Skip to main content

Featured

Delegar permissões de Administrador no Microsoft Entra ID

Delegar permissões administrativas no Microsoft Entra ID é essencial para distribuir responsabilidades de forma segura e eficiente, sem comprometer a governança da organização. Essa prática evita a concentração de acessos privilegiados em poucas contas e reduz riscos de segurança, ao mesmo tempo em que melhora a rastreabilidade das ações administrativas. Acessando o portal do Microsoft Entra O primeiro passo é acessar o portal de administração do Microsoft Entra em https://entra.microsoft.com com uma conta que possua a função de Global Administrator , pois apenas esse perfil tem autorização para gerenciar funções administrativas. Navegando até as funções administrativas No menu lateral, selecione Identidade e depois clique em Funções e administradores . Nessa área, você encontrará uma lista com todas as funções disponíveis no Entra ID, como: Global Administrator User Administrator Groups Administrator Helpdesk Administrator Security Reader Compliance Administrat...
Post a Comment
Read more

Ajustando o Azure Web Application Firewall (WAF) para Integração com o Entra External ID



Com a crescente demanda por segurança em aplicações públicas que utilizam autenticação federada, torna-se essencial ajustar e adaptar a proteção oferecida pelo Azure Web Application Firewall (WAF) para garantir compatibilidade e desempenho em cenários com o Entra External ID (antigo Azure AD B2B e B2C).

Ao proteger aplicações públicas com o Azure WAF, especialmente aquelas integradas com o Entra External ID, é comum encontrar falsos positivos relacionados às assinaturas padrão da OWASP Core Rule Set (CRS), como SQL Injection, Cross-site Scripting (XSS), ou até regras específicas da Microsoft, como a 942100 ou 942430. Isso ocorre porque o tráfego legítimo de tokens de autenticação ou parâmetros codificados pode ser interpretado erroneamente como um ataque.

Melhores práticas de tunning do WAF para cenários com External ID:

  1. Monitoramento inicial com WAF em modo de detecção (Detection Mode):
    Antes de aplicar o bloqueio automático, recomenda-se deixar o WAF em modo de detecção. Isso permite observar quais regras estão sendo acionadas em fluxos legítimos, como login com Entra External ID, sem impactar usuários finais.

  2. Análise dos logs de WAF:
    Utilizando o Azure Monitor ou Log Analytics, é possível analisar as regras que estão sendo acionadas. Filtros baseados em Action_s e RuleId_s ajudam a identificar quais regras específicas precisam ser ajustadas.

  3. Criação de exclusões baseadas em regras (Rule Exclusions):
    Após identificar os falsos positivos, é possível configurar exclusões específicas no WAF para desconsiderar determinados parâmetros, cabeçalhos ou caminhos. Por exemplo, ao lidar com tokens JWT ou URLs codificadas, é possível excluir campos como requestBodyNames ou queryStringArgs.

  4. Uso de WAF Custom Rules:
    Em vez de desabilitar regras críticas do OWASP CRS, é preferível criar regras personalizadas com condições mais específicas (ex: verificar IP de origem, localização, user-agent, etc.), aplicando ações seletivas.

  5. Atualização para a versão mais recente do WAF e OWASP CRS:
    Manter o WAF sempre atualizado garante acesso às correções de falsos positivos já identificados pela comunidade, além de melhorias de desempenho e compatibilidade.

  6. Implementação gradual de bloqueios:
    Após configurar as exclusões necessárias e validar por logs que os falsos positivos foram eliminados, o WAF pode ser colocado em modo preventivo (Prevention Mode) para aplicar bloqueios reais.

Cenários práticos abordados com External ID:

  • Aplicações .NET ou Java que utilizam MSAL.js ou MSAL.NET para autenticação.

  • Aplicações SPA (Single Page Application) com redirecionamentos via URL com parâmetros codificados.

  • Integrações com Power Apps, Portals ou APIs públicas protegidas com Entra External ID.

A integração segura de aplicações com o Entra External ID requer uma abordagem cuidadosa ao configurar o Azure WAF. Um balanceamento adequado entre segurança e funcionalidade pode ser alcançado com tunning baseado em dados reais de produção, uso de regras customizadas e exclusões precisas. Dessa forma, é possível garantir a proteção da aplicação sem comprometer a experiência do usuário.


Comments

Post a Comment

Popular Posts