Microsoft Entra IDaaS nelle operazioni di sicurezza

Questa architettura illustra in che modo i team del Centro operativo di sicurezza (SOC) possono incorporare le funzionalità di identità e accesso di Microsoft Entra in una strategia di sicurezza integrata e a livelli zero trust complessiva.

La sicurezza della rete ha avuto un ruolo predominante nelle attività dei centri operazioni per la sicurezza quando tutti i servizi e i dispositivi erano contenuti nelle reti gestite dalle organizzazioni. Dalle stime di Gartner risulta tuttavia che nel corso del 2022 il mercato dei servizi cloud crescerà a una velocità quasi tre volte superiore a quella dell'intera gamma di servizi IT. Con la crescente diffusione del cloud computing presso le aziende, si assiste a una svolta verso l'uso dell'identità utente come principale confine di sicurezza.

La protezione delle identità nel cloud ha assunto un'importanza altamente prioritaria.

• Nel report delle indagini sulle violazioni dei dati nel 2020 di Verizon si affermava che il 37% delle violazioni di dati era avvenuto tramite l'uso di credenziali rubate e il 22% si era avvalso di tecniche di phishing.

• In uno studio sugli incidenti causati da violazioni di dati condotto da IBM nel 2019 veniva segnalato che il costo medio di una violazione di dati a livello globale ammontava a 3,9 milioni di dollari, mentre il costo medio negli Stati Uniti si avvicinava a 8,2 milioni di dollari.

• Il report di Intelligence sulla sicurezza di Microsoft 2019 ha segnalato che gli attacchi di phishing sono aumentati del 250% tra gennaio e dicembre 2018.

Il modello di sicurezza Zero Trust considera tutti gli host come se fossero direttamente connessi a Internet e si basa sul presupposto che l'intera rete sia potenzialmente compromessa e ostile. Questo approccio è incentrato sulla creazione di autenticazione avanzata (AuthN), autorizzazione e crittografia, offrendo allo stesso tempo l'accesso compartimentato e una migliore agilità operativa.

Gartner incoraggia l'uso di un'architettura di sicurezza adattiva in sostituzione di una strategia basata sulla risposta a eventi imprevisti con un modello basato su prevenzione-rilevamento-risposta-previsione. La sicurezza adattiva combina funzionalità di controllo di accesso, monitoraggio comportamentale, gestione dell'utilizzo e individuazione con monitoraggio e analisi continui.

Microsoft Cybersecurity Reference Architecture (MCRA) descrive le funzionalità di cybersecurity di Microsoft e il modo in cui si integrano con architetture di sicurezza esistenti, inclusi ambienti cloud e ibridi, che usano Microsoft Entra ID per identità come servizio (IDaaS).

Questo articolo fa avanzare l'approccio alla sicurezza adattiva e zero trust a IDaaS, enfatizzando i componenti disponibili nella piattaforma Microsoft Entra.

Potenziali casi d'uso

• Progettare nuove soluzioni di sicurezza
• Migliorare le implementazioni esistenti o integrarle con la nuova architettura
• Istruire i team dei centri operazioni per la sicurezza

Architettura

Scaricare un file di Visio di questa architettura.

Workflow

1. La gestione delle credenziali controlla l'autenticazione.
2. Il provisioning e la gestione entitlement definiscono il pacchetto di accesso, assegnano utenti alle risorse ed eseguono il push dei dati per l'attestazione.
3. Il motore di autorizzazione valuta i criteri per determinare l'accesso. Il motore valuta anche i rilevamenti dei rischi, inclusi i dati UEBA (User/Entity Behavioral Analytics), e verifica la conformità dei dispositivi per la gestione degli endpoint.
4. Se autorizzato, l'utente o il dispositivo ottiene l'accesso in base a criteri e controlli di accesso condizionale.
5. Se l'autorizzazione non riesce, gli utenti possono apportare correzioni in tempo reale per sbloccare il proprio accesso.
6. Tutti i dati delle sessioni vengono registrati per l'analisi e la creazione di report.
7. Il sistema SIEM (Security Information and Event Management) del team SOC riceve tutti i dati di log, rilevamento dei rischi e UEBA dalle identità cloud e locali.

Componenti

I processi e i componenti di sicurezza seguenti contribuiscono a questa architettura IDaaS di Microsoft Entra.

Gestione delle credenziali

La gestione delle credenziali include servizi, criteri e procedure che concedono, monitorano e aggiornano l'accesso a risorse o servizi. La gestione delle credenziali di Microsoft Entra include le funzionalità seguenti:

• La reimpostazione della password self-service consente agli utenti di gestire autonomamente e reimpostare le proprie password perse, dimenticate o compromesse. Questa tecnologia non solo riduce le chiamate all'help desk, ma offre agli utenti maggiore flessibilità e sicurezza.

• Il writeback delle password sincronizza le password modificate nel cloud con le directory locali in tempo reale.

• Le password escluse analizzano i dati di telemetria che espongono password vulnerabili o compromesse di uso comune e ne vietano l'uso a livello globale in microsoft Entra ID. È possibile personalizzare questa funzionalità per il proprio ambiente e includere un elenco di password personalizzate da vietare all'interno della propria organizzazione.

• Il blocco intelligente confronta i tentativi di autenticazione legittimi con i tentativi di forza bruta per ottenere l'accesso non autorizzato. In base ai criteri di blocco intelligente predefiniti, un account si blocca per un minuto dopo 10 tentativi di accesso non riusciti. Man mano che i tentativi di accesso continuano ad avere esito negativo, il tempo di blocco dell'account aumenta. È possibile usare i criteri per modificare le impostazioni in modo da ottenere la combinazione appropriata di sicurezza e usabilità per l'organizzazione.

• L'autenticazione a più fattori richiede più forme di autenticazione quando gli utenti tentano di accedere alle risorse protette. Quasi tutti gli utenti hanno familiarità con l'uso di qualcosa che conoscono, ad esempio una password, quando accedono alle risorse. L'autenticazione a più fattori chiede agli utenti di mostrare anche qualcosa che hanno, come l'accesso a un dispositivo attendibile, oppure di mostrare chi sono, ad esempio con un identificatore biometrico. L'autenticazione a più fattori può usare diversi tipi di metodi di autenticazione, come le chiamate telefoniche, gli SMS o le notifiche tramite l'app di autenticazione.

• L'autenticazione senza password sostituisce la password nel flusso di autenticazione con un token di smartphone o hardware, un identificatore biometrico o un PIN. L'autenticazione senza password Microsoft può funzionare con risorse di Azure come Windows Hello for Business e l'app Microsoft Authenticator nei dispositivi mobili. È anche possibile abilitare l'autenticazione senza password con chiavi di sicurezza compatibili con FIDO2, che usano WebAuthn e il protocollo CTAP (Client-to-Authenticator) di FIDO Alliance.

Provisioning e entitlement delle app

• La gestione entitlement è una funzionalità di governance delle identità di Microsoft Entra che consente alle organizzazioni di gestire il ciclo di vita delle identità e degli accessi su larga scala. Questa funzionalità automatizza i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le revisioni e le scadenze.

• Il provisioning di Microsoft Entra consente di creare automaticamente identità utente e ruoli nelle applicazioni a cui gli utenti devono accedere. È possibile configurare il provisioning di Microsoft Entra per app SaaS (Software as a Service) di terze parti, ad esempio SuccessFactors, Workday e molte altre.

• L'accesso Single Sign-On facile (SSO) autentica automaticamente gli utenti alle applicazioni basate sul cloud dopo aver eseguito l'accesso ai propri dispositivi aziendali. È possibile usare l'accesso Single Sign-On facile di Microsoft Entra con la sincronizzazione dell'hash delle password o l'autenticazione pass-through.

• L'attestazione con le verifiche di accesso di Microsoft Entra consente di soddisfare i requisiti di monitoraggio e controllo. Tramite le verifiche di accesso è possibile identificare rapidamente il numero di utenti amministratori, assicurarsi che i nuovi dipendenti possano accedere alle risorse necessarie o esaminare le attività degli utenti per determinare se devono ancora accedere.

Criteri e controlli di accesso condizionale

I criteri di accesso condizionale sono istruzioni if-then di assegnazioni e controlli di accesso. Si definisce la risposta ("eseguire questa operazione") al motivo per cui sono stati attivati i criteri ("se accade questo"), consentendo al motore di autorizzazione di prendere decisioni in base alle quali vengono applicati i criteri dell'organizzazione. Con l'accesso condizionale Microsoft Entra, è possibile controllare come gli utenti autorizzati accedono alle app. Lo strumento What If di Microsoft Entra ID consente di comprendere il motivo per cui un criterio di accesso condizionale è stato o non è stato applicato o se un criterio si applica a un utente in una circostanza specifica.

I controlli di accesso condizionale funzionano insieme ai criteri di accesso condizionale per applicare i criteri dell'organizzazione. I controlli di accesso condizionale di Microsoft Entra consentono di implementare la sicurezza in base ai fattori rilevati al momento della richiesta di accesso, anziché a un approccio basato su un'unica dimensione. Associando i controlli di accesso condizionale alle condizioni di accesso, si riduce la necessità di creare controlli di sicurezza aggiuntivi. Come esempio tipico, è possibile consentire agli utenti di un dispositivo aggiunto a un dominio di accedere alle risorse usando l'accesso SSO, ma richiedere l'autenticazione a più fattori per gli utenti che si trovano all'esterno della rete o usano i propri dispositivi.

Microsoft Entra ID può usare i controlli di accesso condizionale seguenti con i criteri di accesso condizionale:

• Il controllo degli accessi in base al ruolo di Azure consente di configurare e assegnare ruoli appropriati agli utenti che devono eseguire attività amministrative o specializzate con le risorse di Azure. È possibile usare il controllo degli accessi in base al ruolo di Azure per creare o gestire account dedicati separati solo per amministratori, definire l'ambito di accesso per i ruoli impostati, limitare l'accesso in base a criteri temporali o concedere l'accesso tramite flussi di approvazione.

• Privileged Identity Management (PIM) consente di ridurre il vettore di attacco per l'organizzazione consentendo di aggiungere ulteriore monitoraggio e protezione agli account amministrativi. Con Microsoft Entra PIM è possibile gestire e controllare l'accesso alle risorse all'interno di Azure, Microsoft Entra ID e altri servizi di Microsoft 365 con accesso JIT (Just-In-Time) e solo amministrazione (JEA). PIM fornisce una cronologia delle attività amministrative e un log delle modifiche e avvisa quando gli utenti vengono aggiunti o rimossi dai ruoli definiti.

  È possibile usare PIM per richiedere l'approvazione o la giustificazione per l'attivazione di ruoli amministrativi. Gli utenti possono mantenere i normali privilegi per la maggior parte del tempo, ma richiedere e ricevere l'accesso ai ruoli necessari per completare attività amministrative o specializzate. Quando terminano il loro lavoro e si disconnettono, oppure quando scade il limite di tempo per l'accesso, possono eseguire di nuovo l'autenticazione con le autorizzazioni utente standard.

• Microsoft Defender for Cloud Apps è un broker di sicurezza dell'accesso cloud (CASB) che analizza i log del traffico per individuare e monitorare le applicazioni e i servizi in uso presso l'organizzazione. Con Defender for Cloud Apps è possibile:

  • Creare criteri per gestire l'interazione con app e servizi
  • Identificare le applicazioni come sanzionate o non sanzionate
  • Controllare e limitare l'accesso ai dati
  • Applicare la protezione delle informazioni per proteggersi dalla perdita di informazioni

  Defender for Cloud Apps può anche usare criteri di accesso e criteri di sessione per controllare l'accesso degli utenti alle app SaaS. È ad esempio possibile:

  • Limitare gli intervalli IP che possono accedere alle app
  • Richiedere l'autenticazione a più fattori per l'accesso alle app
  • Consentire attività solo dall'interno di app approvate

• La pagina per il controllo di accesso nell'interfaccia di amministrazione di SharePoint offre diversi modi per controllare l'accesso al contenuto di SharePoint e OneDrive. È possibile scegliere di bloccare l'accesso, consentire accesso limitato solo via Web da dispositivi non gestiti o controllare l'accesso in base al percorso di rete.

• È inoltre possibile definire l'ambito delle autorizzazioni di un'applicazione in base a specifiche cassette postali di Exchange Online usando ApplicationAccessPolicy dall'API Microsoft Graph.

• Le condizioni per l'utilizzo consentono di presentare informazioni a cui gli utenti finali devono fornire il consenso prima di ottenere l'accesso a risorse protette. I documenti tou vengono caricati in Azure come file PDF, che sono quindi disponibili come controlli nei criteri di accesso condizionale. Creando un criterio di accesso condizionale che richiede agli utenti di fornire il consenso all'accesso tramite tou, è possibile controllare facilmente gli utenti che hanno accettato l'elenco di accesso.

• La gestione degli endpoint controlla il modo in cui gli utenti autorizzati possono accedere alle app cloud da una vasta gamma di dispositivi, inclusi i dispositivi mobili e quelli personali. È possibile usare i criteri di accesso condizionale per limitare l'accesso solo ai dispositivi che soddisfano determinati standard di sicurezza e conformità. Per questi dispositivi gestiti deve essere definita una specifica stringa di identità del dispositivo.

Rilevamenti dei rischi

Azure Identity Protection include diversi criteri che consentono all'organizzazione di gestire le risposte alle azioni utente sospette. Il rischio utente è la probabilità che l'identità di un utente venga compromessa. Il rischio di accesso è la probabilità che una richiesta di accesso non provenga dall'utente. Microsoft Entra ID calcola i punteggi di rischio di accesso in base alla probabilità della richiesta di accesso proveniente dall'utente effettivo, in base al comportamento analitica.

• I rilevamenti dei rischi di Microsoft Entra usano algoritmi di Machine Learning adattivi ed euristica per rilevare azioni sospette correlate agli account utente. Ogni azione sospetta rilevata viene archiviata in un record detto rilevamento di rischi. Microsoft Entra ID calcola la probabilità di rischio per l'utente e l'accesso usando questi dati, ottimizzati con le origini e i segnali di intelligence sulle minacce interni ed esterni di Microsoft.

• È possibile usare le API per il rilevamento di rischi di Identity Protection in Microsoft Graph per esporre informazioni su utenti e accessi a rischio.

• La correzione in tempo reale consente agli utenti di sbloccare il proprio account usando la reimpostazione della password self-service e l'autenticazione a più fattori per correggere automaticamente alcuni rilevamenti di rischi.

Considerazioni

Tenere presenti questi punti quando si usa questa soluzione.

Registrazione

I report di controllo di Microsoft Entra forniscono tracciabilità per le attività di Azure con log di controllo, log di accesso e report di accesso rischiosi e utenti rischiosi. È possibile applicare filtri ed eseguire ricerche nei dati di log in base a diversi parametri, tra cui servizio, categoria, attività e stato.

È possibile instradare i dati di log di Microsoft Entra ID agli endpoint, ad esempio:

• Account di archiviazione di Azure
• Log di Monitoraggio di Azure
• Hub eventi di Azure
• Soluzioni SIEM come Microsoft Sentinel, ArcSight, Splunk, SumoLogic, altri strumenti SIEM esterni o la propria soluzione.

È anche possibile usare l'API di creazione report di Microsoft Graph per recuperare e utilizzare i dati di log di Microsoft Entra ID all'interno di script personalizzati.

Considerazioni su scenari locali e ibridi

I metodi di autenticazione sono fondamentali per proteggere le identità di un'organizzazione in uno scenario ibrido. Microsoft fornisce indicazioni specifiche sulla scelta di un metodo di autenticazione ibrida con Microsoft Entra ID.

Microsoft Defender per identità possibile usare i segnali Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose. Defender per identità usa UEBA per identificare le minacce interne e contrassegnare il rischio. Anche se un'identità diventa compromessa, Defender per identità può aiutare a identificare la compromissione in base al comportamento insolito dell'utente.

Defender per identità è integrato con le app di Defender per il cloud per estendere la protezione alle app cloud. Il servizio Defender for Cloud Apps può essere usato per creare criteri di sessione per la protezione di file durante il download. Ad esempio, è possibile impostare automaticamente le autorizzazioni di sola visualizzazione per qualsiasi file scaricato da tipi specifici di utenti.

È possibile configurare un'applicazione locale in Microsoft Entra ID per usare Defender per il cloud Apps per il monitoraggio in tempo reale. Defender for Cloud Apps usa Controllo app per l'accesso condizionale per monitorare e controllare le sessioni in tempo reale in base ai criteri di accesso condizionale. È possibile applicare questi criteri alle applicazioni locali che usano il proxy di applicazione in Microsoft Entra ID.

Microsoft Entra Application Proxy consente agli utenti di accedere alle applicazioni Web locali da client remoti. Con Application Proxy, è possibile monitorare tutte le attività di accesso per le applicazioni in un'unica posizione.

È possibile usare Defender per identità con Microsoft Entra ID Protection per proteggere le identità utente sincronizzate con Microsoft Entra Connect.

Se alcune delle app usano già un controller di recapito o un controller di rete esistente per fornire l'accesso fuori rete, è possibile integrarle con Microsoft Entra ID. Diversi partner, tra cui Akamai, Citrix, F5 Networks e Zscaler offrono soluzioni e linee guida per l'integrazione con Microsoft Entra ID.

Ottimizzazione dei costi

I prezzi di Microsoft Entra vanno da gratuito, per funzionalità come SSO e MFA, a Premium P2, per funzionalità come PIM e Entitlement Management. Per informazioni dettagliate sui prezzi, vedere Prezzi di Microsoft Entra.

Passaggi successivi

• Sicurezza Zero Trust
• Guida alla distribuzione Zero Trust per Microsoft Entra ID
• Panoramica del pilastro per la sicurezza
• Tenant demo di Microsoft Entra (richiede un account Microsoft Partner Network) o una versione di valutazione gratuita di Enterprise Mobility + Security
• Piani di distribuzione di Microsoft Entra

Risorse correlate

• Architettura di riferimento di Azure IoT
• Considerazioni sulla sicurezza per le app IaaS (Infrastructure as a Service) estremamente sensibili in Azure