I recenti attacchi, dai ransomware alle compromissioni della supply chain, hanno mostrato sia l’interconnessione del nostro mondo digitale sia la necessità fondamentale di proteggere queste risorse digitali dagli aggressori. Per raggiungere questo obiettivo, i nostri clienti hanno bisogno della sicurezza Zero Trust e dell’accesso con privilegi minimi per utenti e risorse. Ciò diventa ancora più importante nel contesto di partner tecnologici, che potrebbero richiedere un accesso continuo all’ambiente dei loro clienti per fornire servizi di gestione e supporto; Azure AD PIM introduce alcuni concetti di sicurezza che ci possono aiutare.
Man mano che le organizzazioni migrano al cloud e coinvolgono fornitori di servizi (interni o esterni) per gestire l’infrastruttura di Azure e Microsoft 365 ed eseguire carichi di lavoro aziendali e mission-critical, è fondamentale continuare a proteggere i propri asset cloud e ibridi.
Cos’è PIM
Privileged Identity Management (PIM) di Azure Active Directory (Azure AD) è un servizio che permette di gestire, controllare e monitorare l’accesso a risorse importanti nell’organizzazione. Queste risorse sono incluse in Azure AD, in Azure e in altri Microsoft Online Services, ad esempio Microsoft 365 o Microsoft Intune.
Per comprendere in che modo questo servizio consente l’accesso con privilegi minimi, si consideri l’esempio della società Contoso, che collabora con un fornitore di servizi per gestire la sicurezza della rete. Contoso vuole assicurarsi che questo partner segua le best practice relative al privilegio minimo. In particolare, Contoso non vuole che il partner abbia accesso permanente alle proprie risorse, ma solo quando è necessario che esegua operazioni di tipo amministrativo.
A tal scopo gli operatori del fornitore devono elevare il proprio accesso a un ruolo privilegiato prima di potere lavorare sulla risorse di Contoso. Questo accesso just-in-time (JIT) dura solo per un periodo limitato (fino ad un massimo di otto ore), dopodiché l’accesso per tale operatore viene automaticamente rimosso e torna ad avere accesso in sola lettura alle risorse delegate di Contoso. Inoltre, Contoso può richiedere che il fornitore di servizi rispetti un insieme definito di policy durante l’autenticazione, come ad esempio l’autenticazione a più fattori.
Oltre alla tranquillità che l’accesso JIT offre a Contoso, ci sono anche vantaggi per il fornitore di servizi. Limitando l’accesso di ciascun operatore solo quando è necessario, il fornitore di servizi può dimostrare chiaramente quando gli operatori hanno avuto e (cosa più importante) non hanno avuto accesso alle risorse dei propri clienti, utilizzando i log di audit Azure AD PIM, che possono essere esaminati con il cliente.
Azure AD PIM: Facciamo un recap?
Privileged Identity Management fornisce l’attivazione del ruolo basata sul tempo e sull’approvazione per attenuare i rischi di autorizzazioni di accesso eccessive, inutili o usate in modo improprio per le risorse di importanza strategica. Di seguito sono riportate alcune delle funzionalità principali di Privileged Identity Management:
- Concedere l’accesso Just-In-Time ad Azure AD e alle risorse di Azure
- Assegnare l’accesso alle risorse in uno slot temporale limitato, definendo data di inizio e fine attività
- Richiedere l’approvazione per attivare i ruoli con privilegi amministrativi
- Applicare l’autenticazione a più fattori per attivare un qualsiasi ruolo
- Imporre la motivazione per comprendere i motivi delle attivazioni da parte degli utenti
- Ricevere notifiche all’attivazione dei ruoli con privilegi
- Condurre verifiche di accesso per assicurarsi che gli utenti necessitino ancora dei ruoli
- Scaricare la cronologia degli accessi per l’audit interno o esterno
Vuoi approfondire altre tematiche di sicurezza?