integrità dei dispositivi Zero Trust e Windows
Le organizzazioni necessitano di un modello di sicurezza che si adatti in modo più efficace alla complessità dell'ambiente di lavoro moderno. Gli amministratori IT devono adottare l'ambiente di lavoro ibrido, proteggendo al tempo stesso persone, dispositivi, app e dati ovunque si trovino. L'implementazione di un modello di Zero Trust per la sicurezza consente di risolvere gli ambienti complessi di oggi.
I principi Zero Trust sono:
- Verificare in modo esplicito. Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili, inclusi l'identità dell'utente, la posizione, l'integrità del dispositivo, il servizio o il carico di lavoro, la classificazione dei dati e il monitoraggio delle anomalie
- Usare l'accesso con privilegi minimi. Limitare l'accesso utente con l'accesso just-in-time e l'accesso just-enough, i criteri adattivi basati sui rischi e la protezione dei dati per proteggere i dati e mantenere la produttività
- Si supponga di violare. Impedire agli utenti malintenzionati di ottenere l'accesso per ridurre al minimo i potenziali danni a dati e sistemi. Proteggere i ruoli con privilegi, verificare la crittografia end-to-end, usare l'analisi per ottenere visibilità e promuovere il rilevamento delle minacce per migliorare le difese
Il concetto di verifica Zero Trust si applica in modo esplicito ai rischi introdotti sia dai dispositivi che dagli utenti. Windows abilita l'attestazione dell'integrità dei dispositivi e le funzionalità di accesso condizionale , che vengono usate per concedere l'accesso alle risorse aziendali.
L'accesso condizionale valuta i segnali di identità per verificare che gli utenti siano quelli che dicono di essere prima che gli venga concesso l'accesso alle risorse aziendali.
Windows 11 supporta l'attestazione dell'integrità dei dispositivi, consentendo di verificare che i dispositivi siano in buono stato e non siano stati manomessi. Questa funzionalità consente agli utenti di accedere alle risorse aziendali in ufficio, a casa o in viaggio.
L'attestazione consente di verificare l'identità e lo stato dei componenti essenziali e di verificare che il dispositivo, il firmware e il processo di avvio non siano stati modificati. Le informazioni sul firmware, sul processo di avvio e sul software vengono usate per convalidare lo stato di sicurezza del dispositivo. Queste informazioni vengono archiviate in modo crittografico nel modulo TPM (Trusted Platform Module) del coprocessore di sicurezza. Dopo aver attestato il dispositivo, è possibile concedere l'accesso alle risorse.
Attestazione dell'integrità dei dispositivi in Windows
Durante il processo di avvio possono emergere molti rischi per la sicurezza, in quanto questo processo può essere il componente con i privilegi più elevati dell'intero sistema. Il processo di verifica usa l'attestazione remota come canale sicuro per determinare e presentare l'integrità del dispositivo. L'attestazione remota determina:
- Se il dispositivo può essere considerato attendibile
- Se il sistema operativo è stato avviato correttamente
- Se nel sistema operativo è abilitato il set corretto di funzionalità di sicurezza
Queste determinazioni vengono effettuate con l'aiuto di una radice di attendibilità sicura usando il modulo TPM (Trusted Platform Module). I dispositivi possono attestare che il TPM è abilitato e che il dispositivo non è stato manomesso.
Windows include molte funzionalità di sicurezza che consentono di proteggere gli utenti da malware e attacchi. Tuttavia, l'attendibilità dei componenti di sicurezza di Windows può essere ottenuta solo se la piattaforma viene avviata come previsto e non è stata manomessa. Windows si basa su Unified Extensible Firmware Interface (UEFI) Secure Boot, Early-launch antimalware (ELAM), Dynamic Root of Trust for Measurement (DRTM), Trusted Boot e altre funzionalità di sicurezza hardware e firmware di basso livello. Quando si accende il PC fino all'avvio dell'antimalware, Windows viene supportato con la configurazione hardware appropriata per garantire la sicurezza. Avvio misurato e attendibile, implementato da bootloader e BIOS, verifica e registra in modo crittografico ogni passaggio dell'avvio in modo concatenato. Questi eventi sono associati a un coprocessore di sicurezza (TPM) che funge da radice dell'attendibilità. Attestazione remota è il meccanismo tramite il quale questi eventi vengono letti e verificati da un servizio per fornire un report verificabile, imparziale e resiliente alle manomissioni. L'attestazione remota è il revisore attendibile dell'avvio del sistema, consentendo a entità specifiche di considerare attendibile il dispositivo.
Di seguito è riportato un riepilogo dei passaggi necessari per l'attestazione e Zero Trust sul lato dispositivo:
Durante ogni passaggio del processo di avvio, ad esempio un caricamento di file, l'aggiornamento di variabili speciali e altro ancora, le informazioni, ad esempio gli hash dei file e la firma, vengono misurate nei pcr TPM. Le misurazioni sono associate da una specifica TCG ( Trusted Computing Group) che determina quali eventi possono essere registrati e il formato di ogni evento
Dopo l'avvio di Windows, l'attestor/verificatore richiede al TPM di recuperare le misurazioni archiviate nel registro di configurazione della piattaforma (PCR) insieme a un log TCG. Le misurazioni in entrambi questi componenti costituiscono insieme l'evidenza di attestazione che viene quindi inviata al servizio di attestazione
Il TPM viene verificato usando le chiavi/il materiale di crittografia disponibile nel chipset con un servizio certificati di Azure
Queste informazioni vengono quindi inviate al servizio di attestazione nel cloud per verificare che il dispositivo sia sicuro. Microsoft Endpoint Manger si integra con Microsoft attestazione di Azure per esaminare in modo completo l'integrità dei dispositivi e connettere queste informazioni con l'accesso condizionale Microsoft Entra. Questa integrazione è fondamentale per Zero Trust soluzioni che consentono di associare l'attendibilità a un dispositivo non attendibile
Il servizio di attestazione esegue le attività seguenti:
- Verificare l'integrità dell'evidenza. Questa verifica viene eseguita convalidando le RICHIESTE che corrispondono ai valori ricalcolati riproducendo il log TCG
- Verificare che il TPM disponga di una chiave di identità di attestazione valida emessa dal TPM autenticato
- Verificare che le funzionalità di sicurezza siano negli stati previsti
Il servizio di attestazione restituisce un report di attestazione che contiene informazioni sulle funzionalità di sicurezza in base ai criteri configurati nel servizio di attestazione
Il dispositivo invia quindi il report al cloud Microsoft Intune per valutare l'attendibilità della piattaforma in base alle regole di conformità del dispositivo configurate dall'amministratore
L'accesso condizionale, insieme allo stato di conformità del dispositivo, decide quindi di consentire o negare l'accesso
Altre risorse
Per altre informazioni sulle soluzioni Microsoft Zero Trust, vedere Zero Trust Guidance Center.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per