Raffaele Valensise

Proteggere Entra ID con Veeam “As A Service” – Parte 1

Visualizzazioni: 520

Entra ID, evoluzione di Azure Active Directory, è una soluzione di gestione delle identità (IAM) sviluppata da Microsoft per semplificare e proteggere l’accesso alle risorse aziendali sia locali che nel cloud.

Nel mio articolo https://www.ictpower.it/sicurezza/proteggere-entra-id-con-veeam-anteprima-parte-i.htm ho introdotto concetti fondamentali e casi d’uso di Entra ID.

Anche in questa occasione vi rimando agli approfondimenti di Nicola Ferrini: https://www.ictpower.it/sicurezza/microsoft-entra-protezione-di-identita-e-accessi.htm e https://www.ictpower.it/guide/azure-ad-diventa-microsoft-entra-id.htm.

Nel precedente articolo avevo presentato la funzionalità di Veeam Backup & Replication dedicata alla protezione di Entra ID, protezione che si rende necessaria per due motivi fondamentali:

  • Lo “Shared Responsibility Model” di Microsoft per le soluzioni Software as a Service (SaaS)
  • I rischi che anche una soluzione cloud può correre

Ecco una breve sintesi delle due motivazioni.

“Shared Responsibility Model” di Microsoft

La protezione di Entra ID, in quanto servizio erogato in modalità SaaS, non è interamente a carico di Microsoft (https://learn.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility):

  • Microsoft gestisce infrastruttura e sicurezza fisica
  • L’organizzazione è responsabile di dati, accessi, configurazioni e continuità operativa

In buona sostanza, queste le responsabilità principali dell’utente finale:

  • Protezione dei dati e privacy: backup, crittografia, conformità normativa
  • Gestione accessi e identità: MFA, autorizzazioni, RBAC
  • Configurazione e monitoraggio: policy corrette, logging e rilevamento anomalie
  • Risposta agli incidenti: gestione alert, piani di ripristino e continuità operativa
  • Compliance: garantire l’aderenza a normative e standard di settore

Rischi per Entra ID

Il servizio Entra ID è esposto a rischi che possono compromettere l’operatività aziendale:

  • Cancellazioni involontarie: la rimozione accidentale di utenti, gruppi, ruoli può causare la perdita immediata di accesso a risorse locali e cloud
  • Configurazioni errate: impostazioni di sicurezza sbagliate (ad esempio, MFA assente, criteri di accesso troppo permissivi) possono esporre a gravi vulnerabilità
  • Eventi malevoli: attacchi di tipo brute force o social engineering possono portare al controllo illecito di account amministrativi e a modifiche critiche per l’organizzazione

Per maggiori informazioni sulle best practices Microsoft riguardanti Entra ID, rimando a questi documento ufficiale: https://learn.microsoft.com/it-it/entra/architecture/secure-best-practices

Veeam Data Cloud for Microsoft Entra ID: protezione “as a service”

Con Veeam Data Cloud for Microsoft Entra ID, la protezione delle identità aziendali si sposta completamente in modalità Backup as a Service (BaaS), offrendo un approccio gestito e sicuro, senza necessità di infrastruttura locale o di eseguire configurazioni complesse.

Il servizio consente di eseguire il backup e il ripristino granulare di utenti, gruppi, ruoli, applicazioni, unità amministrative, Service Principal e policy di accesso condizionale, oltre ai log di audit e di sign-in del tenant Entra ID, archiviando tutto in uno spazio Azure separato rispetto al tenant stesso e in una region a scelta dell’utente. Qui sono riportate le region disponibili alla data di pubblicazione di questo articolo: https://helpcenter.veeam.com/docs/vdc/userguide/entra_id_regions.html.

Eseguire un backup di Entra ID (c’è davvero bisogno di ribadirlo?) è fondamentale per garantire continuità operativa e compliance, soprattutto in scenari dove una modifica non autorizzata o una cancellazione accidentale di un oggetto critico può compromettere l’intera catena di autenticazione aziendale.

Accesso al portale Veeam Data Cloud

L’accesso al portale di Veeam Data Cloud avviene tramite browser, collegandosi all’indirizzo https://cloud.veeam.com.
Gli utenti possono autenticarsi utilizzando le proprie credenziali Veeam My Account o, in alternativa, il Single Sign-On Microsoft 365.

Il portale consente di:

  • Gestire i workload di cui impostare le policy di protezione (Microsoft 365, Entra ID, Azure, Salesforce), dipendentemente dal servizio sottoscritto con Veeam.
  • Monitorare lo stato dei job e visualizzare i log relativi alle attività svolte.
  • Accedere al Veeam Data Cloud Vault, lo spazio storage offerto da Veeam e basato su Azure per archiviare i backup a lungo termine.

Cliccando su Entra ID si accede alla sezione che consente di aggiungere il tenant di cui si desidera effettuare il backup.

Aggiunta del tenant Entra ID

La configurazione iniziale avviene tramite un semplice wizard guidato che consente di:

  1. Autorizzare Veeam Data Cloud con un account Global Administrator;
  2. Selezionare la region Azure di archiviazione per la sovranità dei dati;
  3. Definire il periodo di retention (fino a 99 mesi o anni);
  4. Abilitare opzionalmente il backup delle Conditional Access Policies

Nella pagina Connection, si utilizza il proprio account Microsoft 365 per autorizzare Veeam Data Cloud ad accedere al tenant Microsoft Entra ID. Dopo l’autorizzazione, Veeam Data Cloud creerà un Service Principal nel tenant Entra ID che consentirà a Veeam Data Cloud di eseguire il backup e il ripristino di oggetti e log.

Per avviare il processo, fare clic su Authorize ed effettuare il log in con un account Microsoft 365 che abbia il ruolo di Global Administrator.


Nella pagina Settings, definire un nome per il tenant e scegliere la region
Azure in cui archiviare i dati di backup. Poi fare clic su Next.

Nella pagina Backup, specificare il periodo di conservazione dei dati di backup più adatto, espresso in anni o mesi e se si desidera anche il backup delle Conditional Access Policy (per maggiori informazioni, qui il documento Microsoft che ne parla: https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview). Poi fare clic su Next.

Nella pagina Confirmation, verificare che i parametri impostati siano corretti e fare clic su Finish.

Dopo la configurazione, il servizio crea automaticamente una policy di backup per proteggere tutti gli oggetti Entra ID gestiti dal tenant, garantendo che i dati vengano salvati in modo coerente e ripristinabili in qualsiasi momento.

Monitoraggio

La Dashboard di Veeam Data Cloud offre una visione centralizzata dello stato di protezione del tenant:

  • Stato dei backup e dei restore recenti,
  • Numero di oggetti protetti.


Facendo clic su Activity, nel pannello di sinistra, è possibile accedere a log dettagliati delle sessioni di backup e ripristino (con storico fino a 3 mesi).


Opzioni di Ripristino

Veeam Data Cloud consente un ripristino altamente granulare:

  • User Restore: Ripristino completo o di singole proprietà utente (inclusi oggetti sincronizzati da Active Directory in modalità ibrida)
  • Group Restore: Ripristino di gruppi e membership
  • Administrative Unit Restore: Ripristino di unità amministrative e relative proprietà
  • Role Restore: Ripristino di ruoli e permessi RBAC
  • Application e Service Principal Restore: Ripristino di Service Principal e di applicazioni e relative proprietà
  • Conditional Access Policy Restore: Ripristino delle policy di accesso condizionale
  • Log Restore: Esportazione dei log di audit e di sign-in per un’eventuale analisi

Il sistema esegue il ripristino in modo intelligente, tentando prima il restore dal Recycle Bin di Entra ID e, se questo non fosse possibile, dal backup più recente, mantenendo ove possibile gli object ID originali per evitare conflitti con le applicazioni connesse.

Nel prossimo articolo vedremo nel dettaglio tutte le procedure di ripristino disponibili.

Sicurezza e conformità

Veeam Data Cloud adotta noti standard di sicurezza e conformità, fra cui:

  • Certificazioni ISO/IEC 27001;
  • Crittografia TLS 1.2+ per i dati in transito e Storage Service Encryption (SSE) per i dati a riposo;
  • Service-managed keys per la cifratura automatica dei database;
  • Multi-Factor Authentication (MFA) tramite Single Sign-On Microsoft;
  • Storage geo-ridondante (GRS) per proteggere i backup da eventi pianificati ed imprevisti;
  • SLA di disponibilità al 99,9%.

Infine, tutti i dati sono archiviati nella regione Azure scelta dall’organizzazione, garantendo il rispetto delle politiche di data sovereignty e delle normative locali in materia di protezione dei dati.

Aspetti commerciali

La licenza di Veeam Data Cloud for Microsoft Entra ID si basa sul numero di utenti Entra ID protetti (oggetti come gruppi o ruoli non consumano licenza) ed è disponibile come servizio in abbonamento, acquistabile tramite partner Veeam, oppure direttamente dal Microsoft Azure Marketplace.

Dopo l’acquisto della sottoscrizione, l’amministratore riceve un’e-mail di invito per creare la propria organizzazione Veeam Data Cloud.

Conclusioni

Con la crescita dell’adozione di Microsoft Entra ID come sistema di identità centrale per ambienti ibridi e multi-cloud, garantire la resilienza dei dati di identità diventa una priorità strategica.
Veeam Data Cloud for Microsoft Entra ID rappresenta una soluzione completa e “as a service” che consente di:

  • Adempiere alle responsabilità dello Shared Responsibility Model;
  • Mitigare i rischi di perdita o compromissione delle identità digitali;
  • Ottenere la massima sicurezza e compliance con un servizio gestito e certificato.