di Paolo Maganuco

Come modernizzare e proteggere l’accesso alle applicazioni e alle risorse private con Microsoft Entra Private Access.

L’11 luglio 2023, in occasione dell’evento “Ignite”, Microsoft ha annunciato, tra gli altri, Microsoft Entra Private Access come nuovo membro della famiglia di prodotti Microsoft Entra.  

Oggi, l’approccio al lavoro delle persone ha subito un notevole cambiamento. Gli uffici tradizionali hanno lasciato il posto al lavoro da remoto e le applicazioni ed i dati risiedono per la maggior parte nel cloud. In questo panorama dinamico, dove l’ufficio è qualsiasi posto nel mondo, una solida soluzione di sicurezza di rete è essenziale per proteggere utenti, dispositivi e dati.  

Quindi, con il rilascio a breve di Internet Access, da parte di Microsoft, insieme a Defender for Cloud Apps prende forma la soluzione Microsoft Security Service Edge (SSE), unificata sotto il nome di Global Secure Access (GSA) nel centro di amministrazione Microsoft Entra. 

Global Secure Access è formato da due componenti chiave: 

  1. Microsoft Entra Internet Access: Protegge l’accesso alle app di Microsoft 365, alle applicazioni SaaS ed alle applicazioni Internet pubbliche, garantendo massima sicurezza all’utente finale.
  2. Microsoft Entra Private Access: Una soluzione di rete zero-trust incentrata sull’identità, che consente l’accesso sicuro e senza interruzioni alle applicazioni ed alle risorse private, in ambienti ibridi e multicloud, reti private e data center, da qualsiasi dispositivo e da qualsiasi rete. 

Global Secure Access si basa sui principi fondamentali di Zero Trust: 

  1. Minimo privilegio: Agli utenti vengono concessi solo i permessi di accesso necessari, riducendo al minimo la superficie di attacco.
  2. Verifica esplicita: Ogni richiesta viene verificata affinché gli accessi alle varie risorse vengano garantiti solo agli utenti autorizzati.
  3. Ipotesi di violazione: Il sistema, grazie all’AI, servendosi di complessi algoritmi, formula delle possibili ipotesi per cui si possano verificare violazioni di qualsiasi genere o sorta, prendendo in modo proattivo delle misure di sicurezza capaci di prevenire il possibile attacco.

Tutte queste nuove funzionalità introdotte consentiranno alle aziende un passaggio facilitato, ad esempio, da VPN tradizionali ad una soluzione SSE completa di accesso privato con funzionalità di accesso alla rete a zero-trust. 

Le sfide 

Il lavoro da remoto e la migrazione delle App aziendali verso il cloud sono ancora una volta in primo piano in questa discussione. Sempre più lavoro viene svolto al di fuori del perimetro di rete tradizionale, sicuro e protetto da firewall. In alcuni casi potrebbe accadere che qualche utente riesca ad eludere alcuni controlli IT, accedendo direttamente alle risorse aziendali a causa dell’assegnazione di permessi maggiori rispetto a quelli che realmente egli necessita. L’hair pinning del traffico e l’instradamento attraverso la sede centrale aumentano i carichi di rete e creano un’esperienza utente non ottimale con rallentamenti della connessione o lentezza nell’apertura di un file su una share di rete. 

Gli strumenti di accesso alla rete tradizionali e le VPN tradizionali presentano diversi problemi. Possono essere complessi da gestire e da far funzionare, spesso forniscono un accesso eccessivo e offrono una scarsa esperienza. L’accesso è solitamente da utente a segmento di rete, il che consente il “lateral movement” delle minacce. 

La sicurezza dei servizi on-premise 

Uno dei grandi dilemmi, da quando il “remote working” ha preso piede, è l’esposizione di applicativi web on-premise in modo da renderli raggiungibili dall’esterno senza bisogno di essere dentro al perimetro aziendale. A questo bisogno Microsoft, dal 2014 e con grande successo, ha pensato al servizio di “Application Proxy” di Azure Active Directory che fornisce un accesso remoto sicuro alle sole applicazioni web on-premise. Ma finora la limitazione era sempre per le applicazioni web. Con l’avvento di Entra Private Access questa limitazione è stata superata in quanto GSA si basa sulle grandi fondamenta e sul successo di App Proxy, consentendo di proteggere tutte le applicazioni che transitano su TCP e UDP, tra cui RDP, SSH, SMB, FTP. 

Security Service Edge (SSE) come soluzione 

Coniato da Gartner alla fine del 2021, SSE si concentra maggiormente sulle funzionalità di sicurezza (come ZTNA, FWaaS, SWG, CASB) e meno sulla connettività e sull’infrastruttura di rete.
Con questo modello gli amministratori possono applicare controlli di accesso avanzati per far rispettare le politiche di zero trust al primo bastione di accesso (alla rete). Ad esempio, controlli sull’identità, sul dispositivo e sulla posizione sfruttando l’accesso condizionato. I controlli sfrutteranno il Conditional Access Evaluation (CAE) con revoca del token in caso di eventi critici, come il ciclo di vita dell’account e le modifiche della posizione geografica della rete. Tutto ciò si applicherà a tutti/qualsiasi endpoint, indipendentemente dall’integrazione nativa all’interno dell’applicazione o del client. 

Client Global Secure Access 

Global Secure Access utilizza un client standalone, il quale è un prerequisito per connettersi al servizio cloud gestito. Microsoft ha annunciato che, in futuro, il client sarà integrato in modo nativo nel sistema operativo Windows. Questo si aggancia al kernel del sistema operativo, come un driver leggero, facendo da filtro per i pacchetti. Il client consente anche la coesistenza con altre soluzioni VPN o SSE di terze parti. 

Per quanto riguarda i dispositivi mobili, farà parte dell’app Defender, agendo come “orchestratore/applicazione VPN” a cui più servizi di terze parti potranno collegarsi, ad esempio, a Intune tunnel/Defender/GSA per creare i propri tunnel con i rispettivi endpoint. 

Come funziona il flusso di autenticazione dell’utente 

Quando il client si avvia, riceve inizialmente il profilo di inoltro del traffico, che contiene segmenti di applicazioni (nel caso di app private). Successivamente, avvia l’autenticazione verso il servizio cloud. A questo punto, il client apre il tunnel gRPC con l’infrastruttura esterna. 

Quando l’utente tenta di accedere a risorse che rientrano nell’ambito di una policy GSA, il client confronta il tentativo di accesso con il profilo associato. Se l’accesso rientra nell’ambito della policy, il client si assicura che l’utente sia stato pre-autenticato e che abbia soddisfatto l’accesso condizionato per ogni flusso/app privata. Il traffico acquisito, quindi, fluirà verso i rispettivi flussi gRPC. L’accesso alle risorse, inoltre, è regolato anche dalle applicazioni private in Entra ID/AAD. 

Demo 

Per questa demo ho scelto il modello di accesso per-app, che offre funzionalità di sicurezza più granulari (in questo caso l’accesso condizionato) su base, come suggerisce il nome, per-app (rispetto all’esperienza simile alla VPN di QuickAccess). 

Ho creato un’applicazione GSA per protocollo SSH, mirando all’indirizzo IP privato del server SSH sulla porta TCP 22. 

Il modello per app mi consente di scegliere l’app GSA appena creata nel criterio di accesso condizionato, il quale impone un controllo forzato sull’autenticazione. 

Il client non ha una connettività di rete nativa con il server. Inoltre, in precedenza, ho superato l’MFA con solo i token del software OATH, mentre la mia politica di CA richiede un doppio fattore di autenticazione con l’applicazione Microsoft Authenticator. 

Nonostante SSH non abbia nativamente alcuna capacità di accesso condizionato e sia un’applicazione non web, mi viene presentata l’opzione di superare l’MFA con la regola di CA configurata. 

Solo dopo aver superato la richiesta MFA, sono in grado di connettermi e autenticarmi al server SSH. Nella maggior parte dei casi sarebbe preferibile il SSO, ma a scopo dimostrativo ho configurato un criterio che attiva l’esperienza MFA. 

Arrivati a destinazione (sul server) mi viene richiesta la password per autenticarmi in SSH

Entra ID Global Secure Access consente alle organizzazioni di abbracciare la nuova normalità del lavoro remoto, mantenendo una solida sicurezza. Facendo convergere i controlli di rete, identità ed endpoint, e facendo si che gli utenti possano lavorare in modo efficiente e sicuro da qualsiasi luogo.

Articolo di Paolo Maganuco

Come BSG può supportarti 

BSG ritiene che queste nuove soluzioni e funzionalità di sicurezza di Microsoft apportino grande valore e sicurezza per consentire alla vostra organizzazione di difendere le risorse digitali. L’evoluzione del moderno perimetro di rete è un’ottima aggiunta, che porta l’accesso alla rete basato sull’identità a livello di singolo flusso. 

È inoltre importante sottolineare, ancora una volta, che la soluzione Entra Private Access dispone di un ampio supporto per le applicazioni, ovvero qualsiasi applicazione, qualsiasi porta, basata su TCP/UDP. 

Il team di BSG ha partecipato attivamente alle anteprime private ed è pronto ad aiutarvi a iniziare il percorso di implementazione e adozione di Microsoft Entra Private Access. 

Sei interessato ad approfondire con una DEMO live?
Scrivici e ti ricontatteremo il prima possibile per organizzare un incontro!

    Al trattamento dei dati personali ai fini della corretta processazione della sua richiesta. Visualizza la nostra Privacy Policy