Guido Grillenmeier, Chief Technology Office di Semperis, approfondisce gli aspetti di security in ambienti Azure Active Directory e individua tre principali configurazioni.
Per proteggere in modo efficace un ambiente a identità ibrida, i professionisti di Active Directory devono conoscere alla perfezione i ruoli, le applicazioni e l’autenticazione a più fattori (MFA) di Azure Active Directory (AAD). Si tratta delle tre principali configurazioni di sicurezza che un amministratore di AAD deve padroneggiare. Una volta organizzati ruoli, applicazioni e autenticazione MFA, e certi della loro valida configurazione, sarà possibile occuparsi degli altri livelli di sicurezza.
Ogni elemento di questa triade costituisce un fattore critico per la sicurezza. Benché siano spesso considerati in modo indipendente, è fondamentale pensare a ciascuno di essi come interconnesso con gli altri; si tratta di fatto di tre elementi che consentono di migliorare e salvaguardare la sicurezza solo se considerati come un tutto.
Conoscere il proprio ruolo
La gestione di Azure AD avviene tramite due tipi di ruoli: integrati e predefiniti. A questi ultimi sono abbinate specifiche autorizzazioni. In totale, Azure AD prevede circa 60 ruoli, suddivisi in tre categorie:
Ruoli di servizi specifici, ad esempio Amministratore del servizio CRM.
I ruoli specifici di Azure AD, come Amministratore dell’applicazione o Amministratore di gruppi.
Ruoli interfunzionali, ad esempio Amministratore del servizio di supporto
Azure AD consente anche di creare ruoli personalizzati, configurabili con qualsiasi autorizzazione desiderata dall’amministratore. Questi ultimi possono essere assegnati a un utente creando un’assegnazione di ruolo in cui vengono definite le autorizzazioni e l’ambito dello stesso. Un modello di autorizzazione completamente vincolato ai ruoli può generare confusione a livello di sicurezza e quindi gli amministratori devono procedere con attenzione.
Ai fini della sicurezza, è fondamentale conoscere i privilegi associati a tutti i ruoli e quali di questi sono legati a utenti specifici. Suggeriamo alle aziende di controllare regolarmente gli ambienti AD on-premise per individuare account orfani, account con privilegi elevati e altri potenziali campanelli d’allarme. La stessa scrupolosità va rivolta anche agli ambienti cloud.
Dopo essere riusciti a infiltrarsi in un ambiente, una delle principali tattiche dei criminali informatici è l’elevazione dei privilegi. Monitorare gli eventi di creazione e modifica dei ruoli può permettere all’organizzazione di intercettare un potenziale attacco. La maggior parte delle modifiche si rivelerà legittima a una successiva indagine, ma al contempo verrà rilevata anche qualsiasi alterazione non autorizzata di ruoli o di privilegi.
Per certi versi, possiamo considerare l’autenticazione MFA come un sistema di allarme precoce. Supponiamo che un hacker si impadronisca delle credenziali di un utente e tenti di accedere al relativo account. In questo caso, il secondo fattore di autenticazione serve a bloccare il malintenzionato, ne smaschera la frode e avvisa l’azienda del tentato attacco. L’autenticazione MFA previene circa il 99% delle compromissioni degli account. Malgrado ciò, questo tipo di autenticazione non viene adottata su larga scala. Non è raro, infatti, che vengano protetti con l’autenticazione MFA solo gli account con privilegi.
In altri casi, l’autenticazione MFA è applicata a tutti gli account con privilegi tranne uno, al quale viene associata una password di accesso temporanea. Questo tipo di approccio frammentario all’MFA genera potenziali vulnerabilità della sicurezza di cui gli hacker possono approfittare, in quanto, armati di credenziali rubate o compromesse, riescono a introdursi nei sistemi passando inosservati.
Azure Active Directory
Le impostazioni predefinite per la sicurezza di Microsoft abilitano l’autenticazione MFA in modo automatico. Tali impostazioni predefinite consentono di:
Richiedere a tutti gli utenti di registrarsi per l’autenticazione MFA in Azure AD.
Richiedere agli amministratori di eseguire l’autenticazione MFA.
Bloccare i protocolli di autenticazione legacy.
Richiedere agli utenti di eseguire l’autenticazione MFA quando necessario.
Proteggere le attività con privilegi, come l’accesso al portale Azure.
È possibile attivare le impostazioni predefinite per la sicurezza nel portale di Azure.
Se il tenant è stato creato a partire dal 22 ottobre 2019, le impostazioni predefinite per la sicurezza potrebbero essere già abilitate. L’obiettivo di queste impostazioni predefinite è sostenere le organizzazioni che iniziano ora a comprendere le proprie esigenze in termini di sicurezza. È importante sottolineare che le impostazioni predefinite richiedono un’ulteriore autenticazione all’accesso soltanto ai nove ruoli di amministratore di Azure AD indicati di seguito:
Amministratore globale.
Amministratore di SharePoint.
Ruolo di Amministratore di Exchange.
Amministratore accesso condizionale.
Amministratore della sicurezza.
L’Amministratore helpdesk.
Amministratore fatturazione.
Amministratore utenti.
Ruolo di Amministratore autenticazione.
Agli altri utenti verrà chiesto di autenticarsi con un metodo aggiuntivo soltanto in particolari circostanze, ad esempio se utilizzano un nuovo dispositivo o se eseguono determinate attività. Le impostazioni predefinite per la sicurezza bloccano anche i metodi di autenticazione legacy, veicolo dei tanti tentativi di accesso con credenziali compromesse a cui le organizzazioni devono far fronte. Poiché i protocolli meno recenti possono aggirare l’autenticazione MFA, considerarli un vettore di attacco e, di conseguenza, disattivarli rappresenta un fattore chiave della sicurezza di Azure AD.
Qualsiasi segnale di una potenziale compromissione dell’autenticazione MFA, ad esempio l’annullamento della registrazione di alcuni utenti, deve far scattare un’indagine.
Sicurezza delle applicazioni in Azure
Un concetto nuovo agli amministratori di Active Directory è l’importanza di registrare le applicazioni in Azure AD, che rappresenta un nuovo livello di accesso degli utenti sia all’interno che all’esterno del perimetro di AAD. È noto che le applicazioni estendono l’AAD dell’utente ad altri servizi, soprattutto ai servizi SaaS. Le impostazioni predefinite per la sicurezza impongono agli utenti di autenticarsi tramite MFA anche quando accedono tramite le nuove applicazioni registrate. È bene ricordare che l’autenticazione MFA non è una cura per tutti i problemi di sicurezza.
Sebbene possa infatti limitare l’efficacia delle credenziali rubate, per controllare il rischio rappresentato dalle applicazioni di terze parti non basta proteggere le password. Immaginiamo uno scenario in cui un hacker che punta al tenant Azure AD di un’organizzazione decida di non indurre una vittima a rivelare la password, ma tenti di convincerla a installare un’applicazione dannosa.
Se ci riesce, l’utente consegnerà all’autore dell’attacco le chiavi del regno, garantendogli l’accesso e il controllo completo del proprio account. Se l’utente agisse di fretta, potrebbe non valutare con attenzione i diritti che vengono garantiti all’applicazione. Le registrazioni delle applicazioni vanno sempre monitorate, e l’assegnazione di applicazioni self-service va tenuta in considerazione solo se gli utenti finali che suggeriscono le applicazioni da utilizzare sono completamente affidabili. Nella maggior parte dei casi è meglio prevedere un formale processo di richiesta delle applicazioni.
Azure Active Directory
Molte organizzazioni non tengono conto di questo vettore di attacco, che risulta di difficile identificazione perché non c’è alcun codice dannoso in esecuzione sull’endpoint dell’utente.
Il vettore si affida solo al social engineering, abusando della fiducia degli utenti. La crescita costante delle applicazioni cloud impiegate oggi nelle aziende impone l’adozione di un approccio protettivo contro questo tipo di attacco; è indispensabile quindi controllare l’elenco delle applicazioni selezionando l’opzione “Applicazioni aziendali” nella sezione “Gestisci” del portale di Azure. Gli amministratori possono inoltre monitorare gli eventi generati dai consensi in Azure AD, per controllare se sono presenti applicazioni non autorizzate con diritti che non dovrebbero avere.
In conclusione
Nelle loro considerazioni sulla sicurezza nel cloud, i responsabili IT dovrebbero fare un passo indietro per osservare il quadro generale. Ogni singolo livello di protezione deve rafforzare tutti gli altri livelli. Un’assegnazione efficace dei ruoli limita i danni che possono creare i malintenzionati qualora riescano a convincere gli utenti ad abilitare un’applicazione dannosa, e grazie alla possibilità di applicare l’autenticazione a più fattori è possibile impedire a terzi di sfruttare l’applicazione per aggirare i controlli di accesso. Se l’approccio alla sicurezza dell’azienda nasce da un’attenta collaborazione tra gli interessati, sarà possibile ridurre fortemente i rischi a cui è esposta.
Ai fini della sicurezza, è fondamentale conoscere i privilegi associati a tutti i ruoli e quali di questi sono legati a utenti specifici. Suggeriamo alle aziende di controllare regolarmente gli ambienti AD on-premise per individuare account orfani, account con privilegi elevati e altri potenziali campanelli d’allarme. La stessa scrupolosità va rivolta anche agli ambienti cloud.
