Active Directory (AD) è l'archivio di identità principale per molte organizzazioni. Per questo motivo, AD è diventato un obiettivo importante per i malintenzionati. Se gli aggressori accedono ad AD, possono accedere a qualsiasi risorsa dell'organizzazione. In uno scenario ibrido on-prem/cloud, oggi molto diffuso, questo include l'accesso alle risorse cloud dell'organizzazione. Tuttavia, molte delle raccomandazioni originali di AD in materia di sicurezza e architettura sono inadeguate a soddisfare le esigenze dell'azienda moderna. È chiaro che la modernizzazione di AD è fondamentale per una solida sicurezza.
La modernizzazione di AD contro le idee sbagliate e le configurazioni errate
Quando AD è stato introdotto per la prima volta, più di vent'anni fa, la progettazione dei domini AD era fortemente influenzata dalle limitazioni della larghezza di banda e dai problemi di replica. Questi vincoli, uniti ai limiti degli oggetti e ai problemi di migrazione dai domini legacy di Windows NT 4, hanno portato all'adozione di domini multipli all'interno di una foresta.
All'epoca, un'idea sbagliata comune in materia di sicurezza era che un dominio dovesse rappresentare il confine di sicurezza per le unità indipendenti all'interno dell'organizzazione. All'inizio della mia carriera, ad esempio, ho lavorato per un istituto finanziario che aderiva a queste best practice e aveva più di una dozzina di domini AD nella sua foresta principale.
Questa convinzione errata ha generato un falso senso di sicurezza, perché qualsiasi dominio compromesso in questo scenario porterebbe a un ambiente completamente compromesso.
Avanti di 20 anni. Oggi sappiamo che i domini non sono un confine di sicurezza. Anzi, più domini creano problemi di gestione che a loro volta comportano inutili esposizioni alla sicurezza.
Modernizzazione AD contro debito tecnico accumulato
Un'altra importante esposizione alla sicurezza riguarda la gestione di ambienti multiforest. Molte organizzazioni hanno accumulato tali ambienti nel corso degli anni, spesso attraverso fusioni e acquisizioni.
Come per molti sistemi, l'accumulo di debiti tecnici è comune. Ma la sensibilità dell'AD rende il rischio di sicurezza associato molto più elevato.
Gli ambienti multiforesta creano molteplici problemi di gestione e sicurezza per i team IT e di gestione delle identità. Pensa ad esempio ai trust impostati tra le varie foreste. Se la foresta meno sicura viene violata, può essere usata come punto di partenza per raggiungere ambienti più sensibili.
Una risoluzione più sicura: Consolidamento AD
Il massimo miglioramento della sicurezza può essere ottenuto facendo confluire il maggior numero possibile di foreste in un'unica foresta. Questo consolidamento non solo ha un impatto positivo sulla sicurezza dell'organizzazione, ma spesso riduce anche i costi totali di gestione, eliminando l'ambiente multiforesta più complesso e distribuito.
Naturalmente, tale consolidamento richiede un'attenta pianificazione, che tenga conto dell'impatto sulle applicazioni, sui principi di sicurezza e simili. Le organizzazioni devono anche considerare la sensibilità dei diversi ambienti. La prassi migliore è quella di separare gli ambienti in base al livello di sensibilità. Ad esempio, separare l'ambiente di sviluppo/test dalla produzione.
I moderni ambienti forestali AD dovrebbero anche suddividere i domini in unità organizzative (UO), se è richiesta una gestione indipendente, o in gruppi, se non sono necessarie unità indipendenti. Questa configurazione consente all'organizzazione di ridurre il numero di domini da gestire.
Una volta consolidati gli ambienti, l'organizzazione può utilizzare un'unica postazione per applicare i criteri di sicurezza tramite gli oggetti Microsoft Group Policy (GPO), Intune, System Center Configuration Manager (SCCM) o altri strumenti. È inoltre possibile consolidare la gestione delle autorizzazioni e tutti gli altri aspetti di un ambiente di identità adeguatamente protetto.
Da dove iniziare la migrazione AD sicura
Nell'affrontare il compito critico della modernizzazione dell'AD, tenete presente la sicurezza. Il vostro obiettivo è un ambiente più sicuro e più facile da gestire. Ma dovete anche assicurarvi che il processo di migrazione sia sicuro. La migrazione è un momento delicato; evitare esposizioni alla sicurezza è fondamentale.
Iniziate con la scansione e la valutazione della maturità della sicurezza degli ambienti che intendete combinare. Continuate questo processo come parte del vostro piano di migrazione, in modo da non introdurre nuovi punti deboli nella postura di sicurezza durante la migrazione ai nuovi domini.
È possibile utilizzare strumenti gratuiti di valutazione della sicurezza di AD come Purple Knight e Forest Druid per queste valutazioni iniziali. Se il tuo ambiente richiede un'attenzione maggiore, prendi in considerazione la possibilità di richiedere l'assistenza di un team di sicurezza informatica esterno.
Considerate con attenzione anche gli strumenti di migrazione, soprattutto negli ambienti più grandi. Privilegiate strumenti facili da usare; la complessità crea potenziali esposizioni alla sicurezza. Cercate strumenti che impediscano ulteriori esposizioni all'interno dei vostri sistemi di identità (ad esempio, database sensibili), che possono essere abusati. Uno strumento semplice e sicuro come Semperis Migrator for AD soddisfa questi requisiti.
Maggiori informazioni sulla sicurezza e la migrazione di AD
Per ulteriori informazioni sugli strumenti di sicurezza e di migrazione di AD citati in precedenza, consultare i seguenti link:
