Photo by Brett Jordan on Unsplash
Roberto Antonioli

Gestisci, limita e monitora gli accessi con Azure AD PIM

I recenti attacchi, dai ransomware alle compromissioni della supply chain, hanno mostrato sia l’interconnessione del nostro mondo digitale sia la necessità fondamentale di proteggere queste risorse digitali dagli aggressori. Per raggiungere questo obiettivo, i nostri clienti hanno bisogno della sicurezza Zero Trust e dell’accesso con privilegi minimi per utenti e risorse. Ciò diventa ancora più importante nel contesto di partner tecnologici, che potrebbero richiedere un accesso continuo all’ambiente dei loro clienti per fornire servizi di gestione e supporto; Azure AD PIM introduce alcuni concetti di sicurezza che ci possono aiutare.

Man mano che le organizzazioni migrano al cloud e coinvolgono fornitori di servizi (interni o esterni) per gestire l’infrastruttura di Azure e Microsoft 365 ed eseguire carichi di lavoro aziendali e mission-critical, è fondamentale continuare a proteggere i propri asset cloud e ibridi.

Cos’è PIM

Privileged Identity Management (PIM) di Azure Active Directory (Azure AD) è un servizio che permette di gestire, controllare e monitorare l’accesso a risorse importanti nell’organizzazione. Queste risorse sono incluse in Azure AD, in Azure e in altri Microsoft Online Services, ad esempio Microsoft 365 o Microsoft Intune.

Per comprendere in che modo questo servizio  consente l’accesso con privilegi minimi, si consideri l’esempio della società Contoso, che collabora con un fornitore di servizi per gestire la sicurezza della rete. Contoso vuole assicurarsi che questo partner segua le best practice relative al privilegio minimo. In particolare, Contoso non vuole che il partner abbia accesso permanente alle proprie risorse, ma solo quando è necessario che esegua operazioni di tipo amministrativo.

A tal scopo gli operatori del fornitore devono elevare il proprio accesso a un ruolo privilegiato prima di potere lavorare sulla risorse di Contoso. Questo accesso just-in-time (JIT) dura solo per un periodo limitato (fino ad un massimo di otto ore), dopodiché l’accesso per tale operatore viene automaticamente rimosso e torna ad avere accesso in sola lettura alle risorse delegate di Contoso. Inoltre, Contoso può richiedere che il fornitore di servizi rispetti un insieme definito di policy durante l’autenticazione, come ad esempio l’autenticazione a più fattori.

Oltre alla tranquillità che l’accesso JIT offre a Contoso, ci sono anche vantaggi per il fornitore di servizi. Limitando l’accesso di ciascun operatore solo quando è necessario, il fornitore di servizi può dimostrare chiaramente quando gli operatori hanno avuto e (cosa più importante) non hanno avuto accesso alle risorse dei propri clienti, utilizzando i log di audit Azure AD PIM, che possono essere esaminati con il cliente.

Azure AD PIM – Quick start
Facciamo un recap?

Privileged Identity Management fornisce l’attivazione del ruolo basata sul tempo e sull’approvazione per attenuare i rischi di autorizzazioni di accesso eccessive, inutili o usate in modo improprio per le risorse di importanza strategica. Di seguito sono riportate alcune delle funzionalità principali di Privileged Identity Management:

  • Concedere l’accesso Just-In-Time ad Azure AD e alle risorse di Azure
  • Assegnare l’accesso alle risorse in uno slot temporale limitato, definendo data di inizio e fine attività
  • Richiedere l’approvazione per attivare i ruoli con privilegi amministrativi
  • Applicare l’autenticazione a più fattori per attivare un qualsiasi ruolo
  • Imporre la motivazione per comprendere i motivi delle attivazioni da parte degli utenti
  • Ricevere notifiche all’attivazione dei ruoli con privilegi
  • Condurre verifiche di accesso per assicurarsi che gli utenti necessitino ancora dei ruoli
  • Scaricare la cronologia degli accessi per l’audit interno o esterno

Vuoi approfondire altre tematiche di sicurezza?

https://www.yooda.tech/blog/category/security/

Don't stop there, read more

Pacho Baratta

Defender for Cloud Apps: funzionalità e casi d’uso

Defender for Cloud Apps, ovvero cos’è? a cosa mi serve? come può aiutarmi a rafforzare la security posture in azienda? Emiliano Iacomino e Pacho Baratta hanno provato a spiegare ed a rispondere ad alcune domande relative alle principali features del prodotto. Dalla Shadow IT, alla files governance e protezione dell’accesso, passando per la protezione del […]

Emiliano Iacomino

Defender for Cloud Apps: Files Governance

Hai tanti file sul cloud Microsoft o su cloud di terze parti? Ti spieghiamo come fare files governance grazie a Defender for Cloud Apps.

Pacho Baratta

Defender for Cloud Apps: Session Policies

Le Session Policies sono uno degli strumenti più potenti per gestire la sicurezza in azienda, permettendo nel contempo la massima flessibilità e semplicità.