Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce le procedure consigliate per proteggere la soluzione Azure Active Directory B2C (Azure AD B2C). Per creare la soluzione di gestione delle identità usando Azure AD B2C, sono necessari molti componenti da considerare per la protezione e il monitoraggio.
A seconda della soluzione, nell'ambito sono presenti uno o più dei componenti seguenti:
- Endpoint di autenticazione di Azure AD B2C
-
Flussi utente di Azure AD B2C o criteri personalizzati
- Accedere
- Registrarsi
- E-mail password monouso (OTP)
- Controlli di autenticazione a più fattori
- API REST esterne
È necessario proteggere e monitorare tutti questi componenti per assicurarsi che gli utenti possano accedere alle applicazioni senza interruzioni. Seguire le indicazioni contenute in questo articolo per proteggere la soluzione da attacchi di bot, creazione fraudolenta di account, frode di quota di ricavi internazionali (ISRF) e password spraying.
Come proteggere la soluzione
La soluzione di gestione delle identità usa più componenti per offrire un'esperienza di accesso uniforme. La tabella seguente illustra i meccanismi di protezione consigliati per ogni componente.
| Componente | Punto finale | Perché | Come proteggere |
|---|---|---|---|
| Endpoint di autenticazione di Azure AD B2C |
/authorize, /token, /.well-known/openid-configuration/discovery/v2.0/keys |
Evitare l'esaurimento delle risorse | Web Application Firewall (WAF) e Azure Front Door |
| Accedi | NA | Un accesso dannoso potrebbe tentare di forzare gli account con attacchi brute force oppure utilizzare credenziali violate. | Protezione dell'identità |
| Iscriversi | NA | Le iscrizioni fraudolente potrebbero tentare di esaurire le risorse. |
Protezione degli endpoint Tecnologie di prevenzione delle frodi, ad esempio Dynamics Fraud Protection |
| OTP email | NA | Tentativi fraudolenti di forza bruta o di esaurimento delle risorse | Protezione Endpoint e App Autenticatore |
| Controlli di autenticazione a più fattori | NA | Chiamate telefoniche non richieste o messaggi SMS o esaurimento delle risorse. | Protezione Endpoint e App Autenticatore |
| API REST esterne | I tuoi endpoint dell'API REST | L'utilizzo dannoso dei flussi utente o dei criteri personalizzati può causare l'esaurimento delle risorse agli endpoint API. | WAF e AFD |
Meccanismi di protezione
La tabella seguente offre una panoramica dei diversi meccanismi di protezione che è possibile usare per proteggere i diversi componenti.
| Cosa | Perché | Come |
|---|---|---|
| Web application firewall (WAF) | WAF funge da primo livello di difesa da richieste dannose effettuate agli endpoint di Azure AD B2C. Offre una protezione centralizzata da exploit e vulnerabilità comuni, ad esempio DDoS, bot, OWASP Top 10 e così via. È consigliabile usare WAF per assicurarsi che le richieste dannose vengano arrestate anche prima che raggiungano gli endpoint di Azure AD B2C.
Per abilitare WAF, è prima necessario abilitare domini personalizzati in Azure AD B2C tramite AFD. |
|
| Frontdoor di Azure (AFD) | AFD è un punto di ingresso globale e scalabile che usa la rete perimetrale globale Microsoft per creare applicazioni Web veloci, sicure e ampiamente scalabili. Le funzionalità principali di AFD sono:
|
|
| Verifica dell'identità e verifica/protezione dalle frodi | La verifica e la correzione delle identità sono fondamentali per la creazione di un'esperienza utente attendibile e la protezione contro la acquisizione di account e la creazione di account fraudolenti. Contribuisce inoltre all'igiene del tenant assicurandosi che gli oggetti utente riflettano gli utenti effettivi, allineati agli scenari aziendali.
Azure AD B2C consente l'integrazione di verifica e correzione delle identità e protezione dalle frodi da vari partner del fornitore di software. |
|
| Protezione dell'identità | Identity Protection offre un rilevamento continuo dei rischi. Quando viene rilevato un rischio durante l'accesso, è possibile configurare i criteri condizionali di Azure AD B2C per consentire all'utente di correggere il rischio prima di procedere con l'accesso. Gli amministratori possono anche usare i report di Identity Protection per esaminare gli utenti rischiosi a rischio ed esaminare i dettagli del rilevamento. Il report rilevamenti dei rischi include informazioni su ogni rilevamento dei rischi, ad esempio il tipo e la posizione del tentativo di accesso e altro ancora. Gli amministratori possono anche confermare o negare che l'utente sia compromesso. | |
| Accesso condizionale (CA) | Quando un utente tenta di accedere, la CA raccoglie diversi segnali, ad esempio i rischi derivanti dalla protezione delle identità, per prendere decisioni e applicare i criteri dell'organizzazione. L'autorità di certificazione può aiutare gli amministratori a sviluppare criteri coerenti con il comportamento di sicurezza dell'organizzazione. I criteri possono includere la possibilità di bloccare completamente l'accesso utente o fornire l'accesso dopo che l'utente ha completato un'altra autenticazione, ad esempio MFA. | |
| Autenticazione a più fattori | L'autenticazione a più fattori aggiunge un secondo livello di sicurezza al processo di iscrizione e accesso ed è un componente essenziale per migliorare il comportamento di sicurezza dell'autenticazione utente in Azure AD B2C. L'app Authenticator - TOTP è il metodo MFA consigliato in Azure AD B2C. | |
| Gestione delle informazioni e degli eventi di sicurezza (SIEM)/ Orchestrazione, automazione e risposta della sicurezza (SOAR) | È necessario un sistema di monitoraggio e avviso affidabile per l'analisi dei modelli di utilizzo, ad esempio accessi e registrazioni, per rilevare eventuali comportamenti anomali che potrebbe essere indicativo di un attacco informatico. È un passaggio importante che aggiunge un ulteriore livello di sicurezza. È anche possibile comprendere modelli e tendenze che possono essere acquisiti e costruiti solo nel tempo. Gli avvisi aiutano a determinare fattori quali la frequenza di modifica degli accessi complessivi, un aumento degli accessi non riusciti e i percorsi di iscrizione non riusciti, frodi basate su telefono, ad esempio attacchi IRSF e così via. Tutti questi possono essere indicatori di un cyberattacco in corso che richiede un'attenzione immediata. Azure AD B2C supporta sia la registrazione con granularità fine che di alto livello, nonché la generazione di report e avvisi. È consigliabile implementare il monitoraggio e gli avvisi in tutti i tenant di produzione. |
Protezione delle API REST
Azure AD B2C consente di connettersi a sistemi esterni usando i connettori API o il profilo tecnico dell'API REST. È necessario proteggere queste interfacce. È possibile impedire richieste dannose alle API REST proteggendo gli endpoint di autenticazione di Azure AD B2C. È possibile proteggere questi endpoint con WAF e AFD.
Scenario 1: Come proteggere l'esperienza di accesso
Dopo aver creato un'esperienza di accesso o un flusso utente, è necessario proteggere componenti specifici del flusso da attività dannose. Ad esempio, se il flusso di accesso prevede quanto segue, la tabella mostra i componenti da proteggere e la tecnica di protezione associata:
- Autenticazione tramite posta elettronica e password dell'account locale
- Autenticazione a più fattori Di Microsoft Entra tramite SMS o telefonata
| Componente | Punto finale | Come proteggere |
|---|---|---|
| Endpoint di autenticazione di Azure AD B2C |
/authorize, /token, /.well-known/openid-configuration/discovery/v2.0/keys |
WAP e AFD |
| Accedere | NA | Protezione dell'identità |
| Controlli di autenticazione a più fattori | NA | App di autenticazione |
| API REST esterna | Endpoint DELL'API. | App Autenticatore, WAF e AFD |
Scenario 2: Come proteggere l'esperienza di iscrizione
Dopo aver creato un'esperienza di iscrizione o un flusso utente, è necessario proteggere componenti specifici del flusso da attività dannose. Se il flusso di accesso prevede quanto segue, la tabella mostra i componenti da proteggere e la tecnica di protezione associata:
- Iscrizione all'account locale con email e password
- Verifica dell'email tramite OTP
- Autenticazione a più fattori Di Microsoft Entra tramite SMS o telefonata
| Componente | Punto finale | Come proteggere |
|---|---|---|
| Endpoint di autenticazione di Azure AD B2C |
/authorize, /token, /.well-known/openid-configuration/discovery/v2.0/keys |
WAF e AFD |
| Registrati | NA | Protezione contro le frodi Dynamics |
| OTP email | NA | WAF e AFD |
| Controlli di autenticazione a più fattori | NA | App di autenticazione |
In questo scenario, l'uso dei meccanismi di protezione WAF e AFD protegge sia gli endpoint di autenticazione di Azure AD B2C che i componenti OTP di posta elettronica.
Passaggi successivi
- Configurare un Web application firewall per proteggere gli endpoint di autenticazione di Azure AD B2C.
- Configurare la prevenzione delle frodi con Dynamics per proteggere le esperienze di autenticazione.
- Analizzare i rischi con Identity Protection in Azure AD B2C per individuare, analizzare e correggere i rischi basati sulle identità.
- Protezione dell'autenticazione a più fattori basata sul telefono per proteggere l'autenticazione a più fattori basata sul telefono.
- Configurare Identity Protection per proteggere l'esperienza di accesso.
- Configurare monitoraggio e avvisi per ricevere avvisi per eventuali minacce.