Condividi tramite

Protezione dell'identità con Zero Trust

Prima che la maggior parte delle organizzazioni inizi un percorso di Zero Trust, il loro approccio all'identità potrebbe essere frammentato, con diversi provider di identità, la mancanza di single sign-on (SSO) tra app cloud e locali e una visibilità limitata nel rischio associato all'identità.

Le applicazioni cloud e i lavoratori mobili richiedono un nuovo modo di pensare quando si tratta di sicurezza. Molti dipendenti portano i propri dispositivi e lavorano in modo ibrido. I dati vengono regolarmente accessibili all'esterno del perimetro della rete aziendale tradizionale e condivisi con collaboratori esterni come partner e fornitori. Le applicazioni e i dati aziendali tradizionali passano da ambienti locali a ambienti ibridi e cloud.

I controlli di rete tradizionali per la sicurezza non sono più sufficienti.

Le identità rappresentano persone, servizi o dispositivi, tra reti, endpoint e applicazioni. Nel modello di sicurezza Zero Trust funzionano come strumenti potenti, flessibili e granulari per controllare l'accesso alle risorse.

Prima che un'identità tenti di accedere a una risorsa, le organizzazioni devono:

  • Verificare l'identità con l'autenticazione avanzata.
  • Assicurarsi che l'accesso sia conforme e tipico per quell'identità.
  • Seguire i principi di accesso con privilegi minimi.

Dopo aver verificato l'identità, è possibile controllare l'accesso alle risorse in base ai criteri dell'organizzazione, all'analisi dei rischi in corso e ad altri strumenti.

Obiettivi di distribuzione di identity Zero Trust

Quando si implementa un framework di Zero Trust end-to-end per l'identità, è consigliabile concentrarsi prima su questi obiettivi di distribuzione iniziale:

  • Le identità cloud si federano con i sistemi di identità locali.
  • I criteri di accesso condizionale gateno l'accesso e forniscono attività correttive.
  • L'analisi migliora la visibilità.

Dopo aver affrontato le aree precedenti, concentrarsi su questi obiettivi di distribuzione:

  • Le identità e i privilegi di accesso sono gestiti tramite la governance delle identità.
  • L'utente, il dispositivo, la posizione e il comportamento vengono analizzati in tempo reale.
  • Integrare i segnali delle minacce provenienti da altre soluzioni di sicurezza.

I. L'identità cloud è federata con i sistemi locali di gestione delle identità

Microsoft Entra ID consente l'autenticazione avanzata, un punto di integrazione per la sicurezza degli endpoint e il nucleo dei criteri incentrati sugli utenti per garantire l'accesso con privilegi minimi. Microsoft Entra Conditional Access è il motore delle politiche usato per prendere decisioni per l'accesso alle risorse in base all'identità dell'utente, all'ambiente, alla salute del dispositivo e al rischio verificati in modo esplicito al momento dell'accesso. È possibile implementare una strategia di gestione delle identità Zero Trust con Microsoft Entra ID.

Diagramma dei passaggi nella fase 1 degli obiettivi di distribuzione iniziali.

Connettere tutti gli utenti a Microsoft Entra ID e a eseguire la federazione con i sistemi di gestione delle identità locali

La gestione di una pipeline integra delle identità dei dipendenti e degli artefatti di sicurezza necessari, inclusi i gruppi per l'autorizzazione e gli endpoint per i controlli dei criteri di accesso, consente di usare identità e controlli coerenti nel cloud.

Seguire questa procedura:

  1. Scegliere un'opzione di autenticazione. Microsoft Entra ID offre la migliore protezione contro gli attacchi di forza bruta, DDoS e password spraying, ma è importante prendere la decisione più appropriata per la tua organizzazione e le tue esigenze di conformità.
  2. Porta solo le identità di cui hai assolutamente bisogno. Usare il cloud come un'opportunità per lasciarsi alle spalle gli account di servizio che hanno senso solo in un ambiente locale. Lasciare i ruoli con privilegi locali in locale.
  3. Assicurarsi di soddisfare i requisiti hardware per Microsoft Entra Connect Sync in base alle dimensioni dell'organizzazione.

Stabilisci la tua identità con Microsoft Entra ID

Una strategia di Zero Trust richiede la verifica in modo esplicito, l'uso di principi di accesso con privilegi minimi e l'assunzione di violazioni. Microsoft Entra ID può fungere da punto decisionale dei criteri per applicare i criteri di accesso in base a informazioni dettagliate sull'utente, l'endpoint, la risorsa di destinazione e l'ambiente.

Inserire Microsoft Entra ID nel percorso di ogni richiesta di accesso. Questo processo connette ogni utente, app e risorsa tramite un piano di controllo delle identità comune e fornisce Microsoft Entra ID con i segnali per prendere le decisioni migliori possibili sul rischio di autenticazione/autorizzazione. Inoltre, l'accesso Single Sign-On (SSO) e le linee guida coerenti delle policy offrono un'esperienza utente migliore e contribuiscono ad aumentare la produttività.

Integrare tutte le applicazioni con Microsoft Entra ID

L'accesso single sign-on impedisce agli utenti di lasciare copie delle credenziali in varie app e aiuta ad evitare attacchi di phishing o affaticamento da MFA a causa di richieste eccessive.

Assicurati di non avere più soluzioni di gestione delle identità e degli accessi (IAM) nel tuo ambiente. Questa duplicazione riduce i segnali che Microsoft Entra ID vede, consente agli attori malintenzionati di vivere nelle ombre tra i due motori IAM e porta a un'esperienza utente scarsa. Questa complessità potrebbe portare ai partner commerciali a diventare dubbi sulla strategia di Zero Trust.

Seguire questa procedura:

  1. Integrare applicazioni aziendali moderne che parlano OAuth2.0 o SAML.
  2. Per le applicazioni di autenticazione basate su moduli e Kerberos, integrateli usando il proxy dell'applicazione Microsoft Entra.
  3. Se si pubblicano applicazioni legacy usando reti/controller di distribuzione delle applicazioni, utilizzare Microsoft Entra ID per integrare con la maggior parte delle principali (ad esempio Citrix, Akamai e F5).
  4. Per individuare ed eseguire la migrazione delle app dai motori ADFS e IAM esistenti o meno recenti, vedere Risorse per la migrazione di applicazioni a Microsoft Entra ID.
  5. Automatizzare il provisioning degli utenti.

Suggerimento

Altre informazioni sull'implementazione di una strategia di Zero Trust end-to-end per le applicazioni.

Verificare in modo esplicito con l'autenticazione avanzata

Seguire questa procedura:

  1. Roll out Microsoft Entra autenticazione a più fattori. Questo sforzo è un elemento fondamentale della riduzione del rischio di sessione utente. Quando gli utenti accedono da nuovi dispositivi e nuove posizioni, avere l'opportunità di rispondere a una verifica MFA è uno dei modi più diretti in cui i vostri utenti possono dimostrare che si tratta di dispositivi/posizioni familiari mentre si spostano nel mondo (senza che gli amministratori analizzino i singoli segnali).
  2. Bloccare l'autenticazione legacy. Uno dei vettori di attacco più comuni per gli attori malintenzionati consiste nell'usare credenziali rubate/riprodotte su protocolli legacy, ad esempio SMTP, che non possono eseguire sfide di sicurezza moderne.

II. I criteri di accesso condizionale consentono di controllare l'accesso e offrono attività di correzione

Microsoft Entra l'accesso condizionale analizza i segnali, ad esempio utente, dispositivo e posizione, per automatizzare le decisioni e applicare i criteri di accesso dell'organizzazione per le risorse. È possibile usare criteri di accesso condizionale per applicare controlli di accesso come l'autenticazione a più fattori (MFA). I criteri di accesso condizionale consentono di richiedere l'autenticazione a più fattori agli utenti quando è necessario per la sicurezza e di non interferire quando non lo è.

Diagramma dei criteri di accesso condizionale in Zero Trust.

Microsoft fornisce criteri condizionali standard denominati impostazioni predefinite per la sicurezza che assicurano un livello di sicurezza di base. Tuttavia, l'organizzazione potrebbe avere bisogno di maggiore flessibilità rispetto alle impostazioni predefinite per la sicurezza. È possibile utilizzare l'accesso condizionale per personalizzate le impostazioni predefinite per la sicurezza con maggiore granularità e per configurare nuovi criteri per la sicurezza in base alle esigenze.

La pianificazione dei criteri di accesso condizionale in anticipo e la disponibilità di un set di criteri attivi e di fallback è un pilastro fondamentale dell'applicazione dei criteri di accesso in un'implementazione Zero Trust. Dedicate il tempo necessario per configurare posizioni di rete conosciute nell'ambiente in uso. La configurazione di questi indirizzi IP influisce sul rischio di Microsoft Entra ID Protection, anche se non si utilizzano questi percorsi di rete in un criterio di accesso condizionale.

Eseguire questo passaggio:

  • Vedere le linee guida per la distribuzione e le procedure consigliate per i criteri di accesso condizionale resilienti.

Registrare i dispositivi con Microsoft Entra ID per limitare l'accesso da dispositivi vulnerabili e compromessi

Seguire questa procedura:

  1. Abilita l'associazione ibrida di Microsoft Entra o l'associazione di Microsoft Entra. Se si gestisce il computer portatile o il computer dell'utente, inserire tali informazioni in Microsoft Entra ID e usarle per prendere decisioni migliori. Ad esempio, consentendo ai client avanzati, che dispongono di copie offline nel computer, accedere ai dati se si sa che l'utente proviene da un computer che l'organizzazione controlla e gestisce.
  2. Abilitare il servizio Intune all'interno di Microsoft Endpoint Manager (EMS) per la gestione dei dispositivi mobili degli utenti e dei dispositivi enroll. Lo stesso si può dire sui dispositivi mobili utente come sui portatili: più si sa di loro (livello di patch, jailbroken, rooted e così via), più è possibile fornire una logica per il motivo per cui si blocca/consente l'accesso.

Suggerimento

Informazioni sull'implementazione di una strategia di Zero Trust end-to-end per gli endpoint.

III. L'analisi migliora la visibilità

Man mano che si costruisce il proprio ambiente in Microsoft Entra ID con autenticazione, autorizzazione e provisioning, è importante disporre di solide informazioni operative su ciò che accade nella directory.

Configurare la registrazione e la creazione di report per migliorare la visibilità

Eseguire questo passaggio:

IV. Le identità e i privilegi di accesso vengono gestiti con la gestione delle identità

Dopo aver raggiunto gli obiettivi iniziali, concentratevi su altri obiettivi, come una governance delle identità più robusta.

Diagramma dei passaggi nella fase 4 degli obiettivi di distribuzione aggiuntivi.

Proteggere l'accesso con privilegi con Privileged Identity Management

Controllare gli endpoint, le condizioni e le credenziali usate dagli utenti per accedere a operazioni/ruoli con privilegi.

Seguire questa procedura:

  1. Controlla le tue identità privilegiate. L'accesso con privilegi non è solo l'accesso amministrativo, ma anche l'accesso alle applicazioni o agli sviluppatori che possono cambiare il modo in cui le app cruciali eseguono e gestiscono i dati.
  2. Usare Privileged Identity Management per proteggere le identità con privilegi.

Il consenso degli utenti alle applicazioni è un modo comune per le applicazioni moderne per ottenere l'accesso alle risorse organizzative, ma esistono alcune procedure consigliate da tenere presente.

Seguire questa procedura:

  1. Limitare il consenso dell'utente e gestire le richieste di consenso per garantire che non si verifichi un'esposizione non necessaria dei dati dell'organizzazione alle app.
  2. Esaminare il consenso precedente/esistente nell'organizzazione per eventuali consenso eccessivo o dannoso.

Per altre informazioni sugli strumenti per proteggere dalle tattiche di accesso alle informazioni sensibili, vedere "Rafforzare la protezione dalle minacce informatiche e dalle app malevole" nella guida per implementare una strategia di Zero Trust per le identità.

Gestire i diritti

Grazie alle applicazioni che autenticano centralmente e gestite da Microsoft Entra ID, è possibile semplificare la richiesta di accesso, l'approvazione e la procedura di ricertificazione per garantire che le persone giuste abbiano il corretto accesso e che ci sia un tracciamento del motivo per cui gli utenti della tua organizzazione dispongono dell'accesso che possiedono.

Seguire questa procedura:

  1. Usare Entitlement Management per creare i pacchetti di accesso che gli utenti possono richiedere quando si uniscono a team/progetti diversi e che le assegnano l'accesso alle risorse associate (ad esempio applicazioni, siti SharePoint, appartenenze ai gruppi).
  2. Se per l'organizzazione non è possibile distribuire la Gestione delle Autorizzazioni in questo momento, abilitate almeno i paradigmi self-service all'interno dell'organizzazione, distribuendo la gestione gruppi self-service e l'accesso all'applicazione self-service.

Usare l'autenticazione senza password per ridurre il rischio di attacchi di phishing e password

Con Microsoft Entra ID che supporta fIDO 2.0 e l'accesso tramite telefono senza password, è possibile spostare l'ago sulle credenziali che gli utenti (specialmente gli utenti sensibili/con privilegi) usano quotidianamente. Queste credenziali sono fattori di autenticazione sicuri che possono attenuare anche i rischi.

Eseguire questo passaggio:

  • Iniziare a distribuire le credenziali senza password nell'organizzazione.

V. Utente, dispositivo, posizione e comportamento vengono analizzati in tempo reale per determinare i rischi e offrire una protezione continua

L'analisi in tempo reale è fondamentale per determinare il rischio e la protezione.

Diagramma dei passaggi nella fase 5 degli obiettivi di distribuzione aggiuntivi.

Distribuire la protezione password di Microsoft Entra

Mentre si abilitano altri metodi per verificare in modo esplicito gli utenti, non ignorare password deboli, attacchi di password spraying e attacchi di replay delle violazioni. E i criteri password complessi classici non impediscono gli attacchi password più diffusi.

Eseguire questo passaggio:

Abilitare Microsoft Entra ID Protection

Ottenere un segnale di rischio di sessione/utente più granulare con Microsoft Entra ID Protection. È possibile abilitare le opzioni di analisi e correzione dei rischi in base alle esigenze di sicurezza in continua evoluzione dell'organizzazione.

Eseguire questo passaggio:

Abilitare l'integrazione di Microsoft Defender for Cloud Apps con Microsoft Entra ID Protection

Microsoft Defender for Cloud Apps monitora il comportamento degli utenti all'interno di applicazioni SaaS e moderne. Questo segnale informa Microsoft Entra ID su ciò che è successo all'utente dopo l'autenticazione e la ricezione di un token. Se il modello utente inizia a sembrare sospetto, un segnale può essere inviato a Microsoft Entra ID Protection e a Conditional Access per notificare che l'utente sembra essere compromesso o a rischio elevato. Nella successiva richiesta di accesso da parte dell'utente, Microsoft Entra ID può intervenire correttamente per verificare l'utente o bloccarli.

Eseguire questo passaggio:

Abilitare l'integrazione dell'accesso condizionale con Microsoft Defender for Cloud Apps

Usando i segnali generati dopo l'autenticazione e con Defender for Cloud Apps che inoltra le richieste proxy alle applicazioni, sarà possibile monitorare le sessioni che passano alle applicazioni SaaS e applicare restrizioni.

Seguire questa procedura:

  1. Abilitare l'integrazione con Accesso Condizionale.

  2. Estendere l'accesso condizionale alle app locali.

Abilitare la sessione con restrizioni per l'uso nelle decisioni di accesso

Quando il rischio di un utente è basso, ma esegue l'accesso da un endpoint sconosciuto, potrebbe essere necessario consentire l'accesso alle risorse, ma non consentire loro di eseguire operazioni che espongono l'organizzazione a azioni rischiose. È possibile configurare Exchange Online e SharePoint Online per offrire all'utente una sessione con restrizioni che consente di leggere messaggi di posta elettronica o visualizzare file, ma non di scaricarli e salvarli in un dispositivo non attendibile.

Eseguire questo passaggio:

VI. Integrare segnali di minaccia da altre soluzioni di sicurezza per migliorare il rilevamento, la protezione e la risposta

Si possono infine integrare altre soluzioni di sicurezza per una maggiore efficacia.

Integrare Microsoft Defender per identità con Microsoft Defender for Cloud Apps

L'integrazione con Microsoft Defender per identità consente di Microsoft Entra ID di sapere che un utente sta indugando un comportamento rischioso durante l'accesso a risorse locali non moderne (ad esempio le condivisioni file). Questo segnale può essere inserito nel rischio complessivo, probabilmente bloccando ulteriormente l'accesso nel cloud.

Seguire questa procedura:

  1. Enable Microsoft Defender per identità con Microsoft Defender for Cloud Apps per inserire segnali locali nel segnale di rischio noto all'utente.
  2. Verifica il punteggio combinato della priorità di indagine per ogni utente a rischio per offrire una visione olistica su quali utenti il tuo SOC dovrebbe concentrarsi.

Abilitare Microsoft Defender per endpoint

Microsoft Defender per endpoint consente di attestare l'integrità dei computer Windows e determinare se sono in fase di compromissione. È quindi possibile inserire tali informazioni nella mitigazione dei rischi in fase di esecuzione. Mentre l'aggiunta a un dominio offre un'idea del controllo, Defender per endpoint consente di rispondere a un attacco malware quasi in tempo reale rilevando modelli in cui più dispositivi utente accedono a siti non attendibili. Inoltre, consente di reagire aumentando il livello di rischio di dispositivo/utente durante l'esecuzione.

Eseguire questo passaggio:

Protezione dell'identità in conformità con l'ordine esecutivo 14028 sulla cybersecurity e il memorandum OMB 22-09

Ordine esecutivo 14028 per il miglioramento della sicurezza informatica nazionale e il Memorandum OMB 22-09 includono azioni specifiche su Zero Trust. Le azioni di identità includono l'uso di sistemi centralizzati di gestione delle identità, l'uso di MFA resistenti al phishing e l'incorporamento di almeno un segnale a livello di dispositivo nelle decisioni di autorizzazione. Per indicazioni dettagliate sull'implementazione di queste azioni con Microsoft Entra ID, vedere Requismi di identità del memorandum 22-09 con Microsoft Entra ID.

Prodotti trattati in questa guida

Conclusione

L'identità è fondamentale per una strategia di Zero Trust efficace. Per altre informazioni o assistenza sull'implementazione, contattare il team Customer Success o continuare a leggere gli altri capitoli di questa guida, che riguardano tutti i pilastri Zero Trust.



La serie di guide alla distribuzione Zero Trust

Icona per l'introduzione

Icona per l'identità

Icona per gli endpoint

Icona per le applicazioni

Icona per i dati

Icona per l'infrastruttura

Icona per le reti

Icona per visibilità, automazione, orchestrazione

  • Last updated on