Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

O que são Service Accounts e por que representam um risco para a segurança?




O que são Service Accounts?

As Service Accounts são contas de serviço utilizadas por aplicações, sistemas e processos automatizados para executar tarefas sem a necessidade de um usuário humano interagir. Elas são amplamente utilizadas para comunicação entre sistemas, execução de tarefas administrativas e gerenciamento de infraestrutura.

Diferente de contas de usuário tradicionais, as Service Accounts são criadas especificamente para fins operacionais, como:

  • Acessar bancos de dados e APIs
  • Executar scripts de automação
  • Gerenciar processos internos em servidores e serviços na nuvem
  • Autenticar serviços de terceiros

No Microsoft Entra ID (antigo Azure AD), essas contas desempenham um papel fundamental na automação e na segurança de identidade, mas ao mesmo tempo representam um grande risco de segurança se não forem gerenciadas corretamente.

Riscos de Segurança das Service Accounts no Entra ID

Embora as Service Accounts sejam essenciais para o funcionamento de diversas aplicações e sistemas, elas frequentemente são negligenciadas em termos de segurança, tornando-se um vetor de ataque ideal para hackers.

Falta de Visibilidade

Um dos maiores desafios ao proteger Service Accounts é a falta de monitoramento e rastreamento adequado.

  • Elas frequentemente possuem interdependências complexas com várias aplicações e serviços.
  • Muitas vezes são criadas e esquecidas, sem um inventário claro dentro da organização.
  • Isso permite que atacantes comprometam essas contas e se movimentem lateralmente na rede sem serem detectados.

Exclusão de Controles de Segurança (MFA e PAM)

Ao contrário das contas de usuário, Service Accounts geralmente não estão protegidas por Autenticação Multifator (MFA) e Privileged Access Management (PAM).

Problemas comuns:

  • MFA não pode ser aplicado porque essas contas não têm interação humana direta.
  • Senhas hardcoded em scripts ou aplicações tornam sua rotação difícil.
  • Alterar senhas pode quebrar processos críticos, dificultando a implementação de boas práticas de segurança.

Isso torna essas contas vulneráveis a ataques persistentes, onde invasores podem manter acesso privilegiado por longos períodos sem detecção.

Excesso de Privilégios

Muitas Service Accounts são criadas com permissões muito acima do necessário, contrariando o princípio do Least Privilege (Menor Privilégio).

Consequências do excesso de privilégios:

    • Um atacante pode explorar essas contas para escalar privilégios e acessar dados sensíveis.
    • Em ambientes Microsoft Entra ID, algumas Service Accounts possuem acesso irrestrito à rede, o que pode comprometer toda a organização.

Como proteger Service Accounts no Microsoft Entra ID?

Para mitigar os riscos das Service Accounts no Microsoft Entra ID, recomenda-se:

  • Inventariar todas as Service Accounts – Criar um controle centralizado para monitorar e revisar periodicamente essas contas.
  • Implementar o princípio do Menor Privilégio – Conceder somente as permissões essenciais para o funcionamento das aplicações.
  • Rotação periódica de senhas – Sempre que possível, configurar rotação automatizada para reduzir o risco de credenciais comprometidas.
  • Monitoramento e auditoria constante – Usar ferramentas como Microsoft Sentinel, Azure Monitor e Defender for Identity para detectar atividades suspeitas.
  • Usar Managed Identities sempre que possível – Em vez de credenciais fixas, utilizar identidades gerenciadas pelo Azure para autenticação segura.


As Service Accounts são fundamentais para automação e operação de sistemas, portanto, para mantê-las protegidas, é importante:

  • Implementar Menor Privilégio e monitoramento constante
  • Substituir credenciais fixas por Managed Identities
  • Utilizar ferramentas de auditoria e segurança para detectar abusos

Se uma Service Account for comprometida, um atacante pode ter acesso crítico ao ambiente corporativo, tornando-se um vetor de ataque perigoso. Portanto, a segurança dessas contas deve ser uma prioridade na estratégia de proteção de identidade das organizações.

Para mais sobre as Services Accounts: Service Accounts | Microsoft Learn

Siga a Cloud-ing no Insta! (Instagram)

Comments

Post a Comment