Protezione degli accessi privilegiati con PIM (Privileged Identity Management)

Protezione degli accessi privilegiati con PIM (Privileged Identity Management)

15/04/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'implementazione e nella gestione della gestione delle identità privilegiate (PIM) in Microsoft Entra ID (in precedenza Azure Active Directory). PIM è un servizio che consente di gestire, controllare e monitorare l'accesso a risorse importanti della propria organizzazione, fornendo accesso Just-In-Time (JIT) e Just-Enough Access (JEA) alle funzioni privilegiate, riducendo al minimo il rischio di uso improprio dei privilegi [1].

Introduzione

Gli account con privilegi amministrativi sono gli obiettivi principali degli attacchi informatici, poiché la loro compromissione può portare al controllo completo sui sistemi e sui dati di un'organizzazione. Il modello di sicurezza tradizionale, in cui gli account privilegiati vengono assegnati in modo permanente, aumenta la superficie di attacco e il rischio di movimento laterale da parte degli aggressori. PIM affronta questa sfida introducendo il concetto di accesso "just-in-time" (JIT) e "just-enough-access" (JEA), garantendo che gli utenti dispongano di privilegi elevati solo quando necessario e per il tempo strettamente richiesto [2].

Questa guida pratica riguarderà la configurazione PIM in Microsoft Entra ID, dall'attivazione del servizio all'assegnazione dell'idoneità per i ruoli, alla configurazione dei criteri di attivazione e al processo di attivazione di un ruolo privilegiato. Verranno fornite istruzioni dettagliate, esempi pratici e metodi di convalida in modo che il lettore possa implementare e rafforzare la sicurezza dell'accesso privilegiato nel proprio ambiente Microsoft, riducendo l'esposizione ai rischi e garantendo la conformità.

Perché la gestione delle identità privilegiate è fondamentale?

  • Riduzione della superficie di attacco: riduce al minimo il tempo in cui gli account privilegiati rimangono attivi, riducendo le opportunità per gli aggressori.
  • Accesso JIT/JEA: garantisce l'accesso temporaneo con privilegi minimi, in linea con i principi Zero Trust.
  • Visibilità e controllo: fornisce registri dettagliati di tutte le attivazioni delle funzioni privilegiate, facilitando il controllo e la conformità.
  • Flusso di approvazione: consente di richiedere l'approvazione per l'attivazione di funzioni critiche, aggiungendo un ulteriore livello di sicurezza.
  • Revisioni dell'accesso: facilita le revisioni periodiche dell'accesso per garantire che i privilegi concessi siano ancora appropriati.

Prerequisiti

Per implementare la gestione dell'identità privilegiata (PIM), saranno necessari i seguenti elementi:

  1. Licenza: una licenza Microsoft Enroll ID Premium P2 (in precedenza Azure AD Premium P2). PIM è una caratteristica unica di questa licenza [3].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore globale" o "Amministratore dei ruoli privilegiati" in Microsoft. Immettere l'ID per configurare PIM.
  3. Utenti e gruppi: utenti e/o gruppi di sicurezza su Microsoft Entra ID che richiederanno un accesso privilegiato.

Passo dopo passo: configurazione e utilizzo di PIM

Configureremo PIM per un ruolo amministrativo critico, come "Amministratore globale", e dimostreremo il processo di attivazione.

1. Attivazione PIM su Microsoft Entra ID

Se il PIM non è già attivo nel tuo tenant, dovrai attivarlo.

  1. Accedi al portale dell'interfaccia di amministrazione di Microsoft Entra: https://entra.microsoft.com.
  2. Nel riquadro di navigazione a sinistra, seleziona Governance dell'identità > Gestione delle identità privilegiate.
  3. Se è la prima volta, vedrai un'opzione per Abilitare PIM. Fare clic su di esso.

2. Assegnazione dell'idoneità per un ruolo

Innanzitutto, rendiamo un utente idoneo al ruolo di "Amministratore globale".

  1. Nel riquadro di navigazione sinistro di PIM, selezionare Microsoft Entra Ruoli > Ruoli.
  2. Nell'elenco dei ruoli, cerca "Amministratore globale" e fai clic su di esso.

  3. Nella pagina dei dettagli del ruolo "Amministratore globale", fare clic su Aggiungi ruoli.

  4. Nella sezione Aggiungi assegnazioni, fai clic su Seleziona membri.

  5. Cerca e seleziona gli utenti o i gruppi che desideri rendere idonei per questo ruolo. Fare clic su Seleziona.
  6. In Tipo di assegnazione, seleziona "Idoneo".
  7. In Assegnazione permanente, puoi impostare una data di inizio e di fine per l'idoneità o renderla permanente. Per i ruoli altamente privilegiati, l'assegnazione a tempo indeterminato dovrebbe essere evitata, ma per lo scopoA scopo dimostrativo, possiamo lasciarlo così com'è.
  8. Fare clic su Assegna.

3. Configurazione delle impostazioni del ruolo

Le definizioni di ruolo controllano il modo in cui gli utenti possono attivare i propri privilegi.

  1. Nel riquadro di navigazione sinistro del PIM, selezionare Funzioni Microsoft Entra > Impostazioni.

  2. Nell'elenco dei ruoli, cerca "Amministratore globale" e fai clic su Modifica.

  3. Nella sezione Attivazione:

    • Durata massima di attivazione: Definire il tempo massimo in cui un utente può mantenere la funzione attiva (es: 4 ore). Si consiglia un breve periodo.
    • Richiedi l'autenticazione a più fattori all'attivazione: seleziona questa opzione. Altamente consigliato per tutti i ruoli privilegiati.
    • Richiedi giustificazione all'attivazione: seleziona questa opzione. Agli utenti verrà richiesto di fornire un motivo per l'attivazione.
    • Richiedi l'approvazione per l'attivazione: seleziona questa opzione per aggiungere un flusso di approvazione. Fai clic su Seleziona approvatori e aggiungi uno o più utenti/gruppi che possono approvare le richieste di attivazione.
  4. Nella sezione Compiti:
    • Consenti assegnazioni idonee permanenti: per "Amministratore globale", valuta la possibilità di disabilitare questa opzione per forzare tutte le assegnazioni a essere temporanee.
  5. Nella sezione Notifiche:
    • Configura chi deve essere avvisato dell'attivazione della funzione.
  6. Fare clic su Aggiorna per salvare le impostazioni.

4. Abilitazione di una funzione privilegiata (esperienza utente)

Ora dimostriamo come un utente idoneo attiva il ruolo "Amministratore globale".

  1. L'utente idoneo accede al portale dell'interfaccia di amministrazione di Microsoft Entra: "https://entra.microsoft.com".
  2. Passare a Governance dell'identità > Gestione delle identità privilegiate.
  3. Nel riquadro di navigazione a sinistra, seleziona I miei ruoli > Ruoli di accesso Microsoft.
  4. Nella scheda Ruoli idonei, l'utente vedrà il ruolo "Amministratore globale".

  5. Fare clic su Abilita accanto al ruolo "Amministratore globale".

  6. Nella finestra di attivazione:

    • Durata: L'utente può specificare la durata dell'attivazione (limitata dalla durata massima definita nelle definizioni della funzione).
    • Motivo: L'utente deve fornire una giustificazione per l'attivazione (es. Eseguire manutenzione sul server X).
    • (Se configurato) Controllo di sicurezza: all'utente potrebbe essere richiesto di eseguire un controllo MFA.

  7. Fare clic su Attiva.

  8. Se è necessaria l'approvazione, la richiesta verrà inviata agli approvatori. L'utente vedrà lo stato come "In attesa di approvazione".

5. Approvazione di una richiesta di attivazione (esperienza dell'approvazione)

Un approvatore designato riceverà una notifica (via e-mail o nel portale PIM) sulla richiesta di attivazione.

  1. L'approvatore accede al portale dell'interfaccia di amministrazione di Microsoft Entra: "https://entra.microsoft.com".
  2. Passare a Governance dell'identità > Gestione delle identità privilegiate.
  3. Nel riquadro di navigazione a sinistra, seleziona Approva richieste.
  4. L'approvatore vedrà la richiesta in sospeso. Fare clic su di esso per visualizzare i dettagli.

  5. L'approvatore può Approvare o Rifiutare la richiesta, fornendo una giustificazione.

  6. Dopo l'approvazione, l'utente richiedente avrà il ruolo attivo per il periodo specificato.

Convalida e test

La convalida dell'implementazione PIM è fondamentale per garantire che i controlli degli accessi privilegiati funzionino come previsto.

1. Verifica dello stato di attivazione

  1. Dopo l'attivazione (e l'approvazione, se applicabile), l'utente può tornare alla pagina I miei ruoli > Ruoli di accesso Microsoft in PIM.
  2. Nella scheda Ruoli attivi, il ruolo "Amministratore globale" dovrebbe apparire con lo stato "Attivo" e il tempo rimanente.

2. Testare l'accesso con privilegi elevati

  1. Con la funzione attivata, l'utente deve provare ad accedere alle risorse o eseguire azioni che richiedono il ruolo di "Amministratore globale" (ad esempio creare un nuovo utente in Microsoft Entra ID).
  2. L'azione deve avere successo.

3. Controllo dei registri di controllo PIM

  1. Nel riquadro di navigazione sinistro del PIM, selezionare Audit > Audit ruolo Microsoft Entra.
  2. Filtra i registri per visualizzare le attivazioni dei ruoli, le approvazioni e altre attività relative a PIM. Ciò fornisce una registrazione completa di chi ha attivato quale funzione, quando, per quanto tempo e con quale giustificazione.

4. Testare la scadenza dell'attivazione

Allo scadere del tempo di attivazione, l'utente dovrà perdereprivilegi elevati automaticamente. Prova a eseguire nuovamente l'azione privilegiata; deve fallire.

Suggerimenti e best practice per la sicurezza

  • Principio del privilegio minimo: assegna solo i ruoli necessari affinché un utente possa eseguire le proprie attività. Evita di assegnare un "Amministratore globale" se sarebbe sufficiente un ruolo con meno privilegi.
  • Assegnazione di idoneità rispetto a Assegnazione attiva: quando possibile, utilizzare assegnazioni "Idoneo" anziché "Attivo" permanente per i ruoli privilegiati.
  • MFA obbligatoria: richiede sempre la MFA per attivare le funzioni privilegiate. Ciò aggiunge un livello critico di sicurezza.
  • Giustificazione richiesta: richiede agli utenti di fornire una giustificazione per ogni attivazione. Ciò aiuta a controllare e comprendere lo scopo dell'accesso.
  • Flussi di approvazione: per le funzioni critiche, configura i flussi di approvazione per garantire che le attivazioni vengano riviste e autorizzate da qualcun altro.
  • Revisioni dell'accesso: pianifica revisioni dell'accesso regolari in PIM per garantire che l'idoneità per i ruoli con privilegi sia ancora adeguata e rimuovere le assegnazioni non necessarie.
  • Notifiche: configura le notifiche per gli amministratori quando vengono attivati ​​ruoli privilegiati o si verificano attività sospette.
  • Integrazione con accesso condizionale: utilizzare l'accesso condizionale per applicare policy aggiuntive quando si attivano le funzioni PIM (ad esempio, richiedendo che l'attivazione avvenga da un dispositivo supportato o da una posizione di rete attendibile).

Risoluzione dei problemi comuni

  • L'utente non può attivare la funzione: controlla se l'utente ha una licenza Microsoft Entra ID Premium P2. Controlla se è nell'elenco degli idonei per il ruolo. Controlla le impostazioni del ruolo (ad esempio, se è necessaria l'AMF e l'utente non l'ha configurata).
  • Attivazione funzione non riuscita: verificare la presenza di messaggi di errore nei registri di controllo PIM. Potrebbe essere dovuto a un fallimento dell'AMF, alla mancanza di giustificazione o al rifiuto da parte di un approvatore.
  • Gli approvatori non ricevono notifiche: controlla le impostazioni di notifica nelle impostazioni del ruolo. Assicurati che gli indirizzi email degli approvatori siano corretti e che non vi siano regole della posta in arrivo che blocchino le notifiche.
  • La funzione non si disattiva automaticamente: verificare la durata massima di attivazione nelle impostazioni della funzione. Se il problema persiste, potrebbe essere dovuto ad un ritardo nella sincronizzazione del servizio.
  • Conflitti di permessi: se un utente ha la stessa autorizzazione tramite un ruolo PIM e un ruolo normale, prevarrà il ruolo normale. È buona norma rimuovere le assegnazioni di ruoli privilegiati permanenti per gli utenti idonei anche tramite PIM.

Conclusione

Microsoft Entra Privileged Identity Management (PIM) è uno strumento indispensabile per qualsiasi organizzazione che desideri proteggere il proprio accesso privilegiato e rafforzare la propria posizione di sicurezza. Adottando i principi Just-In-Time e Just-Enough Access, PIM aiuta a ridurre significativamente la superficie di attacco, fornisce un audit trail dettagliato e impone controlli rigorosi sulle funzioni amministrative. Un'attenta implementazione del PIM, combinata con le migliori pratiche di sicurezza e la formazione degli utenti, consente ai team IT e di sicurezza di gestire i privilegi in modo efficace, mitigando i rischi associati agli account privilegiati compromessi e garantendo un ambiente più sicuro e conforme.

Riferimenti:

[1]Microsoft Learn. Che cos'è la gestione delle identità privilegiate di Microsoft Entra?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2]Microsoft Learn. Principi guida Zero Trust. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3]Microsoft Learn. Requisiti di licenza per la gestione delle identità privilegiate Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements