Mantenere la sincronizzazione della directory con le best practice di sicurezza
Con Azure AD Connect, la sincronizzazione dei dati della directory da Active Directory on-premises ad Azure AD è facile ed efficiente. Ma è possibile avere troppo di una cosa buona?
Le migliori pratiche di sicurezza limitano la condivisione a una stretta necessità di sapere. Tuttavia, Azure AD Connect sincronizza 151 attributi per impostazione predefinita. Avete letto bene: 151 attributi.
Quindi, se si esegue l'installazione "Impostazioni Express" di Azure AD Connect, Azure AD includerà un totale di 151 attributi (esclusi gli attributi nulli o non presenti) per ogni oggetto sincronizzato da Active Directory on-premises ad Azure AD.
Inoltre, a seconda del luogo in cui è ospitato Azure AD (ad esempio al di fuori degli Stati Uniti), alcuni di questi attributi, tra cui cinque attributi relativi agli utenti, potrebbero essere ulteriormente replicati nei data center degli Stati Uniti.
È importante notare che la versione attuale di Azure AD Connect non perdona: una volta che un attributo è stato sincronizzato, è possibile disattivare gli aggiornamenti, ma l'attributo rimane (in uno stato non aggiornato) in Azure AD. Pertanto, è estremamente importante che Azure AD Connect sia corretto al primo tentativo.
Limitare l'esposizione
Le impostazioni predefinite e le configurazioni esplicite possono essere le migliori amiche di un amministratore IT impegnato, e spesso le consiglio. Dopotutto, queste impostazioni e configurazioni di solito incorporano le raccomandazioni del fornitore e le best practice del prodotto.
Tuttavia, per molte (o addirittura per la maggior parte) delle organizzazioni, il livello di sincronizzazione predefinito in Azure AD Connect non è necessario dal punto di vista operativo, né auspicabile dal punto di vista della sicurezza.
Ricordate che Azure AD non è solo un'estensione della vostra Active Directory on-premises: Azure AD è un archivio di identità a sé stante, con una propria serie di vulnerabilità. E quando si tratta di archiviare dati sensibili nel cloud, meno è meglio.
Pertanto, vi invito a prendere in considerazione la possibilità di personalizzare la vostra installazione di Azure AD Connect con la funzionalità di filtraggio delle app e degli attributi integrata e facile da usare.
Assumere il controllo
Il filtro delle applicazioni e degli attributi, insieme al filtro dei domini e delle OU, offre un notevole controllo su ciò che viene sincronizzato dall'Active Directory on-premises ad Azure AD. Sebbene le regole di sincronizzazione forniscano ulteriori funzionalità, il filtraggio è sufficiente nella maggior parte dei casi ed è in ogni caso il miglior punto di partenza.
Per aiutarvi a iniziare, Semperis ha pubblicato un white paper che potete scaricare qui.
Vi invito a scaricare il white paper: la sincronizzazione non necessaria dei dati mina la sicurezza ed è difficile da annullare. Il white paper fornisce ulteriori spiegazioni, ulteriori limitazioni e preziosi consigli d'uso.
Trovare un equilibrio
Mentre la sincronizzazione di 151 attributi "per ogni evenienza" può essere eccessiva, la sincronizzazione minima dei soli attributi necessari può essere inutilmente avara e causare problemi operativi. Come per molte cose nella vita, è importante trovare un equilibrio. Poiché è più facile aggiungere attributi alla sincronizzazione che rimuoverli, si consiglia di iniziare in modo conservativo con un insieme limitato di attributi, di monitorare attivamente e di aggiungere attributi secondo le necessità.