Azure Active Directory, come recuperare dopo un attacco?

Una delle problematiche per proteggere e ripristinare Azure AD è il fatto che un amministratore potrebbe non essere in grado di dire facilmente cosa è stato aggiunto o modificato.

azure active directory

Greg Jones, Senior Product Manager di Semperis, ci parla di sicurezza e di come recuperare le risorse essenziali di Azure Active Directory dopo un attacco informatico.

La trasformazione digitale ha spinto sempre più organizzazioni verso il cloud, rendendo Azure Active Directory un’opzione molto interessante per supportare il single sign-on negli ambienti cloud e on-premise. Poiché le organizzazioni hanno adottato l’AD ibrida, la sicurezza e la gestione dell’infrastruttura dal data center al cloud sono diventate fondamentali. Altrettanto importante è prepararsi allo scenario peggiore: un attacco informatico o un errore umano che costringa a effettuare un recovery degli ambienti AD on-premise e Azure AD.

Come per le implementazioni AD on-premise, disporre di una strategia di backup e ripristino per Azure AD è un aspetto importante per proteggere un’organizzazione da errori manuali e attività malevole. Tuttavia, una buona strategia di backup e ripristino per Azure AD necessita requisiti unici che meritano una considerazione mirata.

Pianificazione di cancellazioni maligne o accidentali delle risorse di Azure AD

Durante la pianificazione del disaster recovery dei servizi cloud, molte organizzazioni si concentrano sulla disponibilità e sulla prospettiva che le interruzioni inibiscano le operazioni. Tuttavia, la necessità di affrontare la possibilità di cancellazioni accidentali e attività malevole non può essere trascurata. Sebbene Microsoft sia responsabile del back end di Azure AD, la responsabilità di ripristinare efficacemente i gruppi di Microsoft 365, i ruoli della directory e altri oggetti ricade interamente sul cliente. Come servizio di autenticazione per Microsoft 365 e altre applicazioni e servizi cloud, Azure AD ospita alcuni oggetti che esistono solo nel cloud e che non possono essere replicati nell’ambiente Active Directory on-premise. Di conseguenza, è necessaria una strategia di ripristino specifica per Azure AD.

Azure Active Directory, come recuperare?

Benché si sia tentati di fare affidamento sulla funzione Recycle Bin di Azure AD o sulla sincronizzazione di Azure AD Connect, nessuna delle due opzioni offre una soluzione completa. Nel caso del Recycle Bin, solo alcuni oggetti e applicazioni possono essere recuperati, e solo per un periodo di tempo limitato. Dopo 30 giorni, il Recycle Bin non è più utile a questo proposito, e lo stesso vale se l’oggetto è stato cancellato in modo definitivo. Inoltre, i gruppi Azure AD non appaiono affatto nel Recycle Bin al momento dell’eliminazione e la funzione non può essere utilizzata per recuperare gli attributi degli oggetti modificati, indipendentemente dal fatto che siano stati modificati accidentalmente o dagli aggressori.

AD on-premise e Azure AD dovrebbero essere considerati due directory separate e anche con la dislocazione dell’Azure AD Connect non esiste una sincronizzazione completa e bidirezionale. Di conseguenza, le soluzioni di backup e ripristino per AD on-premise non avranno un impatto sull’ambiente cloud. Un utente cancellato da Azure AD potrebbe essere parzialmente recuperato dall’AD on-premise, ma mancherebbe qualsiasi attributo specifico del cloud, come i criteri di accesso condizionale. Una problematica simile accompagna gli account cloud creati dalla directory esterna di un partner, come gli account B2C e B2B di Azure AD. Anche in questo caso, gli account non sarebbero recuperabili tramite una soluzione di backup on-premise.

Le sfide del recupero delle risorse Azure AD

Una delle problematiche principali per proteggere e ripristinare con successo l’ambiente Azure AD è il fatto che un amministratore potrebbe non essere in grado di dire facilmente cosa è stato aggiunto o modificato. Ad esempio, se qualcuno rimuove l’autenticazione multifattoriale per un particolare account, determinare cosa, chi, quando e dove può essere difficile da accertare.

Per affrontare questi problemi è necessario che le organizzazioni estendano al cloud lo stesso livello di monitoraggio e sicurezza di cui dispongono nel loro AD on-premise. Per questo, le aziende potrebbero aver bisogno di utilizzare tool di terze parti in grado di identificare attività sospette in modo da avere un aiuto nel tenere sotto controllo lo stato di salute del loro ambiente Azure AD. Queste soluzioni possono fornire informazioni dettagliate sugli eventi di Azure AD da sfruttare per ridurre i tempi di inattività qualora un attacco o un errore manuale causassero interruzioni.

Prospettiva strategica

Quando si decide di cosa effettuare il backup, l’attenzione dovrebbe concentrarsi su utenti, gruppi e ruoli, poiché queste entità controllano l’accesso ad altre risorse. È anche fondamentale per i responsabili IT, capire cosa può e non può essere recuperato tramite il Recycle Bin e che l’abilitazione della sincronizzazione di Azure AD Connect non soddisfa le loro esigenze quando si tratta di recupero nel cloud. Sebbene entrambe queste funzioni ricoprano una funzione importante, non sono soluzioni complete per il backup e il ripristino nel cloud.

Colmare il divario tra la necessità di un recovery dopo un evento che ha cancellato le risorse di Azure AD e le funzionalità native di Azure AD, sarà fondamentale man mano che le organizzazioni adottano più servizi cloud e aumentano i loro sforzi per controllare l’accesso degli utenti. Dal modello di autorizzazione alle sue funzionalità native, l’Azure AD è un universo a sé stante e le aziende devono adattare e focalizzare la loro attenzione tenendo conto delle caratteristiche uniche dei propri ambienti cloud e di modo in cui l’identità viene gestita.