Controllo di sicurezza V2: Gestione delle identità
Nota
Il benchmark di sicurezza di Azure più aggiornato è disponibile qui.
Identity Management descrive i controlli per stabilire un'identità sicura e i controlli di accesso tramite Azure Active Directory. Sono inclusi l'uso dell'accesso Single Sign-On, delle autenticazioni complesse, delle identità gestite (e delle entità servizio) per le applicazioni, l'accesso condizionale e il monitoraggio delle anomalie degli account.
Per visualizzare le Criteri di Azure predefinite applicabili, vedere Dettagli dell'iniziativa predefinita Conformità alle normative di Azure Security Benchmark: Identity Management
IM-1: Standardizzare Azure Active Directory come sistema di identità e autenticazione centrale
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD) è il servizio di gestione delle identità e degli accessi predefinito di Azure. È consigliabile standardizzare in Azure AD per gestire la gestione delle identità e degli accessi dell'organizzazione in:
Risorse cloud Microsoft, come il portale di Azure, Archiviazione di Azure, Macchine virtuali di Azure (Linux e Windows), Azure Key Vault, PaaS e applicazioni SaaS.
Risorse dell'organizzazione, come le applicazioni in Azure o le risorse della rete aziendale.
La protezione di Azure AD deve essere una priorità elevata nella procedura di sicurezza del cloud dell'organizzazione. Azure AD offre un punteggio di sicurezza delle identità che consente di valutare il comportamento di sicurezza delle identità in relazione alle raccomandazioni sulle procedure consigliate di Microsoft. Usare il punteggio per misurare la precisione con cui la configurazione aderisce alle raccomandazioni delle procedure consigliate e per migliorare il comportamento di sicurezza.
Nota: Azure AD supporta provider di identità esterni, che consentono agli utenti che non hanno un account Microsoft di accedere alle proprie applicazioni e risorse con l'identità esterna.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (Altre informazioni):
IM-2: Gestire le identità dell'applicazione in modo sicuro e automatico
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| IM-2 | N/D | AC-2, AC-3, IA-2, IA-4, IA-9 |
Per gli account non umani, ad esempio servizi o automazione, usare le identità gestite di Azure, anziché creare un account umano più potente per accedere alle risorse o eseguire codice. Le identità gestite di Azure possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione di Azure AD. L'autenticazione viene abilitata tramite regole di concessione di accesso predefinite, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.
Per i servizi che non supportano le identità gestite, usare Azure AD per creare un'entità servizio con autorizzazioni limitate a livello di risorsa. È consigliabile configurare le entità servizio con le credenziali del certificato e eseguire il fallback ai segreti client. In entrambi i casi, Azure Key Vault può essere usato insieme alle identità gestite di Azure, in modo che l'ambiente di runtime (ad esempio una funzione di Azure) possa recuperare le credenziali dall'insieme di credenziali delle chiavi.
Usare Azure Key Vault per la registrazione dell'entità di sicurezza: autenticazione#authorize-a-security-principal-to-access-key-vault
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (Altre informazioni):
IM-3: Usare l'accesso Single Sign-On (SSO) di Azure per accedere alle applicazioni
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| IM-3 | 4.4 | IA-2, IA-4 |
Azure AD offre la gestione delle identità e degli accessi alle risorse di Azure, alle applicazioni cloud e alle applicazioni locali. La gestione delle identità e degli accessi si applica alle identità aziendali, ad esempio i dipendenti, nonché le identità esterne, ad esempio partner, fornitori e fornitori.
Usare l'accesso Single Sign-On (SSO) di Azure AD per gestire e proteggere l'accesso ai dati e alle risorse dell'organizzazione in locale e nel cloud. Connettere tutti gli utenti, le applicazioni e i dispositivi ad Azure AD per ottenere un accesso facile, sicuro e maggiore visibilità e controllo.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (Altre informazioni):
IM-4: Usare i controlli di autenticazione avanzata per tutti gli accessi basati su Azure Active Directory
| ID di Azure | CIS Controls v7.1 ID(s) | ID NIST SP 800-53 r4 |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD supporta controlli di autenticazione avanzata tramite multi-factor authentication (MFA) e metodi sicuri senza password.
Autenticazione a più fattori: abilitare Azure AD MFA e seguire le indicazioni nel controllo di sicurezza "Abilita MFA" di Centro sicurezza di Azure. L'autenticazione a più fattori può essere applicata a tutti gli utenti, selezionare gli utenti o a livello di utente in base alle condizioni di accesso e ai fattori di rischio.
Autenticazione senza password: sono disponibili tre opzioni di autenticazione senza password: Windows Hello for Business, app Microsoft Authenticator e metodi di autenticazione locali, ad esempio le smart card.
Per gli utenti con privilegi e amministratori, assicurarsi che venga usato il livello più elevato del metodo di autenticazione avanzata, seguito dall'implementazione dei criteri di autenticazione avanzata appropriati ad altri utenti.
Se l'autenticazione basata su password legacy è ancora usata per l'autenticazione di Azure AD, tenere presente che gli account solo cloud (account utente creati direttamente in Azure) dispongono di un criterio password di base predefinito. E gli account ibridi (account utente provenienti da Active Directory locale) seguono i criteri delle password locali. Quando si usa l'autenticazione basata su password, Azure AD offre una funzionalità di protezione password che impedisce agli utenti di impostare password facili da indovinare. Microsoft fornisce un elenco globale di password escluse che vengono aggiornate in base ai dati di telemetria e i clienti possono aumentare l'elenco in base alle proprie esigenze ,ad esempio personalizzazione, riferimenti culturali e così via. Questa protezione password può essere usata per gli account ibridi e solo cloud.
Nota: l'autenticazione basata solo sulle credenziali password è soggetta a metodi di attacco comuni. Per una maggiore sicurezza, usare l'autenticazione avanzata, ad esempio MFA e criteri password sicuri. Per le applicazioni di terze parti e i servizi del marketplace che potrebbero avere password predefinite, è necessario modificarle durante la configurazione iniziale del servizio.
Introduzione alle opzioni di autenticazione senza password per Azure Active Directory
Eliminare le password non valide usando la funzionalità di protezione password di Azure AD
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (Altre informazioni):
IM-5: Monitorare e segnalare le anomalie degli account
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD fornisce le origini dati seguenti:
Accessi: il report degli accessi fornisce informazioni sull'uso delle applicazioni gestite e sulle attività di accesso degli utenti.
Log di controllo: fornisce la tracciabilità tramite log per tutte le modifiche apportate tramite varie funzionalità in Azure AD. Alcuni esempi di log di controllo delle modifiche registrati includono l'aggiunta o la rimozione di utenti, app, gruppi, ruoli e criteri.
Accessi a rischio. Un accesso rischioso è indicativo di un tentativo di accesso che potrebbe essere stato eseguito da qualcuno che non è il legittimo proprietario di un account utente.
Utenti contrassegnati per il rischio. Un utente rischioso è indicativo di un account utente che potrebbe essere stato compromesso.
Queste origini dati possono essere integrate con i sistemi SIEM di Monitoraggio di Azure, Azure Sentinel o di terze parti.
Centro sicurezza di Azure può anche avvisare alcune attività sospette, ad esempio un numero eccessivo di tentativi di autenticazione non riusciti e account deprecati nella sottoscrizione.
Microsoft Defender per identità è una soluzione di sicurezza che può usare segnali Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni insider dannose.
Come identificare gli utenti di Azure AD contrassegnati per le attività rischiose
Come monitorare l'identità e le attività di accesso degli utenti nel Centro sicurezza di Azure
Avvisi nei piani di Centro sicurezza di Azure e Azure Defender
Come integrare i log attività di Azure in Monitoraggio di Azure
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
IM-6: Limitare l'accesso alle risorse di Azure in base alle condizioni
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IM-6 | N/D | AC-2, AC-3 |
Usare l'accesso condizionale di Azure AD per un controllo di accesso più granulare in base alle condizioni definite dall'utente, ad esempio richiedere l'accesso utente da determinati intervalli IP per l'uso dell'autenticazione a più fattori. Una gestione granulare delle sessioni di autenticazione può essere usata anche tramite criteri di accesso condizionale di Azure AD per casi d'uso diversi.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
IM-7: Eliminare l'esposizione non intenzionale delle credenziali
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implementare Azure DevOps Credential Scanner per identificare le credenziali all'interno del codice. Lo scanner delle credenziali incoraggia anche lo spostamento delle credenziali individuate in posizioni più sicure, ad esempio Azure Key Vault.
Per GitHub è possibile usare la funzionalità di analisi dei segreti nativa per identificare le credenziali o altre forme di segreti all'interno del codice.
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):
IM-8: proteggere l'accesso utente alle applicazioni legacy
| ID di Azure | CONTROLLI CIS v7.1 ID | ID R4 NIST SP 800-53 |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Assicurarsi di disporre di controlli di accesso moderni e di monitoraggio delle sessioni per le applicazioni legacy e i dati archiviati e elaborati. Anche se le VPN vengono comunemente usate per accedere alle applicazioni legacy, spesso hanno solo il controllo di accesso di base e il monitoraggio limitato della sessione.
Azure AD Application Proxy consente di pubblicare applicazioni locali legacy agli utenti remoti con Single Sign-On (SSO) convalidando in modo esplicito la attendibilità di utenti e dispositivi remoti con Accesso condizionale di Azure AD.
In alternativa, Microsoft Defender for Cloud Apps è un servizio CASB (Cloud Access Security Broker) che può fornire controlli per monitorare le sessioni dell'applicazione di un utente e le azioni di blocco (sia per le applicazioni locali legacy che per le applicazioni cloud as a service).
Responsabilità: Customer
Stakeholder della sicurezza dei clienti (altre informazioni):