Gli attacchi alla sicurezza subìti negli ultimi mesi da grandi aziende ed enti italiani hanno in comune non solo perdite di dati riservati e richieste estorsive, ma anche il bersaglio prescelto dai criminali: il servizio di Active Directory (AD) che regola gli accessi di utenti e sistemi alle risorse informative aziendali. Attacchi spesso aiutati dalla trascuratezza con cui sono gestite le infrastrutture nel momento in cui l’apertura delle reti e il passaggio di buona parte del parco applicativo sui servizi in cloud hanno aumentano la complessità IT e distratto gli amministratori dalle buone pratiche di sicurezza sull’on-premise.
Con 22 anni di continuo sviluppo e di aggiornamenti da parte di Microsoft, Active Directory è oggi il tool per directory più diffuso e conosciuto al mondo. Un tool d’uso universale ma che, nella versione on-premise, risente della focalizzazione degli investimenti verso il cloud. Focalizzazione di cui non è estranea Microsoft che, pur mantenendo aggiornato AD assieme alle piattaforme Windows Server in on-premise, è impegnata nel potenziamento della costellazione dei servizi erogati in cloud e dove l’Azure Active Directory è la nuova porta d’accesso.
“Un cambiamento che crea le condizioni per un aumento delle vulnerabilità in molte reti aziendali”, precisa Bruno Filippelli, general manager di Semperis Italia, società partner di Microsoft, specializzata nella security degli ambienti AD . “Il sistema di directory può diventare bersaglio del cybercrime. Un bersaglio ambito perché permette all’attaccante di accreditarsi come utente legittimo, scalare privilegi d’accesso e accedere alle altre risorse informative aziendali”.
Indice degli argomenti
Active Directory: cosa cambia tra versioni on premise e in cloud
Un numero crescente di aziende ha rotto gli indugi e iniziato ad adottare i servizi di cloud in aree significative dei processi aziendali, investendo nelle migrazioni del patrimonio informativo esistente. Microsoft, al pari di altre software house globali, ha dedicato grande attenzione allo sviluppo del cloud e alla migrazione del portafoglio di applicazioni di produttività individuale e server nelle nuove logiche di servizio IaaS, SaaS e PaaS.
In questo processo che ridisegna e ricentralizza nel cloud le applicazioni distribuite, Active Directory continua a giocare il ruolo di gestore delle identità. Lo fa attraverso Azure Active Directory, strumento di directory ridisegnato e aggiornato nativamente per il cloud. Benché il nome sia uguale, le tecnologie impiegate e le modalità d’interazione del servizio in cloud sono differenti rispetto a quelle del tool on-premise.
“Differenze che riguardano le modalità operative – spiega Filippelli –, ma anche alcune personalizzazioni che, nella versione in cloud, sono precluse”. Le differenze possono far venir meno integrazioni che, nel corso del tempo, sono state realizzate per collegare software e i servizi di terze parti allo scopo di avere single sign-on e unificare la gestione. Le identità, ricordiamo, non riguardano soltanto le persone in carne e ossa che accedono ai sistemi, ma anche macchine utensili, sensori IoT, telecamere di sorveglianza e altri software (per esempio di front-end) che devono accreditarsi ai servizi server per scambiare dati ed essere operative.
“Va da sé che la migrazione dei servizi di directory in on-premise sull’AD in cloud risulti complessa – spiega Filippelli – e spesso anche rischiosa sotto il profilo della continuità operativa. Motivo che ha spinto molte aziende italiane a temporeggiare e a continuare utilizzare AD in on premise”.
La realtà delle directory ibride e i rischi per la security
“Per ridurre gli oneri delle migrazione al cloud ed evitare disservizi, molte realtà hanno scelto di adottare un approccio ibrido, dove il controllo delle identità è realizzato attraverso sistemi AD on-premise e Azure AD che operano insieme e sincronizzati tra loro”, spiega Filippelli. “È l’approccio che permette agli amministratori di continuare a gestire le identità in modo diretto, dal proprio data center”.
Una soluzione può rendere la directory aziendale vulnerabile all’azione del cybercrime se non si è fatta pulizia dei vecchi ID non più in uso, oppure di configurazioni pericolose per l’apertura all’esterna dei servizi. Mentre, da una parte, l’AD sul cloud Azure risulta più protetto di quello on-premise dagli attacchi fisici (perché ospitato sull’infrastruttura cloud del provider) dall’altra, resta vulnerabile sul fronte della sicurezza logica o della perdita di credenziali. È il motivo per cui, a prescindere dall’interesse dell’azienda nel voler continuare a investire sulle applicazioni on-premise, è necessario un approccio strategico per la tutela degli ambienti AD.
In sintesi: Active Directory in on-premise o in cloud?
Per le realtà aziendali più giovani che hanno la possibilità di decidere oggi le tecnologie su cui investire, il problema non si pone. Azure Active Directory è la scelta d’elezione per un sistema di directory moderno, nativamente integrato con i servizi di cloud e garantito sotto il profilo dei futuri sviluppi.
La realtà è diversa per le aziende più mature, dove l’impiego dell’Active Directory è iniziato anni o decenni orsono con l’utilizzo di Windows Server e le applicazioni dipartimentali basate su SQL Server, Exchange e gli altri server software della gamma Microsoft.
In questi ambiti l’AD è l’infrastruttura sulla quale è basato il controllo dell’ambiente informativo, con configurazioni e personalizzazioni stratificate nel tempo e sulle quali non è facile mettere le mani.
Va da sé che in molte di queste realtà possa aver senso ritardare la migrazione o continuare a utilizzare l’AD in on-premise. Una scelta condivisa da aziende che adottano strategie multicloud e non vogliono legarsi a uno specifico fornitore per i servizi di directory. “È il motivo per cui, al di fuori delle emergenze create dagli attacchi in corso, i clienti decidono di ricorrere al nostro software”, spiega ancora Filippelli. “Soluzioni per l’assessment delle vulnerabilità presenti nel sistema di directory quindi per fare un monitoraggio continuo capace di garantire maggiore sicurezza, sia nell’uso on-premise sia ibrido negli ambienti cloud Azure”.
Contributo editoriale sviluppato in collaborazione con Semperis Italia
