Implementazione di criteri di accesso minimo in Azure con RBAC (controllo degli accessi basato sui ruoli)

Implementazione di criteri di accesso minimo in Azure con RBAC (controllo degli accessi basato sui ruoli)

10/08/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'implementazione e nella gestione dei criteri di accesso minimo in Azure utilizzando il controllo degli accessi in base al ruolo (RBAC). Azure RBAC è un sistema di autorizzazione che consente di gestire chi ha accesso alle risorse di Azure, cosa può fare con tali risorse e a quali aree ha accesso. L’applicazione del principio del privilegio minimo è fondamentale per ridurre la superficie di attacco e mitigare i rischi per la sicurezza in qualsiasi ambiente cloud [1].

Introduzione

In un ambiente cloud dinamico come Azure, in cui le risorse vengono costantemente create, modificate ed eliminate, garantire che utenti e servizi dispongano solo delle autorizzazioni necessarie per eseguire le proprie attività è una sfida continua. Azure RBAC è lo strumento nativo di Azure per implementare il principio del privilegio minimo, consentendo alle organizzazioni di definire autorizzazioni granulari e controllare l'accesso in modo efficace [2].

Questa guida pratica tratterà i concetti fondamentali di Azure RBAC, inclusi ruoli, ambiti e assegnazioni di ruolo, con istruzioni dettagliate per la creazione e l'assegnazione di ruoli, la gestione delle assegnazioni e la convalida delle autorizzazioni.

Perché il controllo degli accessi in base al ruolo di Azure e il principio dei privilegi minimi sono cruciali?

  • Riduzione della superficie di attacco: limita il potenziale impatto di un account compromesso.
  • Conformità normativa: aiuta a soddisfare i requisiti di controllo e conformità (LGPD, GDPR, HIPAA).
  • Governance migliorata: fornisce un modello chiaro per la gestione e il controllo delle autorizzazioni.
  • Prevenzione degli errori accidentali: riduce la possibilità di danni accidentali alle risorse critiche.

Prerequisiti

  1. Abbonamento Azure attivo.
  2. Accesso amministrativo: ha il ruolo di "Proprietario" o "Amministratore accesso utente" nell'ambito desiderato [3].

Passo dopo passo: implementazione del controllo degli accessi in base al ruolo di Azure

1. Informazioni sui componenti RBAC di Azure

  • Entità di sicurezza: chi riceve l'accesso (utente, gruppo, ecc.).
  • Definizione del ruolo: cosa si può fare (raccolta dei permessi). Esempio: "Lettore", "Collaboratore".
  • Ambito: dove si applica l'accesso (sottoscrizione, gruppo di risorse e così via).

Un Assegnazione di ruolo è la combinazione di questi tre elementi.

2. Assegnazione dei ruoli interni

  1. Nel portale di Azure passare alla risorsa o all'ambito desiderato (ad esempio un gruppo di risorse).
  2. Selezionare Controllo accesso (IAM).
  3. Fare clic su + Aggiungi > Aggiungi assegnazione ruolo.
  4. Nella scheda "Ruolo", seleziona il ruolo desiderato (es: "Lettore").
  5. Nella scheda "Membri", selezionare l'utente, il gruppo o l'entità servizio.
  6. Fare clic su "Rivedi e assegna" per terminare.

3. Creazione di funzioni personalizzate

Quando le funzioni integrate non sono sufficienti, crea una funzione personalizzata.

  1. In Controllo dell'accesso (IAM) per un abbonamento, fare clic su + Aggiungi > Aggiungi ruolo personalizzato.
  2. Assegnare un nome al ruolo (ad esempio "Operatore VM limitato").
  3. In "Autorizzazioni", aggiungi le azioni specifiche richieste. Esempio per un operatore VM:
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/read
  4. Definire gli "Ambiti assegnabili" (dove è possibile utilizzare la funzione).
  5. Fare clic su "Rivedi + crea" e quindi su "Crea".

Dopo la creazione, assegna questo ruolo personalizzato allo stesso modo di un ruolo integrato.

4. Gestione e controllo degli incarichi

  • Nella schermata Controllo dell'accesso (IAM), la scheda "Assegnazioni di ruolo" elenca tutte le autorizzazioni per tale ambito.
  • Controlla regolarmente questo elenco. Utilizza il pulsante "Rimuovi" per revocare l'accesso che non è più necessario.

Migliori pratiche

  • Utilizza gruppi di Azure AD: assegna ruoli a gruppi, non a singoli utenti. Gestire l'appartenenza ai gruppi è più semplice che gestire decine di incarichi RBAC.
  • Ambito più piccolo possibile: se un utente necessita dell'accesso a una sola risorsa, assegnare il ruolo nell'ambito di tale risorsa, non nel gruppo di risorse o nella sottoscrizione.
  • Utilizzare Azure AD Privileged Identity Management (PIM): per ruoli con privilegi elevati ("Proprietario", "Amministratore globale"), utilizzare PIM per abilitare l'accesso just-in-time (JIT), che concede permissioni temporanee e richiede una giustificazione.

Risoluzione dei problemi comuni

  • L'utente non può accedere a una risorsa: controlla le assegnazioni di ruolo a tutti i livelli (risorsa, gruppo di risorse, sottoscrizione). Le autorizzazioni vengono ereditate. Controlla anche se è presente un Nega assegnazione che blocca l'accesso.
  • Conflitti di autorizzazioni: il controllo degli accessi in base al ruolo di Azure segue un modello additivo. Se un utente ha il ruolo "Lettore" sul gruppo di risorse e "Collaboratore" su una VM al suo interno, le autorizzazioni vengono sommate. Tuttavia, le assegnazioni di rifiuto hanno sempre la precedenza. Se un'assegnazione di rifiuto blocca un'azione, l'accesso verrà negato anche se un'assegnazione di ruolo lo consente [4].
  • L'accesso appena concesso non funziona: potrebbe verificarsi un ritardo di alcuni minuti prima della propagazione delle autorizzazioni. Chiedere all'utente di disconnettersi e accedere nuovamente al portale.

Conclusione

L'implementazione disciplinata del principio del privilegio minimo tramite RBAC di Azure è una delle pratiche di sicurezza più efficaci nel cloud. Sfruttando i ruoli integrati, creando ruoli personalizzati granulari quando necessario e controllando regolarmente l'accesso, le organizzazioni possono ridurre drasticamente la superficie di attacco, limitare l'impatto di una potenziale violazione e garantire la conformità agli standard normativi. Strumenti come Azure AD PIM completano RBAC, aggiungendo livelli di controllo e audit per gli accessi più critici.

Riferimenti

[1]Microsoft. (2023). Che cos'è il controllo degli accessi in base al ruolo di Azure (RBAC di Azure)? [2]Microsoft. (2023). Best practice per il controllo degli accessi in base al ruolo di Azure. [3]Microsoft. (2023). Funzioni predefinite di Azure. [4]Microsoft. (2023). Comprendere le assegnazioni di negazione di Azure.