Raffaele Valensise

Proteggere Entra ID con Veeam “As A Service” – Parte 2

Visualizzazioni: 412

Nella prima parte di questa serie di articoli (https://www.ictpower.it/sicurezza/proteggere-entra-id-con-veeam-as-a-service-parte-1.htm) abbiamo definito il ruolo critico di Microsoft Entra ID come sistema centrale per la gestione delle identità aziendali in ambienti ibridi e cloud ed abbiamo analizzato perché la protezione delle identità non può essere affidata passivamente al solo fornitore cloud: il modello di “responsabilità condivisa” impone, infatti, all’organizzazione di governare dati, accessi e continuità operativa.

Abbiamo inoltre illustrato le principali minacce (cancellazioni accidentali, configurazioni errate e attività malevole) e presentato Veeam Data Cloud for Microsoft Entra ID come soluzione BaaS per proteggere utenti, gruppi, ruoli, applicazioni, policy di accesso condizionale e log di audit/sign-in.

In questa seconda parte vedremo come ripristinare rapidamente e in modo granulare le risorse di Entra ID, affrontando step by step ogni tipologia di restore: utenti, gruppi, ruoli, applicazioni, policy, log.

Come funziona il processo di Restore

Il processo di Restore degli oggetti Entra ID con Veeam Data Cloud consente di mantenere un elevato livello di controllo e flessibilità, adattandosi alle esigenze del contesto operativo e riducendo il rischio di alterazioni non desiderate degli oggetti Entra ID già presenti nel tenant.

La procedura prevede anzitutto il tentativo di recuperare gli oggetti dal recycle bin di Entra ID, sfruttando le funzionalità native della piattaforma Microsoft: se gli oggetti risultano ancora presenti nel recycle bin, vengono infatti reintrodotti nell’ambiente di produzione senza coinvolgere i dati di backup.

Qualora gli oggetti non siano più disponibili nel recycle bin, Veeam Data Cloud passa automaticamente al “Piano B”: il restore from backup, utilizzando i dati precedentemente acquisiti. In questa fase l’amministratore ha la possibilità di definire il comportamento desiderato nei confronti degli oggetti già esistenti nel tenant:

  • Ripristinare esclusivamente gli oggetti effettivamente eliminati, evitando la sovrascrittura degli oggetti già presenti in produzione, compresi quelli ripristinati dal recycle bin. Gli oggetti ignorati vengono segnalati come “Warning”, in modo da evidenziare che non sono stati modificati.
  • Sostituire gli oggetti già presenti nel tenant con la versione contenuta nel backup, garantendo un ripristino completo e allineato alla situazione “fotografata” al momento del backup stesso.

La selezione tra Skip e Overwrite, così come la scelta di includere o escludere il ripristino dal recycle bin, avviene direttamente nel wizard che ci guida nel processo di ripristino.

Ripristino di utenti

Come detto nel precedente articolo, al termine della configurazione iniziale avremo automaticamente messo sotto protezione oggetti e log. Nel caso in cui occorra ripristinare un utente, quindi, dovremo accedere alla dashboard della soluzione, selezionare il tenant di interesse e, nel pannello di sinistra, fare clic su Objects.

Nella pagina Objects, sezione Users, identificare l’utente, eventualmente utilizzando la comoda barra di ricerca.

Selezionare l’utente e, per confrontare proprietà fra produzione e punti di ripristino ed eseguire un restore a livello di proprietà, fare clic su Compare & Restore.

Nella pagina Compare:

  • Scegliere il restore point da cui ripristinare i dati:
    • Per individuare un restore point nel calendario dei punti di ripristino, fare clic sul campo Restore point.
    • Per modificare il restore point selezionato, utilizzare i link Previous e Next.
    • Per selezionare l’ultimo restore point disponibile, fare clic su Jump to latest.
  • Per impostazione predefinita, l’elenco delle proprietà mostra solo quelle che hanno subito modifiche.
    Per visualizzare tutte le proprietà, impostare il toggle Show changes only su Off.
  • Nell’elenco delle proprietà, selezionare le proprietà che si desidera ripristinare.
  • Nelle colonne Selected Restore Point Version e Comparison Version è possibile visualizzare i valori delle proprietà in momenti diversi.
    Per impostazione predefinita, la colonna Comparison Version mostra i valori attuali presenti in produzione. Per sostituirli con i valori di un restore point specifico, fare clic su Production e selezionare il restore point desiderato.
  • Fare clic su Next.

Nella pagina Confirmation è possibile specificare una motivazione per l’operazione di restore. Poi fare clic su Restore.

Se invece occorre ripristinare interamente un utente o più utenti in una sola volta, selezionare l’opzione Restore.

Nella pagina Restore Users, se non viene selezionato alcun restore point, Veeam Data Cloud utilizza il restore point valido più recente per ogni utente.
È comunque possibile ripristinare un utente a uno stato precedente e selezionare restore point differenti per utenti diversi.

Per selezionare un restore point:

  • Scegliere gli utenti per i quali si desidera modificare il restore point.
  • Fare clic su Restore Point.
  • Nella finestra Specify Restore Point, scegliere il restore point necessario e fare clic su Apply.

Nota: Se viene selezionato un solo utente, Veeam Data Cloud mostra i restore point disponibili per tale utente, mentre se vengono selezionati più utenti, saranno mostrati tutti i restore point disponibili.

Nella pagina Options è possibile configurare le opzioni di restore, ad esempio come ripristinare gli utenti, come impostare le password degli utenti e così via:

Nella sezione Restore mode, specificare se sovrascrivere gli utenti (Overwrite) o ignorare il restore degli utenti già esistenti (Skip). Se si seleziona l’opzione Overwrite, Veeam Data Cloud aggiornerà i campi presenti nel backup.

Nota: Veeam Data Cloud non aggiorna i campi read-only (ID, data di creazione, eccetera) né i campi non presenti nel backup.

Nella sezione Password, configurare le nuove password per gli utenti ripristinati:

  • Per impostare una password predefinita per tutti gli utenti, specificarla nel campo Set a default password for all users.
  • Per impostare una password per ciascun utente, fare clic su Set unique temporary passwords: è possibile immettere password personalizzate oppure utilizzare una generazione automatica.
    Per esportare l’elenco delle password, fare clic su Export.
  • Per obbligare gli utenti ripristinati a modificare la password al primo accesso, selezionare Request the user to change the password at first logon.
  • Per obbligare gli utenti ripristinati a utilizzare l’autenticazione multifattore (MFA) al primo accesso, selezionare Enforce MFA at first logon.

Nella sezione Advanced options, configurare quanto segue:

  • Nel campo Reason for Restore, inserire una motivazione per il ripristino degli utenti.
  • Per ripristinare le relazioni degli utenti all’interno del tenant corrente, fare clic su Keep Relationships.
    Veeam Data Cloud ripristinerà le seguenti relazioni:
    • Ruoli assegnati,
    • Appartenenze ai gruppi,
    • Proprietà dei gruppi,
    • Appartenenze alle unità amministrative,
    • Proprietà delle applicazioni,
    • Responsabile dell’utente,
    • Riporti diretti.
  • Se è stata selezionata l’opzione Overwrite, Veeam Data Cloud ripristinerà le relazioni presenti nel backup e rimuoverà quelle non presenti nel backup.

Nota: Veeam Data Cloud ripristina solo le relazioni: se un ruolo, gruppo o unità amministrativa non esistono, non verranno creati né ripristinati.

Opzione Restore from Entra ID Recycle Bin:

  • Per ripristinare gli utenti dal recycle bin invece che dal backup, fare clic su Restore from Entra ID Recycle Bin. In questo caso, se gli utenti esistono sia nel recycle bin sia nel backup, verranno ripristinati dal recycle bin e manterranno i loro object ID.
    Gli utenti che non esistono nel recycle bin
    non verranno ripristinati.
  • Per ripristinare gli utenti che non possono essere recuperati dal recycle bin, avviare nuovamente il wizard di restore, selezionare gli utenti necessari e deselezionare la casella Restore from Entra ID Recycle Bin.
    Gli utenti verranno quindi ripristinati dal backup e riceveranno nuovi object ID.

Al termine, fare clic su Next.

Nella pagina Summary, esaminare le informazioni riepilogative e fare clic su Restore.

Nota: Per esportare le nuove password degli utenti in un file CSV, fare clic su Password list. Veeam Data Cloud esporta solo le password specificate nella finestra Set unique temporary passwords.

Ripristino di utenti sincronizzati (Hybrid Identity)

Veeam Data Cloud for Microsoft Entra ID consente di ripristinare utenti sincronizzati con Microsoft Active Directory (hybrid identities). A differenza dei software di sincronizzazione (come Entra Connect, ad esempio), il restore tramite Veeam preserva le relazioni presenti nel tenant Entra ID: ruoli assegnati, appartenenze ai gruppi, licenze, eccetera.

Per informazioni su come procedere: https://helpcenter.veeam.com/docs/vdc/userguide/entra_id_restore_user_sync.html.

Ripristino di gruppi

Se si desidera ripristinare i dati relativi ai gruppi Entra ID, è possibile procedere in due modi:

  • Ripristinare uno o più gruppi da backup o dal recycle bin di Entra ID,
  • Ripristinare una o più proprietà specifiche di un gruppo.

Ripristinare uno o più gruppi

Nella sezione Objects della dashboard, fare clic sulla scheda Groups.

Selezionare uno o più gruppi e fare clic su Restore.

Nella pagina Groups, selezionare i restore point da utilizzare per il restore. Se non viene selezionato alcun restore point, Veeam Data Cloud utilizzerà il restore point valido più recente per ogni gruppo. È possibile ripristinare un gruppo a uno stato precedente e selezionare restore point diversi per gruppi differenti.

Per selezionare un restore point:

  • Selezionare i gruppi per i quali si desidera modificare il restore point.
  • Fare clic su Restore Point.
  • Nella finestra Specify Restore Point, scegliere il restore point necessario e fare clic su Apply.

Le opzioni della pagina Options e della pagina Summary sono analoghe a quelle viste per il ripristino di uno o più utenti.



Ripristinare proprietà di un gruppo

Nella sezione Objects della dashboard, fare clic sulla scheda Groups.

Selezionare un gruppo e fare clic su Compare and Restore Fields.


Nella pagina Compare, selezionare il restore point e le proprietà da ripristinare. È possibile confrontare i valori delle proprietà nel restore point selezionato con i valori in produzione o con quelli di un altro restore point.

Per selezionare un restore point e le proprietà:

  • Scegliere il restore point da cui ripristinare i dati:
    • Per individuare un restore point nel calendario dei restore point, fare clic sul campo Restore point.
    • Per modificare il restore point selezionato, utilizzare i link Previous e Next.
    • Per selezionare l’ultimo restore point disponibile, fare clic su Jump to latest.
  • Per impostazione predefinita, l’elenco delle proprietà mostra solo quelle modificate. Per visualizzare tutte le proprietà, impostare il toggle Show changes only su Off.
  • Nell’elenco delle proprietà, selezionare quelle da ripristinare.
  • Nelle colonne Selected Restore Point Version e Comparison Version è possibile visualizzare i valori delle proprietà in momenti diversi. Per impostazione predefinita, la colonna Comparison Version mostra i valori attuali in produzione. Per confrontarli con i valori di un restore point specifico, fare clic su Production e selezionare il restore point desiderato.

Poi fare clic su Next.

Nella pagina Confirmation, esaminare le informazioni riepilogative e fare clic su Restore.

Nel campo Restore Reason è possibile inserire una motivazione per il restore del gruppo.


Ripristino di altri oggetti

Il ripristino di unità amministrative (Administrative Units), il ripristino dei ruoli (Roles), il ripristino di applicazioni (Applications) e il ripristino delle Conditional Access Policies seguono procedure estremamente simili a quelle già descritte per utenti e gruppi, con la possibilità di selezionare restore point, proprietà e relazioni e di scegliere se sovrascrivere o mantenere gli oggetti esistenti.

Ripristino dei log

Il restore dei log di Entra ID consente di esportare i log di audit e di sign-in:

  • Log di accesso (Sign-in Logs): Forniscono informazioni dettagliate sugli accessi degli utenti e delle applicazioni. Contengono dati come il risultato dell’accesso (riuscito o fallito), l’IP di origine, il dispositivo utilizzato e le informazioni di autenticazione a più fattori.
  • Log di audit (Audit Logs): Tracciano tutte le modifiche alle configurazioni e quelle amministrative effettuate su Entra ID, come la creazione, la modifica o l’eliminazione di utenti, gruppi, ruoli e applicazioni.

Al termine della sessione di restore, Veeam Data Cloud creerà un URL shared access signature (SAS) che può essere utilizzato con il tool gratuito Microsoft Azure Storage Explorer per scaricare i file di log esportati (https://azure.microsoft.com/en-us/products/storage/storage-explorer).

Nella dashboard fare clic su Entra ID Logs e selezionare la scheda Audit Logs o la scheda Sign-in Logs, a seconda del tipo di log da esportare.

Nel campo Select month, specificare il mese in cui sono stati creati i log da esportare.

Nell’elenco dei file di log salvati nel backup, selezionare quelli da esportare e fare clic su Export.

Nella finestra Export Logs, fare clic su Export per avviare la sessione di restore.

Nella dashboard, fare clic su Activity e selezionare la scheda Restore
Sessions per verificare lo stato di avanzamento del processo di export.

Quando l’operazione si è conclusa con successo, fare clic su See details here.

Nella finestra Session Details, fare clic su Copy the Link per ottenere il link SAS utile per scaricare i file di log.

Fare clic su Ok per chiudere la finestra di dialogo.

Avviare il tool Microsoft Azure Storage Explorer (precedentemente scaricato ed installato) e avviare una connessione di tipo Contenitore o directory BLOB.

Specificare il metodo di connessione URL di firma di accesso
condiviso e fare clic su Successivo.

Incollare l’URL SAS e fare clic su Successivo.

Fare clic su Connetti.

Una volta stabilita la connessione con il contenitore Blob, aprire la cartella logs, selezionare i file di ineresse e scaricarli localmente.

Conclusioni

In questa breve serie di articoli abbiamo visto come Veeam Data Cloud for Microsoft Entra ID offra procedure facili ed efficaci per la protezione e il ripristino degli oggetti critici di Entra ID e delle loro singole proprietà: le funzionalità di selezione dei restore point, confronto delle versioni e gestione delle password consentono un controllo granulare durante il restore e l’esportazione dei log di audit e sign-in assicura la possibilità di soddisfare requisiti di monitoraggio e compliance.