Active Directory (AD) è l'archivio di identità principale per molte organizzazioni. Per questo motivo, AD è diventato un obiettivo importante per i malintenzionati. Se gli aggressori accedono ad AD, possono accedere a qualsiasi risorsa dell'organizzazione. In uno scenario ibrido in lcoale/nel cloud, oggi molto diffuso, questo include l'accesso alle risorse cloud dell'organizzazione. Tuttavia, molte delle raccomandazioni originali di AD in materia di sicurezza e architettura sono inadeguate a soddisfare le esigenze delle aziende moderne. È chiaro che la modernizzazione dell'ambiente AD è fondamentale per la solidità della sicurezza.
La modernizzazione di AD contro luoghi comuni e configurazioni errate
Quando Active Directory è stato introdotto per la prima volta oltre vent'anni fa, la progettazione dei relativi domini era fortemente influenzata dalle limitazioni della larghezza di banda e dai problemi di replica. Questi vincoli, uniti ai limiti degli oggetti e ai problemi di migrazione dai domini legacy di Windows NT 4, hanno portato all'adozione di domini multipli all'interno della foresta di Active Directory.
All'epoca, una concezione errata diffusa in materia di sicurezza era il fatto che un dominio dovesse rappresentare il confine di protezione per le unità indipendenti all'interno dell'organizzazione. All'inizio della mia carriera, ad esempio, ho lavorato per un istituto finanziario che aderiva a queste best practice e aveva più di una dozzina di domini AD nella foresta principale.
Questa convinzione errata ha generato un falso senso di sicurezza, perché qualsiasi dominio compromesso in questo scenario porterebbe a un ambiente interamente compromesso.
Vent'anni dopo sappiamo che i domini non sono un confine di sicurezza. Anzi, più domini creano problemi di gestione che a loro volta comportano inutili esposizioni alle violazioni.
Modernizzazione di Active Directory contro debito tecnico accumulato
Un'altra importante esposizione alle violazioni riguarda la gestione di ambienti multiforesta, che molte organizzazioni hanno accumulato negli anni, spesso attraverso fusioni e acquisizioni.
Come per molti sistemi, l'accumulo di debiti tecnici è diffuso, ma la sensibilità di AD aumenta in modo particolare il rischio di sicurezza associato all'accumulo di errori tecnici.
Gli ambienti multiforesta creano molteplici problemi di gestione e sicurezza per i team IT e di gestione delle identità. Pensiamo ad esempio ai trust impostati tra le varie foreste. Se la foresta meno sicura viene violata, può essere usata come punto di partenza per raggiungere ambienti più sensibili.
Consolidamento di Active Directory come azione risolutiva
Il massimo miglioramento della sicurezza può essere ottenuto facendo confluire il maggior numero possibile di foreste in un'unica foresta. Questo consolidamento non solo ha un impatto positivo sulla sicurezza dell'organizzazione, ma spesso riduce anche i costi totali di gestione, eliminando l'ambiente multiforesta più complesso e distribuito.
Naturalmente, tale consolidamento richiede un'attenta pianificazione, che tenga conto dell'impatto sulle applicazioni, sui principi di sicurezza, e così via. Le organizzazioni devono anche considerare la sensibilità dei diversi ambienti. La prassi migliore è quella di separare gli ambienti in base al livello di sensibilità. Ad esempio, separare l'ambiente di sviluppo/test dalla produzione.
I moderni ambienti forestali di Active Directory dovrebbero anche suddividere i domini in unità organizzative (UO), se è richiesta una gestione indipendente, o in gruppi, se non sono necessarie unità indipendenti. Questa configurazione consente all'organizzazione di ridurre il numero di domini da gestire.
Una volta consolidati gli ambienti, l'organizzazione può utilizzare un'unica posizione per applicare i criteri di sicurezza tramite Microsoft Group Policy (GPO), Intune, System Center Configuration Manager (SCCM) o altri strumenti. È inoltre possibile consolidare la gestione delle autorizzazioni e tutti gli altri aspetti di un ambiente di identità adeguatamente protetto.
Il punto di partenza per una migrazione sicura di Active Directory
Per la modernizzazione di Active Directory, compito a dir poco cruciale, occorre agire tenendo sempre presente la sicurezza. L'obiettivo è ottenere un ambiente più sicuro e più facile da gestire con la certezza che il processo di migrazione sia sicuro. La migrazione è un momento delicato; evitare esposizioni alle violazioni è un passaggio fondamentale.
Bisogna iniziare con la scansione e la valutazione della maturità della sicurezza degli ambienti che si intende combinare, non perdendo mai di vista questo aspetto, in modo da evitare di introdurre nuovi punti deboli nella postura di sicurezza durante il processo di migrazione ai nuovi domini.
Per fare questo è possibile utilizzare strumenti gratuiti di valutazione della sicurezza di Active Directory, come Purple Knight e Forest Druid, ideali per le valutazioni iniziali. Se l'ambiente di cui occorre eseguire la migrazione richiede un'attenzione maggiore, meglio considerare la possibilità di rivolgersi a un team di sicurezza informatica esterno.
Considerare con attenzione anche gli strumenti di migrazione, soprattutto negli ambienti più grandi. Privilegiare strumenti facili da usare; la complessità crea potenziali esposizioni alle violazioni. Utilizzare strumenti che impediscano ulteriori esposizioni all'interno dei sistemi di identità (come database sensibili), che possono essere abusati. Uno strumento semplice e sicuro come Semperis Migrator for AD soddisfa tutti questi requisiti.
Maggiori informazioni sulla sicurezza e la migrazione di Active Directory
Per ulteriori informazioni sugli strumenti di sicurezza e di migrazione di AD citati in precedenza, consultare i seguenti link: