LLPA

TECH Talk: Accesso condizionato in Azure AD

Autore: Goce Argirov, Trainer Microsoft certificato | Consulente | Solution Architect | Azure Infrastrutture e sicurezza presso Semos Education

 

Azure AD al centro della vostra strategia di Zero Trust

Sono finiti da tempo i tempi in cui la sicurezza si concentrava su una forte difesa perimetrale per tenere fuori gli hacker malintenzionati. Tutto ciò che si trovava al di fuori del perimetro veniva trattato come ostile, mentre all'interno del muro si dava fiducia ai sistemi di un'organizzazione.

La postura odierna della sicurezza è quella di assumere la violazione, una mentalità che guida gli investimenti nella sicurezza, le decisioni di progettazione e le pratiche di sicurezza operativa. Nella sua essenza, la violazione presunta vi guida a pensare in modo diverso, a cambiare la vostra mentalità: siete già stati violati, o lo sarete - non c'è nessun altro risultato.

Nel 2012, durante un'intervista, l'ex direttore della CIA e dell'Agenzia per la Sicurezza Nazionale ha dichiarato: "Fondamentalmente, se qualcuno vuole entrare, ci sta entrando". D'accordo, bene. Accettalo".

Durante quel periodo, molte persone non hanno capito bene cosa intendesse realmente, ma questa frase è il nucleo dell'approccio della violazione dell'assunto.

La violazione dei dati può causare perdite finanziarie devastanti e compromettere la reputazione di un'organizzazione per anni. Dalle perdite di affari alle multe e ai costi di risanamento, le violazioni dei dati hanno conseguenze di vasta portata. Lo studio sulla violazione dei dati del 2019, condotto dal Ponemon Institute sponsorizzato da IBM, ha rilevato che il costo medio globale di una violazione dei dati per lo studio del 2019 è di 3,92 milioni di dollari, con un aumento dell'1,5% rispetto allo studio del 2018.

Studio sulla violazione dei dati del 2019

Avendo tutto questo in mente, probabilmente direte: ok, e adesso? Dal mio punto di vista, implementare l'Architettura Zero Trust è la prossima cosa a cui puntare!

Indipendentemente dall'esperto di sicurezza a cui chiederete il "modello di fiducia zero", saranno tutti d'accordo che questo è il modo migliore per fermare le violazioni dei dati e snellire il percorso verso la conformità nella vostra organizzazione. "Mai fidarsi, verificare sempre" Zero Trust aiuta a proteggere le risorse aziendali eliminando dispositivi sconosciuti e non gestiti e limitando i movimenti laterali.

Nel 2010 John Kindervag, analista principale della Forrester Research, ha creato il modello Zero Trust. Questo modello afferma che non si dovrebbe mai assumere la fiducia, ma piuttosto convalidare continuamente la fiducia. Quando gli utenti, i dispositivi e i dati risiedevano tutti all'interno del firewall dell'organizzazione, si supponeva che fossero affidabili. Questa presunta fiducia permetteva un facile movimento laterale dopo che un hacker malintenzionato aveva compromesso un dispositivo endpoint.

L'implementazione di un vero modello Zero Trust o Architettura Zero Trust richiede che tutti i componenti - identità dell'utente, dispositivo, rete e applicazioni - siano convalidati e dimostrati affidabili. Zero Trust verifica l'identità e la salute dei dispositivi prima di concedere l'accesso alle risorse aziendali. Quando l'accesso viene concesso, l'applicazione del principio del least-privilege limita l'accesso degli utenti alle sole risorse esplicitamente autorizzate per ogni utente, riducendo così il rischio di spostamenti laterali all'interno dell'ambiente. In un ambiente ideale di Zero Trust, sono necessari i seguenti quattro elementi:

  • Autenticazione forte dell'identità ovunque (verifica dell'utente tramite autenticazione)
  • I dispositivi sono iscritti alla gestione dei dispositivi e la loro salute viene convalidata
  • Diritti di utente meno privilegiati (l'accesso è limitato solo a quanto necessario)
  • La salute dei servizi è verificata (obiettivo futuro)

Implementazione di un modello di sicurezza a zero fiducia

La migrazione verso un modello di sicurezza Zero Trust offre un miglioramento simultaneo della sicurezza rispetto ai tradizionali approcci basati sulla rete e consente agli utenti di accedere in modo più efficace dove è necessario. Un modello Zero Trust richiede segnali per informare le decisioni, le politiche per prendere decisioni sull'accesso e le capacità di applicazione per implementare efficacemente tali decisioni.

Modello di sicurezza Zero Trust

Accesso condizionato in Azure AD al centro della strategia

Nell'ambiente di lavoro odierno, abbiamo visto che gli utenti possono lavorare su qualsiasi dispositivo, sia con un computer portatile fornito dall'organizzazione che con uno smartphone personale e da qualsiasi luogo, lavorando da casa, in ufficio o in viaggio. I dipendenti si aspettano di avere accesso senza problemi a ciò di cui hanno bisogno per svolgere il loro lavoro. Mentre la necessità di produttività non cambia con le circostanze di accesso, il livello di rischio di ogni connessione si evolve. Non tutti i dispositivi, le applicazioni o le reti sono sicure e gli aggressori possono sfruttare qualsiasi vulnerabilità che dia loro accesso ai vostri utenti e/o alle vostre risorse. È quindi essenziale proteggere le identità, ma non è sufficiente. La gestione e la verifica delle identità è il primo passo per proteggere il vostro ambiente. Il provisioning delle identità degli utenti tramite Azure AD e la connessione del servizio Active Directory on-premises, se necessario, consente di centralizzare le identità di ogni utente per poter stabilire politiche basate su dispositivi, gruppi e applicazioni.

Come già discusso in precedenza, l'approccio "Zero Trust" richiede politiche di sicurezza flessibili che soddisfino i requisiti per l'accesso degli utenti ai dati e alle risorse. Inoltre, uno degli aspetti essenziali di una "buona" sicurezza è che dovrebbe essere quasi invisibile agli utenti legittimi. L'eccessivo attrito inibisce la produttività, e gli utenti legittimi troveranno il modo di aggirare le disposizioni che bloccano la loro produttività, creando così rischi (aggiuntivi). Anche se è possibile applicare l'autenticazione multi-fattore (MFA) per ogni utente, la massimizzazione della produttività dovrebbe idealmente consentire agli utenti legittimi di svolgere il loro lavoro con interruzioni minime, bloccando al contempo le persone malintenzionate. Azure AD consente di impostare politiche di accesso condizionato per gli utenti della vostra organizzazione per contribuire a proteggere il vostro ambiente ibrido o cloud. L'accesso condizionato è lo strumento utilizzato da Azure Active Directory per riunire i segnali, prendere decisioni e applicare le politiche organizzative.

Configurazione delle politiche di accesso condizionato in Azure AD

Configurazione delle politiche di accesso condizionato in Azure AD

Si raccomanda di applicare le politiche appropriate alla vostra organizzazione per le seguenti condizioni:

  • Utenti e gruppi di utenti: per ridurre il rischio di fuga di dati sensibili, definire quali utenti o gruppi di utenti possono accedere ad applicazioni o risorse, prestando particolare attenzione alle fonti di informazione altamente sensibili come le risorse umane o i dati finanziari.
Utenti e gruppi di utenti
  • Rischio di connessione: Gli algoritmi di Machine Learning in Azure AD valutano ogni connessione e le attribuiscono un punteggio basso, medio o ad alto rischio in base alla probabilità che qualcun altro, oltre al legittimo proprietario del conto, tenti di connettersi. Chiunque abbia un rischio medio deve essere sfidato con l'autenticazione a più fattori (MFA) quando si connette. Se la connessione è ad alto rischio, l'accesso deve essere bloccato. Questa condizione richiede Azure la protezione dell'identità AD.
Rischio di connessione
  • Piattaforma del dispositivo: per questa condizione, è possibile definire una policy per ogni piattaforma di dispositivo che blocchi l'accesso, richieda ad esempio la conformità a Microsoft Intune, o richieda che il dispositivo sia unito al dominio.
Piattaforma del dispositivo
  • Posizione: una posizione può essere rischiosa se si tratta di un paese con politiche di sicurezza limitate o se la rete wireless non è sicura. Inoltre, può essere rischioso semplicemente perché non è un luogo in cui l'organizzazione svolge solitamente le sue attività. È possibile modificare i requisiti di accesso per le connessioni da località che non sono presenti in un elenco di indirizzi IP sicuri o che sono rischiose per altri motivi. Gli utenti che accedono a un servizio quando si trovano al di fuori della rete aziendale devono essere costretti a utilizzare l'autenticazione a più fattori.
Posizione
  • Stato del dispositivo: è possibile utilizzare questa condizione per impostare i criteri per i dispositivi che non sono gestiti dalla propria organizzazione.
Stato del dispositivo
  • Applicazioni client: gli utenti possono accedere a molte applicazioni utilizzando diversi tipi di applicazioni client, come applicazioni web, applicazioni mobili o applicazioni per la produttività dell'ufficio. È possibile far rispettare le politiche di sicurezza se un tentativo di accesso viene effettuato utilizzando un tipo di applicazione client che causa problemi noti, oppure è possibile richiedere che solo i dispositivi gestiti accedano a determinati tipi di applicazioni.
Applicazioni per i clienti
  • Applicazioni cloud: questa condizione specifica criteri unici per le applicazioni sensibili. Ad esempio, è possibile richiedere che le applicazioni HR come Workday vengano bloccate se Azure AD rileva una connessione a rischio o se un utente tenta di accedervi con un dispositivo non gestito.
Applicazioni cloud

Quando una condizione è soddisfatta, è possibile scegliere la politica che Azure AD applicherà in termini di controllo:

  • Richiedono un'autenticazione a più fattori per dimostrare l'identità;
  • Modificare le azioni che l'utente può eseguire nelle applicazioni cloud;
  • Limitare l'accesso ai dati sensibili, come ad esempio limitare i download o le funzioni di condivisione;
  • Richiedere il reset della password;
  • Bloccare l'accesso.
Azure Politica AD

L'accesso condizionato in Azure AD consente di far rispettare le "regole di ingaggio" definendo una serie di politiche che specificano condizioni e controlli. È possibile impostare i livelli di accesso da parte del dipendente, del dispositivo o del gruppo. L'accesso condizionato in Azure AD è un fulcro delle politiche di sicurezza basate sull'identità. In precedenza, avreste dovuto specificare: "nessun accesso al di fuori della rete aziendale" o "nessun accesso da un dispositivo personale"; oggi, la possibilità di bloccare o autorizzare l'accesso è offerta a determinate condizioni.

L'implementazione di un approccio Zero Trust con Azure accesso condizionato Active Directory in Azure AD consente di applicare politiche di sicurezza che si attivano automaticamente quando vengono soddisfatte determinate condizioni. È possibile bloccare l'accesso se i dati contestuali suggeriscono che l'utente è stato compromesso, o se è molto improbabile che l'utente debba accedere a queste condizioni. È possibile applicare ulteriori requisiti di autenticazione quando il sistema rileva un rischio medio in base alle condizioni di connessione.

Si noti che l'accesso condizionato in Azure AD è una Azure funzione AD Premium (P1 o P2). Tutti gli utenti che accedono a un'applicazione o a una risorsa limitata da politiche di accesso condizionato devono avere una Azure licenza AD Premium.

ACCESSO CONDIZIONALE NELLA DIREZIONE ATTIVA DELL'AZURO: https:/Azure/docs.microsoft.com/en-us/ /directory-attiva/accesso condizionato alla direzione attiva

"Mai fidarsi, verificare sempre"

Gestione dei dispositivi con Azure
Post Views: 7,304
Menu