Controllo sicurezza v3: Gestione delle identità

Identity Management copre i controlli per stabilire un'identità sicura e i controlli di accesso usando Azure Active Directory, inclusi l'uso dell'accesso Single Sign-On, le autenticazione complesse, le identità gestite (e i principi del servizio) per le applicazioni, l'accesso condizionale e il monitoraggio delle anomalie dell'account.

IM-1: Usare il sistema di autenticazione e identità centralizzata

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
6.7, 12.5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Principio di sicurezza: usare un sistema di identità e autenticazione centralizzato per gestire le identità e le autenticazione dell'organizzazione per le risorse cloud e non cloud.

Linee guida di Azure: Azure Active Directory (Azure AD) è il servizio di gestione delle identità e dell'autenticazione di Azure. È consigliabile standardizzare in Azure AD per gestire l'identità e l'autenticazione dell'organizzazione in:

  • Risorse cloud Microsoft, ad esempio Archiviazione di Azure, Macchine virtuali di Azure (Linux e Windows), applicazioni Azure Key Vault, PaaS e SaaS.
  • Le risorse dell'organizzazione, ad esempio le applicazioni in Azure, le applicazioni di terze parti in esecuzione nelle risorse di rete aziendale e le applicazioni SaaS di terze parti.
  • Le identità aziendali in Active Directory tramite sincronizzazione per Azure AD per garantire una strategia di identità coerente e gestita centralmente.

Nota: non appena è tecnicamente fattibile, è necessario eseguire la migrazione di applicazioni basate Active Directory locale in Azure AD. Potrebbe trattarsi di una configurazione Azure AD Enterprise Directory, Business to Business o Business to Consumer.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IM-2: Proteggere i sistemi di identità e autenticazione

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Principio di sicurezza: proteggere l'identità e il sistema di autenticazione come priorità elevata nella pratica di sicurezza cloud dell'organizzazione. I controlli di sicurezza comuni includono:

  • Limitare i ruoli e gli account con privilegi
  • Richiedere l'autenticazione avanzata per tutti gli accessi con privilegi
  • Monitorare e controllare le attività ad alto rischio

Linee guida di Azure: usare la baseline di sicurezza Azure AD e il punteggio di sicurezza delle identità Azure AD per valutare il comportamento di sicurezza delle identità Azure AD e correggere le lacune di sicurezza e configurazione. Il Azure AD Identity Secure Score valuta Azure AD per le configurazioni seguenti: -Usare ruoli amministrativi limitati

  • Attivare i criteri di rischio utente
  • Designare più amministratori globali
  • Abilitare i criteri per bloccare l'autenticazione legacy
  • Assicurarsi che tutti gli utenti possano completare l'autenticazione a più fattori per l'accesso sicuro
  • Richiedi MFA per i ruoli amministrativi
  • Abilitare la reimpostazione self-service delle password
  • Non scadere le password
  • Attivare i criteri di rischio di accesso
  • Non consentire agli utenti di concedere il consenso alle applicazioni non gestite

Nota: seguire le procedure consigliate pubblicate per tutti gli altri componenti di identità, inclusi i Active Directory locale e le funzionalità di terze parti e le infrastrutture (ad esempio sistemi operativi, reti, database) che li ospitano.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
N/D AC-2, AC-3, IA-4, IA-5, IA-9 N/D

Principio di sicurezza: usare le identità dell'applicazione gestite anziché creare account umani per le applicazioni per accedere alle risorse ed eseguire il codice. Le identità dell'applicazione gestite offrono vantaggi come la riduzione dell'esposizione delle credenziali. Automatizzare la rotazione delle credenziali per garantire la sicurezza delle identità.

Linee guida di Azure: usare identità gestite di Azure, che possono eseguire l'autenticazione ai servizi e alle risorse di Azure che supportano l'autenticazione Azure AD. Le credenziali di identità gestite sono completamente gestite, ruotate e protette dalla piattaforma, evitando credenziali hardcoded nel codice sorgente o nei file di configurazione.

Per i servizi che non supportano le identità gestite, usare Azure AD per creare un'entità servizio con autorizzazioni limitate a livello di risorsa. È consigliabile configurare le entità servizio con le credenziali del certificato e tornare ai segreti client per l'autenticazione.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IM-4: Autenticare server e servizi

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
N/D IA-9 N/D

Principio di sicurezza: autenticare server e servizi remoti dal lato client per assicurarsi di connettersi a server e servizi attendibili. Il protocollo di autenticazione server più comune è Transport Layer Security (TLS), dove il lato client (spesso un browser o un dispositivo client) verifica il server verificando che il certificato del server sia stato rilasciato da un'autorità di certificazione attendibile.

Nota: l'autenticazione reciproca può essere usata quando il server e il client autenticano uno all'altro.

Linee guida di Azure: molti servizi di Azure supportano l'autenticazione TLS per impostazione predefinita. Per i servizi che supportano l'opzione di abilitazione/disabilitazione TLS dall'utente, assicurarsi che sia sempre abilitata per supportare l'autenticazione server/servizio. L'applicazione client deve essere progettata anche per verificare l'identità server/servizio (verificando il certificato del server rilasciato da un'autorità di certificazione attendibile) nella fase handshake.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IM-5: Usare l'accesso Single Sign-On (SSO) per l'accesso alle applicazioni

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
12.5 IA-4, IA-2, IA-8 N/D

Principio di sicurezza: usare l'accesso Single Sign-On (SSO) per semplificare l'esperienza utente per l'autenticazione alle risorse, tra cui applicazioni e dati tra servizi cloud e ambienti locali.

Linee guida di Azure: usare Azure AD per l'accesso alle applicazioni del carico di lavoro tramite Azure AD Single Sign-On (SSO), obviando la necessità di più account. Azure AD fornisce la gestione delle identità e dell'accesso alle risorse di Azure (piano di gestione, tra cui l'interfaccia della riga di comando, PowerShell, il portale), le applicazioni cloud e le applicazioni locali.

Azure AD supporta l'accesso SSO per le identità aziendali, ad esempio identità utente aziendali, nonché identità utente esterne provenienti da utenti di terze parti attendibili e utenti pubblici.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IM-6: Usare controlli di autenticazione avanzata

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Principio di sicurezza: applicare controlli di autenticazione avanzata (autenticazione senza password o autenticazione a più fattori) con il sistema di gestione centralizzato delle identità e dell'autenticazione per tutti gli accessi alle risorse. L'autenticazione basata sulle credenziali delle password è considerata legacy, perché non è sicura e non si basa sui metodi di attacco più diffusi.

Quando si distribuisce l'autenticazione avanzata, configurare prima amministratori e utenti con privilegi, per garantire il livello più alto del metodo di autenticazione sicuro, seguito rapidamente dalla distribuzione dei criteri di autenticazione avanzata appropriati a tutti gli utenti.

Nota: se è necessaria l'autenticazione basata su password legacy per applicazioni e scenari legacy, assicurarsi che vengano seguite le procedure consigliate per la sicurezza delle password, ad esempio i requisiti di complessità.

Linee guida di Azure: Azure AD supporta controlli di autenticazione avanzati tramite metodi senza password e autenticazione a più fattori (MFA).

  • Autenticazione senza password: usare l'autenticazione senza password come metodo di autenticazione predefinito. Sono disponibili tre opzioni nell'autenticazione senza password: Windows Hello for Business, Microsoft Authenticator accesso telefonico dell'app e FIDO 2Keys. Inoltre, i clienti possono usare metodi di autenticazione locali, ad esempio smart card.
  • Autenticazione a più fattori: Azure MFA può essere applicato a tutti gli utenti, selezionare gli utenti o a livello di utente in base a condizioni di accesso e fattori di rischio. Abilitare Azure MFA e seguire i consigli di gestione delle identità e degli accessi di Azure Defender per cloud per la configurazione MFA.

Se l'autenticazione basata su password legacy viene ancora usata per l'autenticazione Azure AD, tenere presente che gli account solo cloud (account utente creati direttamente in Azure) dispongono di criteri di password di base predefiniti. E gli account ibridi (account utente provenienti da Active Directory locale) seguono i criteri delle password locali.

Per applicazioni e servizi di terze parti con ID e password predefiniti, è necessario disabilitarli o modificarli durante l'installazione iniziale del servizio.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IM-7: Limitare l'accesso alle risorse in base alle condizioni

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Principio di sicurezza: convalidare in modo esplicito i segnali attendibili per consentire o negare l'accesso utente alle risorse, come parte di un modello di accesso zero-trust. I segnali da convalidare devono includere l'autenticazione avanzata dell'account utente, l'analisi del comportamento dell'account utente, la attendibilità del dispositivo, l'appartenenza all'utente o al gruppo, le posizioni e così via.

Linee guida di Azure: usare Azure AD accesso condizionale per controlli di accesso più granulari basati su condizioni definite dall'utente, ad esempio richiedere l'accesso utente da determinati intervalli IP (o dispositivi) per l'uso dell'autenticazione a più fattori. Accesso condizionale di Azure AD consente di applicare i controlli di accesso sulle app dell'organizzazione in base a determinate condizioni.

Definire le condizioni e i criteri applicabili per Azure AD l'accesso condizionale nel carico di lavoro. Prendere in considerazione i casi d'uso comuni seguenti:

  • Obbligo di eseguire l'autenticazione a più fattori per gli utenti con ruoli amministrativi
  • Obbligo di eseguire l'autenticazione a più fattori per le attività di gestione di Azure
  • Blocco degli accessi per gli utenti che provano a usare protocolli di autenticazione legacy
  • Obbligo di usare posizioni attendibili per la registrazione ad Azure AD Multi-Factor Authentication
  • Blocco o concessione dell'accesso da specifiche posizioni
  • Blocco dei comportamenti di accesso rischiosi
  • Obbligo di usare dispositivi gestiti dall'organizzazione per specifiche applicazioni

Nota: è anche possibile usare una gestione granulare delle sessioni di autenticazione tramite Azure AD criteri di accesso condizionale per i controlli, ad esempio la frequenza di accesso e la sessione persistente del browser.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IM-8: Limitare l'esposizione delle credenziali e dei segreti

CONTROLLI CIS v8 ID ID R4 NIST SP 800-53 ID PCI-DSS v3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Principio di sicurezza: assicurarsi che gli sviluppatori di applicazioni gestiscono in modo sicuro le credenziali e i segreti:

  • Evitare di incorporare le credenziali e i segreti nei file di codice e configurazione
  • Usare l'insieme di credenziali delle chiavi o un servizio di archivio chiavi sicuro per archiviare le credenziali e i segreti
  • Cercare le credenziali nel codice sorgente.

Nota: questa operazione viene spesso regolamentata e applicata tramite un ciclo di vita di sviluppo software sicuro (SDLC) e DevOps processo di sicurezza.

Linee guida di Azure: assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli nei file di codice e configurazione.

  • Implementare Azure DevOps scanner di credenziali per identificare le credenziali all'interno del codice.
  • Per GitHub, usare la funzionalità di analisi dei segreti nativa per identificare le credenziali o altre forme di segreti all'interno del codice.

I client come Funzioni di Azure, i servizi app di Azure e le macchine virtuali possono usare identità gestite per accedere in modo sicuro ad Azure Key Vault. Vedere Controlli di protezione dei dati correlati all'uso di Azure Key Vault per la gestione dei segreti.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (altre informazioni):

IM-9: Proteggere l'accesso utente alle applicazioni esistenti

CIS Controls v8 ID(s) ID NIST SP 800-53 r4 ID PCI-DSS v3.2.1
6.7, 12.5 AC-2, AC-3, SC-11 N/D

Principio di sicurezza: in un ambiente ibrido, in cui sono disponibili applicazioni locali o applicazioni cloud non native usando l'autenticazione legacy, prendere in considerazione soluzioni come CASB (Cloud Access Security Broker), application proxy, Single Sign-On (SSO) per gestire l'accesso a queste applicazioni per i vantaggi seguenti:

  • Applicare un'autenticazione avanzata centralizzata
  • Monitorare e controllare le attività rischiose degli utenti finali
  • Monitorare e correggere le attività delle applicazioni legacy rischiose
  • Rilevare e impedire la trasmissione di dati sensibili

Linee guida di Azure: proteggere le applicazioni cloud locali e non native usando l'autenticazione legacy connettendole a:

  • Azure AD Application Proxy in combinazione con l'autenticazione basata su intestazione per la pubblicazione di applicazioni locali legacy agli utenti remoti con Single Sign-On (SSO) convalidando in modo esplicito l'attendibilità di utenti e dispositivi remoti con accesso condizionale Azure AD. Se necessario, usare una soluzione Software-Defined SDP (Perimeter) di terze parti che può offrire funzionalità simili.
  • Reti e controller di recapito di applicazioni di terze parti esistenti
  • Microsoft Defender for Cloud Apps, usandolo come servizio CASB (Cloud Access Security Broker) per fornire controlli per il monitoraggio delle sessioni dell'applicazione di un utente e le azioni di blocco (sia per le applicazioni locali legacy che per le applicazioni saaS (Cloud As a Service).

Nota: le VPN vengono comunemente usate per accedere alle applicazioni legacy, spesso hanno solo il controllo di accesso di base e il monitoraggio limitato delle sessioni.

Implementazione e contesto aggiuntivo:

Stakeholder della sicurezza dei clienti (Altre informazioni):