Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In un framework di Zero Trust l'identità è il piano di controllo di base. Ogni decisione di accesso a un dispositivo, a un'applicazione o a una risorsa dati inizia con la verifica dell'identità dell'utente, i privilegi e la conformità del contesto ai criteri.
Il pilastro Identity nel workshop di Zero Trust garantisce che le organizzazioni siano allineate ai principi di Zero Trust (verificare in modo esplicito, applicare i privilegi minimi e presupporre la violazione) in tutte le identità. Fornisce un backlog di implementazione prioritario e con azioni concrete per modernizzare le funzionalità di gestione delle identità.
Le linee guida del workshop sul pilastro dell'identità sono incentrate sulla valutazione del comportamento attuale dell'identità, sull'identificazione delle lacune e sulla definizione di azioni prioritarie per modernizzare i controlli delle identità, ridurre i rischi e abilitare l'accesso sicuro e trasparente nell'ambiente in uso.
Implementazione del workshop
Il workshop sull'identità illustra le aree di implementazione riepilogate nella tabella.
| Area | Dettagli |
|---|---|
| Inventario e comprensione degli asset di identità | Compilare un inventario completo di utenti, applicazioni, entità servizio, gruppi e attributi di identità. Assegnare la proprietà, definire la responsabilità e classificare gli asset di identità critici per stabilire la governance e la visibilità nel patrimonio di identità. |
| Creare una base solida per l'accesso condizionale | Implementare una strategia completa di accesso condizionale che valuta continuamente l'identità, lo stato del dispositivo, i segnali di rischio e il contesto della sessione. Definire e applicare criteri di accesso coerenti tra utenti, applicazioni e scenari, tra cui forza lavoro, guest e percorsi di accesso legacy. |
| Modernizzare l'autenticazione ed eliminare i protocolli legacy | Standardizzare l'autenticazione moderna in tutte le applicazioni e i servizi. Eliminare i metodi di autenticazione legacy ed eseguire la migrazione dei sistemi esistenti per proteggere i protocolli di autenticazione basati su standard per ridurre l'esposizione agli attacchi basati sulle credenziali. |
| Trasformare l'applicazione e l'infrastruttura di identità | Ridurre la dipendenza dai sistemi di identità locali eseguendo la migrazione delle applicazioni all'autenticazione basata su Microsoft Entra ID e Single Sign-On (SSO). Dismettere l'infrastruttura legacy di federazione e di gestione degli accessi web. Modernizzare i modelli di accesso alle applicazioni per supportare Zero Trust. |
| Applicare privilegi minimi e accesso in base al ruolo | Assegna l'accesso in base alla mansione usando il controllo di accesso basato sui ruoli (RBAC) e i pacchetti di accesso. Definire modelli di ruolo, applicare privilegi minimi e convalidare continuamente l'accesso tramite verifiche di accesso e governance basata su criteri per garantire agli utenti solo le autorizzazioni necessarie. |
| Proteggere le identità con privilegi e carichi di lavoro | Proteggere gli account amministrativi e ad alto rischio usando l'accesso just-in-time, Privileged Identity Management (PIM), l'autenticazione forte e percorsi di accesso protetti. Estendi la governance e le protezioni alle identità del carico di lavoro e alle entità servizio per ridurre il rischio derivante da identità con privilegi eccessivi o non gestite. |
| Definire la governance dei dati delle identità e i flussi di provisioning | Definire origini dati di identità autorevoli, schemi di attributi e flussi di dati tra sistemi. Implementare pipeline e connettori di provisioning per garantire che i dati di identità siano coerenti, accurati e sincronizzati in modo affidabile tra applicazioni e servizi. |
| Automatizzare il ciclo di vita delle identità e il provisioning | Implementare workflow automatizzati di provisioning e del ciclo di vita (joiner, mover, leaver) tra i sistemi autorevoli, quali le piattaforme HR. Assicurarsi che l'accesso venga concesso, aggiornato e rimosso automaticamente in base agli eventi del ciclo di vita, con monitoraggio e convalida dei processi di provisioning. |
| Rafforzare la sicurezza delle credenziali con l'autenticazione senza password | Ridurre la dipendenza dalle password implementando la protezione delle password e distribuendo metodi di autenticazione senza password resistenti al phishing, ad esempio FIDO2, Windows Hello for Business e Microsoft Authenticator. Promuovere l'adozione di metodi di autenticazione avanzata nell'organizzazione. |
| Governare le identità esterne e dei partner | Stabilire processi di onboarding, assegnazione di accesso e ciclo di vita controllati per utenti esterni e organizzazioni partner. Implementare pacchetti di accesso, modelli di sponsorizzazione e monitoraggio per garantire che le identità esterne siano regolate correttamente e allineate ai criteri dell'organizzazione. |
| Ripulire e correggere gli accessi esistenti | Identificare e correggere gli account con privilegi eccessivi, le identità inutilizzate e le appartenenze obsolete ai gruppi. Condurre verifiche di accesso e implementare processi di governance continui per mantenere privilegi minimi e ridurre i rischi di identità accumulati nel tempo. |
| Abilitare il monitoraggio e la risposta della sicurezza delle identità (SecOps) | Integrare i segnali di identità nelle operazioni di sicurezza incorporando la protezione delle identità, il rilevamento delle minacce e la registrazione centralizzata. Monitorare l'integrità delle identità, rilevare attività sospette e analizzare e rispondere alle minacce basate sulle identità usando l'analisi della sicurezza e i playbook operativi. |
Valutare l'identità
Lo strumento di valutazione Zero Trust può valutare la configurazione delle identità in base a una serie di procedure consigliate per la sicurezza. Scopri di più.
Passaggi successivi
Eseguire una valutazione e iniziare il workshop sull'identità.