Category: Let’s talk about Cloud Microsoft for Organisations

Azure AD è un meccanismo basato sul Cloud della casa Microsoft che fornisce gli strumenti per soddisfare le nostre esigenze di sicurezza.

Supportato da Microsoft Active Directory, Active Directory e’ un sistema di identificazione e autorizzazione generale di comprovata funzionalita che offre funzionalità gestite interamente nel cloud) e ibride (un mix di cloud e on-premise) soluzioni.

Alcuni di questi strumenti sono inclusi per impostazione predefinita quando si crea un account utente di Azure AD.

Altri richiedono un componente aggiuntivo a pagamento ‘’Account Premium’’, che tratteremo in seguito.

Questi strumenti includono i seguenti servizi

• Reimpostazione self-service delle password: consente agli utenti di reimpostare autonomamente le proprie password (attraverso misure di sicurezza aggiuntive) senza dover chiamare l’helpdesk.

• Multi Factor Authentication (identificazione a più fattori): MFA applica una seconda forma di identificazione, in aggiunta a (nome/utente – password), durante il processo di identificazione: viene generato e inviato un codice all’utente, in genere un SMS al dispositivo mobile, che viene inserito insieme alla password. Il codice viene inviato al dispositivo di un utente come messaggio di testo o app come un e-mail di autenticazione sul proprio dispositivo mobile.

• Inoltre e’ possibile utilizzare dispositivi biometrici come impronte digitali o scanner facciali.

• Integrazione ibrida con ‘’writeback’ delle password: quando Azure AD viene sincronizzato con AD locale con AD Connect, le modifiche alla password dell’utente in Azure AD vengono inviate all’AD locale per garantire che le directory rimangano sincronizzate.

• Criteri di protezione delle password: i criteri in Azure possono essere impostati per applicare password complesse o tempi fissi di rinnovo delle password. Questi criteri possono essere integrati con le directory locali per garantire la sincronizzazione .

• identificazione senza password: per molte organizzazioni, il desiderio di eliminare del tutto la necessità di password a favore di metodi alternativi è visto come la soluzione definitiva a molti problemi di identificazione. Le credenziali vengono fornite attraverso l’uso di dati biometrici o tramite una chiave di sicurezza FIDO2. Questi non sono facilmente duplicati e quindi piu sicure, eliminando la necessità di ricordare password complesse.

• Single sign-on (SSO): con questo sistema, gli utenti devono eseguire l’identificazione solo una volta per accedere a tutte le loro applicazioni indipendentemente dal fatto che accedano tramite i loro sistemi locali o Azure AD, il singolo processo di identificazione dovrebbe identificare l’utente in diversi applicazioni. Un esempio e quello di identificarsi con Google account per poter accedere sia un account Gmail sia l’account You Tube.

Conditional Access/ Accesso Condizionale: per rafforzare ulteriormente la sicurezza, i criteri di Accesso Condizionale possono fornire ulteriori restrizioni all’accesso degli utenti. A questo proposito possono essere applicate regole diverse, tutto dipende dalle necessità delle aziende. Ad esempio, l’identificazione a più fattori può essere impostata in modo che non sia richiesta quando si accede da numeri IP (Internet Protocol) specifici, ad esempio un numero IP di rete aziendale.

Un ruolo significativo ed essenziale di qualsiasi piattaforma è quello del l’identificazione e dell’ autorizzazione.

Questi due termini sono spesso confusi ed erroneamente combinati come un’unica entità. Per poter capire queste differenze e usare in modo corretto sulle piattaforme cloud come Azure, è fondamentale conoscere le diverse tecnologie che queste piattaforme offrono per facilitare il nostro lavoro.

Identificazione o autorizzazione??

L’ identificazione è l’atto di provare chi sei, spesso eseguito con un nome utente/combinazione di password. Se puoi fornire i dettagli corretti, a un sistema, quello ti autentica e basta. L’ identificazione non ti dà accesso a nulla; dimostra semplicemente chi sei.

Una volta che un sistema conferma che tu sei quello che ritieni di essere, comincia a controllare per vedere a cosa hai accesso: questo è denominata Autorizzazione.

In Azure, l’autorizzazione è l’atto di verificare se si ha il diritto di accesso a un particolare risorsa o servizio, ad esempio a un account di archiviazione, e le azioni che è possibile eseguire su quell account, ad esempio la creazione, l’eliminazione, la modifica o anche la lettura dei dati in quell account di archiviazione.

Fortunatamente, Azure offre una serie di servizi, suddivisi in 2 gruppi

• Servizi di identificazione e
• Servizi di autorizzazione,

Questi servizi consentono di controllare rigorosamente e in un modo capillare come gli utenti si identificano e a quali servizi possono quindi accedere.

Tradizionalmente, l’ identificazione avveniva tramite semplici combinazioni di nome utente/password; tuttavia, questa come l’unica forma di identificazione è inefficace e non e sufficiente per proteggersi.

Bisogna escogitare altre forme più sicure a fine di proteggere i dati, quindi è necessario considerare molti fattori e strategie durante la progettazione di un meccanismo di identificazione.

Ad esempio, scegliendo una sola forma di identificazione i seguenti casi, possono accadere;

• Un utente può scegliere una password troppo semplice, aumentando le possibilità che essa venga compromessa.

• Password complesse o le continue modifiche di essa significa che gli utenti se ne dimentichino con più facilita’.

• Potrebbero verificarsi ritardi nel processo di identificazione se un utente continua a chiamare sempre un helpdesk per richiedere la reimpostazione della password.

• La stessa, unica combinazione nome/utente-password è più facile essere individuata e rubata, quindi facile preda agli attacchi phishing.

• I database delle password possono essere compromessi una volta individuata, potete immaginare cosa può succedere!!… vero?? .

Quando dei sistemi sono ospitati e fanno parte in una rete fisicamente isolata, alcuni di questi problemi vengono mitigati poiché per essere compromessi è necessario prima l’accesso fisico a un edificio dove risiedono i server per prima, in seguito a un server o almeno a un dispositivo configurato con una connessione VPN (Virtual Private Network) che, a sua volta, richiederebbe un certificate di controllo. Quindi e molto difficile che questo avvenga.

Tuttavia, negli scenari cloud, e in particolare nei sistemi ibridi, in cui sono necessari meccanismi di identificazione esterna, questi meccanismi esterni, come la impostazione di una password e tanti altri, devono essere mappati o sincronizzati con i sistemi interni all azienda, tuttavia questo fisico controllo d’accesso non può essere sempre raggiunto e garantito.

Con questi scenari in mente, e opportuno considerare come potremmo affrontare quanto segue:

• La gestione e l’applicazione delle regole alle password

• Come aggiungere altri livelli di protezione per le password

• Come proteggere in modo sicuro le password

Ora che siamo venuti a conoscenza ad alcuni dei problemi che dobbiamo affrontare con i sistemi di identificazione, in particolare quelli che si basano su combinazioni nome utente/password, possiamo esaminare quali opzioni abbiamo per mitigare i rischi di un eventuale accesso non autorizzato nei sistemi Cloud Azure. In primo luogo, vediamo cosa offre Microsoft in fatto di sicurezza con la piattaforma Active Directory.