Guido Grillenmeier

L'identità è il nuovo perimetro di sicurezza. Qualsiasi violazione di questo perimetro può consentire a utenti malintenzionati di accedere alle vostre applicazioni, ai vostri dati e alle vostre operazioni aziendali. Per le organizzazioni che si affidano ad Azure Active Directory o a un ambiente ibrido di Azure AD e Active Directory on-prem per fornire servizi di identità, la protezione delle identità ibride può essere un compito complesso e dispendioso in termini di tempo. Eppure è un compito assolutamente vitale.

Gli ambienti ibridi, in particolare, sono soggetti a errori e configurazioni errate che lasciano la porta aperta ai cyberattacchi. E compromettendo l'Active Directory on-prem, gli aggressori possono estendere il loro lavoro sporco ad Azure AD o viceversa. L'attacco di SolarWinds è un esempio lampante di questo tipo di strategia.

Le sfide della protezione delle identità ibride sono molto diverse da quelle che si incontrano negli ambienti puramente on-premise. Se la vostra infrastruttura include Azure AD - e se la vostra organizzazione utilizza Microsoft Office 365, è così - ecco i principali problemi da cui guardarsi.

Attacchi laterali dall'interno dell'AD on-premises

I criminali informatici utilizzano spesso attacchi di phishing e social engineering per colpire gli utenti vulnerabili e indurli a rivelare informazioni sensibili, comprese le credenziali di identità. Gli attacchi di SolarWinds e Colonial Pipeline illustrano il rischio. Gli attori delle minacce in questi attacchi informatici hanno ottenuto il dominio sull'AD on-premises, hanno compromesso la federazione ADFS per falsificare i token SAML e hanno ottenuto l'accesso ad Azure AD.

Cosa si può fare per contrastare gli aggressori quando si protegge l'identità ibrida

Il primo e più ovvio è quello di applicare l'MFA. Le credenziali di identità rubate sono uno degli strumenti più pericolosi per gli aggressori informatici e l'uso di tali credenziali può passare inosservato per lunghi periodi. Non tutti i sistemi di monitoraggio segnalano le attività insolite degli account, quindi questo ulteriore livello di protezione è importante.

In secondo luogo, bisogna capire che la moderna gestione ibrida delle identità richiede controlli di sicurezza aggiuntivi rispetto a quelli disponibili in un'implementazione ADFS tradizionale. Il mantenimento dell'infrastruttura necessaria per ospitare ADFS comporta rischi propri, come la mancanza di patch, l'hardware obsoleto e così via.

Considerate invece l'autenticazione AD Pass-through, che consente di utilizzare la stessa password per accedere sia alle applicazioni on-premises che a quelle cloud. Questo approccio utilizza un modello di connessione solo in uscita e un'autenticazione basata su certificati per delegare il processo di autenticazione all'Active Directory on-premises, fornendo un'alternativa più sicura ad ADFS. È inoltre possibile integrare AD Pass-through Authentication con altre misure di sicurezza di Azure AD per proteggersi da infiltrazioni e furti di credenziali. È inoltre possibile sincronizzare gli hash delle password AD con Azure AD.

Potreste anche prendere in considerazione Azure AD Application Proxy, che utilizza le credenziali di Azure AD per configurare un accesso remoto sicuro alle applicazioni ospitate in sede e fornisce la stessa esperienza utente di qualsiasi applicazione integrata in Azure AD.

Striscia di configurazione e complessità

La protezione delle identità ibride complica il lavoro degli amministratori di AD, dei professionisti delle identità e degli esperti di sicurezza. Le minacce sono in continua evoluzione e bloccare l'accesso alle risorse Tier 0, tra cui AD e Azure AD, è un compito che richiede molto tempo. Ma se si trascura questo aspetto, è facile che ci si ritrovi a passare il tempo per il recupero di AD da un attacco informatico.

L'utilizzo di Azure AD per l'autenticazione di applicazioni di terze parti aggiunge complessità al modello di sicurezza. In alcuni casi, queste applicazioni possono leggere e memorizzare dati da Azure AD, estendendo il perimetro di rischio e lasciando che la sicurezza dei dati dipenda dall'applicazione di terze parti con cui Azure AD si integra.

Un altro possibile punto debole è il livello di autorizzazioni concesso alle applicazioni in Azure AD. Se non si rivedono attentamente le impostazioni delle autorizzazioni prima di concedere l'accesso, queste applicazioni potrebbero ritrovarsi con più autorizzazioni in Azure AD di quelle necessarie. Questa potenziale svista aumenta il rischio che le applicazioni apportino modifiche al tenant AD.

Inoltre, misure di sicurezza come l'MFA potrebbero non funzionare per alcune app, rendendole dipendenti da qualsiasi controllo di sicurezza che l'app può fornire.

Che cosa si può fare per rendere più stretto l'accesso

Queste potenziali lacune nella sicurezza richiedono una governance rigorosa e verifiche periodiche delle autorizzazioni delle app per capire dove implementare ulteriori restrizioni. Risolvete le questioni in sospeso e assicuratevi di avere il giusto set di ruoli abilitati in Azure AD, verificate le impostazioni dei permessi delle app e rafforzate le configurazioni di sicurezza delle app e aggiungete barriere di protezione come l'MFA.

Valutate anche il modo in cui gestite l'RBAC. L'assegnazione dei ruoli in Azure AD è diversa dalla gestione tradizionale degli accessi in AD, quindi considerate attentamente il modo in cui vengono definiti i ruoli e concessi i permessi.

Il principio del minimo privilegio è importante per la protezione delle identità ibride. Non aggiungete gli account sincronizzati da on-prem AD ad Azure AD in un ruolo RBAC privilegiato come quello di Global Administrators. Riservate questi ruoli altamente privilegiati agli account Azure AD nativi. È inoltre possibile creare unità amministrative nel tenant di Azure AD. Questa funzionalità consente di limitare gli oggetti che i membri del team IT possono gestire tramite uno specifico ruolo RBAC, supportando ulteriormente il privilegio minimo.

Configurazioni errate e altre vulnerabilità di sicurezza

Le configurazioni errate e le vulnerabilità di sicurezza associate alla soluzione di gestione delle identità forniscono punti di accesso agli aggressori informatici. Azure AD consiste in servizi gestiti; Microsoft gestisce la sicurezza dell'infrastruttura sottostante nel cloud. Ma la sicurezza dei vostri dati e della configurazione di Azure AD è una vostra responsabilità.

Durante un attacco informatico, gli aggressori possono alterare o cancellare utenti, gruppi, ruoli, criteri di accesso condizionato e così via. Se non si dispone di un piano di ripristino adeguato, l'impatto potrebbe essere devastante e di lunga durata. Esistono pochi controlli nativi per proteggere i dati o le configurazioni in Azure AD dalla sovrascrittura durante un attacco.

Cosa si può fare per rendere meno complicata la protezione dell'identità ibrida

Il cestino di Azure AD offre una funzione di eliminazione morbida che può aiutare a ripristinare gli utenti eliminati. Tuttavia, questa funzione ha capacità minime per ripristinare qualsiasi cosa al di là di una finestra di 30 giorni.

Altre forme di compromissione possono essere difficili da rilevare e mitigare, soprattutto se gli aggressori si spostano lateralmente dall'AD on-prem e al cloud. Oltre alle misure di sicurezza native, i responsabili IT dovrebbero esplorare strumenti con funzionalità avanzate per aiutarvi a tracciare gli attacchi che potrebbero estendersi lateralmente negli ambienti ibridi. Le funzionalità di tracciamento delle modifiche e di riparazione automatica possono proteggere dalle credenziali rubate e dagli insider malintenzionati. Inoltre, è necessario disporre sempre di un piano di ripristino proattivo e testato per Active Directory e Azure AD.

Per saperne di più

Per ulteriori informazioni sulla protezione dell'identità ibrida, consultare queste risorse.