Controllo della sicurezza: Gestione delle identità

La gestione delle identità include i controlli per stabilire controlli di identità e accessi sicuri usando sistemi di gestione delle identità e degli accessi, tra cui l'uso di Single Sign-On, autenticazioni complesse, identità gestite (ed entità servizio) per le applicazioni, accesso condizionale e monitoraggio delle anomalie degli account.

IM-1: Usare un sistema centralizzato di identità e autenticazione

Principio di sicurezza: usare un sistema centralizzato di identità e autenticazione per gestire le identità e le autenticazioni dell'organizzazione per le risorse cloud e non cloud.

Indicazioni su Azure: Azure Active Directory (Azure AD) è il servizio di gestione delle identità e dell'autenticazione di Azure. È consigliabile standardizzare in Azure AD per gestire l'identità e l'autenticazione dell'organizzazione in:

• Risorse cloud Microsoft, ad esempio Archiviazione di Azure, Macchine virtuali di Azure (Linux e Windows), Azure Key Vault, PaaS e applicazioni SaaS.
• Risorse dell'organizzazione, ad esempio applicazioni in Azure, applicazioni di terze parti in esecuzione nelle risorse di rete aziendale e applicazioni SaaS di terze parti.
• Le identità aziendali in Active Directory tramite la sincronizzazione con Azure AD per garantire una strategia di gestione delle identità coerente e centralizzata.

Per i servizi di Azure applicabili, evitare l'uso dei metodi di autenticazione locale e usare invece Azure Active Directory per centralizzare le autenticazioni del servizio.

Nota: non appena è tecnicamente fattibile, è consigliabile eseguire la migrazione di applicazioni locali basate su Active Directory ad Azure AD. Potrebbe trattarsi di una configurazione di Azure AD Enterprise Directory, Business to Business o Business to Consumer.

Implementazione di Azure e contesto aggiuntivo:

• Tenancy in Azure AD
• Come creare e configurare un'istanza di Azure AD
• Definire i tenant di Azure AD
• Usare provider di identità esterni per un'applicazione

Indicazioni SU AWS: AWS IAM (Identity and Access Management) è il servizio di gestione delle identità e dell'autenticazione predefinito di AWS. Usare AWS IAM per gestire l'identità e la gestione degli accessi di AWS. In alternativa, tramite AWS e Azure Single Sign-On (SSO), è anche possibile usare Azure AD per gestire l'identità e il controllo di accesso di AWS per evitare di gestire gli account duplicati separatamente in due piattaforme cloud.

AWS supporta single Sign-On che consente di collegare le identità di terze parti dell'azienda (ad esempio Windows Active Directory o altri archivi di identità) con le identità AWS per evitare di creare account duplicati per accedere alle risorse AWS.

Implementazione di AWS e contesto aggiuntivo:

• AWS IAM
• AWS Single Sign-On

Indicazioni per GCP: il sistema IAM (Identity and Access Management) di Google Cloud è il servizio di gestione delle identità e dell'autenticazione predefinito di Google Cloud usato per gli account Google Cloud Identity. Usare Google Cloud IAM per gestire la gestione delle identità e degli accessi GCP. In alternativa, tramite Google Cloud Identity e Azure Sigle Sign-On (SSO), è anche possibile usare Azure AD per gestire l'identità e il controllo di accesso di GCP per evitare di gestire gli account duplicati separatamente in un ambiente mutli-cloud.

Google Cloud Identity è il provider di identità per tutti i servizi Google. Supporta single Sign-On che consente di collegare le identità di terze parti dell'azienda (ad esempio Windows Active Directory o altri archivi di identità) con le identità di Google Cloud per evitare di creare account duplicati per accedere alle risorse GCP.

Nota: uso di Google Cloud Directory Sync. Google fornisce lo strumento connettore che si integra con la maggior parte dei sistemi di gestione LDAP aziendali e sincronizza le identità in base a una pianificazione. Configurando un account di identità cloud e selezionando Google Cloud Directory Sync, è possibile configurare quali account utente, inclusi utenti, gruppi e profili utente, alias e altro ancora, verranno sincronizzati in base a una pianificazione tra il sistema di gestione delle identità locale e il sistema GCP.

Implementazione di GCP e contesto aggiuntivo:

• Panoramica di GCP IAM
• Provisioning degli utenti e Single Sign-On per Azure AD
• Single Sign-On

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• di gestione delle chiavi e delle identità
• Architettura di sicurezza
• Sicurezza delle applicazioni e DevSecOps
• di gestione della postura

IM-2: Proteggere i sistemi di identità e autenticazione

Principio di sicurezza: proteggere l'identità e il sistema di autenticazione come priorità elevata nella pratica di sicurezza cloud dell'organizzazione. I controlli di sicurezza comuni includono:

• Limitare i ruoli e gli account con privilegi
• Richiedere l'autenticazione avanzata per tutti gli accessi con privilegi
• Monitorare e controllare le attività ad alto rischio
  

Indicazioni su Azure: usare la baseline di sicurezza di Azure AD e azure AD Identity Secure Score per valutare il comportamento di sicurezza delle identità di Azure AD e correggere i gap di sicurezza e configurazione. Azure AD Identity Secure Score valuta Azure AD per le configurazioni seguenti:

• Usare ruoli amministrativi limitati
• Attivare i criteri di rischio utente
• Designare più amministratori globali
• Abilitare la politica per bloccare l'autenticazione legacy
• Assicurarsi che tutti gli utenti possano completare l'autenticazione a più fattori per l'accesso sicuro
• Richiedere la MFA per i ruoli amministrativi
• Abilitare la reimpostazione autonoma delle password
• Non fare scadere le password
• Attivare i criteri di rischio di accesso
• Non consentire agli utenti di concedere il consenso alle applicazioni non gestite

Usare Azure AD Identity Protection per rilevare, analizzare e correggere i rischi basati sull'identità. Per proteggere in modo analogo il dominio di Active Directory locale, usare Defender per identità.

Nota: seguire le procedure consigliate pubblicate per tutti gli altri componenti di identità, tra cui Active Directory locale e tutte le funzionalità di terze parti e le infrastrutture (ad esempio sistemi operativi, reti, database) che li ospitano.

Implementazione di Azure e contesto aggiuntivo:

• Che cos'è il punteggio di sicurezza delle identità in Azure AD
• Procedure consigliate per la protezione di Active Directory
• Che cos'è Identity Protection?
• Che cos'è Microsoft Defender per l'identità?

Indicazioni su AWS: usare le procedure consigliate per la sicurezza seguenti per proteggere AWS IAM:

• Configurare le chiavi di accesso utente radice dell'account AWS per l'accesso di emergenza come descritto in PA-5 (Configurare l'accesso di emergenza)
• Seguire i principi dei privilegi minimi per le assegnazioni di accesso
• Sfruttare i gruppi IAM per applicare criteri anziché singoli utenti.
• Seguire le linee guida per l'autenticazione avanzata in IM-6 (Usare controlli di autenticazione avanzata) per tutti gli utenti
• Usare AWS Organizations SCP (Service Control Policy) e i limiti delle autorizzazioni
• Usare IAM Access Advisor per verificare l'accesso al servizio
• Usare il report delle credenziali IAM per tenere traccia degli account utente e dello stato delle credenziali

Nota: seguire le procedure consigliate pubblicate se si hanno altri sistemi di identità e autenticazione, ad esempio seguire la baseline di sicurezza di Azure AD se si usa Azure AD per gestire l'identità e l'accesso di AWS.

Implementazione di AWS e contesto aggiuntivo:

• Procedura consigliata per la sicurezza in IAM
• di Access Advisor IAM
• Report credenziali IAM

Linee guida per GCP: usare le procedure consigliate per la sicurezza seguenti per proteggere i servizi google Cloud IAM e Cloud Identity per le organizzazioni:

• Configurare un account amministratore con privilegi avanzati per l'accesso di emergenza seguendo le raccomandazioni in PA-5 ("Configurare l'accesso di emergenza").
• Creare un indirizzo di posta elettronica amministratore con privilegi avanzati (come account amministratore con privilegi avanzati di Google Workspace o Cloud Identity) e questo account non deve essere specifico per un determinato utente nel caso in cui sia necessario un ripristino di emergenza.
• Seguire i principi del minimo privilegio e la separazione delle funzioni
• Evitare di usare un account amministratore con privilegi avanzati per le attività quotidiane
• Sfruttare i gruppi di Google Cloud Identity per applicare criteri invece di applicare criteri ai singoli utenti.
• Seguire le linee guida per l'autenticazione avanzata come descritto in IM-6 ("Usare controlli di autenticazione avanzata") per tutti gli utenti con privilegi elevati.
• Usare i criteri IAM per limitare l'accesso alle risorse
• Usare il servizio Criteri organizzazione per controllare e configurare i vincoli sulle risorse
• Usare la registrazione di controllo IAM nei log di controllo del cloud per esaminare le attività privilegiate

Nota: seguire le procedure consigliate pubblicate se si hanno altri sistemi di identità e autenticazione, ad esempio seguire la baseline di sicurezza di Azure AD se si usa Azure AD per gestire l'identità e l'accesso GCP.

Implementazione di GCP e contesto aggiuntivo:

• Procedure consigliate per l'account amministratore con privilegi avanzati
• Procedure consigliate per la sicurezza per gli account amministratore
• Usare IAM in modo sicuro
• Gestire l'accesso ad altre risorse
• Introduzione al servizio Criteri organizzativi

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• di gestione delle chiavi e delle identità
• Architettura di sicurezza
• Sicurezza delle applicazioni e DevSecOps
• di gestione della postura

IM-3: Gestire le identità dell'applicazione in modo sicuro e automatico

Principio di sicurezza: usare le identità dell'applicazione gestita invece di creare account umani per le applicazioni per accedere alle risorse ed eseguire il codice. Le identità dell'applicazione gestita offrono vantaggi come la riduzione dell'esposizione delle credenziali. Automatizzare la rotazione delle credenziali per garantire la sicurezza delle identità.

Indicazioni su Azure: usare le identità gestite di Azure, che possono eseguire l'autenticazione a servizi e risorse di Azure che supportano l'autenticazione di Azure AD. Le credenziali di identità gestite sono completamente amministrate, aggiornate e protette dalla piattaforma, evitando credenziali codificate in modo fisso nel codice sorgente o nei file di configurazione.

Per i servizi che non supportano le identità gestite, usare Azure AD per creare un'entità servizio con autorizzazioni limitate a livello di risorsa. È consigliabile configurare le entità servizio con le credenziali del certificato ed eseguire il fallback ai segreti client per l'autenticazione.

Implementazione di Azure e contesto aggiuntivo:

• identità gestite di Azure
• Servizi che supportano le identità gestite per le risorse di Azure
• Principale del servizio Azure
• Creare un'entità servizio con certificati

Indicazioni su AWS: usare i ruoli AWS IAM invece di creare account utente per le risorse che supportano questa funzionalità. I ruoli IAM vengono gestiti dalla piattaforma nel back-end e le credenziali sono temporanee e ruotate automaticamente. In questo modo si evita di creare chiavi di accesso a lungo termine o un nome utente/password per le applicazioni e credenziali hardcoded nei file di codice sorgente o di configurazione.

È possibile usare ruoli collegati al servizio associati a criteri di autorizzazione predefiniti per l'accesso tra i servizi AWS anziché personalizzare le autorizzazioni di ruolo per i ruoli IAM.

Nota: per i servizi che non supportano i ruoli IAM, usare le chiavi di accesso, ma seguire la procedura consigliata per la sicurezza, ad esempio IM-8 Limitare l'esposizione delle credenziali e dei segreti per proteggere le chiavi.

Implementazione di AWS e contesto aggiuntivo:

• Ruoli AWS IAM
• Fornire l'accesso a un servizio AWS

Indicazioni per GCP: usare gli account del servizio gestiti da Google invece di creare account gestiti dall'utente per le risorse che supportano questa funzionalità. Gli account del servizio gestiti da Google vengono gestiti dalla piattaforma nel back-end e le chiavi dell'account del servizio sono temporanee e ruotate automaticamente. In questo modo si evita di creare chiavi di accesso a lungo termine o un nome utente/password per le applicazioni e le credenziali hardcoded hardcoded nei file di codice sorgente o di configurazione.

Usare Intelligence per i criteri per comprendere e riconoscere le attività sospette per gli account del servizio.

Implementazione di GCP e contesto aggiuntivo:

• Panoramica degli account del servizio
• Strumenti per comprendere l'utilizzo degli account del servizio
• Intelligence sulle politiche

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• di gestione delle chiavi e delle identità
• Sicurezza delle applicazioni e DevSecOps

IM-4: Autenticare server e servizi

Principio di sicurezza: autenticare server e servizi remoti dal lato client per assicurarsi di connettersi a server e servizi attendibili. Il protocollo di autenticazione server più comune è Transport Layer Security (TLS), in cui il lato client (spesso un browser o un dispositivo client) verifica il server verificando che il certificato del server sia stato emesso da un'autorità di certificazione attendibile.

Nota: l'autenticazione reciproca può essere usata quando il server e il client si autenticano l'uno con l'altro.

Linee guida di Azure: molti servizi di Azure supportano l'autenticazione TLS per impostazione predefinita. Per i servizi che non supportano l'autenticazione TLS per impostazione predefinita o supportano la disabilitazione di TLS, assicurarsi che sia sempre abilitato per supportare l'autenticazione server/client. L'applicazione client deve essere progettata anche per verificare l'identità server/client (verificando il certificato del server emesso da un'autorità di certificazione attendibile) nella fase di handshake.

Nota: servizi come Gestione API e Gateway API supportano l'autenticazione reciproca TLS.

Implementazione di Azure e contesto aggiuntivo:

• Applicare Transport Layer Security (TLS) per un account di archiviazione

Indicazioni su AWS: molti servizi AWS supportano l'autenticazione TLS per impostazione predefinita. Per i servizi che non supportano l'autenticazione TLS per impostazione predefinita o supportano la disabilitazione di TLS, assicurarsi che sia sempre abilitato per supportare l'autenticazione server/client. L'applicazione client deve essere progettata anche per verificare l'identità server/client (verificando il certificato del server emesso da un'autorità di certificazione attendibile) nella fase di handshake.

Nota: servizi come il gateway API supportano l'autenticazione reciproca TLS.

Implementazione di AWS e contesto aggiuntivo:

• Aggiunta del certificato di AWS Certificate Manager.
• Certificato SSL per l'autenticazione back-end

Indicazioni per GCP: molti servizi GCP supportano l'autenticazione TLS per impostazione predefinita. Per i servizi che non supportano questa impostazione per impostazione predefinita o supportano la disabilitazione di TLS, assicurarsi che sia sempre abilitato per supportare l'autenticazione server/client. L'applicazione client deve essere progettata anche per verificare l'identità server/client (verificando il certificato del server emesso da un'autorità di certificazione attendibile) nella fase di handshake.

Nota: servizi come Il bilanciamento del carico cloud supportano l'autenticazione reciproca TLS.

Implementazione di GCP e contesto aggiuntivo:

• Crittografia dei dati durante il transito

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• di gestione delle chiavi e delle identità
• Sicurezza delle applicazioni e DevSecOps

IM-5: Usare l'accesso Single Sign-On (SSO) per l'accesso alle applicazioni

Principio di sicurezza: usare l'accesso Single Sign-On (SSO) per semplificare l'esperienza utente per l'autenticazione alle risorse, incluse le applicazioni e i dati nei servizi cloud e negli ambienti locali.

Linee guida di Azure: usare Azure AD per l'accesso alle applicazioni del carico di lavoro tramite l'accesso Single Sign-On (SSO) di Azure AD, riducendo la necessità di account duplicati. Azure AD offre la gestione delle identità e degli accessi alle risorse di Azure (nel piano di gestione, tra cui l'interfaccia della riga di comando, PowerShell, il portale), le applicazioni cloud e le applicazioni locali.

Azure AD supporta anche l'accesso SSO per le identità aziendali, ad esempio le identità utente aziendali, nonché le identità utente esterne di utenti attendibili di terze parti e utenti pubblici.

Implementazione di Azure e contesto aggiuntivo:

• Informazioni sull'accesso SSO dell'applicazione con Azure AD

Indicazioni su AWS: usare AWS Cognito per gestire gli accessi ai carichi di lavoro delle applicazioni rivolte ai clienti tramite Single Sign-On (SSO) per consentire ai clienti di collegare le identità di terze parti di provider di identità diversi.

Per l'accesso SSO alle risorse native di AWS (incluso l'accesso alla console DI AWS o l'accesso a livello di piano dati) usare AWS Sigle Sign-On per ridurre la necessità di account duplicati.

AWS SSO consente anche di collegare identità aziendali (ad esempio identità di Azure Active Directory) con identità AWS, nonché identità utente esterne di utenti attendibili e utenti pubblici.

Implementazione di AWS e contesto aggiuntivo:

• AWS Single Sign-On
• AWS Cognito Single Sign-On Aggiungere provider di identità SAML

Indicazioni per GCP: usare Google Cloud Identity per gestire l'accesso all'applicazione del carico di lavoro rivolta ai clienti tramite l'accesso Single Sign-On di Google Cloud Identity, riducendo la necessità di account duplicati. Google Cloud Identity offre la gestione delle identità e degli accessi a GCP (nel piano di gestione, tra cui l'interfaccia della riga di comando di Google Cloud, l'accesso alla console), le applicazioni cloud e le applicazioni locali.

Google Cloud Identity supporta anche l'accesso SSO per le identità aziendali, ad esempio le identità utente aziendali di Azure AD o Active Directory, nonché le identità utente esterne di utenti attendibili di terze parti e utenti pubblici. Implementazione di GCP e contesto aggiuntivo:

• Single Sign-On di Google Cloud Identity
• Provisioning degli utenti e Single Sign-On per Azure AD

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• Architettura di sicurezza
• di gestione delle chiavi e delle identità
• Sicurezza delle applicazioni e DevSecOps

IM-6: Usare controlli di autenticazione avanzata

Principio di sicurezza: applicare controlli di autenticazione avanzata (autenticazione complessa senza password o autenticazione a più fattori) con il sistema di gestione centralizzato delle identità e dell'autenticazione per tutti gli accessi alle risorse. L'autenticazione basata solo sulle credenziali delle password è considerata legacy, perché non è sicura e non si basa sui metodi di attacco più diffusi.

Quando si distribuisce l'autenticazione avanzata, configurare prima amministratori e utenti con privilegi per garantire il livello più elevato del metodo di autenticazione avanzata, seguito rapidamente dall'implementazione dei criteri di autenticazione avanzata appropriati a tutti gli utenti.

Nota: se per le applicazioni e gli scenari legacy è necessaria l'autenticazione basata su password legacy, assicurarsi che vengano seguite le procedure consigliate per la sicurezza delle password, ad esempio i requisiti di complessità.

Linee guida di Azure: Azure AD supporta controlli di autenticazione avanzata tramite metodi senza password e multi-factor authentication (MFA).

• Autenticazione senza password: usare l'autenticazione senza password come metodo di autenticazione predefinito. Nell'autenticazione senza password sono disponibili tre opzioni: Windows Hello for Business, accesso tramite telefono dell'app Microsoft Authenticator e chiavi di sicurezza FIDO2. Inoltre, i clienti possono usare metodi di autenticazione locali, ad esempio smart card.
• Autenticazione a più fattori: Azure MFA può essere applicato a tutti gli utenti, selezionare gli utenti o a livello di utente in base a condizioni di accesso e fattori di rischio. Abilitare Azure MFA e seguire le raccomandazioni sulla gestione delle identità e degli accessi di Microsoft Defender for Cloud per la configurazione di MFA.

Se l'autenticazione basata su password legacy viene ancora usata per l'autenticazione di Azure AD, tenere presente che gli account solo cloud (account utente creati direttamente in Azure) hanno un criterio password di base predefinito. E gli account ibridi (account utente provenienti da Active Directory locale) seguono i criteri password locali.

Per applicazioni e servizi di terze parti con ID e password predefiniti, è necessario disabilitarli o modificarli durante la configurazione iniziale del servizio.

Implementazione di Azure e contesto aggiuntivo:

• Come abilitare l'autenticazione a più fattori in Azure
• Introduzione alle opzioni di autenticazione senza password per Azure Active Directory
• Criteri password predefiniti di Azure AD
• Eliminare le password non dannose usando la protezione password di Azure AD
• Bloccare l'autenticazione legacy

Indicazioni su AWS: AWS IAM supporta controlli di autenticazione avanzata tramite l'autenticazione a più fattori (MFA). L'autenticazione a più fattori può essere applicata a tutti gli utenti, selezionare gli utenti o a livello di utente in base alle condizioni definite.

Se si usano account aziendali da una directory di terze parti (ad esempio Windows Active Directory) con identità AWS, seguire le rispettive indicazioni di sicurezza per applicare l'autenticazione avanzata. Se si usa Azure AD per gestire l'accesso ad AWS, fare riferimento ad Azure Guidance for this control (Linee guida di Azure per questo controllo).

Nota: per le applicazioni di terze parti e i servizi AWS che possono avere ID e password predefiniti, è necessario disabilitarli o modificarli durante la configurazione iniziale del servizio.

Implementazione di AWS e contesto aggiuntivo:

• Uso dell'autenticazione a più fattori (MFA) in AWS
• Metodi MFA supportati da IAM

Indicazioni per GCP: Google Cloud Identity supporta controlli di autenticazione avanzata tramite l'autenticazione a più fattori (MFA). L'autenticazione a più fattori può essere applicata a tutti gli utenti, selezionare gli utenti o a livello di utente in base alle condizioni definite. Per proteggere gli account amministratore con privilegi avanzati di identità cloud (e area di lavoro), prendere in considerazione l'uso delle chiavi di sicurezza e del programma Google Advanced Protection per la massima sicurezza.

Se si usano account aziendali da una directory di terze parti (ad esempio Windows Active Directory) con le identità di Google Cloud, seguire le rispettive indicazioni di sicurezza per applicare l'autenticazione avanzata. Fare riferimento ad Azure Guidance per questo controllo se si usa Azure AD per gestire l'accesso a Google Cloud.

Usare Identity-Aware Proxy per stabilire un livello di autorizzazione centrale per le applicazioni a cui si accede tramite HTTPS, in modo da poter usare un modello di controllo di accesso a livello di applicazione anziché basarsi su firewall a livello di rete.

Nota: per le applicazioni di terze parti e i servizi GCP con ID e password predefiniti, è consigliabile disabilitarli o modificarli durante la configurazione iniziale del servizio.

Implementazione di GCP e contesto aggiuntivo:

• Applicare l'autenticazione a più fattori uniforme alle risorse di proprietà dell'azienda
• Programma di protezione avanzata di Google
• Panoramica del proxyIdentity-Aware

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• Architettura di sicurezza
• di gestione delle chiavi e delle identità
• Sicurezza delle applicazioni e DevSecOps

IM-7: Limitare l'accesso alle risorse in base alle condizioni

Principio di sicurezza: convalidare in modo esplicito i segnali attendibili per consentire o negare l'accesso utente alle risorse, come parte di un modello di accesso zero-trust. I segnali da convalidare devono includere l'autenticazione avanzata dell'account utente, l'analisi comportamentale dell'account utente, l'attendibilità dei dispositivi, l'appartenenza a utenti o gruppi, le posizioni e così via.

Indicazioni su Azure: usare l'accesso condizionale di Azure AD per controlli di accesso più granulari in base a condizioni definite dall'utente, ad esempio richiedere l'accesso utente da determinati intervalli IP (o dispositivi) per l'uso dell'autenticazione a più fattori. L'accesso condizionale di Azure AD consente di applicare controlli di accesso alle app dell'organizzazione in base a determinate condizioni.

Definire le condizioni e i criteri applicabili per l'accesso condizionale di Azure AD nel carico di lavoro. Considerare i casi d'uso comuni seguenti:

• Obbligo di usare l'autenticazione a più fattori per gli utenti con ruoli amministrativi
• Richiesta dell'autenticazione a più fattori per le attività di gestione di Azure
• Blocco degli accessi per gli utenti che tentano di usare protocolli di autenticazione legacy
• Richiesta di posizioni attendibili per la registrazione alla Multi-Factor Authentication di Azure AD
• Blocco o concessione dell'accesso da posizioni specifiche
• Blocco dei comportamenti di accesso rischiosi
• Richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche

Nota: i controlli di gestione granulare delle sessioni di autenticazione possono essere implementati anche tramite i criteri di accesso condizionale di Azure AD, ad esempio la frequenza di accesso e la sessione del browser persistente.

Implementazione di Azure e contesto aggiuntivo:

• Panoramica dell'accesso condizionale di Azure
• Criteri di accesso condizionale comuni
• Informazioni dettagliate e report per l'accesso condizionale
• Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale

Indicazioni su AWS: creare criteri IAM e definire condizioni per controlli di accesso più granulari in base alle condizioni definite dall'utente, ad esempio richiedere l'accesso utente da determinati intervalli IP (o dispositivi) per l'uso dell'autenticazione a più fattori. Le impostazioni delle condizioni possono includere singole o più condizioni, nonché le logiche.

I criteri possono essere definiti da sei dimensioni diverse: criteri basati su identità, criteri basati sulle risorse, limiti delle autorizzazioni, criteri di controllo dei servizi delle organizzazioni AWS (SCP), elenchi di controllo di accesso (ACL) e criteri di sessione.

Implementazione di AWS e contesto aggiuntivo:

• Criteri e autorizzazioni in IAM
• Tabella delle condizioni chiave

Indicazioni per GCP: creare e definire condizioni IAM per controlli di accesso più granulari basati su attributi in base a condizioni definite dall'utente, ad esempio richiedere l'accesso utente da determinati intervalli IP (o dispositivi) per l'uso dell'autenticazione a più fattori. Le impostazioni delle condizioni possono includere una o più condizioni, nonché la logica.

Le condizioni vengono specificate nelle associazioni di ruolo dei criteri di autorizzazione di una risorsa. Gli attributi della condizione sono basati sulla risorsa richiesta, ad esempio il tipo o il nome, o i dettagli sulla richiesta, ad esempio il timestamp o l'indirizzo IP di destinazione.

Implementazione di GCP e contesto aggiuntivo:

• Panoramica delle condizioni IAM

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• di gestione delle chiavi e delle identità
• Sicurezza delle applicazioni e DevSecOps
• di gestione della postura
• Intelligence sulle minacce

IM-8: limitare l'esposizione di credenziali e segreti

Principio di sicurezza: assicurarsi che gli sviluppatori di applicazioni gestiscono in modo sicuro le credenziali e i segreti:

• Evitare di incorporare le credenziali e i segreti nei file di codice e configurazione
• Usare l'insieme di credenziali delle chiavi o un servizio di archiviazione chiavi sicuro per archiviare le credenziali e i segreti
• Cercare le credenziali nel codice sorgente.

Nota: questo comportamento viene spesso regolato e applicato tramite un ciclo di vita di sviluppo software sicuro (SDLC) e un processo di sicurezza DevOps.

Indicazioni su Azure: quando si usa un'identità gestita non è un'opzione, assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli nei file di codice e configurazione.

Se si usa Azure DevOps e GitHub per la piattaforma di gestione del codice:

• Implementare Lo scanner di credenziali di Azure DevOps per identificare le credenziali all'interno del codice.
• Per GitHub, usare la funzionalità di analisi dei segreti nativa per identificare le credenziali o altri segreti all'interno del codice.

I client, ad esempio Funzioni di Azure, i servizi di App di Azure e le macchine virtuali, possono usare identità gestite per accedere in modo sicuro ad Azure Key Vault. Per la gestione dei segreti, vedere Controlli di protezione dei dati correlati all'uso di Azure Key Vault.

Nota: Azure Key Vault fornisce la rotazione automatica per i servizi supportati. Per i segreti che non possono essere ruotati automaticamente, assicurarsi che vengano ruotati periodicamente e eliminati manualmente quando non sono più in uso.

Implementazione di Azure e contesto aggiuntivo:

• Come configurare lo scanner di credenziali
• Analisi dei segreti di GitHub

Indicazioni su AWS: quando si usa un ruolo IAM per l'accesso alle applicazioni non è un'opzione, assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio AWS Secret Manager o System Manager Parameter Store, anziché incorporarli nei file di codice e configurazione.

Usare CodeGuru Reviewer per l'analisi statica del codice che consente di rilevare i segreti hardcoded nel codice sorgente.

Se si usa Azure DevOps e GitHub per la piattaforma di gestione del codice:

• Implementare Lo scanner di credenziali di Azure DevOps per identificare le credenziali all'interno del codice.
• Per GitHub, usare la funzionalità di analisi dei segreti nativa per identificare le credenziali o altre forme di segreti all'interno del codice.

Nota: Secrets Manager fornisce la rotazione automatica dei segreti per i servizi supportati. Per i segreti che non possono essere ruotati automaticamente, assicurarsi che vengano ruotati periodicamente e eliminati manualmente quando non sono più in uso.

Implementazione di AWS e contesto aggiuntivo:

• Ruoli AWS IAM in EC2
• Servizi integrati di AWS Secrets Manager
• di rilevamento dei segreti del revisore CodeGuru

Indicazioni per GCP: quando si usa un account del servizio gestito da Google per l'accesso alle applicazioni non è un'opzione, assicurarsi che i segreti e le credenziali vengano archiviati in posizioni sicure, ad esempio Google Cloud's Secret Manager anziché incorporarli nei file di codice e configurazione.

Usare l'estensione Google Cloud Code nell'ambiente di sviluppo integrato (IDE) come Visual Studio Code per integrare i segreti gestiti da Secret Manager nel codice.

Se si usa Azure DevOps o GitHub per la piattaforma di gestione del codice:

• Implementare Lo scanner di credenziali di Azure DevOps per identificare le credenziali all'interno del codice.
• Per GitHub, usare la funzionalità di analisi dei segreti nativa per identificare le credenziali o altre forme di segreti all'interno del codice.

Nota: configurare le pianificazioni di rotazione per i segreti archiviati in Secret Manager come procedura consigliata.

Implementazione di GCP e contesto aggiuntivo:

• procedure consigliate per Secret Manager
• Funzionalità di Cloud Code per VS Code

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• Sicurezza delle applicazioni e DevSecOps
• di gestione della postura

IM-9: Proteggere l'accesso utente alle applicazioni esistenti

Principio di sicurezza: in un ambiente ibrido, in cui sono disponibili applicazioni locali o applicazioni cloud non native che usano l'autenticazione legacy, prendere in considerazione soluzioni come CASB (Cloud Access Security Broker), proxy dell'applicazione, Single Sign-On (SSO) per gestire l'accesso a queste applicazioni per i vantaggi seguenti:

• Applicare un'autenticazione avanzata centralizzata
• Monitorare e controllare le attività rischiose degli utenti finali
• Monitorare e correggere le attività delle applicazioni legacy rischiose
• Rilevare e impedire la trasmissione di dati sensibili
  

Linee guida di Azure: proteggere le applicazioni cloud locali e non native usando l'autenticazione legacy connettendole a:

• Azure AD Application Proxy e configurare l'autenticazione basata su intestazione per consentire l'accesso con autenticazione unica (SSO) alle applicazioni per gli utenti remoti, convalidando in modo esplicito l'attendibilità sia degli utenti che dei dispositivi remoti con l'accesso condizionale di Azure AD. Se necessario, usare una soluzione perimetrale Software-Defined (SDP) di terze parti che può offrire funzionalità simili.
• Microsoft Defender for Cloud Apps, che serve un servizio CASB (Cloud Access Security Broker) per monitorare e bloccare l'accesso degli utenti alle applicazioni SaaS di terze parti non approvate.
• I controller e le reti esistenti per la distribuzione di applicazioni di terze parti.

Nota: le VPN vengono comunemente usate per accedere alle applicazioni legacy e spesso hanno solo il controllo di accesso di base e il monitoraggio limitato delle sessioni.

Implementazione di Azure e contesto aggiuntivo:

• Azure AD Application Proxy
• Procedure consigliate per Microsoft Cloud App Security
• Accesso ibrido sicuro di Azure AD

Indicazioni su AWS: seguire le linee guida di Azure per proteggere le applicazioni cloud locali e non native usando l'autenticazione legacy connettendole a:

• Azure AD Application Proxy e configurare l'intestazione per consentire l'accesso Single Sign-On (SSO) alle applicazioni per gli utenti remoti, convalidando in modo esplicito l'attendibilità di utenti e dispositivi remoti con l'accesso condizionale di Azure AD. Se necessario, usare una soluzione perimetrale Software-Defined (SDP) di terze parti che può offrire funzionalità simili.
• Microsoft Defender for Cloud Apps, che funge da servizio CASB (Cloud Access Security Broker) per monitorare e bloccare l'accesso degli utenti alle applicazioni SaaS di terze parti non approvate.
• Le tue reti e controller esistenti per la consegna di applicazioni di terze parti

Nota: le VPN vengono comunemente usate per accedere alle applicazioni legacy e spesso hanno solo il controllo di accesso di base e il monitoraggio limitato delle sessioni.

Implementazione di AWS e contesto aggiuntivo:

• Soluzioni proxy di applicazione di AWS Marketplace
• Soluzioni CASB di AWS Marketplace

Indicazioni per GCP: usare Google Cloud Identity-Aware Proxy (IAP) per gestire l'accesso alle applicazioni basate su HTTP all'esterno di Google Cloud, incluse le applicazioni locali. IAP funziona utilizzando intestazioni firmate o l'API Users all'interno di un ambiente standard di App Engine. Se necessario, usare una soluzione di terze parti Software-Defined Perimeter (SDP) che può offrire funzionalità simili.

È anche possibile usare Microsoft Defender for Cloud Apps che funge da servizio CASB (Cloud Access Security Broker) per monitorare e bloccare l'accesso utente alle applicazioni SaaS di terze parti non approvate.

Nota: le VPN vengono comunemente usate per accedere alle applicazioni legacy e spesso hanno solo il controllo di accesso di base e il monitoraggio limitato delle sessioni.

Implementazione di GCP e contesto aggiuntivo:

• Panoramica di IAP per le app locali

• Connessione sicura alle istanze di macchine virtuali

• Panoramica della VPN cloud

• Come Defender for Cloud Apps consente di proteggere l'ambiente Google Workspace

Portatori di interessi della sicurezza dei clienti (Altre informazioni):

• Architettura di sicurezza
• Sicurezza dell'infrastruttura e degli endpoint
• Sicurezza delle applicazioni e DevSecOps