Sicurezza e identità multicloud con Azure e Amazon Web Services (AWS)
Molte organizzazioni si trovano con una strategia multicloud de facto, anche se non era la loro intenzione strategica deliberata. In un ambiente multicloud, è fondamentale garantire esperienze coerenti di sicurezza e identità per evitare un maggiore attrito per gli sviluppatori, le iniziative aziendali e un maggiore rischio organizzativo da attacchi informatici che sfruttano i gap di sicurezza.
L’ottimizzazione della coerenza di sicurezza e identità tra cloud deve includere:
- Integrazione delle identità multicloud
- Autenticazione avanzata e convalida esplicita dell'attendibilità
- Cloud Platform Security (multicloud)
- Microsoft Defender for Cloud
- Privileged Identity Management (Azure)
- Gestione delle identità end-to-end coerente
Integrazione delle identità multicloud
I clienti che usano piattaforme cloud di Azure e AWS traggono vantaggio dal consolidamento dei servizi di gestione delle identità tra questi due cloud usando i servizi Microsoft Entra ID e Single Sign-On (SSO). Questo modello consente un piano di identità consolidato tramite il quale è possibile accedere e gestire in modo coerente l'accesso ai servizi in entrambi i cloud.
Questo approccio consente di abilitare i controlli avanzati degli accessi in base al ruolo in Microsoft Entra ID nei servizi Identity & Access Management (IAM) in AWS usando regole per associare gli user.userprincipalname attributi e user.assignrole da Microsoft Entra ID alle autorizzazioni IAM. Questo approccio riduce il numero di identità univoche che utenti e amministratori devono gestire in entrambi i cloud, incluso il consolidamento dell'identità per ogni progettazione di account che AWS utilizza. La soluzione AWS IAM consente e identifica in modo specifico Microsoft Entra ID come origine di federazione e autenticazione per i clienti.
Una procedura dettagliata completa di questa integrazione è disponibile nell'esercitazione : Integrazione dell'accesso Single Sign-On (SSO) di Microsoft Entra con Amazon Web Services (AWS).)
Autenticazione avanzata e convalida esplicita dell'attendibilità
Poiché molti clienti continuano a supportare un modello di identità ibrido per i servizi Active Directory, è sempre più importante per i team di progettazione della sicurezza implementare soluzioni di autenticazione avanzata e bloccare i metodi di autenticazione legacy associati principalmente alle tecnologie Microsoft locali e legacy.
Una combinazione di autenticazione a più fattori e criteri di accesso condizionale abilita la sicurezza avanzata per scenari di autenticazione comuni per gli utenti finali dell'organizzazione. Anche se l'autenticazione a più fattori offre un livello di sicurezza maggiore per confermare le autenticazioni, è possibile applicare controlli aggiuntivi usando i controlli di accesso condizionale per bloccare l'autenticazione legacy in ambienti cloud di Azure e AWS. L'autenticazione avanzata che usa solo client di autenticazione moderna è possibile solo con la combinazione di autenticazione a più fattori e criteri di accesso condizionale.
Cloud Platform Security (multicloud)
Dopo aver stabilito un'identità comune nell'ambiente multicloud, il servizio Cloud Platform Security (CPS) di app Microsoft Defender per il cloud può essere usato per individuare, monitorare, valutare e proteggere tali servizi. Usando il dashboard Cloud Discovery, il personale addetto alle operazioni di sicurezza può esaminare le app e le risorse usate nelle piattaforme cloud di AWS e Azure. Dopo aver esaminato e approvato i servizi per l'uso, i servizi possono essere gestiti come applicazioni aziendali in Microsoft Entra ID per abilitare la modalità Single Sign-On SAML, basata su password e collegata per praticità degli utenti.
CPS offre anche la possibilità di valutare le piattaforme cloud connesse per errori di configurazione e conformità usando i controlli di configurazione e sicurezza consigliati specifici del fornitore. Questa progettazione consente alle organizzazioni di mantenere un'unica visualizzazione consolidata di tutti i servizi della piattaforma cloud e del relativo stato di conformità.
CPS fornisce inoltre criteri di accesso e controllo di sessione per impedire e proteggere l'ambiente da endpoint o utenti rischiosi quando vengono introdotti file dannosi o esfiltrazione di dati in tali piattaforme.
Microsoft Defender for Cloud
Microsoft Defender per il cloud offre una gestione unificata della sicurezza e una protezione dalle minacce nei carichi di lavoro ibridi e multicloud, inclusi i carichi di lavoro in Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). Defender for Cloud consente di individuare e risolvere le vulnerabilità di sicurezza, di applicare i controlli su applicazioni e accessi per bloccare le attività dannose, di rilevare le minacce usando funzioni di analisi e di intelligenza e di rispondere rapidamente in caso di attacco.
Per proteggere le risorse basate su AWS in Microsoft Defender for Cloud, è possibile connettere un account all'esperienza di connettori cloud classici o alla pagina delle impostazioni dell'ambiente (in anteprima), che è l’opzione consigliata.
Privileged Identity Management (Azure)
Per limitare e controllare l'accesso per gli account con privilegi più elevati in Microsoft Entra ID, è possibile abilitare Privileged Identity Management (PIM) per fornire l'accesso JIT ai servizi di Azure. Dopo la distribuzione, PIM può essere usato per controllare e limitare l'accesso usando il modello di assegnazione per i ruoli, eliminare l'accesso permanente per questi account con privilegi e fornire individuazione e monitoraggio aggiuntivi degli utenti con questi tipi di account.
In combinazione con Microsoft Sentinel, è possibile stabilire cartelle di lavoro e playbook per monitorare e generare avvisi per il personale del centro operazioni per la sicurezza in caso di spostamento laterale di account compromessi.
Gestione delle identità end-to-end coerente
Assicurarsi che tutti i processi includano una visualizzazione end-to-end di tutti i cloud e dei sistemi locali e che il personale addetto alla sicurezza e all'identità sia formato su questi processi.
L'uso di una singola identità in Microsoft Entra ID, account AWS e servizi locali abilita questa strategia end-to-end e consente una maggiore sicurezza e protezione degli account per gli account con privilegi e senza privilegi. I clienti che stanno attualmente cercando di ridurre il carico di mantenere più identità nella strategia multicloud adottano Microsoft Entra ID per fornire un controllo coerente e sicuro, il controllo e il rilevamento di anomalie e abusi di identità nel proprio ambiente.
La continua crescita delle nuove funzionalità nell'ecosistema Microsoft Entra consente di rimanere al passo con le minacce all'ambiente in seguito all'uso delle identità come piano di controllo comune negli ambienti multicloud.
Passaggi successivi
- Microsoft Entra B2B: consente l'accesso alle applicazioni aziendali dalle identità gestite dal partner.
- Azure Active Directory B2C: offre supporto per la gestione degli utenti e degli accessi Single Sign-On per le applicazioni rivolte agli utenti.
- Servizi di dominio Microsoft Entra: servizio controller di dominio ospitato, che consente l'aggiunta a un dominio compatibile con Active Directory e la funzionalità di gestione degli utenti.
- Introduzione alla sicurezza in Microsoft Azure
- Procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per