Baseline di sicurezza di Azure per Azure Active Directory

Questa baseline di sicurezza applica indicazioni da Azure Security Benchmark versione 2.0 ad Azure Active Directory. Azure Security Benchmark offre consigli sulla protezione delle soluzioni cloud in Azure. Il contenuto è raggruppato in base ai controlli di sicurezza definiti da Azure Security Benchmark e dalle linee guida correlate applicabili ad Azure Active Directory.

Quando una funzionalità include definizioni di Criteri di Azure pertinenti elencate in questa baseline, per misurare la conformità ai controlli e alle raccomandazioni di Azure Security Benchmark. Alcuni consigli potrebbero richiedere un piano di Microsoft Defender a pagamento per abilitare determinati scenari di sicurezza.

Nota

Sono stati esclusi i controlli non applicabili ad Azure Active Directory e a quelli per i quali è consigliato il materiale sussidiario globale. Per informazioni sul mapping completo di Azure Active Directory a Azure Security Benchmark, vedere il file completo di mapping della baseline di sicurezza di Azure Active Directory.

Sicurezza di rete

Per altre informazioni, vedere Azure Security Benchmark: Sicurezza di rete.

Sicurezza di rete 6: Semplificare le regole di sicurezza di rete

Indicazioni: usare i tag del servizio di Azure Rete virtuale per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o Firewall di Azure configurati per le risorse di Azure Active Directory. È possibile usare tag di servizio invece di indirizzi IP specifici nella creazione di regole di sicurezza. Specificando il nome del tag del servizio, ad esempio "AzureActiveDirectory" nel campo di origine o di destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente. I prefissi di indirizzo inclusi nel tag di servizio sono gestiti da Microsoft, che lo aggiorna automaticamente in caso di modifica degli indirizzi.

Responsabilità: Customer

Sicurezza di rete 7: Proteggere il servizio DNS (Domain Name Service)

Indicazioni: Azure Active Directory non espone le configurazioni DNS sottostanti; queste impostazioni vengono gestite da Microsoft.

Responsabilità: Microsoft

Identity Management

Per altre informazioni, vedere Azure Security Benchmark: Gestione delle identità.

IM-1: Standardizzare Azure Active Directory come sistema di identità e autenticazione centrale

Indicazioni: usare Azure Active Directory (Azure AD) come servizio di gestione delle identità e degli accessi predefinito. È consigliabile standardizzare Azure AD per gestire l'identità e la gestione degli accessi dell'organizzazione in:

  • Risorse cloud Microsoft, ad esempio le applicazioni portale di Azure, Archiviazione di Azure, Macchina virtuale di Azure (Linux e Windows), Azure Key Vault, PaaS e SaaS.
  • Risorse dell'organizzazione, come le applicazioni in Azure o le risorse della rete aziendale.

La protezione di Azure AD deve essere una priorità nella procedura di sicurezza del cloud dell'organizzazione. Azure AD offre un punteggio di sicurezza delle identità che consente di valutare il comportamento di sicurezza delle identità rispetto alle procedure consigliate di Microsoft. Usare il punteggio per misurare in che modo la configurazione aderisce alle procedure consigliate e per apportare miglioramenti al comportamento di sicurezza.

Nota: Azure AD supporta l'identità esterna che consente agli utenti senza un account Microsoft di accedere alle applicazioni e alle risorse con la propria identità esterna.

Responsabilità: Customer

IM-2: Gestire le identità dell'applicazione in modo sicuro e automatico

Indicazioni: usare l'identità gestita per le risorse di Azure per account non umani, ad esempio servizi o automazione, è consigliabile usare la funzionalità di identità gestita da Azure invece di creare un account umano più potente per accedere o eseguire le risorse. È possibile eseguire l'autenticazione in modo nativo a servizi/risorse di Azure che supportano l'autenticazione di Azure Active Directory (Azure AD) tramite una regola di concessione di accesso predefinita senza usare credenziali hardcoded nel codice sorgente o nei file di configurazione. Non è possibile assegnare identità gestite di Azure alle risorse di Azure AD, ma Azure AD è il meccanismo per l'autenticazione con le identità gestite assegnate alle risorse di altri servizi.

Responsabilità: Customer

IM-3: Usare l'accesso Single Sign-On (SSO) di Azure per accedere alle applicazioni

Indicazioni: usare Azure Active Directory per fornire la gestione delle identità e degli accessi alle risorse di Azure, alle applicazioni cloud e alle applicazioni locali. Sono incluse le identità aziendali, ad esempio i dipendenti, nonché le identità esterne come partner e fornitori. Ciò consente all'accesso Single Sign-On (SSO) di gestire e proteggere l'accesso ai dati e alle risorse dell'organizzazione in locale e nel cloud. Connettere tutti gli utenti, le applicazioni e i dispositivi ad Azure AD per un accesso facile e sicuro e maggior visibilità e controllo.

Responsabilità: Customer

Accesso con privilegi

Per altre informazioni, vedere Azure Security Benchmark: Accesso con privilegi.

PA-1: Proteggere e limitare gli utenti con privilegi elevati

Indicazioni: i ruoli predefiniti più critici sono l'amministratore globale di Azure AD e l'amministratore dei ruoli con privilegi, in quanto gli utenti assegnati a questi due ruoli possono delegare i ruoli di amministratore:

  • Amministratore globale: gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Azure AD, nonché ai servizi che usano le identità di Azure AD.

  • Amministratore ruolo con privilegi: gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Azure AD, nonché in Azure AD Privileged Identity Management (PIM). Questo ruolo consente inoltre la gestione di tutti gli aspetti di PIM e delle unità amministrative.

Nota: potrebbe essere necessario avere altri ruoli critici che devono essere regolati se si usano ruoli personalizzati con determinate autorizzazioni con privilegi assegnati. È anche possibile applicare controlli simili all'account amministratore di asset aziendali critici.

Azure AD ha account con privilegi elevati: gli utenti e le entità servizio assegnati direttamente o indirettamente a o idonei per i ruoli di amministratore globale o di amministratore ruolo con privilegi e altri ruoli con privilegi elevati in Azure AD e Azure.

Limitare il numero di account con privilegi elevati e proteggere questi account a un livello elevato perché gli utenti con questo privilegio possono leggere o indirettamente e modificare ogni risorsa nell'ambiente Azure.

È possibile abilitare l'accesso con privilegi just-in-time (JIT) alle risorse di Azure e ad Azure AD usando Azure AD Privileged Identity Management (PIM). JIT concede autorizzazioni temporanee per eseguire attività con privilegi solo quando gli utenti ne hanno la necessità. PIM può inoltre generare avvisi di sicurezza in caso di attività sospette o non sicure nell'organizzazione Azure AD.

Responsabilità: Customer

PA-3: Esaminare e riconciliare regolarmente gli accessi utente

Indicazioni: esaminare regolarmente le assegnazioni di accesso all'account utente per assicurarsi che gli account e il relativo accesso siano validi, in particolare per i ruoli con privilegi elevati, tra cui Amministratore globale e Amministratore ruolo con privilegi. È possibile usare le verifiche di accesso di Azure Active Directory (Azure AD) per esaminare le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo, sia per i ruoli di Azure AD che per i ruoli di Azure. I report di Azure AD possono fornire log per individuare gli account non aggiornati. È anche possibile usare Azure AD Privileged Identity Management per creare un flusso di lavoro del report di revisione di accesso per facilitare il processo di revisione.

Inoltre, Azure Privileged Identity Management può anche essere configurato per avvisare quando viene creato un numero eccessivo di account amministratore e per identificare gli account amministratore non aggiornati o configurati in modo non corretto.

Responsabilità: Customer

PA-6: Usare le workstation con accesso con privilegi

Linee guida: le workstation protette e isolate sono di fondamentale importanza per la sicurezza dei ruoli sensibili, ad esempio amministratori, sviluppatori e operatori di servizi critici. Usare workstation utente altamente protette e/o Azure Bastion per le attività amministrative. Usare Azure Active Directory, Microsoft Defender Advanced Threat Protection (ATP) e/o Microsoft Intune per distribuire una workstation utente protetta e gestita per le attività amministrative. Le workstation protette possono essere gestite centralmente per applicare una configurazione sicura che include l'autenticazione avanzata, le baseline software e hardware, l'accesso logico e di rete limitato.

Responsabilità: Customer

7\. Applicare all'amministrazione il principio dei privilegi minimi

Indicazioni: i clienti possono configurare la distribuzione di Azure Active Directory (Azure AD) per privilegi minimi assegnando agli utenti i ruoli con le autorizzazioni minime necessarie per completare le attività amministrative.

Responsabilità: Customer

PA-8: scegliere il processo di approvazione per il supporto Tecnico Microsoft

Indicazioni: Azure Active Directory non supporta customer lockbox. Microsoft può collaborare con i clienti tramite metodi non lockbox per l'approvazione per accedere ai dati dei clienti.

Responsabilità: Condiviso

Protezione dei dati

Per altre informazioni, vedere Azure Security Benchmark: Protezione dei dati.

DP-2: Proteggere i dati sensibili

Indicazioni: prendere in considerazione le indicazioni seguenti per implementare la protezione dei dati sensibili:

  • Isolamento: Una directory è il limite di dati in base al quale i servizi di Azure Active Directory (Azure AD) archiviano e elaborano i dati per un cliente. I clienti devono determinare dove vogliono che la maggior parte dei dati dei clienti di Azure AD si trovi impostando la proprietà Country nella directory.

  • Segmentazione: Il ruolo dell'amministratore globale ha il controllo completo di tutti i dati della directory e le regole che regolano l'accesso e le istruzioni di elaborazione. Una directory può essere segmentata in unità amministrative e sottoposto a provisioning con utenti e gruppi da gestire dagli amministratori di tali unità, gli amministratori globali possono delegare responsabilità ad altri principi nella propria organizzazione assegnandoli a ruoli o ruoli personalizzati predefiniti che possono creare.

  • Accesso: Le autorizzazioni possono essere applicate a un utente, a un gruppo, a un ruolo, a un'applicazione o a un dispositivo. L'assegnazione può essere permanente o temporale per ogni Privileged Identity Management configurazione.

  • Crittografia: Azure AD crittografa tutti i dati inattivi o in transito. L'offerta non consente ai clienti di crittografare i dati della directory con la propria chiave di crittografia.

Per determinare il modo in cui il paese selezionato esegue il mapping alla posizione fisica della directory, vedere l'articolo "Where is your data located".

Poiché il cliente usa vari strumenti, funzionalità e applicazioni di Azure AD che interagiscono con la propria directory, usare l'articolo Azure Active Directory - Dove si trovano i dati?

Responsabilità: Customer

DP-4: Crittografare le informazioni sensibili in transito

Indicazioni: per integrare i controlli di accesso, i dati in transito devono essere protetti dagli attacchi "fuori banda" (ad esempio l'acquisizione del traffico) usando la crittografia per garantire che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.

Azure AD supporta la crittografia dei dati in transito con TLS v1.2 o versione successiva.

Sebbene ciò sia facoltativo per il traffico nelle reti private, è fondamentale per il traffico nelle reti esterne e pubbliche. Per il traffico HTTP, assicurarsi che tutti i client che si connettono alle risorse di Azure possano negoziare TLS v1.2 o versione successiva. Per la gestione remota, usare SSH (per Linux) o RDP/TLS (per Windows) invece di un protocollo non crittografato. Le versioni e i protocolli SSH obsoleti di SSL, TLS e SSH e le crittografia deboli devono essere disabilitate.

Per impostazione predefinita, Azure fornisce la crittografia per i dati in transito tra i data center di Azure.

Responsabilità: Customer

DP-5: Crittografare i dati sensibili inattivi

Indicazioni: per integrare i controlli di accesso, Azure AD crittografa i dati inattivi per proteggere da attacchi "fuori banda" (ad esempio l'accesso all'archiviazione sottostante) usando la crittografia. Ciò consente di garantire che gli utenti malintenzionati non possano leggere o modificare facilmente i dati.

Responsabilità: Microsoft

Asset Management (Gestione degli asset)

Per altre informazioni, vedere Azure Security Benchmark: Gestione delle risorse.

AM-1: assicurarsi che il team di sicurezza abbia visibilità dei rischi per gli asset

Linee guida: assicurarsi che i team di sicurezza abbiano le autorizzazioni di lettura della sicurezza nel tenant e nelle sottoscrizioni di Azure in modo che possano monitorare i rischi di sicurezza usando Microsoft Defender for Cloud.

A seconda del modo in cui le responsabilità del team di sicurezza sono strutturate, il monitoraggio per i rischi per la sicurezza potrebbe essere la responsabilità di un team di sicurezza centrale o di un team locale. Fatta questa premessa, le informazioni e i rischi per la sicurezza devono sempre essere aggregati in una posizione centralizzata all'interno di un'organizzazione.

Le autorizzazioni di lettura per la sicurezza possono essere applicate su larga scala a un intero tenant (gruppo di gestione radice) oppure a gruppi di gestione o a sottoscrizioni specifiche.

Nota: potrebbero essere necessarie anche altre autorizzazioni per ottenere visibilità sui carichi di lavoro e i servizi.

Responsabilità: Customer

Registrazione e rilevamento delle minacce

Per altre informazioni, vedere Azure Security Benchmark: Registrazione e rilevamento delle minacce.

LT-1: Abilitare il rilevamento delle minacce per le risorse di Azure

Indicazioni: usare la funzionalità di rilevamento delle minacce predefinita di Azure Active Directory (Azure AD) Identity Protection per le risorse di Azure AD.

Azure AD produce log attività che vengono spesso usati per il rilevamento delle minacce e la ricerca delle minacce. I log di accesso di Azure AD forniscono un record di attività di autenticazione e autorizzazione per utenti, servizi e app. I log di controllo di Azure AD tengono traccia delle modifiche apportate a un tenant di Azure AD, incluse le modifiche che migliorano o riducono il comportamento di sicurezza.

Responsabilità: Customer

LT-2: Abilitare il rilevamento delle minacce per la gestione delle identità e degli accessi di Azure

Indicazioni: Azure Active Directory (Azure AD) fornisce i log utente seguenti che possono essere visualizzati in Report di Azure AD o integrati con Monitoraggio di Azure, Azure Sentinel o altri strumenti di monitoraggio SIEM/monitoraggio per casi d'uso più sofisticati:

  • Accessi: il report degli accessi fornisce informazioni sull'uso delle applicazioni gestite e sulle attività di accesso degli utenti.
  • Log di controllo: i log consentono la tracciabilità di tutte le modifiche apportate da varie funzionalità all'interno di Azure AD. I log di controllo registrano, ad esempio, le modifiche apportate a qualsiasi risorsa di Azure AD, ad esempio l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri.
  • Accessi a rischio. Un accesso rischioso è indicativo di un tentativo di accesso che potrebbe essere stato eseguito da qualcuno che non è il legittimo proprietario di un account utente.
  • Utenti rischiosi: un utente rischioso è un indicatore per un account utente che potrebbe essere stato compromesso.

I rilevamenti dei rischi di Identity Protection sono abilitati per impostazione predefinita e non richiedono alcun processo di onboarding. La granularità o i dati sui rischi sono determinati dallo SKU di licenza.

Responsabilità: Customer

LT-4: Abilitare la registrazione per le risorse di Azure

Indicazioni: Azure Active Directory (Azure AD) produce i log attività. A differenza di alcuni servizi di Azure, Azure AD non fa una distinzione tra i log attività e risorse. I log attività sono disponibili automaticamente nella sezione Azure AD della portale di Azure e possono essere esportati in Monitoraggio di Azure, Hub eventi di Azure, Archiviazione di Azure, SIEMs e altre posizioni.

  • Accessi: il report degli accessi fornisce informazioni sull'uso delle applicazioni gestite e sulle attività di accesso degli utenti.

  • Log di controllo: i log consentono la tracciabilità di tutte le modifiche apportate da varie funzionalità all'interno di Azure AD. I log di controllo registrano, ad esempio, le modifiche apportate a qualsiasi risorsa di Azure AD, ad esempio l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri.

Azure AD offre anche log correlati alla sicurezza che possono essere visualizzati in Report di Azure AD o integrati con Monitoraggio di Azure, Azure Sentinel o altri strumenti di monitoraggio SIEM/monitoraggio per casi d'uso più sofisticati di monitoraggio e analisi:

  • Accessi a rischio. Un accesso rischioso è indicativo di un tentativo di accesso che potrebbe essere stato eseguito da qualcuno che non è il legittimo proprietario di un account utente.
  • Utenti rischiosi: un utente rischioso è un indicatore per un account utente che potrebbe essere stato compromesso.

I rilevamenti dei rischi di Identity Protection sono abilitati per impostazione predefinita e non richiedono alcun processo di onboarding. La granularità o i dati sui rischi sono determinati dallo SKU di licenza.

Responsabilità: Customer

LT-5: Centralizzare la gestione e l'analisi dei log di sicurezza

Linee guida: è consigliabile usare le linee guida seguenti quando i clienti vogliono centralizzare i log di sicurezza per semplificare l'analisi del comportamento di ricerca e sicurezza delle minacce:

  • Centralizzare l'archiviazione e l'analisi della registrazione per abilitare la correlazione. Per ogni origine log all'interno di Azure AD, assicurarsi di aver assegnato un proprietario dei dati, linee guida per l'accesso, percorso di archiviazione, strumenti usati per elaborare e accedere ai dati e ai requisiti di conservazione dei dati.

  • Assicurarsi di integrare i log attività di Azure nella registrazione centrale. Inserire i log tramite Monitoraggio di Azure per aggregare i dati di sicurezza generati da dispositivi endpoint, risorse di rete e altri sistemi di sicurezza. In Monitoraggio di Azure usare aree di lavoro Log Analytics per eseguire query ed eseguire analisi e usare gli account di archiviazione di Azure per archiviazione a lungo termine e archiviazione.

  • Inoltre, abilitare ed eseguire l'onboarding dei dati in Azure Sentinel o in un siem di terze parti.

Molte organizzazioni scelgono di usare Azure Sentinel per i dati "ad accesso frequente" usati di frequente e Archiviazione di Azure per i dati "a freddo" usati meno frequentemente.

Responsabilità: Customer

LT-6: Configurare la conservazione dell'archiviazione dei log

Indicazioni: assicurarsi che tutti gli account di archiviazione o le aree di lavoro log di Log Analytics usati per archiviare i log di accesso di Azure Active Directory, i log di controllo e i log dei dati di rischio hanno il periodo di conservazione dei log impostato in base alle normative di conformità dell'organizzazione.

In Monitoraggio di Azure è possibile impostare il periodo di conservazione dell'area di lavoro Log Analytics in base alle normative di conformità dell'organizzazione. Usare Archiviazione di Azure, Data Lake o Account dell'area di lavoro Log Analytics per l'archiviazione a lungo termine e l'archiviazione.

Responsabilità: Customer

LT-7: Usare le origini di sincronizzazione temporale approvate

Indicazioni: Azure Active Directory (Azure AD) non supporta la configurazione delle origini di sincronizzazione del tempo. Il servizio Azure AD si basa su origini di sincronizzazione tempo Microsoft e non viene esposto ai clienti per la configurazione.

Responsabilità: Microsoft

Gestione del comportamento e della vulnerabilità

Per altre informazioni, vedere Azure Security Benchmark: Gestione del comportamento e della vulnerabilità.

PV-1: Definire configurazioni sicure per i servizi di Azure

Indicazioni: le soluzioni di gestione delle identità e degli accessi Microsoft consentono all'IT di proteggere l'accesso alle applicazioni e alle risorse in locale e nel cloud. È importante che le organizzazioni seguono le procedure consigliate per la sicurezza per garantire che l'implementazione della gestione delle identità e dell'accesso sia sicura e più resiliente agli attacchi.

In base alla strategia di implementazione della gestione delle identità e degli accessi, l'organizzazione deve seguire le indicazioni consigliate per proteggere l'infrastruttura delle identità.

Le organizzazioni che collaborano con i partner esterni devono inoltre valutare e implementare configurazioni di governance, sicurezza e conformità appropriate per ridurre i rischi di sicurezza e proteggere le risorse sensibili.

Responsabilità: Customer

PV-2: Supportare le configurazioni sicure per i servizi di Azure

Indicazioni: Microsoft Secure Score fornisce alle organizzazioni una misurazione del comportamento di sicurezza e delle raccomandazioni che consentono di proteggere le organizzazioni dalle minacce. È consigliabile che le organizzazioni esaminino regolarmente il punteggio sicuro per le azioni di miglioramento suggerite per migliorare il comportamento di sicurezza delle identità.

Responsabilità: Customer

PV-8: Eseguire una simulazione di attacco regolare

Linee guida: come richiesto, eseguire test di penetrazione o attività di red team sulle risorse di Azure e garantire la correzione di tutti i risultati critici della sicurezza. Attenersi alle regole di partecipazione dei test di penetrazione del cloud Microsoft per assicurarsi che i test di penetrazione non violino i criteri Microsoft. Usare la strategia di Microsoft e le attività di red team e i test di penetrazione di siti live nell'infrastruttura cloud, nei servizi e nelle applicazioni gestiti da Microsoft.

Responsabilità: Condiviso

Passaggi successivi