Microsoft Entra IDaaS nelle operazioni di sicurezza

Microsoft Entra ID
Microsoft Sentinel

Questa architettura illustra in che modo i team del Centro operativo di sicurezza (SOC) possono incorporare le funzionalità di identità e accesso di Microsoft Entra in una strategia di sicurezza integrata e a livelli zero trust complessiva.

La sicurezza della rete ha avuto un ruolo predominante nelle attività dei centri operazioni per la sicurezza quando tutti i servizi e i dispositivi erano contenuti nelle reti gestite dalle organizzazioni. Dalle stime di Gartner risulta tuttavia che nel corso del 2022 il mercato dei servizi cloud crescerà a una velocità quasi tre volte superiore a quella dell'intera gamma di servizi IT. Con la crescente diffusione del cloud computing presso le aziende, si assiste a una svolta verso l'uso dell'identità utente come principale confine di sicurezza.

La protezione delle identità nel cloud ha assunto un'importanza altamente prioritaria.

  • Nel report delle indagini sulle violazioni dei dati nel 2020 di Verizon si affermava che il 37% delle violazioni di dati era avvenuto tramite l'uso di credenziali rubate e il 22% si era avvalso di tecniche di phishing.

  • In uno studio sugli incidenti causati da violazioni di dati condotto da IBM nel 2019 veniva segnalato che il costo medio di una violazione di dati a livello globale ammontava a 3,9 milioni di dollari, mentre il costo medio negli Stati Uniti si avvicinava a 8,2 milioni di dollari.

  • Il report di Intelligence sulla sicurezza di Microsoft 2019 ha segnalato che gli attacchi di phishing sono aumentati del 250% tra gennaio e dicembre 2018.

Il modello di sicurezza Zero Trust considera tutti gli host come se fossero con connessione Internet e considera l'intera rete potenzialmente compromessa e ostile. Questo approccio è incentrato sulla creazione di autenticazione avanzata (AuthN), autorizzazione e crittografia, offrendo allo stesso tempo l'accesso compartimentato e una migliore agilità operativa.

Gartner incoraggia l'uso di un'architettura di sicurezza adattiva in sostituzione di una strategia basata sulla risposta a eventi imprevisti con un modello basato su prevenzione-rilevamento-risposta-previsione. La sicurezza adattiva combina funzionalità di controllo di accesso, monitoraggio comportamentale, gestione dell'utilizzo e individuazione con monitoraggio e analisi continui.

Microsoft Cybersecurity Reference Architecture (MCRA) descrive le funzionalità di cybersecurity di Microsoft e il modo in cui si integrano con architetture di sicurezza esistenti, inclusi ambienti cloud e ibridi, che usano Microsoft Entra ID per identità come servizio (IDaaS).

Questo articolo fa avanzare l'approccio alla sicurezza adattiva e zero trust a IDaaS, enfatizzando i componenti disponibili nella piattaforma Microsoft Entra.

Potenziali casi d'uso

  • Progettare nuove soluzioni di sicurezza
  • Migliorare le implementazioni esistenti o integrarle con la nuova architettura
  • Istruire i team dei centri operazioni per la sicurezza

Architettura

Funzionalità di sicurezza correlate a Microsoft Entra

Scaricare un file di Visio di questa architettura.

Workflow

  1. La gestione delle credenziali controlla l'autenticazione.
  2. Il provisioning e la gestione entitlement definiscono il pacchetto di accesso, assegnano utenti alle risorse ed eseguono il push dei dati per l'attestazione.
  3. Il motore di autorizzazione valuta i criteri per determinare l'accesso. Il motore valuta anche i rilevamenti dei rischi, inclusi i dati UEBA (User/Entity Behavioral Analytics), e verifica la conformità dei dispositivi per la gestione degli endpoint.
  4. Se autorizzato, l'utente o il dispositivo ottiene l'accesso in base a criteri e controlli di accesso condizionale.
  5. Se l'autorizzazione non riesce, gli utenti possono apportare correzioni in tempo reale per sbloccare il proprio accesso.
  6. Tutti i dati delle sessioni vengono registrati per l'analisi e la creazione di report.
  7. Il sistema SIEM (Security Information and Event Management) del team SOC riceve tutti i dati di log, rilevamento dei rischi e UEBA dalle identità cloud e locali.

Componenti

I processi e i componenti di sicurezza seguenti contribuiscono a questa architettura IDaaS di Microsoft Entra.

Gestione delle credenziali

La gestione delle credenziali include servizi, criteri e procedure che concedono, monitorano e aggiornano l'accesso a risorse o servizi. La gestione delle credenziali di Microsoft Entra include le funzionalità seguenti:

  • La reimpostazione della password self-service consente agli utenti di gestire autonomamente e reimpostare le proprie password perse, dimenticate o compromesse. Questa tecnologia non solo riduce le chiamate all'help desk, ma offre agli utenti maggiore flessibilità e sicurezza.

  • Il writeback delle password sincronizza le password modificate nel cloud con le directory locali in tempo reale.

  • Le password escluse analizzano i dati di telemetria che espongono password vulnerabili o compromesse di uso comune e ne vietano l'uso a livello globale in microsoft Entra ID. È possibile personalizzare questa funzionalità per il proprio ambiente e includere un elenco di password personalizzate da vietare all'interno della propria organizzazione.

  • Il blocco intelligente confronta i tentativi di autenticazione legittimi con i tentativi di forza bruta per ottenere l'accesso non autorizzato. In base ai criteri di blocco intelligente predefiniti, un account si blocca per un minuto dopo 10 tentativi di accesso non riusciti. Man mano che i tentativi di accesso continuano ad avere esito negativo, il tempo di blocco dell'account aumenta. È possibile usare i criteri per modificare le impostazioni in modo da ottenere la combinazione appropriata di sicurezza e usabilità per l'organizzazione.

  • L'autenticazione a più fattori richiede più forme di autenticazione quando gli utenti tentano di accedere alle risorse protette. Quasi tutti gli utenti hanno familiarità con l'uso di qualcosa che conoscono, ad esempio una password, quando accedono alle risorse. L'autenticazione a più fattori chiede agli utenti di mostrare anche qualcosa che hanno, come l'accesso a un dispositivo attendibile, oppure di mostrare chi sono, ad esempio con un identificatore biometrico. L'autenticazione a più fattori può usare diversi tipi di metodi di autenticazione, come le chiamate telefoniche, gli SMS o le notifiche tramite l'app di autenticazione.

  • L'autenticazione senza password sostituisce la password nel flusso di autenticazione con un token di smartphone o hardware, un identificatore biometrico o un PIN. L'autenticazione senza password Microsoft può funzionare con risorse di Azure come Windows Hello for Business e l'app Microsoft Authenticator nei dispositivi mobili. È anche possibile abilitare l'autenticazione senza password con chiavi di sicurezza compatibili con FIDO2, che usano WebAuthn e il protocollo CTAP (Client-to-Authenticator) di FIDO Alliance.

Provisioning e entitlement delle app

  • La gestione entitlement è una funzionalità di governance delle identità di Microsoft Entra che consente alle organizzazioni di gestire il ciclo di vita delle identità e degli accessi su larga scala. Questa funzionalità automatizza i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le revisioni e le scadenze.

  • Il provisioning di Microsoft Entra consente di creare automaticamente identità utente e ruoli nelle applicazioni a cui gli utenti devono accedere. È possibile configurare il provisioning di Microsoft Entra per app SaaS (Software as a Service) di terze parti, ad esempio SuccessFactors, Workday e molte altre.

  • L'accesso Single Sign-On facile (SSO) autentica automaticamente gli utenti alle applicazioni basate sul cloud dopo aver eseguito l'accesso ai propri dispositivi aziendali. È possibile usare l'accesso Single Sign-On facile di Microsoft Entra con la sincronizzazione dell'hash delle password o l'autenticazione pass-through.

  • L'attestazione con le verifiche di accesso di Microsoft Entra consente di soddisfare i requisiti di monitoraggio e controllo. Tramite le verifiche di accesso è possibile identificare rapidamente il numero di utenti amministratori, assicurarsi che i nuovi dipendenti possano accedere alle risorse necessarie o esaminare le attività degli utenti per determinare se devono ancora accedere.

Criteri e controlli di accesso condizionale

I criteri di accesso condizionale sono istruzioni if-then di assegnazioni e controlli di accesso. Si definisce la risposta ("eseguire questa operazione") al motivo per cui sono stati attivati i criteri ("se accade questo"), consentendo al motore di autorizzazione di prendere decisioni in base alle quali vengono applicati i criteri dell'organizzazione. Con l'accesso condizionale Microsoft Entra, è possibile controllare come gli utenti autorizzati accedono alle app. Lo strumento What If di Microsoft Entra ID consente di comprendere il motivo per cui un criterio di accesso condizionale è stato o non è stato applicato o se un criterio si applica a un utente in una circostanza specifica.

I controlli di accesso condizionale funzionano insieme ai criteri di accesso condizionale per applicare i criteri dell'organizzazione. I controlli di accesso condizionale di Microsoft Entra consentono di implementare la sicurezza in base ai fattori rilevati al momento della richiesta di accesso, anziché a un approccio basato su un'unica dimensione. Associando i controlli di accesso condizionale alle condizioni di accesso, si riduce la necessità di creare controlli di sicurezza aggiuntivi. Come esempio tipico, è possibile consentire agli utenti di un dispositivo aggiunto a un dominio di accedere alle risorse usando l'accesso SSO, ma richiedere l'autenticazione a più fattori per gli utenti che si trovano all'esterno della rete o usano i propri dispositivi.

Microsoft Entra ID può usare i controlli di accesso condizionale seguenti con i criteri di accesso condizionale:

Rilevamenti dei rischi

Azure Identity Protection include diversi criteri che consentono all'organizzazione di gestire le risposte alle azioni utente sospette. Il rischio utente è la probabilità che l'identità di un utente venga compromessa. Il rischio di accesso è la probabilità che una richiesta di accesso non provenga dall'utente. Microsoft Entra ID calcola i punteggi di rischio di accesso in base alla probabilità della richiesta di accesso proveniente dall'utente effettivo, in base all'analisi comportamentale.

  • I rilevamenti dei rischi di Microsoft Entra usano algoritmi di Machine Learning adattivi ed euristica per rilevare azioni sospette correlate agli account utente. Ogni azione sospetta rilevata viene archiviata in un record detto rilevamento di rischi. Microsoft Entra ID calcola la probabilità di rischio per l'utente e l'accesso usando questi dati, ottimizzati con le origini e i segnali di intelligence sulle minacce interni ed esterni di Microsoft.

  • È possibile usare le API per il rilevamento di rischi di Identity Protection in Microsoft Graph per esporre informazioni su utenti e accessi a rischio.

  • La correzione in tempo reale consente agli utenti di sbloccare il proprio account usando la reimpostazione della password self-service e l'autenticazione a più fattori per correggere automaticamente alcuni rilevamenti di rischi.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per maggiori informazioni, consultare la sezione Elenco di controllo per la revisione della progettazione per la sicurezza.

Registrazione

I report di controllo di Microsoft Entra forniscono tracciabilità per le attività di Azure con log di controllo, log di accesso e report di accesso rischiosi e utenti rischiosi. È possibile applicare filtri ed eseguire ricerche nei dati di log in base a diversi parametri, tra cui servizio, categoria, attività e stato.

È possibile instradare i dati di log di Microsoft Entra ID agli endpoint, ad esempio:

È anche possibile usare l'API di creazione report di Microsoft Graph per recuperare e utilizzare i dati di log di Microsoft Entra ID all'interno di script personalizzati.

Considerazioni su scenari locali e ibridi

I metodi di autenticazione sono fondamentali per proteggere le identità di un'organizzazione in uno scenario ibrido. Microsoft fornisce indicazioni specifiche sulla scelta di un metodo di autenticazione ibrida con Microsoft Entra ID.

Microsoft Defender per identità possibile usare i segnali Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni interne dannose. Defender per identità usa UEBA per identificare le minacce interne e contrassegnare il rischio. Anche se un'identità diventa compromessa, Defender per identità può aiutare a identificare la compromissione in base al comportamento insolito dell'utente.

Defender per identità è integrato con le app di Defender per il cloud per estendere la protezione alle app cloud. Il servizio Defender for Cloud Apps può essere usato per creare criteri di sessione per la protezione di file durante il download. Ad esempio, è possibile impostare automaticamente le autorizzazioni di sola visualizzazione per qualsiasi file scaricato da tipi specifici di utenti.

È possibile configurare un'applicazione locale in Microsoft Entra ID per usare Defender per il cloud Apps per il monitoraggio in tempo reale. Defender for Cloud Apps usa Controllo app per l'accesso condizionale per monitorare e controllare le sessioni in tempo reale in base ai criteri di accesso condizionale. È possibile applicare questi criteri alle applicazioni locali che usano il proxy di applicazione in Microsoft Entra ID.

Microsoft Entra Application Proxy consente agli utenti di accedere alle applicazioni Web locali da client remoti. Con Application Proxy, è possibile monitorare tutte le attività di accesso per le applicazioni in un'unica posizione.

È possibile usare Defender per identità con Microsoft Entra ID Protection per proteggere le identità utente sincronizzate con Microsoft Entra Connect.

Se alcune delle app usano già un controller di recapito o un controller di rete esistente per fornire l'accesso fuori rete, è possibile integrarle con Microsoft Entra ID. Diversi partner, tra cui Akamai, Citrix, F5 Networks e Zscaler offrono soluzioni e linee guida per l'integrazione con Microsoft Entra ID.

Ottimizzazione dei costi

L'ottimizzazione dei costi riguarda l'analisi dei modi per ridurre le spese non necessarie e migliorare l'efficienza operativa. Per altre informazioni, vedere Elenco di controllo per la revisione della progettazione per l'ottimizzazione dei costi.

I prezzi di Microsoft Entra vanno da gratuito, per funzionalità come SSO e MFA, a Premium P2, per funzionalità come PIM e Entitlement Management. Per informazioni dettagliate sui prezzi, vedere Prezzi di Microsoft Entra.

Passaggi successivi