Nicola Ferrini

Microsoft Entra – Protezione di identità e accessi

Visualizzazioni: 2.201

Microsoft Entra è il nuovo set di soluzioni che comprende tutte le funzionalità di verifica e di gestione dell’identità. La famiglia Entra comprende il servizio di autenticazione basato su Azure Active Directory e due nuove categorie di prodotti: Cloud Infrastructure Entitlement Management (CIEM) e Decentralized Identity, pensate per proteggere in modo moderno l’autenticazione, dal momento che il furto di credenziali è l’obiettivo primario degli attaccanti oltre che essere, in percentuale, il vettore d’attacco più utilizzato (81% dei casi a livello globale).

In un mondo sempre più digitalizzato e connesso, le minacce alla sicurezza di dati personali e aziendali sono aumentate esponenzialmente. Di conseguenza, è diventato fondamentale – e sempre più impegnativo – per le aziende gestirne i rischi associati. Le aziende devono infatti poter essere in grado di garantire la sicurezza di ogni cliente, partner e dipendente, soprattutto quando si tratta di sistemi, piattaforme, applicazioni e dispositivi al di fuori dall’ecosistema aziendale.

Tanto ne ho parlato nei miei articoli e durante le conferenze tenute negli ultimi anni. Vi invito a dare un’occhiata alla sezione Sicurezza – ICT Power dove troverete diverse guide e le registrazioni delle sessioni della #POWERCON dedicate alla cybersecurity.

Per poter affrontare questo scenario, Microsoft ha lavorato per rinforzare le soluzioni di verifica e protezione dell’identità dando vita a un modello flessibile, agile e trusted per ogni attore dell’ecosistema digitale.

Microsoft Entra è in grado di verificare tutti i tipi di identità e di proteggere e gestire il loro accesso alle risorse. Tra le funzionalità di Entra vi segnalo:

  • Protezione dell’accesso verso qualsiasi applicazione o risorsa per qualsiasi utente
  • Protezione e verifica dell’identità in ambienti ibridi e multicloud
  • Verifica e gestione delle autorizzazioni in ambienti multicloud
  • Semplificazione dell’esperienza utente con la possibilità di definire regole di accesso intelligenti in tempo reale

Le soluzioni di Microsoft Entra comprendono:

  • Microsoft Azure Active Directory (AAD), come servizio di autenticazione, farà parte delle soluzioni Microsoft Entra con tutte le sue funzionalità, tra cui Conditional Access e l’autenticazione senza passwordAzure AD External Identities continuerà a essere la soluzione di identità per clienti e partner.
  • Microsoft Entra Permissions Management è la soluzione che fornisce visibilità completa delle autorizzazioni per tutte le identità, sia a livello utente che applicativo, in ambienti multicloud. Permissions Management aiuta a rilevare, quantificare e monitorare le autorizzazioni inutilizzate ed eccessive e riduce il rischio di violazione dei dati applicando il principio del minimo privilegio in ambianti basati su Microsoft Azure, Amazon Web Services e Google Cloud Platform. Permissions Management è un’offerta standalone e sarà integrata nella dashboard di Defender for Cloud.
  • Microsoft Entra Verified ID implementa gli standard che rendono possibile un’identità mobile e autonoma. Verified ID rappresenta l’impegno di Microsoft per un futuro basato sul concetto di identità decentralizzata, aperta, affidabile, interoperabile e basata su standard per individui e organizzazioni, consentendo a tutti gli attori di decidere quali informazioni condividere, quando condividerle, con chi condividerle e, quando necessario, revocarle. Microsoft Entra Verified ID sarà disponibile all’inizio di agosto.
  • Identity Governance è pensato per ottimizzare i processi di governance dell’identità per dipendenti e partner. Identity Governance punta a semplificare i processi di onboarding e offboarding degli utenti, automatizzando l’assegnazione e la gestione dei diritti di accesso, nonché il monitoraggio e la tracciabilità degli accessi, man mano che gli attributi degli utenti cambiano.

Figura 1: Console di gestione di Microsoft Entra

Cliccando sul nodo Azure Active Directory potrete visualizzare le informazioni relative al vostro tenant.

Figura 2: Schermata di gestione di Azure AD dal portale amministrativo di Microsoft Entra

Microsoft Entra Permissions Management aiuta a rilevare, quantificare e monitorare le autorizzazioni inutilizzate ed eccessive e riduce il rischio di violazione dei dati applicando il principio del minimo privilegio in ambianti basati su Microsoft Azure, Amazon Web Services e Google Cloud Platform. Per poter cominciare ad utilizzarla è necessario attivare la trial o acquistare le apposite licenze.

Figura 3: Accesso a Microsoft Entra Permission Management dal portale amministrativo di Microsoft Entra

Figura 4: Attivazione della trial di Microsoft Entra Permission Management

Come funzionano le credenziali verificabili?

Ogni credenziale verificabile è un contenitore firmato di dati sull’identità di una fonte autorevole (autorità di certificazione) che un individuo o un’entità (utente) può scegliere di condividere con un’altra entità (autorità di verifica).

Il diagramma sotto illustra la partecipazione di tre parti in un’interazione con credenziali verificabili. Questa soluzione automatizza la verifica di richieste e credenziali di identità.

  • L’autorità di verifica è un’organizzazione che richiede un’attestazione e, una volta ricevuta, la verifica rispetto ai requisiti necessari per le credenziali.
  • L’utente riceve e approva la richiesta di credenziali ottenuta dall’autorità di certificazione e la presenta all’autorità di verifica. Le richieste di credenziali sono firmate crittograficamente con la chiave privata dell’utente.
  • L’autorità di certificazione è un’organizzazione che attesta le richieste e concede all’utente credenziali con firma digitale.

Vi invito a leggere l’articolo Introduzione alle Verifiable Credentials | Self Sovereign Identity che spiega nel dettaglio e con ottimi esempi pratici il vantaggio dell’utilizzo delle Verifiable Credentials.

Figura 5: Principio di funzionamento delle Credenziali verificabili

Per la configurazione del tenant per l’utilizzo di Azure AD Verifiable Credentials (preview) è necessario assicurarsi di disporre dell’autorizzazione di Global Administrator per la directory che si vuole configurare e avere un’istanza di Azure Key Vault dove conservare le chiavi.

Per la creazione dell’Azure Key Vault e per la configurazione dell’Access Policy fate riferimento alla pagina Tutorial – Configure your tenant for Azure AD Verifiable Credentials (preview) – Microsoft Entra | Microsoft Docs

Figura 6: Azure key Vault e permission necessarie per la gestione delle chiavi utilizzate da Microsoft Entra Verified ID

Figura 7: Gestione di Microsoft Entra Verified ID

Figura 8: Configurazione dell’organizzazione per l’utilizzo di Microsoft Entra Verified ID

Seguite le indicazioni del portale per poter effettuare la verifica e la registrazione della propria organizzazione per l’utilizzo di Microsoft Entra Verified ID.

Figura 9: Registrazione del Decentralized ID in Microsoft Entra Verified ID

Scaricate il file .SON e copiatelo nel percorso indicato nel portale di Microsoft Entra.

Figura 10: Registrazione del Decentralized ID

Figura 11: Registrazione del Decentralized ID effettuata con successo

Procedete a questo punto con la verifica del possesso del dominio da utilizzare con Microsoft Entra Verified ID.

Figura 12: Verifica del possesso del dominio da registrare con Microsoft Entra Verified ID

Figura 13: Verifica del dominio completata con successo

Nel portale di Microsoft Entra potrete vedere che sia la registrazione del Decentrialized ID che la verifica del possesso del dominio sono state completate con successo.

Figura 14: Sia la registrazione del Decentrialized ID che la verifica del possesso del dominio sono state completate con successo

A questo punto siete pronti per creare la vostra prima credenziale verificata dal portale di Microsoft Entra.

Figura 15: Pagina di Overview di Microsoft Entra Verified ID

Figura 16: Creazione di una credenziale verificata dal portale di Microsoft Entra

Figura 17: Inserimento delle informazioni richieste per la creazione di una credenziale verificata dal portale di Microsoft Entra

Conclusioni

La gestione e la sicurezza delle identità sono il nuovo campo di battaglia. Esiste una pericolosa discrepanza tra i protocolli di sicurezza della maggior parte delle organizzazioni e le minacce che devono affrontare. Sebbene gli aggressori cerchino di farsi strada con la forza nelle reti, la loro tattica preferita è più semplice: indovinare password di accesso deboli. Le misure di base come l’autenticazione a più fattori sono efficaci contro il 98% degli attacchi, ma solo il 20% delle organizzazioni le utilizza pienamente (rapporto Microsoft Digital Defense, ottobre 2021).

Microsoft Entra è una famiglia integrata di soluzioni di identità e accesso multicloud per proteggere l’accesso al mondo connesso e che permette di gestire in maniera centralizzata la protezione delle identità.