Azure Active Directory detiene le chiavi del tuo regno Microsoft 365. Responsabile di funzioni vitali come l’autenticazione e l’autorizzazione, Azure AD è in ultima analisi responsabile della gestione dell’accesso nell’ecosistema cloud Microsoft. Per questo motivo, è l’obiettivo di molti attacchi informatici.
In questo articolo, vediamo in dettaglio le 5 best practice di sicurezza da seguire per proteggere la tua Active Directory Azure e quindi la tua azienda.
1. Limita i privilegi amministrativi
Gli account amministratore sono l’obiettivo principale degli aggressori in quanto forniscono l’accesso ai dati ed ai tuoi sistemi aziendali più sensibili. Sebbene questi account siano necessari per le funzioni aziendali ed IT, rappresentano comunque un rischio significativo per la tua organizzazione.
Diventa quindi importante non solo proteggere questi account, ma anche limitarne il numero. Per poter raggiungere tali obiettivi bisogna individuare in primis tutti gli account amministrativi della tua organizzazione, sia quelli ovvi che quelli meno ovvi. E non solo, oltre ad enumerare l’appartenenza a gruppi o a ruoli noti che forniscono l’accesso amministrativo, assicurati di controllare i diritti di accesso individuali per scoprire eventuali shadow admin in agguato e sii pronto ad intervenire in caso di necessità e ridurre così la possibilità di un eventuale escalation dei privilegi attraverso mezzi non standard.
2. Esamina regolarmente le autorizzazioni di accesso e di applicazione
Azure AD va oltre i poteri di provisioning di Active Directory on-prem: è responsabile dell’autenticazione e della concessione dell’accesso non solo a utenti e gruppi, ma anche ad applicazioni che usano metodi di autenticazione moderni come SAML o OAuth. Nel tempo, queste applicazioni potrebbero non richiedere più l’accesso che è stato loro concesso. In effetti, senza una supervisione ed una revisione coerente, può verificarsi una significativa espansione incontrollata dell’accesso, aumentando notevolmente la superficie di attacco dell’organizzazione.
3. Abilita Azure AD Multi-Factor Authentication (MFA)
Azure AD MFA riduce il rischio dell’autenticazione della sola password richiedendo agli utenti di fornire una combinazione di due o più fattori: “qualcosa che sanno” (ad es. una password), “qualcosa che hanno” (ad es. un dispositivo attendibile come un telefono) e “qualcosa che sono” (ad esempio, un’impronta digitale). In generale, si tende a consigliare di abilitare l’autenticazione a più fattori non solo per gli amministratori ma per tutti gli utenti, in particolare per gli account che possono rappresentare una minaccia significativa se compromessi.
- Microsoft fornisce diversi metodi per abilitare l’autenticazione a più fattori:
Impostazioni predefinite di sicurezza di Azure AD: questa opzione consente alle organizzazioni di semplificare la distribuzione dell’autenticazione a più fattori e applicare criteri per contestare gli account amministrativi, richiedere l’autenticazione a più fattori tramite Microsoft Authenticator per tutti gli utenti e limitare i protocolli di autenticazione legacy. Questo metodo è disponibile in tutti i livelli di licenza. - Criteri di accesso condizionale: questi criteri offrono la flessibilità necessaria per richiedere l’autenticazione a più fattori in condizioni specifiche, come l’accesso da posizioni insolite, dispositivi non attendibili o applicazioni rischiose. Questo approccio riduce l’onere per gli utenti richiedendo una verifica aggiuntiva solo quando viene identificato un rischio aggiuntivo.
- Modifica dello stato utente per utente: questa opzione funziona sia con Azure AD MFA nel cloud che con il server di autenticazione di Azure MFA. Richiede agli utenti di eseguire la verifica in due passaggi ad ogni accesso e sovrascrive i criteri di accesso condizionale.
4. Attività di audit in Azure AD
È estremamente importante controllare ciò che sta accadendo nell’ambiente Azure AD, inclusi gli accessi in corso, le modifiche apportate e il modo in cui vengono utilizzate le applicazioni. Le organizzazioni dovrebbero implementare strumenti in grado non solo di monitorare gli eventi che si stanno verificando, ma anche di rilevare e segnalare quando è in corso qualcosa di insolito o minaccioso, come ad esempio:
- Modifiche ai privilegi, come modifiche alle autorizzazioni dell’applicazione, al certificato dell’applicazione o alla generazione di chiavi e modifiche a ruoli o gruppi sensibili (ad es. Amministratore globale)
- Attività sospette, come accessi di geolocalizzazione non realistici o anormali o comportamenti anomali basati su tendenze storiche dell’attività
- Segni di attacchi noti, ad esempio tentativi di accesso non riusciti che possono indicare un attacco password spraying
5. Proteggi Active Directory on-prem
Sebbene alcune organizzazioni nuove di zecca vengano implementate esclusivamente nel cloud, la maggior parte delle aziende oggi utilizza una combinazione di sistemi on-premise e piattaforme e applicazioni basate su cloud. In queste distribuzioni di AD ibride, l’importanza del monitoraggio e della protezione sia di Azure AD che di Active Directory non può essere sottolineata abbastanza. Con la sincronizzazione delle identità tra locale e online tramite strumenti come Azure AD Connect, un account utente AD violato diventa facilmente un account utente Azure AD violato, fornendo all’attaccante l’accesso oltre i confini dell’infrastruttura locale.
Dove ottenere aiuto
Ora che conosci queste best practice chiave per rafforzare il tuo ambiente Azure Active Directory, è il momento di metterle in pratica. Anche se può sembrare una sfida scoraggiante comprendere tutti i tuoi account amministrativi, proteggerli utilizzando l’autenticazione a più fattori, verificarne l’accesso regolarmente e monitorare le modifiche in modo produttivo, non temere: Netwrix fornisce strumenti per aiutarti! Scopri di più su come puoi controllare i privilegi amministrativi, individuare attività dannose nel tuo ecosistema ibrido e sostituire gli account amministrativi permanenti vulnerabili con l’03 utilizzando il nostro ampio portafoglio di prodotti.
