Júlio César Gonçalves VasconcelosNo artigo de hoje, vamos dar sequência aos recursos da solução Security Service Edge (SSE) da Microsoft, onde aprenderemos a configurar o Internet Access Profile.
Você pode ler o primeiro artigo que escrevi sobre “Microsoft Traffic Profile” aqui.
Internet Access Profile: O que é e como ele pode ajudar na segurança da sua rede?
No mundo da cibersegurança, filtrar o tráfego web torna-se um trabalho difícil, pois existem diversos domínios e subdomínios.
Portanto, o Internet Access Profile, parte da estrutura do Security Service Edge (SSE), atua como um proxy de segurança robusto, baseado em nuvem e combinado com o Acesso Condicional. Ele protege as organizações aplicando políticas, filtrando o tráfego da web e bloqueando ameaças.
Com base nos princípios do Zero Trust Network Access (ZTNA), ele fornece acesso seguro, com reconhecimento de identidade e conformidade com a Internet. Isso permite que as organizações aprimorem sua postura de segurança e naveguem com confiança em um mundo cada vez mais híbrido e orientado para a nuvem.
Observação: O Internet Access Profile pode ser muito útil para empresas que não têm uma ferramenta de Web Content Filter de terceiros ou até mesmo da própria Microsoft.
Com um custo mais baixo e configuração simplificada, esse recurso permite gerenciar o tráfego da internet de forma centralizada e eficiente.
O que você irá precisar para isso:
- Licenças Microsoft Entra ID P1 ou P2.
- Licença Microsoft Entra Internet Access.
ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
Passo a passo – Hands On
1. Vamos acessar o portal do EntraID.
2. No menu lateral esquerdo, clique em “Global Secure Access”. Em seguida, no submenu, clique em “Settings”, depois em “Session Management” e, por fim, em “Universal Tenant Restrictions”. Por último, habilite a opção “Enable Tenant Restrictions for Entra ID (covering all cloud apps)”.
3.Ainda no menu lateral esquerdo, selecione “Connect” e, em seguida, “Traffic Forward”. Depois, habilite o “Internet Access Profile” e selecione o usuário para o qual o Internet Access será habilitado.
4. Agora, vamos criar as regras de “Web Content Filter” e o “Security Profiles”, que serão usados ao configurar um “Conditional Access” para gerenciar o tráfego.
No menu lateral esquerdo, clique em “Global Secure Access”, selecione “Secure”, depois “Web Content Filtering Policies” e, por fim, clique em “Create Policy”.
5. Em “Create Web Content Filtering Policy”, defina um nome para a política, em “Action”, selecione “Block” e, em seguida, clique em “Next”.
6. Agora, em “Policy Rules”, selecione a categoria que deseja bloquear clicando em “+ Add Rule”. Defina um nome para a regra, em “Destination Type”, selecione “Web Category” e, no campo “Search”, pesquise e selecione “Social Networking”.
Em seguida, clique em “Add”, depois em “Next” e, na etapa “Review”, clique em “Create Policy”..
Ainda em “Global Secure Access”, selecione “Security Profiles” e depois clique em “+ Create Profile”. Defina um nome para o Security Profile, em “State”, selecione “Enabled” e, em “Priority”, defina como “1000”. Em seguida, clique em “Next”.
Em “Link Policies”, clique em “+ Link Policy” e depois em “Existing Policy” para fazer o link entre a política de Web Content Filter que criamos e o Security Profile.
Na tela que se abre, selecione, em “Policy Name”, a política criada em Web Content Filtering, depois, em “Priority”, defina como “1000” e, em “State”, deixe como “Enabled”. Em seguida, clique em “Add”, depois em “Next” e, por fim, em “Review”, clique em “Create Profile”.
Feita a criação do Security Profile com o filtro de Web Content Filter, agora vamos criar a Conditional Access para realizar a filtragem do conteúdo que o usuário estará acessando.
7. Agora, no menu lateral esquerdo, selecione “Protection” e depois “Conditional Access”. Em seguida, clique em “Create New Policy” para criar uma Conditional Access que bloqueie o acesso a redes sociais em máquinas que estão com o cliente do Global Secure Access instalado.
Defina um nome para a política e, em “Assignments – Users”, selecione o usuário ao qual aplicaremos a Conditional Access.
8. Em “Target resources” selecione, “All internet resources with Global Secure Access”.
9. Em “Session”, selecione “Use Global Secure Access Security Profile” e escolha o Security Profile que criamos, atrelado à regra de Web Content Filter. Em seguida, clique em “Select”, depois, em “Enable Policy”, selecione “On” e, por fim, clique em “Save”.
Com as regras e políticas criadas, agora vamos baixar e instalar o cliente do Global Secure Access na máquina para testarmos.
1. No menu lateral esquerdo, vá novamente em “Global Secure Access”, clique em “Connect”, depois em “Client Download” e baixe o cliente para Windows 10/11.
2. A instalação é bem simples: basta marcar “I agree to the license terms…” e depois clicar em “Install”. Nesse momento, serão solicitadas suas credenciais de administrador para finalizar a instalação.
Agora, com o cliente instalado e conectado, podemos testar a navegação em sites considerados redes sociais, onde receberemos a mensagem conforme a imagem.
Observação: Infelizmente, a Microsoft não oferece uma opção de customização no “Internet Access Profile” semelhante à do WCF do Defender, onde é possível criar mensagens de bloqueio personalizadas.
Caso queira verificar os logs de bloqueio e também de liberação, vá em “Global Secure Access” > “Monitor” > “Traffic Logs”. Lá, você poderá fazer diversas filtragens para analisar os logs.
Aqui, podemos ver que apenas os sites da categoria de redes sociais estão sendo bloqueados.
E chegamos ao final de mais uma jornada do conhecimento, onde pudemos aprender juntos como habilitar e configurar o Internet Access Profile para bloquear o acesso a sites da categoria de redes sociais.
Me diga nos comentários: vocês já implementaram o Internet Access Profile junto com o Global Secure Access em seu ambiente? Compartilhe sua experiencia, faça você também parte desta jornada. ☁️
