Illustrare il controllo nell'identità

  • 3 minuti

È necessario comprendere il valore e lo scopo dei controlli nella soluzione di gestione delle identità. La funzionalità di controllo consente a un amministratore di individuare un attacco mentre è ancora in corso o quando è già avvenuto. Il controllo è anche uno strumento per assicurare la conformità e tenere traccia delle operazioni eseguite da ogni identità. Tale funzionalità consente inoltre agli sviluppatori di semplificare il debug dei problemi di sicurezza. Ad esempio, se per un errore nella configurazione dei criteri di autorizzazione o di verifica il sistema nega l'accesso a un utente autorizzato, uno sviluppatore può individuare e isolare rapidamente la causa di questo errore esaminando il registro eventi.

Ogni attività, dall'accesso alla modifica di una password alla configurazione e all'utilizzo dell'autenticazione a più fattori, può essere registrata, segnalata e monitorata. Questi log forniscono all'amministratore delle identità una risorsa per esaminare l'esecuzione della soluzione di gestione delle identità e degli accessi. Procedure di controllo integre mantengono sicure le identità, che a loro volta mantengono sicuri i dati e le soluzioni. Alcuni dei diversi log da tenere presenti per il controllo sono i log attività di Microsoft Entra, i log di accesso, i log di provisioning e i log di controllo. È possibile usare diversi strumenti, da Monitoraggio di Azure a Microsoft Sentinel, per la creazione di report e il monitoraggio.

Comprendere il concetto di governance

Secondo il dizionario Merriam-Webster, la governance è l'atto o il processo di supervisione del controllo e della gestione di un sistema. Tale sistema può essere un ente governativo, un bilancio o una soluzione di gestione delle identità in Azure. La governance prevede processi e controlli per il funzionamento dei sistemi e per la valutazione dell'esecuzione responsabile del sistema. Non è mai sufficiente creare una soluzione e poi dimenticarsene. È necessario monitorarne l'esecuzione, aggiornare regolarmente i processi, rimuovere o sostituire le funzionalità obsolete e così via. In caso contrario, il sistema si deteriorerà lentamente e smetterà di funzionare. La governance è la stessa anche per una soluzione di gestione delle identità creata in Azure. È necessario monitorare, valutare e aggiornare il sistema nel corso del tempo.

Scenario Storia semplice, ma probabile
Juan, sviluppatore di app Un utente di nome Juan riceve un account dall'azienda dove lavora per diversi anni. Durante questo periodo, l'utente ottiene l'accesso come amministratore per distribuire un'applicazione alla cui creazione ha contribuito Juan. In seguito Juan lascia l'azienda in buoni rapporti, ma l'account utente non viene mai rimosso dal sistema. Il responsabile di Juan ha dimenticato di inviare le pratiche per chiudere l'account. Non esiste un sistema di governance in grado di rilevare che l'account è inutilizzato e che Juan non è più elencato nei sistemi di gestione delle risorse umane. Un anno dopo, Juan è vittima di un messaggio di posta elettronica di phishing e gli vengono rubati un nome utente e una password personali. Come molte persone, Juan usava una password simile per le attività personali e per gli account di lavoro. Si sta verificando uno scenario in cui i sistemi potrebbero essere violati da quello che sembra essere un account valido.

Perché la governance? In questo scenario la governance potrebbe essere utile sotto diversi aspetti:

  • Verificare regolarmente con il reparto delle risorse umane se tutti gli account sono ancora presenti come dipendenti nel database delle risorse umane.
  • Verificare quando è stato eseguito l'ultimo accesso a un account.
  • Verifica se l'account necessita di tutti i diritti di cui dispone attualmente.
  • Verificare che le password vengano modificate regolarmente o, meglio ancora, che i dipendenti usino l'autenticazione a più fattori.
  • E in molti altri modi.

Comprendere il concetto di gestione del ciclo di vita delle identità

La gestione del ciclo di vita delle identità rappresenta la base per Identity Governance e per una governance efficace su larga scala occorre modernizzare l'infrastruttura di gestione del ciclo di vita delle identità per le applicazioni. Lo scopo della gestione del ciclo di vita delle identità è automatizzare e gestire l'intero processo del ciclo di vita delle identità digitali.

La gestione delle identità digitali è un'attività complessa. È necessario correlare oggetti reali, ad esempio una persona e la sua relazione con un'organizzazione. Si pensi all'utente come a un dipendente dell'organizzazione, con una rappresentazione digitale. Nelle organizzazioni piccole conservare la rappresentazione digitale delle persone che richiedono un'identità può essere un processo manuale. Uno specialista IT può creare un account in una directory per un nuovo assunto o per un terzista, al quale viene quindi assegnato il tipo di accesso necessario. Tuttavia, nelle organizzazioni di dimensioni medio-grandi, l'automazione può assicurare la scalabilità. L'automazione consente all'IT di garantire l'accuratezza delle identità.

Il processo tipico per la definizione della gestione del ciclo di vita delle identità in un'organizzazione segue questi passaggi:

  1. Sono già presenti sistemi di record, ovvero origini dati, che l'organizzazione considera autorevoli. Ad esempio, l'organizzazione potrebbe avere un sistema per la gestione delle risorse umane. Tale sistema è autorevole per fornire l'elenco aggiornato di dipendenti e alcune delle relative proprietà, come il nome o il reparto del dipendente.
  2. Confrontare il sistema di record con una o più directory e database usati dalle applicazioni e risolvere eventuali incoerenze tra le directory e i sistemi di record.
  3. Determinare quali processi possono essere usati per fornire informazioni autorevoli per i visitatori. È necessario trovare un'alternativa per determinare quando un'identità digitale per un visitatore non è più necessaria.

Strategia di gestione del ciclo di vita delle identità

È necessario pianificare la gestione del ciclo di vita delle identità per i dipendenti o altri utenti che hanno una relazione con l'organizzazione. Per ogni terzista o studente, molte organizzazioni definiscono un modello per il processo di "ingresso, spostamento e uscita". Le definizioni di ingresso, spostamento e uscita sono:

  • Ingresso: quando un utente entra in un ambito per cui è richiesto l'accesso, queste applicazioni richiedono un'identità, quindi potrebbe essere necessario creare una nuova identità digitale se non ne è già disponibile una.
  • Spostamento: quando un utente si sposta tra limiti, è necessario aggiungere o rimuovere l'autorizzazione di accesso nell'identità digitale.
  • Uscita: quando un utente lascia l'ambito per cui è richiesto l'accesso, potrebbe essere necessario rimuovere l'accesso e l'identità non è più richiesta da applicazioni diverse da quelle usate per motivi legali o di controllo.

Se ad esempio nell'organizzazione entra un nuovo dipendente che non è mai stato affiliato in precedenza, è necessario fornirgli una nuova identità digitale, rappresentata come account utente in Microsoft Entra ID. La creazione di questo account rientra in un processo di "ingresso", che è possibile automatizzare. In seguito, se un dipendente viene spostato, ad esempio dalle vendite al marketing, rientrerà nel processo di "spostamento". Uno "spostamento" richiede la rimozione dei diritti di accesso che l'utente aveva nell'organizzazione delle vendite e che non sono più necessari. Gli vengono quindi concessi i diritti nell'organizzazione Marketing, di cui ora ha bisogno.

Strumenti di monitoraggio

Adottare sempre l'approccio Zero Trust: verifica esplicita, uso dell'accesso con privilegi minimi e presunzione di violazione

Monitoraggio dei servizi:

  • Monitoraggio di Azure
  • Application Insights
  • Integrità dei servizi di Azure
  • Integrità risorse di Azure
  • Azure Resource Manager
  • Criteri di Azure