Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo presenta una soluzione end-to-end per l'implementazione di un'architettura di accesso con privilegi. È rivolto a responsabili della sicurezza e delle identità e agli implementatori.
Nel modello di adozione della sicurezza Microsoft:
- Le soluzioni di implementazione forniscono indicazioni per la distribuzione prescrittiva.
- Le soluzioni sono allineate agli scenari aziendali che definiscono risultati di sicurezza ad alta priorità.
Prima di iniziare l'implementazione, informazioni su come un'architettura di accesso con privilegi sicuri svolge un ruolo fondamentale nello scenario aziendale - Proteggere gli asset aziendali critici - riducendo questo rischio e rafforzando il controllo sui sistemi sensibili.
Obiettivi della soluzione
L'accesso con privilegi rappresenta uno dei rischi più importanti in qualsiasi organizzazione perché fornisce il controllo diretto sui sistemi di gestione delle identità, sui piani di controllo cloud e sulle risorse aziendali critiche.
Questa guida definisce un approccio Zero Trust all'accesso privilegiato considerandolo un percorso di accesso completo, che si estende a identità, dispositivo, interfaccia, risorsa di destinazione e monitoraggio. Invece di proteggere singoli componenti in isolamento, questo modello garantisce che l'intero percorso di accesso sia regolato e convalidato continuamente.
L'obiettivo è ridurre i rischi:
- Limitazione di chi può eseguire azioni con privilegi.
- Controllo della posizione e della modalità di esecuzione di tali azioni.
- Monitoraggio continuo e risposta alle attività privilegiate.
Implementare questa architettura usando Microsoft Entra ID, Microsoft Intune e Microsoft Defender per endpoint.
Distribuire la soluzione in fasi. Per iniziare, stabilire una base sicura (piano di controllo delle identità e dispositivi attendibili), applicare i controlli dei criteri e quindi configurare le operazioni di monitoraggio e risposta.
Rischio di accesso con privilegi
Le identità privilegiate (umane e non umane) controllano asset ad alto valore e meccanismi di imposizione della sicurezza. In caso di compromissione, l'impatto aziendale risultante è grave. Con accesso privilegiato, gli utenti malintenzionati possono:
- Esfiltrare, crittografare o distruggere i dati.
- Bloccare o interrompere le attività aziendali.
- Disabilitare i controlli di rilevamento e imposizione.
- Annullare i sistemi di identità e creare l'accesso permanente.
Attacchi comuni
Gli attacchi seguono due modelli comuni:
- Furto di dati mirato: i cyberattacker individuano ed esfiltrano proprietà intellettuale sensibili, dati finanziari o piani strategici. I dati rubati vengono venduti, persi o usati per un vantaggio competitivo.
- Ransomware gestito dall'uomo: cyberattacker sfruttano l'accesso privilegiato per crittografare i sistemi, arrestare le operazioni e estorcere l'organizzazione - forzando le decisioni esecutive sotto una pressione temporale estrema.
Perché l'accesso con privilegi è rischioso
Il rischio di accesso con privilegi è univoco e sistemico per diversi motivi.
| Rischio | Dettagli |
|---|---|
| Opera nel piano di controllo | Gli account con privilegi operano nel piano di controllo, non solo nel piano di carico di lavoro. Le identità con privilegi possono modificare l'identità, modificare le configurazioni di sicurezza, disabilitare o ignorare i controlli di imposizione e manomettere i dati aziendali critici. Quando gli utenti malintenzionati ottengono l'accesso con privilegi, possono compromettere i meccanismi molto progettati per rilevarli e arrestarli. Questo rende le strategie di contenimento tradizionali molto meno efficaci e consente alla compromissione di rimanere non rilevata. |
| Impatto aziendale elevato in base alla progettazione | L'accesso con privilegi esiste per gestire i sistemi critici, quindi l'abuso di tale accesso ha conseguenze immediate e gravi. Con l'accesso con privilegi, gli utenti malintenzionati possono: - Esfiltrare o eliminare definitivamente i dati sensibili - Interrompere o manipolare le operazioni aziendali - Crittografare interi ambienti per estorsione (ransomware gestito dall'uomo) - Sovverte i sistemi in modi che possono causare danni reali. Questi risultati non sono teorici. Vengono osservati ripetutamente in tutti i settori, rendendo l'accesso con privilegi uno dei modi più affidabili per gli utenti malintenzionati per ottenere il massimo impatto. |
| Forte e dirompente | A differenza del furto di dati furtivo, molti attacchi di accesso privilegiato, specialmente ransomware gestito dall'uomo, sono intenzionalmente dirompenti. Interrompono le operazioni, interrompono i servizi rivolti ai clienti e forzano il processo decisionale di livello esecutivo sotto un'estrema pressione temporale. Poiché tutte le organizzazioni sono motivate finanziariamente e operativamente a ripristinare rapidamente il servizio, questi attacchi sono universalmente applicabili ed estremamente efficaci, indipendentemente dal settore o dalle dimensioni. |
| Rischio crescente, non compattazione | Gli attaccanti sono flessibili e agnostici rispetto alla tecnologia. Non prendono di mira un singolo prodotto o singolo controllo, ma sfruttano qualsiasi percorso di accesso privilegiato che, in quel momento, risulti più debole. La superficie di attacco con accesso con privilegi è ampia e interconnessa, che si estende: - Account e sistemi di gestione delle identità - Postazioni di lavoro e dispositivi - Sistemi intermedi come strumenti di accesso remoto e soluzioni PAM/PIM. - Interfacce di gestione, portali, API e percorsi di elevazione. La compromissione di uno di questi elementi può fornire un percorso per il controllo aziendale completo e i nuovi percorsi di accesso vengono introdotti continuamente man mano che gli ambienti si evolvono. |
| Gli approcci a soluzione singola hanno esito negativo | La distribuzione di una sola classe di controllo, ad esempio PAM/PIM, restrizioni di rete o strumenti di rilevamento, non riduce sufficientemente i rischi. Questi controlli risondono parti del problema, non del sistema. Se l'accesso privilegiato non è protetto end-to-end, gli aggressori aggirano semplicemente le difese isolate e sfruttano un collegamento non protetto nel percorso di accesso. Questo è il motivo per cui l'accesso con privilegi deve essere considerato un sistema completo, dall'identità e dall'attendibilità dei dispositivi, all'elevazione e all'esecuzione, al monitoraggio e alla risposta, anziché come una raccolta di strumenti indipendenti. |
Principi e risultati dell'architettura
L'approccio consigliato da Microsoft consiste nel creare un sistema di accesso con privilegi a ciclo chiuso che:
- Offre una riduzione immediata dei rischi
- Supporta progressi incrementali e sostenibili
- Evita la complessità non necessaria
- Consente risultati chiari e criteri di successo
Risultati architetturali
L'implementazione della strategia basata su questi principi crea una serie di risultati chiari e criteri di successo.
| Risultato | Architecture | Criteri di superamento |
|---|---|---|
| L'accesso privilegiato è imposto in tutto il sistema | Il rischio con privilegi viene controllato nell'intero percorso di accesso: identità, assegnazione di ruolo, dispositivo, ambiente di esecuzione, flusso di lavoro di elevazione dei privilegi, sistemi intermedi, interfacce di gestione, monitoraggio e risposta. Le attività privilegiate avvengono solo tramite percorsi di elevazione espliciti e autorizzati, convalidati secondo il modello Zero Trust (verifica dell’identità, attendibilità del dispositivo, contesto della sessione). | Ogni sessione convalida che l'account utente e il dispositivo siano considerati attendibili a un livello sufficiente prima di consentire l'accesso. Esempi di misure: % di accessi con privilegi soddisfano i requisiti, ad esempio MFA e attendibilità dei dispositivi richiesta, % di azioni con privilegi eseguite tramite il flusso di lavoro di elevazione delle autorizzazioni di approvazione rispetto ai privilegi permanenti. |
| Proteggere e monitorare i sistemi di gestione delle identità | Proteggere i sistemi di identità che ospitano o concedono privilegi (directory, sistemi di gestione delle identità, account amministrativi, ecc.). La governance, l'applicazione dei criteri, la registrazione e l'analisi sono centralizzate per ridurre la deriva e migliorare la visibilità. |
Ognuno di questi sistemi è protetto a un livello appropriato per il potenziale impatto aziendale degli account ospitati. Esempi di misure: % di identità con privilegi coperti da verifiche di accesso regolari Tasso di completamento delle revisioni periodiche degli accessi privilegiati (chi ha effettuato la revisione, chi ha revocato). |
| Mitigare il movimento laterale | Isolare il lavoro con privilegi da ambienti ad alta esposizione. Proteggere le credenziali di amministratore locale, i segreti dell'account del servizio e i meccanismi di elevazione dei privilegi, in modo che la compromissione di un singolo dispositivo, account o credenziale non consenta un controllo amministrativo più ampio. | La compromissione di un singolo dispositivo non comporta immediatamente il controllo di molti o tutti gli altri dispositivi nell'ambiente. Esempio di misura: % di azioni privilegiate eseguite solo da workstation amministrative. |
| Rispondere rapidamente alle minacce | L'attività con privilegi è un segnale di priorità per il rilevamento e la risposta. Progettare il monitoraggio e la risposta agli eventi imprevisti per interrompere gli attacchi multistage e limitare il tempo di attesa degli avversari destinati all'accesso con privilegi. | La risposta agli incidenti può arrestare in modo affidabile gli attacchi in più fasi prima che ottengano accesso privilegiato e può contenere rapidamente l’uso improprio dei privilegi quando si verifica. Esempio di misura: il tempo medio per correggere gli eventi imprevisti con privilegi MTTR viene ridotto a minuti anziché a ore o giorni. I percorsi di accesso con privilegi imprevisti o nuovi vengono identificati e chiusi rapidamente. |
Monitora queste misure mensilmente per valutarne i progressi e riesaminale trimestralmente nell'ambito della governance degli accessi privilegiati.
Informazioni sui percorsi di accesso con privilegi
I percorsi di accesso con privilegi sono percorsi di accesso che formano una catena completa dall'identità all'esecuzione, come illustrato nel diagramma seguente.
Se un collegamento nella catena è debole, l'intero percorso è vulnerabile.
| Path | Components | Rischio |
|---|---|---|
|
Percorsi di accesso utente I percorsi di accesso degli utenti supportano operazioni aziendali e di produttività standard, ad esempio posta elettronica, collaborazione, esplorazione Web e applicazioni line-of-business. |
Un percorso di accesso utente prevede in genere: - Identità: un account utente standard - Dispositivo: una workstation per utilizzo generico - Intermediario: Intermediari facoltativi, ad esempio una VPN o un accesso remoto. - Interfaccia: interazione con applicazioni e servizi aziendali. |
Anche se la compromissione di un percorso di accesso utente può causare danni, l'impatto potenziale è limitato rispetto all'accesso con privilegi. |
|
Percorsi di accesso con privilegi I percorsi di accesso con privilegi gestiscono identità, infrastruttura, controlli di sicurezza e sistemi aziendali critici. |
I percorsi di accesso con privilegi sono in genere costituiti da: - Identità: un account utilizzato per eseguire operazioni privilegiate. - Dispositivo: la workstation o il dispositivo endpoint utilizzato per la sessione privilegiata. - Intermediario: qualsiasi sistema o servizio che funge da intermediario o ospita la sessione privilegiata, ad esempio strumenti di accesso remoto o di gestione. - Interfaccia: superficie di gestione in cui viene eseguito il controllo con privilegi. Ad esempio, portali, API, strumenti da riga di comando o automazione. |
Anche se i componenti tecnici appaiono simili a un percorso di accesso utente, il potenziale danno da compromissione è notevolmente superiore. I percorsi di accesso con privilegi devono pertanto essere: - In numero inferiore - Definito in modo esplicito - Isolato dai percorsi di accesso degli utenti - Protetto con i controlli più sicuri disponibili. |
Percorso di esempio
In un percorso di accesso con privilegi tipico:
- Un'identità amministrativa dedicata esegue l'accesso.
- L'accesso proviene da una workstation protetta per accessi privilegiati (PAW).
- L'accesso attiva un ruolo tramite Privileged Identity Management (PIM).
- L'accesso usa un'interfaccia amministrativa specifica, ad esempio un portale, un'API o un'interfaccia della riga di comando.
- L'identità autenticata esegue un'azione privilegiata.
Componenti della soluzione
La soluzione di accesso con privilegi si basa su tre elementi strettamente associati che garantiscono azioni privilegiate dalle identità corrette, dai dispositivi attendibili, in condizioni applicate.
Identità con privilegi
- Account amministratore dedicati autorizzati a eseguire azioni con privilegi.
- Identità protette con autenticazione avanzata e, ove possibile, autenticazione senza password.
- Assegnazione di ruolo con privilegi limitata.
- Elevazione dei privilegi just-in-time previa approvazione.
Workstation ad accesso privilegiato (PAW)
- Dispositivi con protezione avanzata e restrittiva.
- Superficie di attacco ridotta nei dispositivi.
- Protezione dalle minacce e dal malware delle credenziali.
- Isolato dall'attività utente ad alto rischio.
Applicazione e monitoraggio dei criteri
- L'accesso condizionale convalida l'identità, il dispositivo e il contesto della sessione.
- I percorsi di elevazione con privilegi vengono definiti in modo esplicito.
- Tutte le attività con privilegi vengono registrate, monitorate e esaminabili.
Sistemi di gestione delle identità e percorsi di elevazione
I sistemi di identità e i percorsi di elevazione sono componenti fondamentali di ogni percorso di accesso con privilegi. Definiscono la posizione in cui vengono create le identità con privilegi, il modo in cui vengono assegnati i ruoli amministrativi e il modo in cui gli utenti passano da uno stato senza privilegi all'esecuzione di azioni con privilegi.
Questa guida all'implementazione tratta i sistemi di gestione delle identità e i percorsi di elevazione come parte del piano di controllo delle identità e della superficie di attacco con privilegi.
| Area | Dettagli | Mitigazione dei rischi |
|---|---|---|
| Sistemi di gestione delle identità | Dove vengono definite e gestite le identità, i ruoli e le autorizzazioni amministrative con privilegi. Questa definizione comprende le directory, le assegnazioni di ruolo, i gruppi amministrativi e la configurazione a livello di tenant. |
Le identità con privilegi operano nel piano di controllo. Se i sistemi di identità sono compromessi, gli utenti malintenzionati possono creare, modificare o rendere persistente l'accesso con privilegi, ignorando i controlli dei dispositivi, le condizioni di accesso e il monitoraggio. La protezione del piano di controllo delle identità è la priorità di implementazione più alta. |
| Percorsi di elevazione autorizzati | Modalità di transizione di un utente da uno stato senza privilegi per eseguire azioni con privilegi. Ad esempio, l'attivazione di ruoli a durata limitata, i flussi di lavoro di approvazione e le sessioni amministrative con ambito definito. |
Garantisce che l'elevazione dei privilegi richieda l'autenticazione avanzata e che l'elevazione dei privilegi sia intenzionale, temporanea, monitorata e venga eseguita solo da interfacce e dispositivi approvati. Imponendo l'elevazione dei privilegi tramite flussi di lavoro, dispositivi e interfacce approvati, si impedisce la presenza di privilegi permanenti e si riducono abusi, spostamento laterale e persistenza occulta. |
Fasi della soluzione
Implementare l'architettura di accesso con privilegi usando un modello di adozione in più fasi allineato alle procedure consigliate Microsoft.
- Avviare l'adozione usando il modello di adozione strutturato. Le linee guida per l'adozione aiutano i responsabili aziendali a identificare i risultati critici a livello aziendale per proteggere l'identità e comprendere la disciplina di accesso e identità, inclusi i team e gli sforzi necessari per promuovere iniziative di identità come l'accesso con privilegi.
- Pianificare la soluzione. La pianificazione consente di identificare gli obiettivi di progettazione, assegnare livelli di sicurezza per determinare la strategia di accesso con privilegi e pianificare l'implementazione.
- Seguire le fasi di implementazione riepilogate nella tabella seguente. Ogni fase ha un obiettivo specifico e viene implementato usando passaggi di configurazione concreti negli articoli corrispondenti.
Fasi di implementazione
| Fase | Attenuare il rischio | Applica i principi Zero Trust |
|---|---|---|
| Fase 1. Proteggere il piano di controllo delle identità Creare: - Identità amministrative dedicate. Gruppi di sicurezza per l'assegnazione di ruoli. - Account di emergenza break-glass se non li hai. |
Riduce il rischio di furto di credenziali, uso improprio dei privilegi e elevazione non autorizzata. |
Verificare in modo esplicito Usare l'autenticazione avanzata. Usare privilegi minimi Limitare i ruoli di amministratore/abilitare i privilegi JUST-In-Time. Presupporre una violazione. Usa gli account break-glass per il ripristino. |
| Fase 2. Distribuire e proteggere i dispositivi con accesso con privilegi Predisporre workstation dedicate ad accesso privilegiato (PAW). Applicare la protezione avanzata del sistema operativo e le baseline di sicurezza. Imporre l'applicazione delle patch, la protezione degli endpoint e la crittografia del disco. Ridurre al minimo le installazioni di app e servizi. |
Riduce il rischio di compromissione delle credenziali e attacchi basati su dispositivo. |
Verificare in modo esplicito Assicurarsi che i dispositivi siano registrati, attendibili e conformi prima di concedere l'accesso. Ipotesi di violazione Ridurre al minimo i possibili percorsi di compromissione grazie alla protezione avanzata dei dispositivi e all'isolamento delle credenziali amministrative. Usare il principio dell’accesso con privilegi minimi. Limitare le operazioni che gli amministratori possono eseguire su questi dispositivi dedicati. |
| Fase 3. Applicare i criteri di accesso con privilegi Configurare l'accesso condizionale per i ruoli con privilegi. Richiedere dispositivi conformi e autenticazione avanzata. Applicare condizioni di accesso in grado di riconoscimento del contesto. Limitare l'accesso alle interfacce approvate. |
Impedisce l'accesso non autorizzato e la riproduzione delle credenziali. |
Presupporre una violazione. Evitare l'uso improprio delle credenziali se gli account vengono rubati limitando la posizione e la modalità di concessione dell'accesso. Usare i privilegi minimi. Applicare autorizzazioni basate su ruoli e con riconoscimento del contesto. |
| Fase 4. Monitorare e convalidare continuamente Analizzare gli eventi imprevisti e correggere rapidamente. Rivaluta continuamente l'attendibilità e la copertura. |
Rilevare, analizzare e rispondere alle minacce con privilegi. Monitorare le attivazioni e le sessioni dei ruoli con privilegi. Rilevare anomalie e modelli sospetti. Ridurre l'impatto della compromissione non rilevata e del tempo di permanenza prolungato degli attaccanti. |
Presupporre una violazione. Monitorare continuamente l'attività dell'utente malintenzionato e il comportamento anomalo. Verificare in modo esplicito. Valutare l'attendibilità in modo continuo e analizzare i modelli di accesso sospetti. |
Passaggi successivi
A questo punto, iniziare a pianificare una strategia di implementazione.