Configurazione della sicurezza delle app Microsoft Cloud per il controllo dell'accesso e della sessione

Configurazione della sicurezza delle app Microsoft Cloud per il controllo dell'accesso e della sessione

14/11/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella configurazione e nell'uso di Microsoft Defender for Cloud Apps (MDCA), precedentemente noto come Microsoft Cloud App Security (MCAS), per implementare il controllo dell'accesso e della sessione nelle applicazioni cloud. MDCA è una soluzione Cloud Access Security Broker (CASB) che offre visibilità, controllo sul traffico dati e analisi sofisticate per identificare e combattere le minacce informatiche negli ambienti cloud, essendo una componente critica per la strategia Zero Trust [1].

Introduzione

La crescente adozione di applicazioni SaaS (Software as a Service) ha portato numerosi vantaggi in termini di produttività e flessibilità, ma ha anche introdotto nuove sfide in termini di sicurezza. Le organizzazioni devono garantire che l’accesso a queste applicazioni sia sicuro, che i dati sensibili non vengano divulgati e che le attività dannose vengano rilevate e mitigate. Microsoft Defender for Cloud Apps funge da punto di controllo tra gli utenti e le app cloud, consentendo alle organizzazioni di monitorare e controllare gli accessi e le sessioni in tempo reale, anche per app non gestite o su dispositivi non conformi [2].

Questa guida pratica tratterà i prerequisiti, l'integrazione di MDCA con l'accesso condizionale di Azure AD, la configurazione di criteri di accesso e sessione, il monitoraggio dell'attività e le procedure consigliate per garantire un solido livello di sicurezza per le applicazioni cloud. Verranno fornite istruzioni passo passo ed esempi pratici affinché il lettore possa implementare e validare il controllo degli accessi e delle sessioni con MDCA, rafforzando la sicurezza dei propri dati e applicazioni nel cloud in modo autonomo, professionale e affidabile.

Perché Microsoft Cloud App Security è fondamentale per il controllo degli accessi e delle sessioni?

  • Visibilità e controllo: fornisce una visibilità approfondita sull'utilizzo delle applicazioni cloud e consente un controllo granulare sulle azioni degli utenti in tempo reale.
  • Protezione dei dati: aiuta a prevenire fughe di dati, download non autorizzati e caricamenti di file sensibili su applicazioni cloud.
  • Rilevamento delle minacce: identifica anomalie comportamentali e attività sospette che potrebbero indicare account compromessi o minacce interne.
  • Conformità: aiuta le organizzazioni a rispettare le normative sulla privacy e sulla sicurezza, garantendo che i dati vengano trattati in conformità con le politiche aziendali.
  • Integrazione con Azure AD Accesso condizionale: estende le funzionalità di Azure AD Accesso condizionale, abilitando l'accesso in tempo reale e i criteri di sessione.
  • Supporto per applicazioni non gestite: consente di estendere il controllo e la protezione alle applicazioni cloud non gestite direttamente dall'organizzazione.

Prerequisiti

Per implementare il controllo dell'accesso e della sessione con Microsoft Cloud App Security, saranno necessari i seguenti elementi:

  1. Licenza: licenze autonome di Microsoft 365 E5, Enterprise Mobility + Security E5 o Microsoft Defender for Cloud Apps [3].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore globale" o "Amministratore della sicurezza" sul portale Microsoft Defender XDR (https://security.microsoft.com) e sul portale di Azure (https://portal.azure.com).
  3. Accesso condizionale di Azure AD: criteri di accesso condizionale di Azure AD configurati e in uso poiché MDCA si integra con essi per applicare controlli di sessione e accesso [4].
  4. Applicazioni cloud: applicazioni cloud (SaaS) che desideri proteggere. MDCA funziona con qualsiasi applicazione, ma l'integrazione con l'accesso condizionale di Azure AD richiede la distribuzione dell'applicazione proxy inverso.

Passo dopo passo: configurazione di Microsoft Defender per app cloud per il controllo dell'accesso e della sessione

Configuriamo MDCA per controllare l'accesso e le sessioni alle applicazioni cloud.

1. Abilitazione dell'integrazione della sicurezza delle app cloud

Innanzitutto, assicurati che MDCA sia abilitato e integrato nel tuo ambiente.

  1. Apri il browser e accedi al portale Microsoft Defender XDR: "https://security.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel riquadro di navigazione sinistro, selezionare Configurazioni > Endpoint.
  4. Scorri verso il basso e seleziona Funzioni avanzate.
  5. Assicurati che la funzionalità Microsoft Defender for Cloud Apps sia "On".

2. Configurazione di un criterio di accesso condizionale di Azure AD per il controllo della sessione

Prima che MDCA possa applicare i controlli di sessione, il traffico deve essere instradato attraverso il proxy di accesso condizionale MDCA. Questa operazione viene eseguita configurando un criterio di accesso condizionale di Azure AD.

  1. Apri il browser e accedi al portale di Azure: "https://portal.azure.com".
  2. Nel campo di ricerca in alto, digita "Azure Active Directory" e selezionalo dai risultati.
  3. Nel riquadro di navigazione a sinistra, seleziona Sicurezza > Accesso condizionale.
  4. Fare clic su "+Nuova politica".
  5. Nome: assegnare alla policy un nome significativo (ad esempio "Controllo sessione MDCA per SharePoint Online").

  6. Utenti o carichi di lavoro Identità:

    • In "Includi", seleziona "Tutti gli utenti" o i gruppi specifici che desideri scegliere come target.
    • In "Escludi", aggiungi eventuali utenti o gruppi che dovrebbero essere esentati da questa politica (ad esempio account di servizio, amministratori di emergenza).

  7. Applicazioni o azioni cloud:

    • In "Includi", seleziona "Seleziona applicazioni" e cerca l'applicazione cloud che desideri proteggere (ad esempio: "SharePoint Online").

  8. Condizioni: configura le condizioni secondo le tue necessità (ad esempio "Posizioni" per richiedere che l'accesso provenga da IP specifici, "Dispositivi" per richiedere che il dispositivo sia compatibile).

  9. Controlli della sessione:

    • Selezionare "Utilizza controllo accesso condizionato alle applicazioni".
    • Dal menu a discesa, seleziona "Utilizza policy personalizzata".

  10. Abilita criterio: impostare su "On".

  11. Fare clic su Crea.

    • Spiegazione: questo criterio reindirizzerà il traffico a SharePoint Online tramite il proxy MDCA, consentendo a MDCA di applicare i criteri di sessione in tempo reale.

3. Configurazione dei criteri di sessione in Microsoft Cloud App Security

Ora che il traffico viene instradato, puoi creare policy di sessione in MDCA per controllare cosa possono fare gli utenti.

  1. Torna al portale Microsoft Defender XDR: "https://security.microsoft.com".
  2. Nel riquadro di navigazione a sinistra, seleziona App cloud > Criteri > Gestione criteri.

  3. Nella scheda "Accesso condizionale", fare clic su "+ Crea policy" > "Policy di sessione".

  4. Nome policy: assegnagli un nome (ad esempio: "Blocca download di SharePoint Online").

  5. Descrizione: fornire una descrizione chiara dello scopo della polizza.
  6. Tipo di gravità: definire la gravità (es: "Alta").
  7. Categoria: seleziona una categoria (es: "Prevenzione della perdita di dati").

  8. Filtri attività:

    • Attività: seleziona "Scarica".
    • Applicazioni: seleziona "SharePoint Online".
    • Dispositivo: seleziona "Tag dispositivo" e scegli "Non gestito" (per bloccare i download sui dispositivi non gestiti).
    • Utenti: specificare gli utenti o i gruppi a cui si applica questo criterio.

  9. Azioni:

    • Seleziona "Blocca".
    • Facoltativamente, puoi selezionare "Test" per monitorare l'attività senza blocchi oppure "Controlla con proxy" per consentire i download ma con ispezione o etichettatura.

  10. Configurare Avvisi e Governance secondo necessità.

  11. Fare clic su Crea.

    • Spiegazione: questo criterio bloccherà i download di SharePoint Online per gli utenti che accedono da dispositivi non gestiti, grazie al reindirizzamento del proxy MDCA da parte dei criteri di accesso condizionale di Azure AD.

4. Configurazione dei criteri di accesso in Microsoft Cloud App Security

Le policy di accesso in MDCA controllano l'accesso alle applicazioni cloud in base a vari criteri quali posizione, dispositivo, IP, ecc.

  1. Nel portale Microsoft Defender XDR, seleziona App cloud > Criteri > Gestione criteri.

  2. Nella scheda "Accesso condizionale", fare clic su "+ Crea policy" > "Policy di accesso".

  3. Nome della policy: assegnagli un nome (ad esempio: "Blocca l'accesso dal Paese a rischio").

  4. Descrizione: fornire una descrizione chiara.
  5. Tipo di gravità: imposta la gravità.
  6. Categoria: Seleziona una categoria (es: Controllo accessi).

  7. Filtri attività:

    • Attività: seleziona "Accesso".
    • Applicazioni: seleziona l'appapplicazione cloud (ad esempio "Tutte le applicazioni cloud").
    • Località: seleziona "Tag indirizzo IP" e scegli "Paesi a rischio" oppure crea un nuovo tag IP per i paesi specifici che desideri bloccare.

  8. Azioni:

    • Seleziona "Blocca".

  9. Configurare Avvisi e Governance secondo necessità.

  10. Fare clic su Crea.

    • Spiegazione: questa policy bloccherà l'accesso a tutte le applicazioni cloud per gli utenti che tentano di connettersi da paesi considerati a rischio.

5. Monitoraggio delle attività e degli avvisi

MDCA fornisce strumenti affidabili per monitorare e indagare sull'attività e sugli avvisi degli utenti.

  1. Nel portale Microsoft Defender XDR, seleziona App cloud > Registri attività.

    • Qui puoi visualizzare tutte le attività rilevate da MDCA, filtrare per utente, applicazione, tipo di attività, ecc.

  2. Nel riquadro di navigazione a sinistra, seleziona Incidenti e avvisi > Avvisi.

    • Qui vedrai tutti gli avvisi generati dalle policy che hai configurato, nonché gli avvisi di rilevamento delle anomalie.

Convalida e test

È fondamentale convalidare le policy configurate per garantire che funzionino come previsto.

1. Testare la policy di sessione (download in blocco)

  1. Utilizzare un dispositivo non contrassegnato come "Gestito" o "Supportato" (ad esempio: un personal computer o un dispositivo mobile senza Intune).
  2. Accedi al tuo account Microsoft 365 e prova ad accedere a SharePoint Online.

  3. Prova a scaricare un file da SharePoint Online.

    • Risultato previsto: il download dovrebbe essere bloccato e dovrebbe essere visualizzato un messaggio MDCA personalizzato che informa che l'azione è stata bloccata a causa dei criteri dell'organizzazione.

  4. Controllare i "Registri attività" e gli "Avvisi" nel portale MDCA per confermare che la policy di sessione è stata attivata e che è stato generato un avviso.

2. Testare la politica di accesso (bloccare l'accesso dal paese a rischio)

  1. Utilizza una VPN o un proxy per simulare una connessione da un paese che hai configurato come "Paese a rischio".

  2. Prova ad accedere a qualsiasi applicazione cloud (ad esempio Outlook Web Access, SharePoint Online).

    • Risultato previsto: l'accesso dovrebbe essere bloccato e dovrebbe essere visualizzato un messaggio MDCA personalizzato che informa che l'accesso è stato negato a causa dei criteri dell'organizzazione.

  3. Controllare i "Registri attività" e gli "Avvisi" nel portale MDCA per confermare che la politica di accesso è stata attivata e che è stato generato un avviso.

Suggerimenti e best practice per la sicurezza

  • Inizia con il monitoraggio: quando implementi nuove policy, inizia con l'azione "Monitoraggio" o "Test" per comprenderne l'impatto prima di applicare le azioni "Blocca" o "Controlla con proxy".
  • Formazione degli utenti: comunica chiaramente agli utenti le policy di sicurezza e il motivo per cui determinate azioni vengono bloccate. Ciò aiuta a ridurre la frustrazione e ad aumentare la conformità.
  • Granularità delle policy: crea sessioni granulari e policy di accesso per diversi gruppi di utenti, applicazioni e scenari di rischio. Evitare politiche eccessivamente ampie che potrebbero avere un impatto sulla produttività.
  • Integrazione con altre soluzioni: sfrutta l'integrazione MDCA con altre soluzioni Microsoft (Defender for Endpoint, Azure AD Identity Protection, Microsoft Sentinel) per una visione della sicurezza più completa.
  • Revisione periodica: rivedi e modifica regolarmente le policy MDCA per adattarle al cambiamento delle minacce, ai requisiti aziendali e all'adozione di nuove applicazioni cloud.
  • Impostazioni proxy: scopri come funziona il proxy di accesso condizionale MDCA e gli impatti sull'esperienza utente e sulla compatibilità delle applicazioni.
  • Gestione dei dispositivi: combina MDCA con Microsoft Intune per gestire la conformità dei dispositivi e applicare policy più rigorose ai dispositivi non gestiti.

Risoluzione dei problemi comuni

  • I criteri di sessione/accesso non vengono applicati: verificare che i criteri di accesso condizionale di Azure AD siano configurati correttamente per instradare il traffico tramite MDCA ("Utilizza controllo accesso condizionale alle applicazioni"). Assicurati che l'applicazione cloud sia inclusa nella policy.
  • Gli utenti sono bloccati erroneamente: rivedere i filtri e le condizioni delle attività nella sessione MDCA e nelle policy di accesso. Controlla i criteri di accesso condizionale di Azure AD per le esclusioni richieste. Controlla i registri delle attivitàcapacità di capire quale politica si sta attivando.
  • Prestazioni lente o problemi di compatibilità: il routing proxy MDCA può introdurre una piccola quantità di latenza. Controlla la connettività di rete e le impostazioni del proxy. Alcune applicazioni potrebbero presentare problemi di compatibilità proxy. Consulta la documentazione Microsoft per i problemi noti.
  • Avvisi falsi positivi: modifica le condizioni e la sensibilità della politica per ridurre gli avvisi irrilevanti. Utilizza la modalità "Monitor" o "Test" per perfezionare le policy prima di applicarle in modalità di blocco.
  • Le applicazioni non vengono visualizzate in MDCA: assicurarsi che l'applicazione cloud venga utilizzata attivamente e che MDCA sia configurato per rilevare le applicazioni. Per le applicazioni proxy inverso, controlla la configurazione dell'accesso condizionale di Azure AD.

Conclusione

Microsoft Defender for Cloud Apps è uno strumento indispensabile per qualsiasi organizzazione che desidera proteggere i propri dati e utenti in un mondo incentrato sul cloud. Implementando controlli di accesso e sessione, MDCA consente ai team di sicurezza di applicare policy granulari in tempo reale, mitigando i rischi di perdita di dati, accesso non autorizzato e attività dannose nelle applicazioni SaaS. L'integrazione con l'accesso condizionale di Azure AD crea una potente sinergia, estendendo la sicurezza Zero Trust al livello dell'applicazione. Con questa guida pratica, i professionisti della sicurezza saranno ben attrezzati per configurare, convalidare e gestire Microsoft Security for Cloud Apps, garantendo un ambiente cloud più sicuro e conforme per le loro organizzazioni.

Riferimenti:

[1]Microsoft Learn. Che cos'è Microsoft Defender per app cloud?. Disponibile su: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2]Microsoft Learn. Controllo app per l'accesso condizionale di Microsoft Defender per app cloud. Disponibile su: https://learn.microsoft.com/pt-br/defender-cloud-apps/proxy-intro-aad [3]Microsoft Learn. Licenza Microsoft Defender per app cloud. Disponibile su: https://learn.microsoft.com/pt-br/defender-cloud-apps/licensing [4]Microsoft Learn. Configurare i criteri di accesso condizionale per il controllo delle applicazioni di accesso condizionale. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-cloud-apps/conditional-access-app-control-how-to-overview [5]Microsoft Learn. Crea criteri di sessione di Microsoft Defender per app cloud. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-cloud-apps/session-policy-aad [6]Microsoft Learn. Crea criteri di accesso a Microsoft Defender per app cloud. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/defender-cloud-apps/access-policy-aad