Esplora le tecnologie e gli strumenti usati per il controllo degli accessi in Microsoft 365
Microsoft 365 usa un'ampia gamma di strumenti e tecnologie per garantire la sicurezza degli account del team di servizio. In questa unità verranno esaminati alcuni di questi strumenti per porre le basi per discutere del modo in cui Microsoft applica il concetto di Zero Standing Access (ZSA).
Identity Management Tool (IDM)
Microsoft 365 usa un sistema di gestione degli account denominato Identity Management Tool (IDM, strumento di gestione delle identità) per tenere traccia degli account del team di servizio durante il ciclo di vita. IDM monitora automaticamente lo stato di tutti gli account del team di servizio, dalla richiesta iniziale dell'account tramite verifica dell'idoneità, approvazione, creazione, modifica e disabilitazione quando l'account non è più necessario.
Prima di creare un nuovo account del team di servizio, IDM garantisce che siano stati soddisfatti tutti i requisiti di idoneità. Tali requisiti includono lo screening del personale, la formazione su sicurezza e privacy e l'approvazione del responsabile appropriata. IDM invia anche una notifica ai responsabili per l'approvazione ogni volta che vengono richieste modifiche all'account. Quando un dipendente viene trasferito, viene licenziato o non completa la formazione richiesta, IDM revoca automaticamente l'accesso per il suo account del team di servizio e invia una notifica al responsabile.
L'automazione è alla base del modo in cui garantiamo la sicurezza su larga scala. La maggior parte della gestione degli account è automatizzata da IDM. IDM disabilita automaticamente gli account del team di servizio dopo massimo 90 giorni di inattività. Inoltre, gli account del team di servizio che superano la soglia dei tentativi di accesso non riusciti vengono bloccati automaticamente. Gli account del team di servizio vengono controllati automaticamente per tutto il ciclo di vita. Le verifiche di accesso manuali sono un'eccezione. Quando si verificano, i team di servizio Microsoft 365 le eseguono almeno ogni trimestre.
Controllo degli accessi in base al ruolo (RBAC)
I team del servizio Microsoft 365 usano Role-Based Controllo di accesso (RBAC) applicati da Active Directory (AD) e Microsoft Entra ID. I membri del team di servizio richiedono l'accesso ai ruoli necessari, su approvazione della gestione. Se approvati, vengono inseriti in gruppi di sicurezza corrispondenti ai rispettivi ruoli per supportare il sistema.
L'accesso dell'account del team di servizio viene gestito in base al principio dei privilegi minimi. RBAC limita gli account del team di servizio solo all'accesso necessario per completare le attività richieste negli ambienti corrispondenti al proprio ruolo. RBAC consente anche di applicare la separazione dei requisiti dei compiti limitando gli account del team di servizio ai ruoli appropriati per le responsabilità correnti.
Accesso remoto
I componenti di sistema Microsoft 365 sono ospitati in data center separati geograficamente dai team operativi. Il personale del data center ha accesso fisico, ma non ha accesso logico all'ambiente Microsoft 365. In alternativa, il personale del team di servizio ha accesso logico, ma non ha l’accesso fisico. Di conseguenza, il personale del team di servizio gestisce l'ambiente tramite l'accesso remoto. Tutte le attività approvate sono autorizzate per l'esecuzione tramite l'accesso remoto all'ambiente Microsoft 365. Al personale del team di servizio che richiede l'accesso remoto per supportare Microsoft 365 viene concesso l'accesso remoto solo dopo l'approvazione di un responsabile autorizzato. Tutti gli accessi remoti sfruttano TLS compatibile con FIPS 140-2 per connessioni remote sicure.
Workstation di accesso sicuro (SAW)
Microsoft 365 rilascia workstation di accesso sicuro (Secure Access Workstation, SAW) ai tecnici del team di servizio che supportano ambienti di produzione Microsoft 365. Le SAW offrono maggiore sicurezza riducendo la superficie di attacco dei dispositivi usati dai tecnici per eseguire azioni amministrative quando supportano i servizi Microsoft 365.
Le SAW di Microsoft sono portatili appositamente progettati e prodotti con protezioni aggiuntive contro vulnerabilità hardware e software. Microsoft collabora direttamente con fornitori attendibili per la creazione di SAW, accorciando la supply chain per garantire la sicurezza dell'hardware SAW. I sistemi operativi con protezione avanzata e funzionalità deliberatamente limitate riducono ulteriormente o eliminano i vettori di attacco comuni. Le procedure di protezione avanzata di SAW includono la disabilitazione della scrittura nelle unità USB, l'applicazione di un rigido elenco di autorizzazioni per le applicazioni, la rimozione di pacchetti di produttività e l'accesso alla posta elettronica, la limitazione dell'esplorazione internet, l'uso forzato di un browser con protezione avanzata, il routing del traffico attraverso un filtro proxy e l'applicazione di blocchi dello screensaver inattività tramite Criteri di gruppo.
I sistemi di controllo di accesso Microsoft 365 verificano automaticamente l'integrità della SAW di un tecnico al momento dell'accesso e rifiutano le connessioni da SAW non conformi. I controlli di integrità dei dispositivi integrano altri controlli di accesso, tra cui restrizioni IP, criteri IPsec e verifica dell'identità dell'utente tramite l'autenticazione a più fattori. L'utilizzo di SAW viene monitorato e registrato in modo rigoroso per rilevare e impedire l'uso non autorizzato. I dispositivi non conformi vengono disabilitati automaticamente.
Autenticazione a più fattori (MFA)
Microsoft 365 richiede l'autenticazione a più fattori (MFA) per tutti gli account del team di servizio. MFA aumenta la sicurezza dell'account richiedendo più forme di verifica, o fattori, per dimostrare l'identità di un tecnico durante l'accesso al sistema. I tipi di fattori che possono essere usati per MFA rientrano in tre categorie:
- Qualcosa che si conosce: una password, una risposta a una domanda di sicurezza o un codice PIN
- Qualcosa che si ha: un generatore di token di sicurezza o un'app per dispositivi mobili che riceve una notifica
- Qualcosa che si è: dati biometrici, come una scansione dell'impronta digitale o del volto
Microsoft 365 richiede almeno due fattori per MFA. L'uso di MFA aumenta la sicurezza di Microsoft 365 limitando l'impatto dell'esposizione delle credenziali. In Microsoft 365, un utente malintenzionato che compromette la password di un utente dovrebbe anche avere il possesso del generatore di token di sicurezza per eseguire l'autenticazione completa. L'autenticazione con un solo fattore non è sufficiente per accedere a Microsoft 365, il che blocca i potenziali utenti malintenzionati e fornisce all'utente il tempo necessario per modificare la password compromessa.