Ambiente Amministrazione sicurezza avanzata
L'architettura ESAE (Enhanced Security Amministrazione Environment) (spesso definita foresta rossa, foresta amministrativa o foresta avanzata) è un approccio legacy per fornire un ambiente sicuro per le identità di amministratore di Windows Server Active Directory (AD).
La raccomandazione di Microsoft di usare questo modello di architettura è stata sostituita dalla moderna strategia di accesso con privilegi e dalle linee guida per il piano di modernizzazione rapida (RAMP) come approccio consigliato predefinito per la protezione degli utenti con privilegi. Queste linee guida devono essere incluse nell'adattamento di una strategia più ampia per passare a un'architettura Zero Trust. Data queste strategie modernizzate, l'architettura della foresta amministrativa avanzata esae (locale o basata sul cloud) è ora considerata una configurazione personalizzata adatta solo per i casi di eccezione.
Scenari per l'uso continuo
Anche se non è più un'architettura consigliata, ESAE (o singoli componenti) può comunque essere valido in un set limitato di scenari esentati. In genere, questi ambienti locali sono isolati in cui i servizi cloud potrebbero non essere disponibili. Questo scenario può includere un'infrastruttura critica o altri ambienti di tecnologia operativa disconnessa ( OT). Tuttavia, si noti che i segmenti di controllo industriale/controllo di supervisione e acquisizione dati (ICS/SCADA) dell'ambiente non utilizzano in genere la propria distribuzione di Active Directory.
Se l'organizzazione si trova in uno di questi scenari, la gestione di un'architettura ESAE attualmente distribuita può comunque essere valida. Tuttavia, è necessario comprendere che l'organizzazione comporta un rischio aggiuntivo a causa della maggiore complessità tecnica e dei costi operativi per la gestione di ESAE. Microsoft consiglia a qualsiasi organizzazione di usare ESAE o altri controlli di sicurezza delle identità legacy, applicare rigore aggiuntivo per monitorare, identificare e attenuare eventuali rischi associati.
Nota
Anche se Microsoft non consiglia più un modello di foresta con protezione avanzata isolata per la maggior parte degli scenari nella maggior parte degli scenari, Microsoft gestisce ancora un'architettura simile internamente (e i processi di supporto associati e il personale) a causa dei requisiti di sicurezza estremi per fornire servizi cloud attendibili alle organizzazioni in tutto il mondo.
Linee guida per le distribuzioni esistenti
Per i clienti che hanno già distribuito questa architettura per migliorare la sicurezza e/o semplificare la gestione di più foreste, non è necessario ritirare o sostituire un'implementazione ESAE se viene gestita come progettato e previsto. Come per tutti i sistemi aziendali, è necessario mantenere il software in esso applicando gli aggiornamenti della sicurezza e assicurando che il software sia all'interno del ciclo di vita del supporto.
Microsoft consiglia anche alle organizzazioni con foreste ESAE/con protezione avanzata di adottare la strategia moderna di accesso con privilegi usando le linee guida per il piano di modernizzazione rapida (RAMP). Queste linee guida completano un'implementazione ESAE esistente e forniscono la sicurezza appropriata per i ruoli non già protetti da ESAE, tra cui Microsoft Entra Global Amministrazione istrators, utenti aziendali sensibili e utenti aziendali standard. Per altre informazioni, vedere l'articolo Protezione dei livelli di sicurezza degli accessi con privilegi.
Quando ESAE è stato originariamente progettato più di 10 anni fa, l'attenzione era ambienti locali con Active Directory (AD) che funge da provider di identità locale. Questo approccio legacy si basa su tecniche di macro-segmentazione per ottenere privilegi minimi e non tiene conto adeguatamente degli ambienti ibridi o basati sul cloud. Inoltre, esae e implementazioni di foreste con protezione avanzata si concentrano solo sulla protezione degli amministratori di Active Directory di Windows Server locali (identità) e non tenere conto dei controlli delle identità con granularità fine e di altre tecniche contenute nei pilastri rimanenti di un'architettura zero-trust moderna. Microsoft ha aggiornato la raccomandazione alle soluzioni basate sul cloud perché possono essere distribuite più rapidamente per proteggere un ambito più ampio di ruoli e sistemi amministrativi e sensibili all'azienda. Inoltre, sono meno complessi, scalabili e richiedono meno investimenti in capitale da mantenere.
Nota
Anche se ESAE non è più consigliato nella sua interezza, Microsoft si rende conto che molti singoli componenti contenuti in esso sono definiti come buone igiene informatica (ad esempio, workstation con accesso con privilegi dedicati). La deprecazione di ESAE non è destinata a spingere le organizzazioni ad abbandonare buone pratiche di igiene informatica, solo per rafforzare strategie di architettura aggiornate per la protezione delle identità privilegiate.
Esempi di buone pratiche di igiene informatica in ESAE applicabili alla maggior parte delle organizzazioni
- Uso di workstation con accesso con privilegi (WORKSTATION) per tutte le attività amministrative
- Applicazione dell'autenticazione a più fattori o basata su token per le credenziali amministrative anche se non viene ampiamente usata in tutto l'ambiente
- Applicazione del modello con privilegi minimi Amministrazione istrative tramite una valutazione regolare dell'appartenenza a gruppi/ruoli (applicata da criteri aziendali sicuri)
Procedura consigliata per la protezione di Active Directory locale
Come descritto in Scenari per l'uso continuo, potrebbero verificarsi circostanze in cui la migrazione cloud non è raggiungibile (parzialmente o completa) a causa di circostanze diverse. Per queste organizzazioni, se non hanno già un'architettura ESAE esistente, Microsoft consiglia di ridurre la superficie di attacco di AD locale aumentando il rigore della sicurezza per Active Directory e le identità con privilegi. Anche se non è un elenco completo, prendere in considerazione le raccomandazioni ad alta priorità seguenti.
- Usare un approccio a livelli che implementa un modello amministrativo con privilegi minimi:
- Applicare privilegi minimi assoluti.
- Individuare, esaminare e controllare le identità con privilegi (forte legame con i criteri dell'organizzazione).
- La concessione eccessiva dei privilegi è uno dei problemi più identificati negli ambienti valutati.
- Autenticazione a più fattori per gli account amministrativi (anche se non ampiamente usata in tutto l'ambiente).
- Ruoli con privilegi basati sul tempo (ridurre gli account eccessivi, rafforzare i processi di approvazione).
- Abilitare e configurare tutto il controllo disponibile per le identità con privilegi (notifica di abilitazione/disabilitazione, reimpostazione della password e altre modifiche).
- Usare workstation con accesso con privilegi :Use Privileged Access Workstations (PAWs):
- Non amministrare workstation PAW da un host meno attendibile.
- Usare MFA per l'accesso alle workstation PAW.
- Non dimenticare la sicurezza fisica.
- Assicurarsi sempre che le workstation PAW eseguano i sistemi operativi più recenti e/o attualmente supportati.
- Comprendere i percorsi di attacco e gli account ad alto rischio/applicazioni:
- Classificare in ordine di priorità il monitoraggio delle identità e dei sistemi che rappresentano il maggior rischio (obiettivi di opportunità/impatto elevato).
- Eliminare il riutilizzo delle password, inclusi i limiti del sistema operativo (tecnica comune di spostamento laterale).
- Applicare criteri che limitano le attività che aumentano il rischio (esplorazione internet da workstation protette, account amministratore locale in più sistemi e così via).
- Ridurre le applicazioni in Active Directory/Controller di dominio (ogni applicazione aggiunta è una superficie di attacco aggiuntiva).
- Eliminare le applicazioni non necessarie.
- Spostare le applicazioni ancora in altri carichi di lavoro da /DC, se possibile.
- Backup non modificabile di Active Directory:
- Componente critico per il recupero da infezione ransomware.
- Pianificazione del backup regolare.
- Archiviato in una posizione basata sul cloud o fuori sede dettata dal piano di ripristino di emergenza.
- Eseguire una valutazione della sicurezza di Active Directory:
- La sottoscrizione di Azure è necessaria per visualizzare i risultati (dashboard di Log Analytics personalizzato).
- Offerte supportate dal tecnico Microsoft o su richiesta.
- Convalidare/identificare le linee guida della valutazione.
- Microsoft consiglia di eseguire valutazioni su base annuale.
Per indicazioni complete su questi consigli, vedere Le procedure consigliate per la protezione di Active Directory.
Consigli supplementari
Microsoft riconosce che alcune entità potrebbero non essere in grado di distribuire completamente un'architettura zero-trust basata sul cloud a causa di vincoli diversi. Alcuni di questi vincoli sono stati menzionati nella sezione precedente. Al posto di una distribuzione completa, le organizzazioni possono affrontare i rischi e fare progressi verso Zero-Trust mantenendo al tempo stesso le apparecchiature o le architetture legacy nell'ambiente. Oltre alle indicazioni indicate in precedenza, le funzionalità seguenti possono contribuire a rafforzare la sicurezza dell'ambiente e fungere da punto di partenza per l'adozione di un'architettura Zero-Trust.
Microsoft Defender per identità
Microsoft Defender per identità (MDI) (formalmente Azure Advanced Threat Protection o ATP) supporta l'architettura Microsoft Zero-Trust e si concentra sul pilastro dell'identità. Questa soluzione basata sul cloud usa i segnali provenienti sia da AD locale che da Microsoft Entra ID per identificare, rilevare e analizzare le minacce che coinvolgono le identità. MDI monitora questi segnali per identificare comportamenti anomali e dannosi da utenti ed entità. In particolare, MDI facilita la possibilità di visualizzare il percorso di un avversario di spostamento laterale evidenziando come un determinato account può essere usato se compromesso. Le funzionalità di analisi comportamentale e baseline utente di MDI sono elementi chiave per determinare l'attività anomala all'interno dell'ambiente AD.
Nota
Anche se MDI raccoglie i segnali da AD locale, richiede una connessione basata sul cloud.
Microsoft Defender per Internet delle cose (D4IoT)
Oltre ad altre indicazioni descritte in questo documento, le organizzazioni che operano in uno degli scenari indicati sopra potrebbero distribuire Microsoft Defender per IoT (D4IoT). Questa soluzione include un sensore di rete passivo (virtuale o fisico) che consente l'individuazione degli asset, la gestione dell'inventario e l'analisi del comportamento basata sui rischi per ambienti Internet delle cose (IoT) e tecnologia operativa (OT). Può essere distribuito in ambienti locali con larghezza di pagina o connessi al cloud e ha la capacità di eseguire un'ispezione approfondita dei pacchetti su oltre 100 protocolli di rete proprietari ICS/OT.
Passaggi successivi
Vedere gli articoli seguenti: