Come applicare il modello Zero Trust utilizzando Entra ID e Intune

Come applicare il modello Zero Trust utilizzando Entra ID e Intune

02/08/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'implementazione del modello di sicurezza Zero Trust utilizzando le funzionalità di Microsoft Entra ID (in precedenza Azure Active Directory) e Microsoft Intune. Il modello Zero Trust, fondato sul principio "non fidarsi mai, verificare sempre", è un moderno approccio alla sicurezza che presuppone che nessuna richiesta di accesso debba essere automaticamente considerata attendibile, indipendentemente da dove ha origine o a quale risorsa tenta di accedere [1].

Introduzione

Con l’espansione del lavoro da remoto, la proliferazione dei dispositivi personali e la migrazione al cloud, il tradizionale perimetro di sicurezza delle reti aziendali è diventato obsoleto. Il modello Zero Trust emerge come risposta a questo nuovo scenario, richiedendo una verifica esplicita per ogni tentativo di accesso, garantendo l’accesso con privilegi minimi e presupponendo sempre una violazione. Microsoft Entra ID e Microsoft Intune sono componenti cruciali per creare una solida architettura Zero Trust, proteggendo rispettivamente identità ed endpoint [2].

Questa guida pratica tratterà i principi di Zero Trust e dimostrerà come configurare e integrare Microsoft Entra ID e Microsoft Intune per applicare questi principi. Verranno fornite istruzioni dettagliate, esempi di configurazione e metodi di convalida in modo che il lettore possa implementare e rafforzare il livello di sicurezza della propria organizzazione con un approccio Zero Trust.

Principi Zero Trust

Il modello Zero Trust si fonda su tre principi fondamentali[3]:

  1. Verifica esplicitamente: autentica e autorizza sempre in base a tutti i dati disponibili, tra cui identità dell'utente, posizione, integrità del dispositivo, sensibilità delle risorse e anomalie.
  2. Utilizza accesso con privilegi minimi: limita l'accesso degli utenti solo a ciò che è necessario. Utilizza Just-In-Time (JIT) e Just-Enough Access (JEA), policy adattive basate sul rischio e protezione dei dati per proteggere i dati e la produttività.
  3. Presumi una violazione: riduci al minimo il raggio dell'esplosione e l'accesso al segmento. Verifica la crittografia end-to-end e utilizza l'analisi per ottenere visibilità, rilevare minacce e migliorare le difese.

Prerequisiti

Per implementare il modello Zero Trust con Microsoft Entra ID e Intune, avrai bisogno dei seguenti elementi:

  1. Licenza: licenze appropriate per Microsoft Entra ID Premium P1 o P2 (per accesso condizionale) e Microsoft Intune (solitamente parte dei pacchetti Microsoft 365 E3/E5 o EMS E3/E5) [4].
  2. Accesso amministrativo: account con autorizzazioni di amministratore globale, amministratore della sicurezza o amministratore di Intune sui portali dell'interfaccia di amministrazione di Microsoft Entra (entra.microsoft.com) e dell'interfaccia di amministrazione di Microsoft Endpoint Manager (endpoint.microsoft.com).
  3. Dispositivi registrati in Intune: dispositivi Windows 10/11 già registrati e gestiti da Microsoft Intune.
  4. Identità in Microsoft Entra ID: utenti e gruppi sincronizzati o creati in Microsoft Entra ID.

Passo dopo passo: applicazione del modello Zero Trust

Ci concentreremo su come Microsoft Entra ID e Intune collaborano per applicare i principi Zero Trust, in particolare "Verifica esplicitamente" e "Utilizza accesso con privilegi minimi".

1. Rafforzamento dell'identità con Microsoft Entra ID

Microsoft Entra ID è la spina dorsale di Zero Trust per le identità, garantendo l'accesso solo agli utenti verificati.

1.1. Implementare l'autenticazione a più fattori (MFA)

L'AMF è una componente fondamentale del principio del "controllo esplicito".

  1. Configurare l'MFA tramite accesso condizionale: come dettagliato nell'articolo 3, creare una policy di accesso condizionato per richiedere l'MFA per tutti gli utenti, o per gruppi specifici, o per l'accesso dall'esterno della rete aziendale.
    • Nell'interfaccia di amministrazione di Microsoft Login, vai a Protezione > Accesso condizionale.
    • Crea una nuova policy con le seguenti impostazioni:
      • Assegnazioni > Utenti o carichi di lavoro identità: seleziona Tutti gli utenti (esclusi gli account di emergenza).
      • Risorse o azioni cloud: Tutte le applicazioni cloud.
      • Concedi: seleziona Richiedi autenticazione a più fattori.
      • Abilita criterio: Abilitato.

1.2. Abilita la protezione dell'identità di Azure AD

La protezione dell'identità rileva le vulnerabilità che influenzano le identità dell'organizzazione, configura policy automatizzate basate sul rischio per proteggere tali identità e indaga sulle attività rischiose [5].

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Protezione > Protezione identità.
  2. Politiche di rischio utente: configura questa politica per richiedere l'MFA o la reimpostazione della password per gli utenti a rischio medio o alto.
    • Ruoli > Utenti: seleziona Tutti gli utenti.
    • Condizioni > Rischio utente: seleziona Medio e superiore.
    • Controlli > Accesso: Concedi l'accesso e Richiedi reimpostazione password o Richiedi autenticazione a più fattori.
    • Abilita criterio: Abilitato.
  3. Politiche sul rischio di input: configura questa policy per bloccare o richiedere l'AMF per input rischiosi.
    • Ruoli > Utenti: seleziona Tutti gli utenti.
    • Condizioni > Rischio di ingresso: seleziona Medio e superiore.
    • Controlli > Accesso: Concedi accesso e Richiedi autenticazione a più fattori (o Blocca accesso in caso di rischio elevato).
    • Abilita criterio: Abilitato.

2. Garantire l'integrità dell'endpoint con Microsoft Intune

Intune garantisce che i dispositivi che accedono alle risorse aziendali siano integri e compatibili applicando al dispositivo il principio del "controllo esplicito".

2.1. Crea criteri di conformità del dispositivo

I criteri di conformità definiscono i requisiti di sicurezza che un dispositivo deve soddisfare per essere considerato conforme. L'accesso ai dispositivi non conformi potrebbe essere bloccato o limitato tramite l'accesso condizionato.

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager (https://endpoint.microsoft.com), vai a Endpoint Security > Conformità dispositivo > Criteri.
  2. Fare clic su Crea policy.
  3. Piattaforma: Windows 10 e versioni successive.
  4. Impostazioni di conformità:
    • Integrità del dispositivo: richiede BitLocker, avvio protetto, ecc.
    • Sicurezza del dispositivo: richiede antivirus (ad esempio Microsoft Defender Antivirus), firewall, password complesse, ecc.
    • Proprietà dispositivo: richiede una versione minima del sistema operativo.
  5. Azioni in caso di non conformità: configura azioni come contrassegnare il dispositivo come non conforme immediatamente o dopo un periodo di tolleranza.
  6. Assegnazioni: assegna la policy ai gruppi di dispositivi Windows pertinenti.

2.2. Crea profili di configurazione del dispositivo

I profili di configurazione consentono di distribuire impostazioni di sicurezza specifiche, ad esempio impostazioni del firewall, impostazioni di sicurezza di Microsoft Defender e restrizioni del dispositivo.

  1. Nell'interfaccia di amministrazione di Microsoft Endpoint Manager, vai a Dispositivi > Windows > Profili di configurazione.
  2. Fai clic su Crea profilo.
  3. Piattaforma: Windows 10 e versioni successive.
  4. Tipo di profilo: seleziona modelli come "Protezione endpoint" per configurare Microsoft Defender Antivirus e Firewall o "Restrizioni dispositivo" per disabilitare funzionalità specifiche.
  5. Configura le impostazioni di sicurezza in base alle migliori pratiche della tua organizzazione.
  6. Assegnazioni: assegna il profilo ai gruppi di dispositivi Windows pertinenti.

3. Integrazione di Entra ID e Intune con accesso condizionale

L'accesso condizionale è il motore che riunisce i criteri di identità (Entra ID) e dispositivo (Intune) per applicare Zero Trust.

3.1. Crea una policy di accesso condizionale per richiedere un dispositivo compatibile

Questo criterio garantirà che solo i dispositivi che soddisfano gli standard di conformità di Intune possano accedere alle app cloud.

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Protezione > Accesso condizionale.
  2. Fare clic su Nuova policy > Crea nuova policy.
  3. Nome: "Richiedi dispositivo compatibile per l'accesso".
  4. Assegnazioni > Utenti identità o carichi di lavoro: seleziona Tutti gli utenti (esclusi gli account di emergenza).
  5. Risorse o azioni cloud: Tutte le applicazioni cloud.
  6. Condizioni (facoltativo): puoi aggiungere condizioni come "Piattaforme dispositivo" per Windows.
  7. Concessione:
    • Seleziona Concedi accesso.
    • Seleziona Richiedi che il dispositivo sia contrassegnato come supportato. Fare clic su Selecc*.
  8. Abilita criterio: Abilitato.
  9. Fare clic su Crea.

Convalida e test

Convalidare l’implementazione di Zero Trust è fondamentale per garantire che le politiche funzionino come previsto.

1. Testare l'accesso da un dispositivo compatibile

  1. Su un dispositivo Windows compatibile e gestito da Intune, provare ad accedere a un'applicazione cloud (ad esempio: "portal.office.com").
  2. L'accesso deve essere concesso dopo l'autenticazione dell'utente (e l'MFA, se configurata).

2. Testare l'accesso da un dispositivo non conforme

  1. Su un dispositivo Windows che non è conforme (ad esempio, disabilitare il firewall, modificare la versione del sistema operativo con una non consentita dai criteri di conformità di Intune o utilizzare un dispositivo non gestito).
  2. Prova ad accedere a un'applicazione cloud (ad esempio portal.office.com).
  3. L'accesso deve essere bloccato e l'utente deve ricevere un messaggio che indica che il dispositivo non è conforme e non può accedere alla risorsa.

3. Monitorare i report di accesso condizionato

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Protezione > Accesso condizionale > Report.
  2. Esaminare i registri di input per vedere quali criteri di accesso condizionale sono stati applicati e il risultato (esito positivo, negativo, solo report).

Suggerimenti e best practice per la sicurezza

  • Inizia in piccolo, espandi gradualmente: implementa le policy Zero Trust nei gruppi di test prima di espandere l'intera organizzazione per ridurre al minimo le interruzioni.
  • Formazione e comunicazione: comunica chiaramente le modifiche agli utenti e fornisce formazione su come mantenere compatibili i loro dispositivi e su come utilizzare l'MFA.
  • Monitoraggio continuo: monitora regolarmente i report di conformità di Intune e i log di accesso condizionale e protezione dell'identità per identificare eventuali lacune o anomalie.
  • Accesso con privilegi minimi: combina le policy di accesso condizionale con PIM (Privileged Identity Management) per garantire che l'accesso privilegiato sia Just-In-Time e Just-Enough.
  • Presumi una violazione: configura Microsoft Defender per Endpoint per il rilevamento avanzato delle minacce agli endpoint e Microsoft Sentinel per l'orchestrazione della sicurezza e la risposta automatizzata.
  • Revisione periodica: rivedi e adatta regolarmente le tue policy Zero Trust per adattarle ai cambiamenti nell'ambiente delle minacce e ai requisiti aziendali.

Risoluzione dei problemi comuni

  • Accesso bloccato inaspettatamente: controllare i registri di accesso dell'accesso condizionale per identificare quale criterio sta bloccando l'accesso. Controllare i criteri di conformità di Intune per il dispositivo interessato.
  • Dispositivo non conforme: controlla lo stato di conformità del tuo dispositivo in Intune. È possibile che il dispositivo non abbia ricevuto i criteri o che alcune configurazioni impediscano la conformità (ad esempio antivirus disabilitato, vecchia versione del sistema operativo).
  • Conflitti di policy: esamina tutte le policy di accesso condizionale e di conformità per garantire che non vi siano esclusioni o inclusioni in conflitto che potrebbero portare a comportamenti imprevisti.
  • Problemi di sincronizzazione: assicurati che i dispositivi e gli utenti si sincronizzino correttamente rispettivamente con Intune e Azure AD.

Conclusione

L’applicazione del modello Zero Trust è una strategia di sicurezza essenziale per proteggere le organizzazioni nell’attuale panorama digitale. Sfruttando Microsoft Entra ID per gestire le identità e Microsoft Intune per garantire l'integrità degli endpoint, le aziende possono implementare un solido approccio alla sicurezza che controlla esplicitamente ogni richiesta di accesso e opera in base al principio del privilegio minimo. L'integrazione di questi strumenti tramite l'accesso condizionato crea una difesa potente e adattiva, garantendo che solo gli utenti e i dispositivi attendibili possano accedere alle risorse aziendali, indipendentemente dalla loro ubicazione. Il viaggio verso Zero Trust è in corso e richiede monitoraggio e perfezionamento costanti, ma i vantaggi in termini di riduzione del rischio e rafforzamento della sicurezza sono inestimabili.

Riferimenti:

[1]Microsoft Learn. Cos'è Zero Trust?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2]Microsoft Learn. Zero Trust con Microsoft Intune. Disponibile su: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3]Microsoft Learn. Principi guida Zero Trust. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4]Microsoft Learn. Licenza per Microsoft Enter ID. Disponibile all'indirizzo: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5]Microsoft Learn. Che cos'è la protezione dell'identità?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection