Un anno fa Microsoft ha annunciato la famiglia di prodotti Microsoft Entra che comprende soluzioni relative alla gestione delle Identity e all'accesso sicuro. Con i recenti annunci sulle nuove funzionalità Private Access e Internet Access la famiglia Microsoft Entra arricchisce la sua offerta portandola, di fatto, anche nell'ambito delle soluzioni Security Access Service Edge (SASE o SSE).
Prima di introdurre il mondo delle soluzioni SASE ed approfondire l'evoluzione che Microsoft sta compiendo sui propri prodotti è utile ricordare che Microsoft Entra è il nuovo nome della famiglia di prodotti precedentemente nota come Azure Active Directory (AAD). Maggiori informazioni a riguardo sono disponili al questo link.
Zero Trust
use least privilege, verify explicitly, assume breach
Le soluzioni SASE sono framework di sicurezza che consentono alle organizzazioni di gestire l'accesso, e la connettività tra le proprie persone e i servizi aziendali (siano essi erogati in cloud o presso il proprio Datacenter), seguendo i principi della strategia di sicurezza Zero Trust. In un precedente articolo abbiamo già affrontato il tema Zero Trust e di quanto sia importante per la sicurezza aziendale la verifica, nella fase di accesso alle risorse aziendali, sia dell'identità dell'utente che di quella del dispositivo da cui sta effettuando l'accesso.
Le soluzioni SASE combinano concetti di software-defined WAN (SD-WAN), Secure Web Gateways (SWG), private networking (VPN), cloud access security brokers (CASB) ma anche di controlli di sicurezza contro virus/malware e ai fini del data loss prevention (DLP); il tutto coordinato da un unico insieme di policy di sicurezza definite in una soluzione native-cloud.
La sicurezza di ogni soluzione SASE è incentrata sul concetto di identità digitale (digital-identity). Il concetto di identità digitale è collegabile a molte cose, tra cui una persona, un dispositivo utilizzato dell'utente, un servizio cloud, una applicazione o un device IoT. Le funzionalità SD-WAN di una soluzione SASE possono includere la gestione delle priorità del traffico e funzionalità di self-healing.
La necessità di soluzioni SASE nasce dalla continua espansione della mobilità degli utenti e dell'adozione sempre maggiore, da parte delle organizzazioni, di servizi in cloud. In questo processo di evoluzione è necessario spostare l'attenzione alla sicurezza e i servizi di connettività considerandone anche i problemi di latenza e prestazioni.
In questo articolo illustreremo le principali funzionalità e i vantaggi di Microsoft Entra Private Access e Entra Internet Access, che contribuiscono ad evolvere Microsoft Entra a soluzione di Security Service Edge. Microsoft utilizza il termine Global Secure Access per riferirsi ad entrambe le soluzioni Internet Access e Private Access, dove la prima gestisce il traffico outbound (inteso come l'accesso dei propri utenti verso risorse Internet e applicazioni SaaS) mentre il secondo gestisce il traffico inbound (inteso come l'accesso dei propri utenti verso risorse private in Datacenter o IaaS/PaaS aziendali).
Le capacità della soluzione SSE di Entra sono possibili anche grazie all'uso della Wide Area Network (WAN) di Microsoft, che copre oltre 140 paesi con oltre 190 network edge location. Questa rete privata, una delle più grandi al mondo, consente alle organizzazioni di connettere utenti e dispositivi a risorse pubbliche e private in modo fluido e sicuro.
Microsoft Entra Internet Access è una soluzione identity-centrica di Secure Web Gateway che ha l'obiettivo di proteggere l'accesso a Internet e ai servizi SaaS utilizzati dall'organizzazione, compresi quelli di Microsoft 365. Internet Access estende le policy di Conditional Access con le capacità di distinguere nel traffico verso Internet e attività malevole o altre minacce. Nella gestione degli accessi ai servizi Microsoft 365 (funzionalità già disponibile in Public Preview), garantisce la massima sicurezza e visibilità, oltre a un accesso più rapido e semplice alle app Microsoft 365, grazie all'utilizzo della WAN Microsoft come proxy, a livello globale, in modo da poter servire qualsiasi utente, ovunque con le massime prestazioni.
La funzionalità di cloud-delivered Secure Web Gateway (SWG) per il controllo dell'acceso alle altre risorse Internet, tramite FQDN/URL filtering e Web Category filtering, è al momento ancora in Private Preview, ma permetterà, con la stessa logica, il controllo dei siti Internet acceduti dagli utenti aziendali, indipendentemente da dove operano (in sede oppure lavorando da remoto).
I vantaggi nell’adottare una soluzione SSE come Entra Internet Access sono quindi molteplici:
- definizione e gestione centralizzata delle policy di sicurezza tramite Conditional Access
- gestione e controllo del traffico di accesso alle risorse Microsoft 365;
- gestione e controllo del traffico di accesso a siti e applicazioni SaaS tramite regole di web content filtering
- utilizzo della rete WAN Microsoft come soluzione proxy a livello worldwide;
- protezione dell'esfiltrazione di dati bloccando l'accesso a servizi Microsoft 365 di un tenant diverso (supporto integrato alla Tenant Restriction v2).
- protezione dagli attacchi che riutilizzano token di autenticazione (token theft).
Microsoft Entra Private Access è invece una soluzione identity-centrica di Zero Trust Network Access (ZTNA) per rendere sicuro l'accesso a servizi applicativi o risorse private (intese come fornite dall'organizzazione stessa). Private Access riduce la complessità e i costi di gestione delle precedenti soluzioni VPN, poiché in grado di effettuare un serie di controlli di sicurezza molto più specifici nell'accesso alle singole risorse, anziché consentire l'accesso ad una specifica rete. Sempre grazie all'integrazione con le policy di Conditional Access, con Private Access è possibile effettuare controlli, nell'accesso ad ogni singola applicazione, sulla conformità di sicurezza del dispositivo, richiedendo la Multi-Factor Authentication nell'autenticazione utente, senza necessità di agire sulle singole applicazioni protette.
I principali vantaggi nell'adottare Entra Internet Access nell'ambito SSE sono:
- sostituzione delle VPN tradizionali o altre soluzioni per l'accesso ad applicazioni on-premise (reverse proxy, application gateway etc.);
- supporto per applicazioni on-premise e multi-cloud (Azure, AWS, Google);
- definizione e gestione centralizzata delle policy di sicurezza tramite Conditional Access;
- autenticazione anche del dispositivo di accesso, tramite policy di Conditional Access.
- definizione di policy specifiche per l'accesso ad ogni singola applicazione o servizio, invece dell'accesso a interi segmenti di rete;
- Supporto a tutte le applicazioni che comunicano tramite protocolli TCP/UDP, tra cui RDP, SSH, SMB (file & printer sharing), FTP, applicazioni ERP etc.;
Per consentire il controllo del traffico di Internet Access e Private Access in Windows 10 e Windows 11, il client di Global Secure Access acquisisce il traffico sul dispositivo, utilizzando un driver LWF (lightweight filter), mentre altre soluzioni SSE di terze parti si integrano come una connessione VPN (Virtual Private Network). Questa distinzione consente al Global Secure Access client di Microsoft di coesistere, se necessario, con altre soluzioni SASE di terze parti e assicurare un graduale passaggio.
Microsoft ha inoltre annunciato che in futuro sarà disponibile anche il supporto per dispositivi MacOS, Android e iOS nonché l'integrazione nativa con la soluzione EDR Microsoft Defender for Endpoint, che già supporta tutte queste piattaforme. In Windows 11, inoltre, le funzionalità di Global Secure Access client saranno integrate direttamente nel sistema operativo e quindi non sarà più richiesto uno specifico client.
Per i branch office, invece, sarà previsto in futuro il supporto tramite tunnel IPSec direttamente dai router, in modo da supportare tutti i dispostivi presenti nel sito remoto, senza avere la necessità del client installato sui singoli dispositivi.
Molte funzionalità di Entra Private Access e Entra Internet Access sono disponibili nell’ambito delle licenze Microsoft Entra Suite o come soluzioni acquistabili standalone.
Contattaci per effettuare una analisi delle tue esigenze e definire la soluzione più adatta per l'utilizzo di Microsoft Entra Internet Access e Private Access nella tua organizzazione.
*Articolo aggiornato il 16/09/2024