È facile capire perché le aziende stiano gravitando verso un modello di gestione delle identità ibrido che promette il meglio di entrambi i mondi: un po' nel cloud e un po' in locale. In un ambiente incentrato su Active Directory, sfruttare il cloud significa integrarsi con Microsoft Entra ID (precedentemente noto come Azure Active Directory).
Entra ID, dopotutto, è progettato pensando alle applicazioni SaaS, fornendo single sign-on e controllo degli accessi. Con l'aumento dell'adozione del cloud, la capacità di gestire sia l'accesso in loco che quello al cloud sta diventando una necessità aziendale. L'utilizzo di Entra ID insieme ad Active Directory (AD) contribuisce a rendere realtà la gestione ibrida delle identità.
Come per ogni altra cosa nel settore IT, tuttavia, l'adagio "guardare prima di saltare" è ancora valido.
Lettura correlata
- Sicurezza di Active Directory: Rischi principali e buone pratiche
- 4 motivi per aumentare la recuperabilità delle risorse Entra ID
Monumentale cambiamento con il passaggio al cloud
Lo spostamento di qualsiasi parte di un'operazione IT nel cloud richiede un adeguamento. L'autenticazione degli utenti non è da meno. Da un punto di vista concettuale, le organizzazioni devono considerare tre aspetti critici.
1. Un nuovo modello di autenticazione
Dopo 20 anni di gestione univoca delle identità, l'aggiunta di Entra ID sarà un cambiamento fondamentale. Passare dall'utilizzo esclusivo di AD on-premise all'autenticazione cloud richiede una mentalità e un approccio diversi. In Entra ID non esistono unità organizzative o foreste, né oggetti di criteri di gruppo. I concetti (e le cicatrici di guerra) su come proteggere le identità in AD non sono più applicabili in Entra ID.
Molti amministratori iniziano credendo che proteggere Entra ID sia simile alla protezione di AD, ma non è così. E forse stai già utilizzando Entra ID senza pensarci troppo. Se la tua organizzazione utilizza servizi cloud Microsoft, come Office 365, allora Entra ID è già in uso in background. Entra ID è anche ampiamente utilizzato per connettersi ad altre applicazioni SaaS non Microsoft, come Salesforce. Tutti questi fattori introducono nuove considerazioni e scelte. Ad esempio, è meglio mantenere AD e Entra ID separati o unirli utilizzando Microsoft Entra Connect? È necessario comprendere molti nuovi concetti per poter prendere queste decisioni mantenendo la sicurezza dei sistemi informativi.
2. L'estensione del perimetro
Quando un'organizzazione abbraccia il cloud, la nozione di perimetro di rete tradizionale cessa di esistere. Per gli amministratori IT che hanno trascorso gli ultimi vent'anni a gestire l'AD on-premise, questa nozione rappresenta un enorme adattamento. In un ambiente di identità ibrido, le organizzazioni devono devono prepararsi a difendersi da una serie infinita di possibili punti di accesso.
3. Cambiamenti radicali nel modello di autorizzazione
Il passaggio a Entra ID cambia drasticamente anche il modello di autorizzazioni che le organizzazioni devono proteggere. In locale, è abbastanza facile controllare chi ha accesso fisico ai controller di dominio e i punti di accesso alla gestione complessiva sono ben definiti e documentati. In un ambiente AD ibrido, le identità sono ora archiviate anche nel cloud, vulnerabili allo sfruttamento da parte di chiunque abbia accesso a Internet. Improvvisamente, gli amministratori si trovano ad affrontare un modello intrinsecamente aperto per le connessioni di accesso iniziali che, se associato al numero maggiore di servizi, ruoli e autorizzazioni richiesti, ha un impatto significativo sul rischio.
Microsoft ha cercato attivamente di fornire materiali didattici per preparare le aziende ai cambiamenti causati dall'adozione di Entra ID . Tuttavia, molte organizzazioni IT non riescono ancora ad apprezzare appieno le implicazioni della gestione ibrida delle identità. Poiché sempre più aziende adottano un approccio ibrido, gli aggressori hanno ampliato di conseguenza il loro modus operandi.
Nel settembre 2020, i ricercatori di Mandiant (FireEye) hanno segnalato un aumento degli incidenti che coinvolgono Microsoft 365 ed Entra ID, per lo più legati a e-mail di phishing che tentano di indurre le vittime a inserire le proprie credenziali di Office 365 in un sito di phishing. I ricercatori di Mandiant hanno anche osservato che gli aggressori utilizzavano un modulo PowerShell chiamato AADInternals, che consente loro di passare dall'ambiente locale a Entra ID, creare backdoor, rubare password e compiere altre azioni dannose. Queste minacce continueranno a crescere con l'aumento esponenziale dell'interesse per Entra ID e Office 365.
Permessi, permissioni, permissioni
Dei tre aspetti sopra citati, quello che comporta il rischio maggiore per la sicurezza è senza dubbio la modifica del modello di autorizzazioni. Quando le organizzazioni passano a un ambiente di identità ibrido, hanno a disposizione un numero enorme di servizi. Anziché un insieme ben definito di gruppi amministrativi in Active Directory, ora sono disponibili ruoli in Entra ID, che potrebbero risultare poco familiari. Di seguito è riportato l'elenco dei ruoli qui. Ogni ruolo ha un lungo elenco di autorizzazioni assegnate. È difficile comprendere le autorizzazioni assegnate a ciascun ruolo solo dalla descrizione, ma molte hanno un livello di accesso elevato che non è evidente.
Inoltre, collegando qualsiasi servizio SaaS a Entra ID, che è probabilmente il motivo per cui hai aggiunto Entra ID al mix, aggiunge modelli di autorizzazione che devono essere gestiti. Microsoft Teams, ad esempio, utilizza l'integrazione SharePoint nel back-end. Con configurazioni errate, l'aggiunta di un ospite a Teams potrebbe creare una situazione in cui questo nuovo utente ha ora accesso ai file archiviati su SharePoint per Teams. Gli utenti potrebbero non essere consapevoli del fatto che questi file sono ora disponibili per gli utenti ospiti che sono stati aggiunti al loro canale solo per una breve chat. Inoltre, la possibilità di aggiungere app in Teams estende efficacemente il modello di autorizzazione a questi strumenti di terze parti. Questo è solo un esempio della matrice di questioni complesse per ogni servizio gestito tramite Entra ID.
Infatti, tenere traccia delle autorizzazioni delle app di terze parti è fondamentale ed è un'area che nella maggior parte delle implementazioni di Entra ID . Queste richieste di autorizzazione attiveranno un pop-up una tantum che elenca le autorizzazioni necessarie all'app. Questi elenchi possono essere lunghi e dovrebbero essere esaminati attentamente prima dell'accettazione, ma raramente lo sono.
Le organizzazioni possono anchemento potrebbero affrontare questi due nuovi scenari relativi alle autorizzazioni che devono essere compresi in un contesto di sicurezza:
- Strumenti di terze parti che estraggono dati da Entra ID e li memorizzano nel proprio database. Ad esempio, un'applicazione registrata in Entra ID che consente a un sistema CRM di leggere i profili degli utenti o che dispone di altre autorizzazioni di lettura ha effettivamente la possibilità di recuperare e archiviare dati per proprio conto. Una volta che i dati vengono prelevati da Entra ID, vengono archiviati in un database esterno, lasciando l'organizzazione a fare affidamento sul framework di sicurezza dello strumento di terze parti.
- Strumenti di terze parti con accesso in scrittura che possono apportare modifiche all'interno del proprio strumento. In questo caso, l'autenticazione richiesta per apportare modifiche nel tenant viene spostata da Entra ID a qualsiasi controllo abbia lo strumento di terze parti. Un utente potrebbe essere in grado di accedere allo strumento senza autenticazione a più fattori perché non supporta il Single Sign-On (SSO), operando invece con l'applicazione che funge da proxy di autorizzazione che esegue l'azione per suo conto senza alcuni dei controlli che sarebbero normalmente richiesti.
Le organizzazioni IT dovrebbero prendere in considerazione l'idea di limitare i soggetti che possono approvare applicazioni o, per lo meno, di averee chiare indicazioni su quali autorizzazioni debbano essere considerate appropriate. L'adozione di un approccio di identità ibrida richiede la gestione di un modello di permessi molto più ampio. Per farlo in modo efficace, le organizzazioni devono stabilire una forte governance su quali app saranno attivate e quali diritti di accesso otterranno.
Comprendere il rischio della gestione ibrida delle identità
Che l'autenticazione sia gestita nel cloud, in locale o in entrambi, la sicurezza deve sempre essere una priorità assoluta. Sebbene la gestione delle identità in un ambiente ibrido possa sembrare semplice come collegare un dispositivo Windows a Entra ID, non tenere conto dei cambiamenti nel panorama dei rischi apre la porta a problemi che possono causare grattacapi in futuro. La conoscenza è sempre la prima linea di difesa, ma la quantità di documentazione necessaria per comprendere appieno la sicurezza in Entra ID è scoraggiante. Gli strumenti nativi o di terze parti che automatizzano tale comprensione e riducono la complessità della sicurezza contribuiranno a ridurre i rischi durante e dopo l'implementazione dell'ambiente ibrido.
