem.
Laboratórios
Lab 01

TASK01:
• Criar e configurar uma subscription trial no 365 (método 1) – Não funciona mais no mundo todo.
Lab 01

TASK02:
• Criar e configurar uma subscription trial no 365 (método 2) – Funcionando!
Lab 01

TASK03:
• Explorando os componentes e ambiente do Microsoft 365
Obrigado