Protezione dell'identità con Zero Trust

Background

Le applicazioni cloud e la forza lavoro mobile hanno ridefinito il perimetro di sicurezza. I dipendenti usano i dispositivi personali in ufficio e lavorano in remoto. I dati vengono accessibili all'esterno della rete aziendale e condivisi con collaboratori esterni, ad esempio partner e fornitori. Le applicazioni e i dati aziendali vengono spostati da ambienti locali ad ambienti ibridi e cloud. Le organizzazioni non possono affidarsi per la sicurezza ai tradizionali controlli della rete. I controlli devono essere messi in atto dove si trovano i dati: nei dispositivi, all'interno delle app e con i partner.

Le identità, che rappresentano persone, servizi o dispositivi IoT, sono il dominatore comune in molte reti, endpoint e applicazioni di oggi. Nel modello di sicurezza Zero Trust costituiscono un modo potente, flessibile e granulare per controllare l'accesso ai dati.

Prima che un'identità tenti di accedere a una risorsa, le organizzazioni devono:

• Verificare l'identità con l'autenticazione avanzata.

• Assicurarsi che l'accesso sia conforme e tipico per tale identità.

• Seguire i principi di accesso con privilegi minimi.

Dopo aver verificato l'identità, è possibile controllare l'accesso di tale identità alle risorse in base ai criteri dell'organizzazione, all'analisi dei rischi in corso e ad altri strumenti.

Obiettivi della distribuzione Zero Trust per le identità

Prima che la maggior parte delle organizzazioni inizi il percorso Zero Trust, il loro approccio all'identità è problematico perché il provider di identità locale è in uso, non è presente alcun accesso Single Sign-On tra le app cloud e locali e la visibilità del rischio di identità è molto limitata.

Quando si implementa un framework Zero Trust end-to-end per l'identità, è consigliabile concentrarsi prima su questi obiettivi di distribuzione iniziali:
	Identità I.Cloud federate con sistemi di identità locali. II.I criteri di accesso condizionale gateno l'accesso e forniscono attività correttive. III.L'analisi migliora la visibilità.
Dopo averli raggiunti, concentrarsi su questi ulteriori obiettivi della distribuzione:
	IV.Le identità e i privilegi di accesso vengono gestiti con la governance delle identità. V.User, device, location e behavior vengono analizzati in tempo reale per determinare il rischio e garantire la protezione continua. VI.Integrare i segnali delle minacce provenienti da altre soluzioni di sicurezza per migliorare il rilevamento, la protezione e la risposta.

Guida alla distribuzione Zero Trust per le identità

Questa guida illustra i passaggi necessari per gestire le identità seguendo i principi di un framework di sicurezza Zero Trust.

Obiettivi iniziali della distribuzione

I. L'identità cloud è federata con i sistemi locali di gestione delle identità

Microsoft Entra ID abilita l'autenticazione avanzata, un punto di integrazione per la sicurezza degli endpoint e il nucleo dei criteri incentrati sugli utenti per garantire l'accesso con privilegi minimi. Le funzionalità di accesso condizionale di Microsoft Entra rappresentano il punto decisionale dei criteri per l'accesso alle risorse in base all'identità utente, all'ambiente, all'integrità dei dispositivi e ai rischi, verificati in modo esplicito al punto di accesso. Verrà illustrato come implementare una strategia di identità Zero Trust con Microsoft Entra ID.

Connessione tutti gli utenti a Microsoft Entra ID e federati con sistemi di identità locali

La gestione di una pipeline integra delle identità dei dipendenti e degli artefatti di sicurezza necessari (gruppi per l'autorizzazione e gli endpoint per controlli di criteri di accesso aggiuntivi) consente di usare identità e controlli coerenti nel cloud.

Seguire questa procedura:

1. Scegliere un'opzione di autenticazione. Microsoft Entra ID offre la migliore protezione di forza bruta, DDoS e password spraying, ma prendere la decisione più adatta per l'organizzazione e le esigenze di conformità.

2. Porta solo le identità di cui hai assolutamente bisogno. Ad esempio, usare l'uso del cloud come opportunità per lasciare dietro gli account del servizio che hanno senso solo in locale. Lasciare i ruoli con privilegi locali.

3. Se l'azienda ha più di 100.000 utenti, gruppi e dispositivi combinati , creare una casella di sincronizzazione ad alte prestazioni che manterrà aggiornato il ciclo di vita.

Stabilire Identity Foundation con Microsoft Entra ID

Una strategia Zero Trust richiede la verifica in modo esplicito, l'uso di principi di accesso con privilegi minimi e l'assunzione di violazioni. Microsoft Entra ID può fungere da punto decisionale dei criteri per applicare i criteri di accesso in base a informazioni dettagliate sull'utente, l'endpoint, la risorsa di destinazione e l'ambiente.

Eseguire questo passaggio:

• Inserire l'ID Microsoft Entra nel percorso di ogni richiesta di accesso. Ciò connette ogni utente e ogni app o risorsa tramite un piano di controllo delle identità e fornisce all'ID Di Microsoft Entra il segnale per prendere le decisioni migliori possibili sul rischio di autenticazione/autorizzazione. Inoltre, le protezioni dei criteri coerenti e single sign-on offrono un'esperienza utente migliore e contribuiscono ai miglioramenti della produttività.

Integrare tutte le applicazioni con Microsoft Entra ID

L'accesso Single Sign-On impedisce agli utenti di lasciare copie delle proprie credenziali in varie app e consente di evitare che gli utenti vengano usati per rinunciare alle proprie credenziali a causa di un numero eccessivo di richieste.

Assicurarsi anche di non avere più motori IAM nell'ambiente. Non solo questo riduce la quantità di segnale che Microsoft Entra ID vede, consentendo agli attori malintenzionati di vivere nelle cuciture tra i due motori IAM, può anche portare a scarsa esperienza utente e i partner commerciali diventano i primi dubbi della strategia Zero Trust.

Seguire questa procedura:

1. Integrare applicazioni aziendali moderne che parlano OAuth2.0 o SAML.

2. Per le applicazioni di autenticazione basata su form e Kerberos, integrarle usando il proxy dell'applicazione Microsoft Entra.

3. Se si pubblicano le applicazioni legacy usando reti/controller di distribuzione delle applicazioni, usare Microsoft Entra ID per integrarsi con la maggior parte delle principali applicazioni, ad esempio Citrix, Akamai e F5.

4. Per individuare ed eseguire la migrazione delle app dai motori ADFS e IAM esistenti o meno recenti, esaminare le risorse e gli strumenti.

5. Eseguire il push delle identità nelle varie applicazioni cloud. In questo modo è possibile una maggiore integrazione del ciclo di vita delle identità all'interno di tali app.

Suggerimento

Informazioni sull'implementazione di una strategia Zero Trust end-to-end per le applicazioni.

Verificare in modo esplicito con l'autenticazione avanzata

Seguire questa procedura:

1. Implementare l'autenticazione a più fattori Microsoft Entra (P1). Si tratta di una parte fondamentale della riduzione del rischio di sessione utente. Quando gli utenti vengono visualizzati nei nuovi dispositivi e da nuove posizioni, la possibilità di rispondere a una sfida MFA è uno dei modi più diretti che gli utenti possono insegnare che questi sono dispositivi/posizioni familiari mentre si spostano in tutto il mondo (senza che gli amministratori analizzino i singoli segnali).

2. Bloccare l'autenticazione legacy. Uno dei vettori di attacco più comuni per gli attori malintenzionati consiste nell'usare credenziali rubate/riprodotte su protocolli legacy, ad esempio SMTP, che non possono eseguire sfide di sicurezza moderne.

II. I criteri di accesso condizionale consentono di controllare l'accesso e offrono attività di correzione

Microsoft Entra Conditional Access (CA) analizza i segnali, ad esempio utente, dispositivo e posizione, per automatizzare le decisioni e applicare i criteri di accesso dell'organizzazione per le risorse. È possibile usare criteri di accesso condizionale per applicare controlli di accesso quali l'autenticazione a più fattori (MFA). I criteri della CA consentono di richiedere agli utenti l'autenticazione a più fattori quando necessario per la sicurezza e rimanere al di fuori del modo degli utenti quando non sono necessari.

Microsoft fornisce criteri condizionali standard denominati impostazioni predefinite per la sicurezza che assicurano un livello di sicurezza di base. Tuttavia, l'organizzazione potrebbe richiedere una maggiore flessibilità rispetto a quella offerta dalle impostazioni predefinite per la sicurezza. È possibile utilizzare l'accesso condizionale per personalizzate le impostazioni predefinite per la sicurezza con maggiore granularità e per configurare nuovi criteri per la sicurezza in base alle esigenze.

Pianificare in anticipo i criteri di accesso condizionale e avere un set di criteri attivi e di fallback è un fondamentale per l'imposizione dei criteri di accesso in una distribuzione Zero Trust. Prendere il tempo necessario per configurare le posizioni IP considerate attendibili nell'ambiente. Anche se non vengono usati in un criterio di accesso condizionale, la configurazione di questi indirizzi IP informa il rischio di Identity Protection menzionato in precedenza.

Eseguire questo passaggio:

• Vedere le linee guida per la distribuzione e le procedure consigliate per i criteri di accesso condizionale resilienti.

Registrare i dispositivi con Microsoft Entra ID per limitare l'accesso da dispositivi vulnerabili e compromessi

Seguire questa procedura:

1. Abilitare Microsoft Entra hybrid join o Microsoft Entra join. Se si gestisce il portatile o il computer dell'utente, inserire tali informazioni nell'ID Microsoft Entra e usarle per prendere decisioni migliori. Ad esempio, è possibile scegliere di consentire l'accesso rich client ai dati (client che dispongono di copie offline nel computer) se si sa che l'utente proviene da un computer che l'organizzazione controlla e gestisce. Se non si esegue questa operazione, è probabile che si scelga di bloccare l'accesso da client avanzati, il che può comportare l'uso della sicurezza da parte degli utenti o l'uso di shadow IT.

2. Abilitare il servizio Intune in Microsoft Endpoint Manager (EMS) per gestire i dispositivi mobili degli utenti e registrare i dispositivi. Lo stesso può essere detto sui dispositivi mobili degli utenti come sui portatili: più si sa di loro (livello di patch, jailbroken, rooted e così via), più si è in grado di fidarsi o diffidarli e fornire una logica per il motivo per cui si blocca/consenti l'accesso.

Suggerimento

Informazioni sull'implementazione di una strategia Zero Trust end-to-end per gli endpoint

III. L'analisi migliora la visibilità

Durante la compilazione dell'ambiente in Microsoft Entra ID con autenticazione, autorizzazione e provisioning, è importante avere informazioni operative approfondite su ciò che accade nella directory.

Configurare la registrazione e la creazione di report per migliorare la visibilità

Eseguire questo passaggio:

• Pianificare una distribuzione di report e monitoraggio di Microsoft Entra per rendere persistenti e analizzare i log dall'ID Microsoft Entra, in Azure o usando un sistema SIEM preferito.

Obiettivi di distribuzione aggiuntivi

IV. Le identità e i privilegi di accesso vengono gestiti con la governance delle identità

Dopo aver raggiunto i tre obiettivi iniziali, è possibile concentrarsi su obiettivi aggiuntivi, ad esempio una governance delle identità più solida.

Proteggere l'accesso con privilegi con Privileged Identity Management

Controllare gli endpoint, le condizioni e le credenziali usate dagli utenti per accedere a operazioni/ruoli con privilegi.

Seguire questa procedura:

1. Assumere il controllo delle identità con privilegi. Tenere presente che in un'organizzazione trasformata digitalmente, l'accesso con privilegi non è solo l'accesso amministrativo, ma anche l'accesso al proprietario dell'applicazione o allo sviluppatore che può cambiare il modo in cui le app cruciali eseguono e gestiscono i dati.

2. Usare Privileged Identity Management per proteggere le identità con privilegi.

Limitare il consenso dell'utente alle applicazioni

Il consenso degli utenti alle applicazioni è un modo molto comune per le applicazioni moderne per ottenere l'accesso alle risorse organizzative, ma esistono alcune procedure consigliate da tenere presente.

Seguire questa procedura:

1. Limitare il consenso dell'utente e gestire le richieste di consenso per garantire che non si verifichi un'esposizione non necessaria dei dati dell'organizzazione alle app.

2. Esaminare il consenso precedente/esistente nell'organizzazione per eventuali consenso eccessivo o dannoso.

Per altre informazioni sugli strumenti per proteggersi dalle tattiche per accedere alle informazioni sensibili, vedere "Rafforzare la protezione dalle minacce informatiche e dalle app non autorizzate" nella guida all'implementazione di una strategia identity Zero Trust.

Gestire l'entitlement

Con le applicazioni che eseguono l'autenticazione centralizzata e l'uso di Microsoft Entra ID, è ora possibile semplificare la richiesta di accesso, l'approvazione e il processo di ricertificazione per assicurarsi che le persone giuste abbiano l'accesso corretto e che gli utenti dell'organizzazione dispongano dell'accesso.

Seguire questa procedura:

1. Usare Entitlement Management per creare pacchetti di accesso che gli utenti possono richiedere quando si uniscono a team/progetti diversi e che li assegnano all'accesso alle risorse associate (ad esempio applicazioni, siti di SharePoint, appartenenze ai gruppi).

2. Se la distribuzione di Entitlement Management non è possibile per l'organizzazione in questo momento, almeno abilitare i paradigmi self-service nell'organizzazione distribuendo la gestione dei gruppi self-service e l'accesso alle applicazioni self-service.

Usare l'autenticazione senza password per ridurre il rischio di attacchi di phishing e password

Con Microsoft Entra ID che supporta FIDO 2.0 e l'accesso tramite telefono senza password, è possibile spostare l'ago sulle credenziali che gli utenti (utenti sensibili/con privilegi) usano quotidianamente. Queste credenziali sono fattori di autenticazione sicuri che possono attenuare anche i rischi.

Eseguire questo passaggio:

• Iniziare a distribuire le credenziali senza password nell'organizzazione.

V. L'utente, il dispositivo, la posizione e il comportamento vengono analizzati in tempo reale per determinare il rischio e garantire la protezione continua

L'analisi in tempo reale è fondamentale per determinare il rischio e la protezione.

Distribuire la protezione password di Microsoft Entra

Anche se l'abilitazione di altri metodi per verificare in modo esplicito gli utenti, non ignorare password deboli, password spraying e attacchi di riproduzione delle violazioni. E i criteri password complessi classici non impediscono gli attacchi password più diffusi.

Eseguire questo passaggio:

• Abilitare Microsoft Entra Password Protection per gli utenti nel cloud e in locale.

Abilitare Identity Protection

Ottenere un segnale di rischio utente/sessione più granulare con Identity Protection. Sarà possibile analizzare il rischio e confermare la compromissione o ignorare il segnale, che consentirà al motore di comprendere meglio l'aspetto del rischio nell'ambiente.

Eseguire questo passaggio:

• Abilitare Identity Protection.

Abilitare l'integrazione delle app Microsoft Defender per il cloud con Identity Protection

Microsoft Defender per il cloud App monitora il comportamento degli utenti all'interno di applicazioni SaaS e moderne. In questo modo viene informato l'ID Microsoft Entra su ciò che è successo all'utente dopo l'autenticazione e la ricezione di un token. Se il modello utente inizia a sembrare sospetto (ad esempio, un utente inizia a scaricare gigabyte di dati da OneDrive o inizia a inviare messaggi di posta indesiderata in Exchange Online), un segnale può essere inviato a Microsoft Entra ID notificando che l'utente sembra essere compromesso o ad alto rischio. Nella successiva richiesta di accesso da parte dell'utente, Microsoft Entra ID può intervenire correttamente per verificare l'utente o bloccarli.

Eseguire questo passaggio:

• Abilitare il monitoraggio delle app Defender per il cloud per arricchire il segnale di Identity Protection.

Abilitare l'integrazione dell'accesso condizionale con app Microsoft Defender per il cloud

Usando i segnali generati dopo l'autenticazione e con Defender per il cloud le richieste di proxy delle app alle applicazioni, sarà possibile monitorare le sessioni che passano alle applicazioni SaaS e applicare restrizioni.

Seguire questa procedura:

1. Abilitare l'integrazione dell'accesso condizionale.

2. Estendere l'accesso condizionale alle app locali.

Abilitare la sessione con restrizioni per l'uso nelle decisioni di accesso

Quando il rischio di un utente è basso, ma esegue l'accesso da un endpoint sconosciuto, può essere necessario consentire l'accesso alle risorse critiche, ma non consentire loro di eseguire operazioni che lasciano l'organizzazione in uno stato non conforme. Ora è possibile configurare Exchange Online e SharePoint Online per offrire all'utente una sessione con restrizioni che consente di leggere messaggi di posta elettronica o visualizzare file, ma non di scaricarli e salvarli in un dispositivo non attendibile.

Eseguire questo passaggio:

• Abilitare l'accesso limitato a SharePoint Online ed Exchange Online

VI. Integrare segnali di minaccia da altre soluzioni di sicurezza per migliorare il rilevamento, la protezione e la risposta

Si possono infine integrare altre soluzioni di sicurezza per una maggiore efficacia.

Integrare Microsoft Defender per identità con app Microsoft Defender per il cloud

L'integrazione con Microsoft Defender per identità consente a Microsoft Entra ID di sapere che un utente è in grado di comportarsi in modo rischioso durante l'accesso a risorse locali e non moderne (ad esempio condivisioni file). Questo può quindi essere fattoriato nel rischio utente complessivo per bloccare ulteriormente l'accesso nel cloud.

Seguire questa procedura:

1. Abilitare Microsoft Defender per identità con le app di Microsoft Defender per il cloud per inserire segnali locali nel segnale di rischio noto all'utente.

2. Controllare il punteggio combinato della priorità di indagine per ogni utente a rischio per offrire una visione olistica di quali soC devono concentrarsi.

Abilitare Microsoft Defender per endpoint

Microsoft Defender per endpoint consente di attestare l'integrità dei computer Windows e determinare se sono in fase di compromissione. È quindi possibile inserire tali informazioni nella mitigazione dei rischi in fase di esecuzione. Mentre l'aggiunta a un dominio offre un'idea del controllo, Defender per endpoint consente di reagire a un attacco malware quasi in tempo reale rilevando modelli in cui più dispositivi utente colpiscono siti non attendibili e per reagire aumentando il rischio di dispositivo/utente in fase di esecuzione.

Eseguire questo passaggio:

• Configurare l'accesso condizionale in Microsoft Defender per endpoint.

Protezione dell'identità in conformità con l'ordine esecutivo 14028 sulla cybersecurity e il memorandum OMB 22-09

L'ordine esecutivo 14028 sul miglioramento delle Nazioni Cyber Security & OMB Memorandum 22-09 include azioni specifiche su Zero Trust. Le azioni di identità includono l'uso di sistemi centralizzati di gestione delle identità, l'uso di MFA resistenti al phishing e l'incorporamento di almeno un segnale a livello di dispositivo nelle decisioni di autorizzazione. Per indicazioni dettagliate sull'implementazione di queste azioni con Microsoft Entra ID, vedere Soddisfare i requisiti di identità del memorandum 22-09 con Microsoft Entra ID.

Prodotti trattati in questa guida

Microsoft Azure

Microsoft Entra ID

Microsoft Defender per identità

Microsoft 365

Microsoft Endpoint Manager (include Microsoft Intune)

Microsoft Defender per endpoint

SharePoint Online

Exchange Online

Conclusione

L'identità è fondamentale per una strategia zero trust riuscita. Per altre informazioni o assistenza sull'implementazione, contattare il team customer success o continuare a leggere gli altri capitoli di questa guida, che riguardano tutti i pilastri zero trust.

Serie di guide alla distribuzione Zero Trust