Accesso con privilegi: account
La sicurezza degli account è un componente fondamentale della protezione dell'accesso con privilegi. La sicurezza end-to-end di Zero Trust per le sessioni richiede che l'account usato nella sessione sia effettivamente sotto il controllo del proprietario umano e non di un utente malintenzionato che li rappresenta.
La sicurezza avanzata degli account inizia con il provisioning sicuro e la gestione completa del ciclo di vita attraverso il deprovisioning e ogni sessione deve stabilire forti garanzie che l'account non sia attualmente compromesso in base a tutti i dati disponibili, inclusi modelli di comportamento cronologici, intelligence sulle minacce disponibili e utilizzo nella sessione corrente.
Sicurezza dell'account
Queste linee guida definiscono tre livelli di sicurezza per la sicurezza degli account che è possibile usare per gli asset con livelli di riservatezza diversi:
Questi livelli stabiliscono profili di sicurezza chiari e implementabili appropriati per ogni livello di riservatezza che è possibile assegnare e aumentare rapidamente il numero di istanze dei ruoli. Tutti questi livelli di sicurezza degli account sono progettati per mantenere o migliorare la produttività per gli utenti limitando o eliminando l'interruzione dei flussi di lavoro degli utenti e degli amministratori.
Pianificazione della sicurezza degli account
Queste linee guida illustrano i controlli tecnici necessari per soddisfare ogni livello. Le linee guida per l'implementazione sono incluse nella roadmap per l'accesso con privilegi.
Controlli di sicurezza degli account
Per ottenere la sicurezza per le interfacce è necessaria una combinazione di controlli tecnici che proteggono gli account e forniscono segnali da usare in una decisione dei criteri Zero Trust (vedere Protezione delle interfacce per le informazioni di riferimento sulla configurazione dei criteri).
I controlli usati in questi profili includono:
- Autenticazione a più fattori: fornisce diverse fonti di prova che il (progettato per essere il più semplice possibile per gli utenti, ma difficile per un avversario da simulare).
- Rischio dell'account - Monitoraggio delle minacce e anomalie - Uso di UEBA e Intelligence per le minacce per identificare scenari rischiosi
- Monitoraggio personalizzato: per account più sensibili, definire in modo esplicito comportamenti consentiti/accettati/modelli consente il rilevamento anticipato di attività anomale. Questo controllo non è adatto per gli account per utilizzo generico nell'organizzazione perché questi account necessitano di flessibilità per i ruoli.
La combinazione di controlli consente anche di migliorare la sicurezza e l'usabilità, ad esempio un utente che rimane all'interno del modello normale (usando lo stesso dispositivo nello stesso giorno dopo il giorno) non deve essere richiesto all'esterno dell'autenticazione a più fattori ogni volta che eseguono l'autenticazione.
Account di sicurezza aziendali
I controlli di sicurezza per gli account aziendali sono progettati per creare una baseline sicura per tutti gli utenti e fornire una base sicura per la sicurezza specializzata e con privilegi:
Applicare l'autenticazione a più fattori avanzata (MFA): assicurarsi che l'utente sia autenticato con L'autenticazione a più fattori avanzata fornita da un sistema di identità gestito dall'organizzazione (descritto nel diagramma seguente). Per altre informazioni sull'autenticazione a più fattori, vedere Procedura consigliata per la sicurezza di Azure 6.
Nota
Anche se l'organizzazione può scegliere di usare una forma più debole di MFA esistente durante un periodo di transizione, gli utenti malintenzionati evasano sempre più le protezioni MFA più deboli, quindi tutti i nuovi investimenti nell'autenticazione a più fattori devono essere sulle forme più forti.
Applicare il rischio di account/sessione: assicurarsi che l'account non sia in grado di eseguire l'autenticazione a meno che non si tratti di un livello di rischio basso (o medio).) Per informazioni dettagliate sulla sicurezza dell'account aziendale condizionale, vedere Livelli di sicurezza dell'interfaccia.
Monitorare e rispondere agli avvisi: le operazioni di sicurezza devono integrare gli avvisi di sicurezza degli account e ottenere formazione sufficiente su come funzionano questi protocolli e sistemi per assicurarsi che siano in grado di comprendere rapidamente cosa significa un avviso e reagire di conseguenza.
Il diagramma seguente offre un confronto con diverse forme di autenticazione MFA e senza password. Ogni opzione nella casella migliore è considerata sia alta sicurezza che elevata usabilità. Ognuno ha requisiti hardware diversi, quindi è consigliabile combinare e associare quelli che si applicano a ruoli o individui diversi. Tutte le soluzioni senza password Microsoft vengono riconosciute dall'accesso condizionale come autenticazione a più fattori perché richiedono la combinazione di elementi biometrici, qualcosa che si conosce o entrambi.
Nota
Per altre informazioni sul motivo per cui l'autenticazione basata su SMS e altri telefoni è limitata, vedere il post di blog It's Time to Hang Up on Telefono Transports for Authentication (It's Time to Hang Up on Telefono Transports for Authentication).
Account specializzati
Gli account specializzati sono un livello di protezione superiore adatto agli utenti sensibili. A causa del loro maggiore impatto aziendale, gli account specializzati garantiscono un monitoraggio e una definizione di priorità aggiuntivi durante gli avvisi di sicurezza, le indagini sugli eventi imprevisti e la ricerca delle minacce.
La sicurezza specializzata si basa sull'autenticazione a più fattori nella sicurezza aziendale identificando gli account più sensibili e assicurando che gli avvisi e i processi di risposta siano classificati in ordine di priorità:
- Identificare gli account sensibili: vedere indicazioni specializzate sul livello di sicurezza per l'identificazione di questi account.
- Tag Specialized Accounts (Contrassegna account specializzati) - Assicurarsi che ogni account sensibile sia contrassegnato
- Configurare gli elenchi di controllo di Microsoft Sentinel per identificare questi account sensibili
- Configurare la protezione degli account prioritari in Microsoft Defender per Office 365 e designare account specializzati e con privilegi come account prioritari:
- Aggiornare i processi delle operazioni di sicurezza: per assicurarsi che questi avvisi abbiano la priorità più alta
- Configurare la governance - Aggiornare o creare un processo di governance per assicurarsi che
- Tutti i nuovi ruoli da valutare per classificazioni specializzate o con privilegi non appena vengono creati o modificati
- Tutti i nuovi account vengono contrassegnati man mano che vengono creati
- Controlli fuori banda continui o periodici per assicurarsi che i ruoli e gli account non vengano persi dai normali processi di governance.
Account con privilegi
Gli account con privilegi hanno il massimo livello di protezione perché rappresentano un potenziale impatto significativo o significativo sulle operazioni dell'organizzazione, se compromesse.
Gli account con privilegi includono sempre Amministrazione IT con accesso alla maggior parte o a tutti i sistemi aziendali, inclusi la maggior parte o tutti i sistemi aziendali critici. Altri account con un impatto aziendale elevato possono anche giustificare questo livello aggiuntivo di protezione. Per altre informazioni sui ruoli e gli account da proteggere a livello, vedere l'articolo Sicurezza con privilegi.
Oltre alla sicurezza specializzata, la sicurezza degli account con privilegi aumenta sia:
- Prevenzione: aggiungere controlli per limitare l'utilizzo di questi account ai dispositivi, alle workstation e agli intermediari designati.
- Risposta: monitorare attentamente questi account per attività anomale e analizzare e correggere rapidamente il rischio.
Configurazione della sicurezza degli account con privilegi
Seguire le indicazioni contenute nel piano di modernizzazione rapida della sicurezza per aumentare la sicurezza degli account con privilegi e ridurre i costi da gestire.