Condividi tramite


Accesso con privilegi: account

La sicurezza degli account è un componente fondamentale di la protezione dell'accesso con privilegi. La sicurezza end-to-end di Zero Trust per le sessioni richiede di stabilire con fermezza che l'account utilizzato nella sessione sia effettivamente sotto il controllo del proprietario umano e non di un utente malintenzionato che si spaccia per essi.

La sicurezza avanzata degli account inizia con il provisioning sicuro e la gestione completa del ciclo di vita attraverso il deprovisioning e ogni sessione deve stabilire forti garanzie che l'account non sia attualmente compromesso in base a tutti i dati disponibili, inclusi modelli di comportamento cronologici, intelligence sulle minacce disponibili e utilizzo nella sessione corrente.

Sicurezza dell'account

Queste linee guida definiscono tre livelli di sicurezza per la sicurezza degli account che è possibile usare per gli asset con livelli di riservatezza diversi:

Protezione degli account integrale

Questi livelli stabiliscono profili di sicurezza chiari e implementabili, appropriati per ogni livello di riservatezza, ai quali è possibile assegnare ruoli e scalare rapidamente. Tutti questi livelli di sicurezza degli account sono progettati per mantenere o migliorare la produttività per gli utenti limitando o eliminando l'interruzione dei flussi di lavoro degli utenti e degli amministratori.

Pianificazione della sicurezza degli account

Queste linee guida illustrano i controlli tecnici necessari per soddisfare ogni livello. Le linee guida per l'implementazione sono disponibili nella roadmap per l'accesso con privilegi .

Controlli di sicurezza degli account

Per ottenere la sicurezza per le interfacce è necessaria una combinazione di controlli tecnici che proteggono gli account e forniscono segnali da usare in una decisione dei criteri Zero Trust (vedere Protezione delle interfacce per le informazioni di riferimento sulla configurazione dei criteri).

I controlli usati in questi profili includono:

  • Autenticazione a più fattori: fornire diverse fonti di prova progettate per essere il più semplici possibile per gli utenti, ma difficili da imitare per un avversario.
  • Rischio dell'account - Monitoraggio delle minacce e anomalie - Uso di UEBA e Intelligence per le minacce per identificare scenari rischiosi
  • Monitoraggio personalizzato: per account più sensibili, definire in modo esplicito comportamenti consentiti/accettati/modelli consente il rilevamento anticipato di attività anomale. Questo controllo non è adatto per gli account per utilizzo generico nell'organizzazione perché questi account necessitano di flessibilità per i ruoli.

La combinazione di controlli consente anche di migliorare la sicurezza e l'usabilità - ad esempio, un utente che rimane all'interno del proprio modello normale (usando lo stesso dispositivo nella stessa posizione giorno dopo giorno) non deve essere richiesto di utilizzare l'autenticazione a più fattori esterna ogni volta che si autentica.

Confronto tra i livelli di account e analisi costo-beneficio

Account di sicurezza aziendali

I controlli di sicurezza per gli account aziendali sono progettati per creare una baseline sicura per tutti gli utenti e fornire una base sicura per la sicurezza specializzata e con privilegi:

  • Applicare l'autenticazione a più fattori avanzata (MFA): assicurarsi che l'utente sia autenticato con L'autenticazione a più fattori avanzata fornita da un sistema di identità gestito dall'organizzazione (descritto nel diagramma seguente). Per altre informazioni sull'autenticazione a più fattori, vedere procedura consigliata per la sicurezza di Azure 6.

    Nota

    Anche se l'organizzazione può scegliere di usare una forma più debole di MFA esistente durante un periodo di transizione, gli utenti malintenzionati eludono sempre più le protezioni MFA più deboli, quindi tutti i nuovi investimenti nell'MFA dovrebbero essere indirizzati verso le forme più forti.

  • Applicare la gestione del rischio per account/sessione: assicurarsi che l'account non sia in grado di eseguire l'autenticazione a meno che non sia a un livello di rischio basso (o medio?). Per informazioni dettagliate sulla sicurezza dell'account aziendale condizionale, vedere Livelli di sicurezza dell'interfaccia.

  • Monitorare e rispondere agli avvisi: le operazioni di sicurezza devono integrare gli avvisi di sicurezza degli account e ottenere formazione sufficiente su come funzionano questi protocolli e sistemi per assicurarsi che siano in grado di comprendere rapidamente cosa significa un avviso e reagire di conseguenza.

Il diagramma seguente offre un confronto con diverse forme di autenticazione MFA e senza password. Ogni opzione nella casella migliore è considerata sia alta sicurezza che elevata usabilità. Ognuno ha requisiti hardware diversi, quindi è consigliabile combinare e associare quelli che si applicano a ruoli o individui diversi. Tutte le soluzioni senza password Microsoft vengono riconosciute dall'accesso condizionale come autenticazione a più fattori perché richiedono la combinazione di elementi biometrici, qualcosa che si conosce o entrambi.

Confronto tra metodi di autenticazione validi, migliori, migliori

Nota

Per altre informazioni sul motivo per cui l'autenticazione basata su SMS e altre forme di autenticazione tramite telefono è limitata, consulta il post sul blog È ora di rinunciare ai trasporti telefonici per l'autenticazione.

Account specializzati

Gli account specializzati sono un livello di protezione superiore adatto agli utenti sensibili. A causa del loro maggiore impatto aziendale, gli account specializzati garantiscono un monitoraggio e una definizione di priorità aggiuntivi durante gli avvisi di sicurezza, le indagini sugli eventi imprevisti e la ricerca delle minacce.

La sicurezza specializzata si basa sull'autenticazione a più fattori nella sicurezza aziendale identificando gli account più sensibili e assicurando che gli avvisi e i processi di risposta siano classificati in ordine di priorità:

  1. Identificare gli account sensibili: vedere indicazioni specializzate sul livello di sicurezza per l'identificazione di questi account.
  2. Contrassegna gli account specializzati - Assicura che ogni account sensibile sia contrassegnato
    1. Configurare gli elenchi di controllo di Microsoft Sentinel per identificare questi account sensibili
    2. Configurare la protezione degli account prioritari in Microsoft Defender per Office 365 e designare account specializzati e con privilegi come account prioritari-
  3. Aggiornare i processi delle operazioni di sicurezza: per assicurarsi che questi avvisi abbiano la priorità più alta
  4. Configurare la governance - Aggiornare o creare un processo di governance per assicurarsi che
    1. Tutti i nuovi ruoli vengono valutati per classificazioni specializzate o con privilegi nel momento in cui vengono creati o modificati.
    2. Tutti i nuovi account vengono contrassegnati man mano che vengono creati
    3. Controlli fuori banda continui o periodici per garantire che i ruoli e gli account non vengano trascurati dai normali processi di governance.

Account con privilegi

Gli account con privilegi hanno il massimo livello di protezione perché rappresentano un potenziale impatto significativo o significativo sulle operazioni dell'organizzazione, se compromesse.

Gli account con privilegi includono sempre amministratori IT con accesso alla maggior parte o a tutti i sistemi aziendali, inclusi la maggior parte o tutti i sistemi aziendali critici. Altri account con un impatto aziendale elevato possono anche giustificare questo livello aggiuntivo di protezione. Per ulteriori informazioni su quali ruoli e account dovrebbero essere protetti a che livello, vedere l'articolo Privileged Security.

Oltre alla sicurezza specializzata, la sicurezza degli account con privilegi aumenta sia:

  • Prevenzione: aggiungere controlli per limitare l'utilizzo di questi account ai dispositivi, alle workstation e agli intermediari designati.
  • Risposta: monitorare attentamente questi account per attività anomale e analizzare e correggere rapidamente il rischio.

Configurazione della sicurezza degli account con privilegi

Segui le indicazioni riportate nel piano di modernizzazione rapida di Sicurezza per aumentare la sicurezza degli account con privilegi e ridurre i costi di gestione.

Passaggi successivi