Gestão e Segurança de Acesso Web com Entra Internet Access

Introdução

Faaala pessoal, 100%?

A tempo atrás a gestão de acesso web era relativamente simples, tinhamos a rede como perímetro, um firewall delimitando isso e um web filter, seja proxy ou seja embutido no firewall, interceptando as requisições HTTP e comparando com as regras de acesso, pra então definir se aquele site poderia ou não ser acessado.

Com a era do Officeless e trabalho remoto, a ideia do perimetro de rede vai por água abaixo, e a gestão de acesso web começa a ficar um pouco desafiadora. Alguns utilizam um client VPN, tunelando o trafego direcionado a porta 80 ou 443. Outros, utilizam o filtro web da solução de Antivirus. Tudo isso funciona, mas são várias pontas para se amarrar, diferentes fornecedores, gestão descentralizada e em alguns casos mais dor de cabeça para o time TI.

A ideia desse artigo é trazer uma possível solução pra esse desafio, utilizando um recurso que faz parte do Global Secure Access, recurso que está disponível no Entra Suite. O Microsoft Entra Internet Access entrega toda a gestão de acesso web, de forma centralizada, simplificada e independente de equipamento físico. Fazendo uso do cliente do Global Secure Access, você e seu time de TI, conseguirão controlar/gerir ~bloquear geral~, a partir da console do Entra.

Importante mencionar que o Web Content Filtering é apenas um dos recursos do Entra Internet Access. Os demais serão explorador mais a frente, em outros artigos ou vídeos.

Como funciona o Web Content Filtering

Entra Internet Access funciona como um Web Secure Gateway (SWG), centrado em Identidade, para o Web Content Filtering e demais recursos da Suite.

O Web Content Filtering, especificamente, entrega controle de acesso web baseado em categorias ou FQDNs. Atuando na camada 3 e 7 do modelo OSI, esse carinha consegue filtrar, inclusive, sites HTTPs  utilizando SNI (Server Name Indication), sem uso de certificado instalado nos clientes.

Importante lembrar pra que toda a mágica aconteça, o Global Secure Access precisa estar instalado no dispositivo do usuário.

Web content filtering policies

A definição do que está bloqueado é definido por Políticas de Filtro de Conteúdo Web. Essas políticas funcionam como um grupo, onde você Categorias e/ou FQDNs. Cada políticas (grupo) terá sua ação, que pode ser um Allow ou Block.

Blz, não entendi nada!

Pense o seguinte;

  • Web Filter Padrão – Block

Aqui quero definir qual será o filtro padrão, por categoria.

  • Web Filter Financeiro – Allow

Aqui algumas URLs que são específicas para a galera do Financeiro. É possível incluir um FQDN que talvez tenha sido bloqueado na política Web Filter Padrão.

Security Profiles

Uma vez que as políticas de Web Filter estejam criadas, entram em cena os Perfis de Segurança, que é onde você agrupará isso tudo e aplicará aos usuários, através de Politicas de Acesso Condicional.

Sim, eu sei…políticas e perfil pra tudo quanto é lado, mas calma…vai dar certo.

Veja no exemplo. Terei duas Security Policies, a padrão, que será utilizada em todos os users, e uma segunda, onde eu agrupo o Filtro Padrão (por que eu quero que TODOS os usúarios, independe de departamento, tenham esses filtros Web) e mais o Web Filter específico para o Financeiro.

Lógica de Processamento das Políticas

A chave pra trazer flexibilidade e ajustar a solução ao que o seu ambiente precisa, é entender como de fato tudo funciona.

Usando como base O perfil “Politica Web – Financeiro”. Note que eu tenho nele, duas Políticas de Web Filter, que criamos anteriormente.

A leitura do Entra Internet é similar a de um firewall, de cima pra baixo. Utilizei o campo prioridade pra definir que, durante a avaliação do Entra Internet Access, o filtro “Financeiro – Liberado” seja lido primeiro (valor menor — 100, prioridade maio) e depois, o Web Filter Padrão.

Com essa abordagem eu posso incluir exceções nos filtros de maior prioridade e ainda garantir o filtro mínimo para qualquer usuário seja aplicado (politica de prioridade menor, nesse caso a Web Filter Padrão).

E como eu aplico esse perfil aos usuarios?

Os Perfis de Segurança são aplicados via Política de Acesso Condicional, selecionando o grupo de usuários ou usuáro alvo, e escolhendo o Perfil de Segurança que deseja aplicar.

Ponto importante! Se um usuário receber dois ou mais Perfis de Segurança, a ideia da prioridade se aplicará. O de menos prioridade, sempre vencerá.

Behind the Scenes – Diagrama de Fluxo

Como eu sempre digo, não basta saber clicar no botão, é preciso entender como tudo funciona por debaixo dos panos. O diagrama abaixo vai te mostrar isso: O que acontece quando o usuário que possui um perfil de segurança do Entra Internet Access tenta acessar um site.

  1. Tudo começa com o User tentando se autenticar nos serviços de Borda de Segurança da Microsoft (nesse caso para uso do cliente do GSA)
  2. O GSA redireciona a requisição pra o Entra ID
  3. Usuario e device se autenticam
  4. As politicas de Acesso Condicional são lidas e aplicadas aos perfil de segurança do client do GSA
  5. Valdiação do Token de user junto ao Serviço de Segurança de Borda da Microsoft ocorre
  6. Tunel entre o GSA Client e Microsoft é estabelecido
  7. Trafego de Internet começa a se interceptado e analisado pelo GSA
  8. Aqui nesse passo acontece a avaliação da solicitação de acesso ao site com base na prioridade políticas de segurança que o user recebeu. Uma vez que um match tenha ocorrido, a avaliação é interrompida
  9. O serviço de segurança de borda aplica a o perfil/política definido para esse user
  10. Em caso de Block, uma tela informando o bloqueio é exibida ao user
  11. Em caso de Allow, o user acessa o site requisitado

Desfecho

Embora trivial, a Gestão e Segurança de acesso web ainda é um desafio para vários ambientes. O fato do Entra Internet Access ser centrado em identidade e não depender de nenhum hardware ou serviço extra para funcionar simplifica muito sua implantação. Ainda que com pouco tempo de mercado, as melhorias que a Microsoft tem feito na solução a posicionam como uma das mais completas e funcionais para ambiente que desejam seguir as diretrizes do Zero Trust, sem abrir mão da flexibilidade que ambientes remotos ou hibridos exigem.

Espero que esse artigo tenha te ajudado! Sinta-se a vontade para enviar perguntas ai nos comentários ou em meu Linkedin.

Grande abraço! \,,/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *