Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'azienda moderna ha un'incredibile diversità di endpoint che accedono ai dati. Non tutti gli endpoint sono gestiti o di proprietà dell'organizzazione, causando configurazioni dei dispositivi e livelli di patch software diversi. Ciò crea una superficie di attacco massiccia e, se non risolto, l'accesso dei dati di lavoro da endpoint non attendibili può diventare facilmente il collegamento più debole nella strategia di sicurezza Zero Trust. (Scaricare il modello di maturità Zero Trust: Zero_Trust_Vision_Paper_Final 10.28.pdf.)
Zero Trust rispetta il principio "Non fidarsi mai, verificare sempre". In termini di endpoint, ciò significa sempre verificare tutti gli endpoint. Ciò include non solo i dispositivi di terzisti, partner e utenti guest, ma anche le app e i dispositivi usati dai dipendenti per accedere ai dati aziendali, indipendentemente da chi è il proprietario.
In un approccio Zero Trust, gli stessi criteri di sicurezza vengono applicati indipendentemente dal fatto che il dispositivo sia di proprietà dell'azienda o di proprietà personale tramite bring your own device (BYOD); indipendentemente dal fatto che il dispositivo sia completamente gestito dall'IT o solo le app e i dati siano protetti. I criteri si applicano a tutti gli endpoint, che siano PC, Mac, smartphone, tablet, indossabili o dispositivi IoT, ovunque siano connessi, sia alla rete aziendale sicura, alla banda larga a casa o a Internet pubblico. Soprattutto, l'integrità e l'affidabilità delle app eseguite su tali endpoint influiscono sul comportamento di sicurezza. È necessario impedire la perdita di dati aziendali ad app o servizi non attendibili o sconosciuti, accidentalmente o tramite finalità dannose.
Esistono alcune regole chiave per proteggere i dispositivi e gli endpoint in un modello Zero Trust: I criteri di sicurezza Zero Trust vengono applicati centralmente tramite il cloud e coprono la sicurezza degli endpoint, la configurazione dei dispositivi, la protezione delle app, la conformità dei dispositivi e il comportamento di rischio.
- La piattaforma e le app eseguite nei dispositivi vengono sottoposte a provisioning sicuro, configurate correttamente e mantenute aggiornate.
- È disponibile una risposta automatica e richiesta di contenere l'accesso ai dati aziendali all'interno delle app in caso di compromissione della sicurezza.
- Il sistema di controllo di accesso garantisce che tutti i controlli dei criteri siano attivi prima dell'accesso ai dati.
Obiettivi di distribuzione Zero Trust per la protezione degli endpoint
Prima che la maggior parte delle organizzazioni inizi il percorso Zero Trust, la sicurezza degli endpoint viene configurata come segue:
- Gli endpoint sono aggiunti a un dominio e gestiti con soluzioni come Oggetti Criteri di gruppo o Configuration Manager. Queste sono ottime opzioni, ma non sfruttano i provider di servizi di configurazione di Windows (CSP) moderni o richiedono un'appliance gateway di gestione cloud separata per i dispositivi basati sul cloud.
- Gli endpoint devono trovarsi in una rete aziendale per accedere ai dati. Ciò potrebbe significare che i dispositivi devono essere fisicamente in loco per accedere alla rete aziendale o che richiedono l'accesso VPN, aumentando il rischio che un dispositivo compromesso possa accedere a risorse aziendali sensibili.
Quando si implementa un framework Zero Trust end-to-end per la protezione degli endpoint, è consigliabile concentrarsi innanzitutto sui tre obiettivi di distribuzione iniziali. Al termine, concentrarsi sul quarto obiettivo:
Gli endpoint vengono registrati con i provider dei servizi di identità cloud. Per monitorare la sicurezza e il rischio tra più endpoint usati da una persona, è necessario avere visibilità su tutti i dispositivi e i punti di accesso che potrebbero avere accesso alle risorse. Nei dispositivi registrati è quindi possibile applicare una baseline di sicurezza che fornisce agli utenti anche un metodo biometrico o basato su PIN per l'autenticazione per eliminare la dipendenza dalle password.
L'accesso viene concesso solo a endpoint e app gestiti dal cloud e conformi. Impostare le regole di conformità per assicurarsi che i dispositivi soddisfino i requisiti minimi di sicurezza prima che venga concesso l'accesso. Creare inoltre regole di correzione e notifiche per i dispositivi non conformi in modo che gli utenti sappiano come risolvere i problemi di conformità.
I criteri di prevenzione della perdita dei dati (DLP) vengono applicati per i dispositivi aziendali e BYOD. Controllare quali operazioni può eseguire l'utente con i dati dopo l'accesso. Ad esempio, limitare il salvataggio dei file in percorsi non attendibili (ad esempio un disco locale) o limitare la condivisione di copia e incolla con un'app di comunicazione consumer o un'app di chat per proteggere i dati.
Il rilevamento delle minacce degli endpoint viene usato per monitorare il rischio del dispositivo. Puntare a una soluzione integrata unificata per gestire tutti gli endpoint in modo coerente. Usare una soluzione SIEM (Security Information and Event Management) per instradare i log degli endpoint e le transazioni in modo da ottenere meno avvisi, ma utili.
Come attività finale, esaminare i principi Zero Trust per le reti IoT e operative.
Guida alla distribuzione di Endpoint Zero Trust
Questa guida illustra i passaggi necessari per proteggere i dispositivi seguendo i principi di un framework di sicurezza Zero Trust.
1. Registrare gli endpoint con un provider di identità cloud
Per limitare l'esposizione ai rischi, monitorare gli endpoint per assicurarsi che ognuno abbia un'identità attendibile, vengano applicati i requisiti di sicurezza di base e il livello di rischio per elementi come malware o esfiltrazione di dati è stato misurato, corretto o ritenuto accettabile.
Dopo la registrazione di un dispositivo, gli utenti possono accedere alle risorse limitate dell'organizzazione usando il nome utente e la password aziendali per accedere. Se disponibile, aumentare la sicurezza tramite l'uso di funzionalità come Windows Hello for Business.
Registrare i dispositivi aziendali con Microsoft Entra ID
Fare in modo che i dispositivi Windows utilizzati per accedere ai dati della vostra organizzazione, si uniscano e si registrino con Microsoft Entra ID attraverso uno dei seguenti metodi:
Esperienza predefinita di Windows – Utilizzare l'esperienza predefinita (OOBE) per unire i dispositivi Windows a Microsoft Entra ID semplifica l'impostazione, assicurando che i dispositivi siano immediatamente pronti per l'accesso sicuro alle risorse dell'organizzazione. Per indicazioni, vedere Aggiungere Microsoft Entra a un nuovo dispositivo Windows.
Dispositivi Windows di cui è stato eseguito il provisioning in precedenza : gli utenti di un dispositivo di lavoro Windows con provisioning precedente possono usare l'account aziendale o dell'istituto di istruzione per registrarlo con Microsoft Entra ID. Vedi Aggiungere l'account aziendale o dell'istituto di istruzione a un dispositivo Windows.
Registrare un dispositivo personale : gli utenti possono registrare i propri dispositivi Windows personali con Microsoft Entra ID. Vedi Registrare il dispositivo personale nella rete aziendale o dell'istituto di istruzione.
Per i dispositivi di proprietà dell'azienda è possibile usare i metodi specifici della piattaforma seguenti per effettuare il provisioning di nuovi sistemi operativi e registrare i dispositivi con Microsoft Entra ID:
Windows : Windows Autopilot è una raccolta di tecnologie usate per configurare e preconfigurare nuovi dispositivi, preparandoli per l'uso produttivo. Vedere Panoramica di Windows Autopilot.
iOS/iPadOS : i dispositivi di proprietà dell'azienda acquistati tramite Apple Business Manager o Apple School Manager possono essere registrati in Intune tramite la registrazione automatica dei dispositivi. Vedere Configurare la registrazione automatica dei dispositivi.
Migliorare la sicurezza dell'autenticazione con Windows Hello for Business
Per consentire agli utenti un metodo di accesso alternativo che sostituisce l'uso delle password con l'autenticazione a due fattori avanzata nei dispositivi e applica regole per l'uso di PIN, chiavi di sicurezza per l'accesso e altro ancora, abilitare Windows Hello for Business nei dispositivi Windows degli utenti.
Microsoft Intune supporta due metodi gratuiti per applicare e applicare le impostazioni di Windows Hello for Business:
In fase di registrazione del dispositivo con criteri a livello di tenant : usare questo metodo per applicare un criterio predefinito di Windows Hello for Business a ogni dispositivo Windows quando viene registrato con Intune. Questo criterio consente di garantire che ogni nuovo dispositivo Windows che unisce l'organizzazione venga mantenuto agli stessi standard di configurazione iniziali per i requisiti del PIN, l'autenticazione a due fattori e altro ancora.
Per altre informazioni e indicazioni sulla configurazione, vedere Windows Hello at device enrollment (Registrazione dei dispositivi ) nella documentazione di Intune.
Dopo la registrazione con i profili di protezione account : i profili di protezione degli account consentono di applicare configurazioni specifiche di Windows Hello for Business a gruppi diversi all'interno dell'organizzazione dopo la registrazione con Intune. Se si verifica un conflitto tra il profilo di protezione dell'account e il profilo a livello di tenant, il profilo di protezione dell'account ha la precedenza. In questo modo è possibile apportare modifiche per gruppi diversi in base ai requisiti.
I profili di protezione dell'account di Intune sono un tipo di criterio per la protezione dell'account, che a sua volta è un tipo di criterio di sicurezza degli endpoint di Intune. Per indicazioni sulla configurazione di questo profilo, vedere Creare un criterio di sicurezza degli endpoint e scegliere il tipo di criterio protezione account, seguito dal tipo di profilo protezione account.
2. Limitare l'accesso a endpoint e app gestiti dal cloud e conformi
Con le identità degli endpoint che si uniscono all'organizzazione stabilite e i requisiti di autenticazione migliorati, assicurarsi che tali endpoint soddisfino le aspettative di sicurezza dell'organizzazione prima di essere utilizzati per accedere ai dati e alle risorse dell'organizzazione.
Per controllare l'accesso, usare i criteri di conformità dei dispositivi di Intune, che funzionano con l'accesso condizionale di Microsoft Entra per garantire che solo i dispositivi attualmente conformi ai requisiti di sicurezza possano essere usati dagli utenti autenticati per accedere alle risorse. Una parte importante dei criteri di conformità sono le notifiche e le regole di correzione che consentono agli utenti di ripristinare la conformità di un dispositivo non conforme.
Creare criteri di conformità con Microsoft Intune
Microsoft Intune criteri di conformità sono set di regole e condizioni usati per valutare la configurazione dei dispositivi gestiti. Questi criteri consentono di proteggere i dati e le risorse dell'organizzazione da dispositivi che non soddisfano tali requisiti di configurazione. I dispositivi gestiti devono soddisfare le condizioni impostate nei criteri per essere considerati conformi da Intune.
La conformità dei dispositivi di Intune include due parti che interagiscono tra loro:
Le impostazioni dei criteri di conformità sono un singolo set di configurazioni che applicano a livello di tenant per fornire criteri di conformità predefiniti ricevuti da ogni dispositivo. Le impostazioni dei criteri di conformità stabiliscono il funzionamento dei criteri di conformità nell'ambiente, inclusa la modalità di gestione dei dispositivi a cui non sono assegnati criteri di conformità espliciti.
Per configurare queste impostazioni a livello di tenant, vedere Impostazioni dei criteri di conformità.
I criteri di conformità dei dispositivi sono set discreti di regole e impostazioni specifiche della piattaforma distribuite in gruppi di utenti o dispositivi. I dispositivi valutano le regole nella policy per segnalare lo stato di conformità. Uno stato non conforme può comportare una o più azioni per la mancata conformità. Microsoft Entra i criteri di accesso condizionale possono anche usare tale stato per bloccare l'accesso alle risorse dell'organizzazione da tale dispositivo.
Per configurare i gruppi con i criteri di conformità dei dispositivi, vedere Creare criteri di conformità in Microsoft Intune. Per esempi di aumento dei livelli di configurazione di conformità che è possibile usare, vedere Piano di Intune per i criteri di conformità.
Stabilire azioni e notifiche rivolte agli utenti per i dispositivi non conformi
Ogni criterio di conformità di Intune include Azioni per la mancata conformità. Le azioni si applicano quando un dispositivo non riesce a soddisfare la configurazione dei criteri di conformità assegnati. Sia Intune che Accesso Condizionale leggono lo stato di un dispositivo per determinare eventuali passaggi aggiuntivi configurabili o per bloccare l'accesso alle risorse dell'organizzazione da tale dispositivo fintanto che rimane non conforme.
Configuri le azioni per la non conformità come parte di ogni criterio di conformità del dispositivo che crei.
Le azioni per la non conformità includono, ad esempio, le opzioni seguenti, con opzioni diverse disponibili per piattaforme diverse:
- Contrassegnare il dispositivo come non conforme
- Inviare un messaggio di posta elettronica preconfigurato all'utente del dispositivo
- Bloccare in remoto il dispositivo
- Inviare una notifica push preconfigurata all'utente
Per informazioni sulle azioni disponibili, su come aggiungerle ai criteri e su come preconfigurare messaggi di posta elettronica e notifiche, vedere Configurare le azioni per i dispositivi non conformi in Intune.
3. Distribuire criteri che applicano la prevenzione della perdita dei dati (DLP) per i dispositivi aziendali e BYOD
Una volta concesso l'accesso ai dati, si vuole controllare le operazioni che l'utente può eseguire con i dati e come vengono archiviati. Ad esempio, se un utente accede a un documento con la propria identità aziendale, si vuole impedire che il documento venga salvato in un percorso di archiviazione consumer non protetto o che venga condiviso con una comunicazione utente o un'app di chat.
Applicare le impostazioni di sicurezza consigliate
Le baseline di sicurezza consentono di stabilire una baseline ampia e coerente di configurazioni sicure che consentono di proteggere utenti, dispositivi e dati. Le baseline di sicurezza di Intune sono gruppi preconfigurati di impostazioni di Windows che consentono di applicare un gruppo noto di impostazioni e valori predefiniti consigliati dai team di sicurezza pertinenti. È possibile usare queste linee di base con le configurazioni predefinite o modificarle per creare istanze personalizzate che soddisfino le diverse esigenze di gruppi diversi nell'organizzazione.
Vedere Usare le baseline di sicurezza per proteggere i dispositivi Windows gestiti con Microsoft Intune.
Distribuire automaticamente gli aggiornamenti agli endpoint
Per mantenere i dispositivi gestiti in conformità alle minacce alla sicurezza in continua evoluzione, usare i criteri di Intune che possono automatizzare le distribuzioni degli aggiornamenti:
Aggiornamenti di Windows per le aziende : è possibile usare i criteri di Intune per Gli aggiornamenti di Windows per le aziende per installare automaticamente gli aggiornamenti di Windows nei dispositivi. I criteri possono automatizzare l'installazione degli aggiornamenti e il tipo di aggiornamenti, tra cui la versione di Windows, gli aggiornamenti della sicurezza più recenti e i nuovi driver. Per iniziare, vedere Gestire gli aggiornamenti software di Windows 10 e Windows 11 in Intune.
Aggiornamenti di Android Enterprise : Intune supporta gli aggiornamenti automatici over-the-air per il sistema operativo e il firmware per i dispositivi Zebra Android tramite un'integrazione partner.
iOS/iPadOS : i criteri di Intune possono installare automaticamente gli aggiornamenti nei dispositivi iOS/iPad registrati come dispositivo supervisionato tramite una delle opzioni di Registrazione automatica dei dispositivi di Apple. Per configurare un criterio di aggiornamento iOS, vedere Gestire i criteri di aggiornamento software iOS/iPadOS in Intune.
Crittografare dispositivi
Usare le opzioni specifiche della piattaforma seguenti per crittografare i dati aziendali inattivi nei dispositivi:
MacOS : per configurare la crittografia completa del disco in macOS, usare la crittografia del disco FileVault per macOS con Intune.
Windows : per i dispositivi Windows, gestire i criteri di crittografia dei dischi per i dispositivi Windows con Intune. I criteri di Intune possono applicare BitLocker per volumi e dischi e crittografia dei dati personali che fornisce funzionalità di crittografia dei dati basate su file collegate alle credenziali dell'utente.
Proteggere i dati aziendali a livello di app con i criteri di protezione delle applicazioni
Per proteggere i dati aziendali all'interno delle app gestite, usare i criteri di protezione delle app di Intune. I criteri di protezione delle app di Intune consentono di proteggere i dati dell'organizzazione controllando come accedervi e condividere. Questi criteri, ad esempio, possono impedire agli utenti di copiare e incollare i dati aziendali nelle app personali o richiedere un PIN per accedere alla posta elettronica aziendale.
Per iniziare a creare e usare questi criteri, vedere Come creare e assegnare criteri di protezione delle app. Per alcuni esempi di tre livelli crescenti di configurazioni di sicurezza che è possibile usare, vedere Framework di protezione dei dati di Intune per i criteri di protezione delle app.
Monitorare il rischio associato ai dispositivi con il rilevamento delle minacce agli endpoint
Dopo aver raggiunto i primi tre obiettivi, configurare la sicurezza degli endpoint nei dispositivi e iniziare a monitorare le minacce emergenti in modo da poterli correggere prima che diventino un problema più grande.
Di seguito sono riportate alcune delle soluzioni Microsoft che è possibile usare e combinare:
Microsoft Defender con Microsoft Intune : quando si integra Microsoft Defender per endpoint con Intune, è possibile usare l'interfaccia di amministrazione di Intune per configurare Defender per endpoint nei dispositivi gestiti da Intune, visualizzare i dati sulle minacce e le raccomandazioni di Defender e quindi intervenire per correggere tali problemi. È anche possibile usare lo scenario di gestione delle impostazioni di sicurezza di Defender per endpoint che consente l'uso dei criteri di Intune per gestire le configurazioni per Defender nei dispositivi non registrati con Intune.
Microsoft Sentinel : Microsoft Sentinel è una soluzione SIEM (Security Information and Event Management) nativa del cloud che consente di individuare e rispondere rapidamente a minacce sofisticate.
Con il data warehouse di Intune è possibile inviare dati di gestione di dispositivi e app agli strumenti di creazione di report per il filtro intelligente degli avvisi per ridurre il rumore. Le opzioni includono, ad esempio, la connessione al data warehouse con Power BI e l'uso di soluzioni SIEM tramite l'uso di un client personalizzato OData.
Zero Trust e le reti OT
Microsoft Defender per IoT è una soluzione di sicurezza unificata creata in modo specifico per identificare dispositivi, vulnerabilità e minacce tra reti IoT e tecnologie operative (OT). Usare Defender per IoT per applicare la sicurezza nell'intero ambiente IoT/OT, inclusi i dispositivi esistenti che potrebbero non avere agenti di sicurezza predefiniti.
Le reti OT spesso differiscono dall'infrastruttura IT tradizionale e richiedono un approccio specializzato a Zero Trust. I sistemi OT usano tecnologie uniche con protocolli proprietari e possono includere piattaforme obsolete con connettività e potenza limitate, requisiti di sicurezza specifici ed esposizione univoca agli attacchi fisici.
Defender per IoT supporta i principi Zero Trust risolvendo le sfide specifiche di OT, ad esempio:
- Consente di controllare le connessioni remote nei sistemi OT.
- Revisione e supporto per ridurre le interconnessioni tra i sistemi dipendenti.
- Individuazione di singoli punti di errore nella rete.
Distribuire sensori di rete defender per IoT per rilevare i dispositivi e il traffico e controllare le vulnerabilità specifiche di OT. Segmentare i sensori in siti e zone attraverso la rete per monitorare il traffico tra zone e seguire i passaggi di mitigazione basati sui rischi di Defender per IoT per ridurre i rischi nell'ambiente OT. Defender per IoT monitora continuamente i dispositivi per individuare comportamenti anomali o non autorizzati.
Eseguire l'integrazione con servizi Microsoft, ad esempio Microsoft Sentinel e altri servizi partner, inclusi i sistemi SIEM e di ticket, per condividere i dati di Defender per IoT nell'organizzazione.
Per altre informazioni, vedi:
- Zero Trust e le reti OT
- Monitorare le reti OT con i principi Zero Trust
- Analizzare gli eventi imprevisti di Defender per IoT con Microsoft Sentinel
Prodotti trattati in questa guida
Microsoft Azure
Microsoft 365
Microsoft Defender per endpoint
Conclusione
Un approccio Zero Trust può rafforzare significativamente il comportamento di sicurezza dei dispositivi e degli endpoint. Per altre informazioni o assistenza sull'implementazione, contattare il team customer success oppure continuare a leggere gli altri capitoli di questa guida che si estendono su tutti i pilastri zero trust.
Altre informazioni sull'implementazione di una strategia Zero Trust end-to-end per:
Serie di guide alla distribuzione Zero Trust
