Controllo di sicurezza v3: Gestione delle identità

Identity Management illustra i controlli per stabilire controlli di identità e accesso sicuri usando Azure Active Directory, tra cui l'uso di Single Sign-On, autenticazioni complesse, identità gestite (e entità servizio) per applicazioni, accesso condizionale e monitoraggio delle anomalie degli account.

IM-1: Usare un sistema di autenticazione e identità centralizzato

CIS Controls v8 ID(s)	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
6.7, 12.5	AC-2, AC-3, IA-2, IA-8	7.2, 8.3

Principio di sicurezza: usare un sistema centralizzato di identità e autenticazione per gestire le identità e le autenticazioni dell'organizzazione per le risorse cloud e non cloud.

Linee guida di Azure: Azure Active Directory (Azure AD) è il servizio di gestione delle identità e dell'autenticazione di Azure. È consigliabile standardizzare in Azure AD per gestire l'identità e l'autenticazione dell'organizzazione in:

• Risorse cloud Microsoft, ad esempio Archiviazione di Azure, Azure Macchine virtuali (Linux e Windows), applicazioni Azure Key Vault, PaaS e SaaS.
• Risorse dell'organizzazione, ad esempio applicazioni in Azure, applicazioni di terze parti in esecuzione nelle risorse di rete aziendale e applicazioni SaaS di terze parti.
• Le identità aziendali in Active Directory eseguendo la sincronizzazione con Azure AD per garantire una strategia di gestione delle identità coerente e centralizzata.

Nota: non appena è tecnicamente fattibile, è necessario eseguire la migrazione di applicazioni basate su Active Directory locale ad Azure AD. Potrebbe trattarsi di una configurazione di Azure AD Enterprise Directory, Business to Business o Business to Consumer.

Implementazione e contesto aggiuntivo:

• Tenancy in Azure AD
• Come creare e configurare un'istanza di Azure AD
• Definire i tenant di Azure AD
• Usare provider di identità esterni per un'applicazione

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Gestione delle identità e delle chiavi
• Architettura di sicurezza
• Sicurezza delle applicazioni e DevSecOps
• Gestione della postura

IM-2: Proteggere i sistemi di identità e autenticazione

CIS Controls v8 ID(s)	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
5.4, 6.5	AC-2, AC-3, IA-2, IA-8, SI-4	8.2, 8.3

Principio di sicurezza: proteggere l'identità e il sistema di autenticazione come priorità elevata nella pratica di sicurezza cloud dell'organizzazione. I controlli di sicurezza comuni includono:

• Limitare i ruoli e gli account con privilegi
• Richiedere l'autenticazione avanzata per tutti gli accessi con privilegi
• Monitorare e controllare le attività ad alto rischio

Linee guida di Azure: usare la baseline di sicurezza di Azure AD e azure AD Identity Secure Score per valutare il comportamento di sicurezza delle identità di Azure AD e correggere le lacune di sicurezza e configurazione. Azure AD Identity Secure Score valuta Azure AD per le configurazioni seguenti: -Usare ruoli amministrativi limitati

• Attivare i criteri di rischio utente
• Designare più di un amministratore globale
• Abilitare i criteri per bloccare l'autenticazione legacy
• Assicurarsi che tutti gli utenti possano completare l'autenticazione a più fattori per l'accesso sicuro
• Richiedere l'autenticazione a più fattori per i ruoli amministrativi
• Abilitare la reimpostazione self-service delle password
• Non scadere le password
• Attivare i criteri di rischio di accesso
• Non consentire agli utenti di concedere il consenso alle applicazioni non gestite

Nota: seguire le procedure consigliate pubblicate per tutti gli altri componenti di identità, inclusi i Active Directory locale e le funzionalità di terze parti e le infrastrutture (ad esempio sistemi operativi, reti, database) che li ospitano.

Implementazione e contesto aggiuntivo:

• Che cos'è il punteggio di sicurezza delle identità in Azure AD
• Procedure consigliate per la protezione di Active Directory

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Gestione delle identità e delle chiavi
• Architettura di sicurezza
• Sicurezza delle applicazioni e DevSecOps
• Gestione della postura

IM-3: Gestire le identità delle applicazioni in modo sicuro e automatico

CIS Controls v8 ID(s)	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
N/D	AC-2, AC-3, IA-4, IA-5, IA-9	N/D

Principio di sicurezza: usare le identità dell'applicazione gestita anziché creare account umani per le applicazioni per accedere alle risorse ed eseguire il codice. Le identità dell'applicazione gestita offrono vantaggi come la riduzione dell'esposizione delle credenziali. Automatizzare la rotazione delle credenziali per garantire la sicurezza delle identità.

Linee guida di Azure: usare le identità gestite di Azure, che possono eseguire l'autenticazione a servizi e risorse di Azure che supportano l'autenticazione di Azure AD. Le credenziali di identità gestite sono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Per i servizi che non supportano le identità gestite, usare Azure AD per creare un'entità servizio con autorizzazioni limitate a livello di risorsa. È consigliabile configurare le entità servizio con le credenziali del certificato e eseguire il fallback ai segreti client per l'autenticazione.

Implementazione e contesto aggiuntivo:

• Identità gestite di Azure
• Servizi che supportano le identità gestite per le risorse di Azure
• Entità servizio di Azure
• Creare un'entità servizio con certificati

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Gestione delle identità e delle chiavi
• Sicurezza delle applicazioni e DevSecOps

IM-4: Autenticare server e servizi

CIS Controls v8 ID(s)	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
N/D	IA-9	N/D

Principio di sicurezza: autenticare server e servizi remoti dal lato client per assicurarsi di connettersi a server e servizi attendibili. Il protocollo di autenticazione server più comune è Transport Layer Security (TLS), in cui il lato client (spesso un browser o un dispositivo client) verifica il server verificando che il certificato del server sia stato emesso da un'autorità di certificazione attendibile.

Nota: l'autenticazione reciproca può essere usata quando il server e il client eseguono l'autenticazione reciproca.

Linee guida di Azure: molti servizi di Azure supportano l'autenticazione TLS per impostazione predefinita. Per i servizi che supportano l'opzione di abilitazione/disabilitazione TLS da parte dell'utente, assicurarsi che sia sempre abilitata per supportare l'autenticazione server/servizio. L'applicazione client deve essere progettata anche per verificare l'identità del server o del servizio (verificando il certificato del server emesso da un'autorità di certificazione attendibile) nella fase di handshake.

Implementazione e contesto aggiuntivo:

• Applicare Transport Layer Security (TLS) per un account di archiviazione

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Gestione delle identità e delle chiavi
• Sicurezza delle applicazioni e DevSecOps

IM-5: Usare l'accesso Single Sign-On (SSO) per l'accesso alle applicazioni

CONTROLLI CIS v8 ID	ID R4 NIST SP 800-53	ID PCI-DSS v3.2.1
12.5	IA-4, IA-2, IA-8	N/D

Principio di sicurezza: usare l'accesso Single Sign-On (SSO) per semplificare l'esperienza utente per l'autenticazione alle risorse, tra cui applicazioni e dati tra servizi cloud e ambienti locali.

Linee guida di Azure: usare Azure AD per l'accesso alle applicazioni del carico di lavoro tramite Single Sign-On (SSO) di Azure AD, obviando la necessità di più account. Azure AD offre la gestione delle identità e dell'accesso alle risorse di Azure (piano di gestione, tra cui l'interfaccia della riga di comando, PowerShell, il portale), le applicazioni cloud e le applicazioni locali.

Azure AD supporta l'accesso SSO per le identità aziendali, ad esempio identità utente aziendali, nonché identità utente esterne provenienti da utenti di terze parti attendibili e utenti pubblici.

Implementazione e contesto aggiuntivo:

• Informazioni sull'accesso Single Sign-On dell'applicazione con Azure AD

Stakeholder della sicurezza dei clienti (altre informazioni):

• Architettura di sicurezza
• Gestione delle identità e delle chiavi
• Sicurezza delle applicazioni e DevSecOps

IM-6: Usare controlli di autenticazione avanzata

CONTROLLI CIS v8 ID	ID R4 NIST SP 800-53	ID PCI-DSS v3.2.1
6.3, 6.4	AC-2, AC-3, IA-2, IA-5, IA-8	7.2, 8.2, 8.3, 8.4

Principio di sicurezza: applicare controlli di autenticazione avanzata (autenticazione senza password o autenticazione a più fattori) con il sistema di gestione centralizzato delle identità e dell'autenticazione per tutti gli accessi alle risorse. L'autenticazione basata sulle credenziali delle password è considerata legacy, perché non è sicura e non si basa sui metodi di attacco più diffusi.

Quando si distribuisce l'autenticazione avanzata, configurare prima amministratori e utenti con privilegi, per garantire il livello più alto del metodo di autenticazione sicuro, seguito rapidamente dalla distribuzione dei criteri di autenticazione avanzata appropriati a tutti gli utenti.

Nota: se è necessaria l'autenticazione basata su password legacy per applicazioni e scenari legacy, assicurarsi che vengano seguite le procedure consigliate per la sicurezza delle password, ad esempio i requisiti di complessità.

Linee guida di Azure: Azure AD supporta controlli di autenticazione avanzati tramite metodi senza password e autenticazione a più fattori .

• Autenticazione senza password: usare l'autenticazione senza password come metodo di autenticazione predefinito. Esistono tre opzioni disponibili nell'autenticazione senza password: Windows Hello for Business, accesso telefonico dell'app Microsoft Authenticator e FIDO 2Keys. Inoltre, i clienti possono usare metodi di autenticazione locali, ad esempio smart card.
• Autenticazione a più fattori: Azure MFA può essere applicato a tutti gli utenti, selezionare gli utenti o a livello di utente in base a condizioni di accesso e fattori di rischio. Abilitare Azure MFA e seguire i consigli di gestione delle identità e degli accessi di Azure Defender per cloud per la configurazione MFA.

Se l'autenticazione basata su password legacy viene ancora usata per l'autenticazione di Azure AD, tenere presente che gli account solo cloud (account utente creati direttamente in Azure) hanno criteri di password di base predefiniti. E gli account ibridi (account utente provenienti da Active Directory locale) seguono i criteri delle password locali.

Per applicazioni e servizi di terze parti con ID e password predefiniti, è necessario disabilitarli o modificarli durante l'installazione iniziale del servizio.

Implementazione e contesto aggiuntivo:

• Come abilitare MFA in Azure
• Introduzione alle opzioni di autenticazione senza password per Azure Active Directory
• Criteri password predefiniti di Azure AD
• Eliminare le password non valide usando la funzionalità di protezione password di Azure AD
• Bloccare l'autenticazione legacy

Stakeholder della sicurezza dei clienti (altre informazioni):

• Architettura di sicurezza
• Gestione delle identità e delle chiavi
• Sicurezza delle applicazioni e DevSecOps

IM-7: Limitare l'accesso alle risorse in base alle condizioni

CONTROLLI CIS v8 ID	ID R4 NIST SP 800-53	ID PCI-DSS v3.2.1
3.3, 6.4, 13.5	AC-2, AC-3, AC-6	7.2

Principio di sicurezza: convalidare in modo esplicito i segnali attendibili per consentire o negare l'accesso utente alle risorse, come parte di un modello di accesso zero-trust. I segnali da convalidare devono includere l'autenticazione avanzata dell'account utente, l'analisi del comportamento dell'account utente, la attendibilità del dispositivo, l'appartenenza all'utente o al gruppo, le posizioni e così via.

Linee guida di Azure: usare l'accesso condizionale di Azure AD per controlli di accesso più granulari basati su condizioni definite dall'utente, ad esempio richiedere l'accesso utente da determinati intervalli IP (o dispositivi) per l'uso dell'autenticazione a più fattori. Accesso condizionale di Azure AD consente di applicare i controlli di accesso sulle app dell'organizzazione in base a determinate condizioni.

Definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure AD nel carico di lavoro. Prendere in considerazione i casi d'uso comuni seguenti:

• Obbligo di eseguire l'autenticazione a più fattori per gli utenti con ruoli amministrativi
• Obbligo di eseguire l'autenticazione a più fattori per le attività di gestione di Azure
• Blocco degli accessi per gli utenti che provano a usare protocolli di autenticazione legacy
• Obbligo di usare posizioni attendibili per la registrazione ad Azure AD Multi-Factor Authentication
• Blocco o concessione dell'accesso da specifiche posizioni
• Blocco dei comportamenti di accesso rischiosi
• Obbligo di usare dispositivi gestiti dall'organizzazione per specifiche applicazioni

Nota: è anche possibile usare una gestione granulare delle sessioni di autenticazione tramite criteri di accesso condizionale di Azure AD per i controlli, ad esempio frequenza di accesso e sessione del browser persistente.

Implementazione e contesto aggiuntivo:

• Panoramica dell'accesso condizionale di Azure
• Criteri comuni di accesso condizionale
• Informazioni dettagliate e report di Accesso condizionale
• È possibile configurare la gestione della sessione di autenticazione con l'Accesso condizionale

Stakeholder della sicurezza dei clienti (altre informazioni):

• Gestione delle identità e delle chiavi
• Sicurezza delle applicazioni e DevSecOps
• Gestione della postura
• Intelligence per le minacce

IM-8: Limitare l'esposizione delle credenziali e dei segreti

CONTROLLI CIS v8 ID	ID R4 NIST SP 800-53	ID PCI-DSS v3.2.1
16.9, 16.12	IA-5	3.5, 6.3, 8.2

Principio di sicurezza: assicurarsi che gli sviluppatori di applicazioni gestiscono in modo sicuro le credenziali e i segreti:

• Evitare di incorporare le credenziali e i segreti nei file di codice e configurazione
• Usare l'insieme di credenziali delle chiavi o un servizio di archivio chiavi sicuro per archiviare le credenziali e i segreti
• Cercare le credenziali nel codice sorgente.

Nota: questa operazione viene spesso regolamentata e applicata tramite un ciclo di vita di sviluppo software sicuro (SDLC) e un processo di sicurezza DevOps.

Linee guida di Azure: assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli nei file di codice e configurazione.

• Implementare Azure DevOps Credential Scanner per identificare le credenziali all'interno del codice.
• Per GitHub, usare la funzionalità di analisi dei segreti nativa per identificare le credenziali o altre forme di segreti all'interno del codice.

I client come Funzioni di Azure, i servizi app di Azure e le macchine virtuali possono usare identità gestite per accedere in modo sicuro ad Azure Key Vault. Vedere Controlli di protezione dei dati correlati all'uso di Azure Key Vault per la gestione dei segreti.

Implementazione e contesto aggiuntivo:

• Come impostare Credential Scanner
• Analisi dei segreti di GitHub

Stakeholder della sicurezza dei clienti (altre informazioni):

• Sicurezza delle applicazioni e DevSecOps
• Gestione della postura

IM-9: Proteggere l'accesso utente alle applicazioni esistenti

CIS Controls v8 ID(s)	ID NIST SP 800-53 r4	ID PCI-DSS v3.2.1
6.7, 12.5	AC-2, AC-3, SC-11	N/D

Principio di sicurezza: in un ambiente ibrido, in cui sono disponibili applicazioni locali o applicazioni cloud non native usando l'autenticazione legacy, prendere in considerazione soluzioni come CASB (Cloud Access Security Broker), application proxy, Single Sign-On (SSO) per gestire l'accesso a queste applicazioni per i vantaggi seguenti:

• Applicare un'autenticazione avanzata centralizzata
• Monitorare e controllare le attività rischiose degli utenti finali
• Monitorare e correggere le attività delle applicazioni legacy rischiose
• Rilevare e impedire la trasmissione di dati sensibili

Linee guida di Azure: proteggere le applicazioni cloud locali e non native usando l'autenticazione legacy connettendole a:

• Azure AD Application Proxy in combinazione con l'autenticazione basata su intestazione per la pubblicazione di applicazioni locali legacy per utenti remoti con Single Sign-On (SSO) convalidando in modo esplicito l'attendibilità di utenti e dispositivi remoti con l'accesso condizionale di Azure AD. Se necessario, usare una soluzione Software-Defined SDP (Perimeter) di terze parti che può offrire funzionalità simili.
• Reti e controller di recapito di applicazioni di terze parti esistenti
• Microsoft Defender for Cloud Apps, usandolo come servizio CASB (Cloud Access Security Broker) per fornire controlli per il monitoraggio delle sessioni dell'applicazione di un utente e le azioni di blocco (sia per le applicazioni locali legacy che per le applicazioni saaS (Cloud As a Service).

Nota: le VPN vengono comunemente usate per accedere alle applicazioni legacy, spesso hanno solo il controllo di accesso di base e il monitoraggio limitato delle sessioni.

Implementazione e contesto aggiuntivo:

• Proxy dell'applicazione di Azure AD
• Procedure consigliate per Defender per le app cloud
• Accesso ibrido sicuro di Azure AD

Stakeholder della sicurezza dei clienti (Altre informazioni):

• Architettura di sicurezza
• Sicurezza dell'infrastruttura e degli endpoint
• Sicurezza delle applicazioni e DevSecOps