Entorno de administración de seguridad mejorada

  • Artículo

La arquitectura del entorno de administración de seguridad mejorada (ESAE) (a menudo denominada bosque rojo, bosque administrativo o bosque protegido) es una estrategia heredada para proporcionar un entorno seguro para las identidades de administrador de Windows Server Active Directory (AD).

La recomendación de Microsoft de usar este patrón arquitectónico se ha reemplazado por la estrategia de acceso con privilegios moderna y la guía del plan de modernización rápida (RAMP) como estrategia predeterminada recomendada para proteger a los usuarios con privilegios. Esta guía está pensada para ser inclusiva de adaptar una estrategia más amplia para avanzar hacia una arquitectura de Confianza cero. Dadas estas estrategias modernizadas, la arquitectura de bosque administrativo reforzado ESAE (en las instalaciones o basada en la nube) se considera ahora una configuración personalizada adecuada sólo para casos excepcionales.

Escenarios de uso continuado

Aunque ya no es una arquitectura recomendada, ESAE (o componentes individuales en ella) todavía puede ser válido en un conjunto limitado de escenarios exentos. Normalmente, estos entornos locales están aislados en los que los servicios en la nube pueden no estar disponibles. Este escenario puede incluir infraestructura crítica u otros entornos de tecnología operativa desconectada (OT). Sin embargo, debe tenerse en cuenta que los segmentos sistema de control industrial/control de supervisión y adquisición de datos (ICS/SCADA) del entorno no suelen usar su propia implementación de Active Directory.

Si la organización se encuentra en uno de estos escenarios, el mantenimiento de una arquitectura ESAE implementada actualmente en su totalidad puede seguir siendo válida. Sin embargo, debe entenderse que su organización incurre en un riesgo adicional debido al aumento de la complejidad técnica y los costos operativos del mantenimiento de ESAE. Microsoft recomienda que cualquier organización que siga usando ESAE u otros controles de seguridad de identidad heredados aplique un rigor adicional para supervisar, identificar y mitigar los riesgos asociados.

Nota:

Aunque Microsoft ya no recomienda un modelo de bosque aislado para la mayoría de los escenarios en la mayoría de las organizaciones, todavía opera una arquitectura similar internamente (y procesos de soporte técnico y personal asociados) debido a los requisitos de seguridad extremos para proporcionar servicios en la nube de confianza a organizaciones de todo el mundo.

Guía para implementaciones existentes

Los clientes que ya han implementado esta arquitectura para mejorar la seguridad o simplificar la administración de varios bosques, no deben tener prisa por retirar o reemplazar una implementación de ESAE si funciona según lo previsto y diseñado. Al igual que con cualquier sistema empresarial, debe mantener el software en con actualizaciones de seguridad y asegurándose de que el software está en el plazo cubierto por el soporte técnico.

Microsoft también recomienda que las organizaciones con ESAE o bosques con seguridad adopten la estrategia de acceso con privilegios moderna mediante la guía del plan de modernización rápida (RAMP). Esta guía complementa una implementación de ESAE existente y proporciona la seguridad adecuada para los roles que aún no están protegidos por ESAE, incluidos los administradores globales de Microsoft Entra, los usuarios empresariales confidenciales y los usuarios empresariales estándar. Para más información, consulte el artículo Niveles de seguridad de acceso con privilegios.

Cuando ESAE se diseñó originalmente, hace más de 10 años, el objetivo eran los entornos locales con Active Directory (AD) como proveedor local de identidades. Este enfoque heredado se basa en técnicas de segmentación de macros para lograr privilegios mínimos y no tiene en cuenta adecuadamente los entornos híbridos o basados en la nube. Además, las implementaciones de bosque protegidos y ESAE solo se centran en proteger los administradores locales de Windows Server Active Directory (identidades) y no tienen en cuenta los controles de identidad específicos y otras técnicas contenidas en los pilares restantes de una arquitectura moderna de confianza cero. Microsoft ha actualizado su recomendación hacia las soluciones basadas en la nube porque pueden implementarse más rápidamente para proteger un ámbito más amplio de funciones y sistemas administrativos y sensibles para la empresa. Además, son menos complejos, escalables y requieren menos inversión de capital para mantener.

Nota:

Aunque ESAE ya no se recomienda en su totalidad, Microsoft se da cuenta de que muchos componentes individuales contenidos en ella se definen como una buena higiene cibernética (por ejemplo, estaciones de trabajo de acceso con privilegios dedicadas). El desuso de ESAE no está pensado para impulsar a las organizaciones a abandonar buenas prácticas de higiene cibernética, solo para reforzar las estrategias arquitectónicas actualizadas para proteger las identidades privilegiadas.

Ejemplos de buenas prácticas de higiene cibernética en ESAE que son aplicables a la mayoría de las organizaciones

  • Uso de estaciones de trabajo de acceso con privilegios (PAW) para todas las actividades administrativas
  • Exigir autenticación multifactor o basada en tokens (MFA) para credenciales administrativas, incluso si no se usa ampliamente en todo el entorno
  • Aplicación del modelo de privilegios mínimos administrativos a través de la evaluación regular de la pertenencia a grupos o roles (aplicada por una directiva organizativa sólida)

Procedimiento recomendado para proteger AD local

Como se describe en Escenarios para uso continuado, puede haber circunstancias en las que la migración a la nube no sea accesible (parcial o completa) debido a distintas circunstancias. Para estas organizaciones, si aún no tienen una arquitectura ESAE existente, Microsoft recomienda reducir la superficie expuesta a ataques de AD local mediante el aumento del rigor de seguridad para Active Directory y las identidades con privilegios. Aunque no es una lista exhaustiva, tenga en cuenta las siguientes recomendaciones de alta prioridad.

  • Use un enfoque por niveles que implemente el modelo administrativo con privilegios mínimos:
    • Aplicar privilegios mínimos absolutos.
    • Detectar, revisar y auditar identidades con privilegios (vínculo seguro a la directiva de la organización).
      • La concesión excesiva de privilegios es uno de los problemas más identificados en entornos evaluados.
    • MFA para cuentas administrativas (incluso si no se usa ampliamente en todo el entorno).
    • Roles con privilegios basados en tiempo (reducir cuentas excesivas, reforzar los procesos de aprobación).
    • Habilite y configure todas las auditorías disponibles para las identidades con privilegios (notificación de habilitación/deshabilitación, restablecimiento de contraseña y otras modificaciones).
  • Uso de estaciones de trabajo con privilegios de acceso (PAW):
    • No administre PAW desde un host de menos confianza.
    • Use MFA para acceder a PAW.
    • No olvide la seguridad física.
    • Asegúrese siempre de que las PAW ejecutan los sistemas operativos más recientes o compatibles actualmente.
  • Comprender las rutas de acceso a ataques y las cuentas o aplicaciones de alto riesgo:
    • Priorice la supervisión de identidades y sistemas que suponen el mayor riesgo (objetivos de oportunidad o alto impacto).
    • Erradique la reutilización de contraseñas, incluidos los límites del sistema operativo (técnica de movimiento lateral común).
    • Aplique directivas que restrinjan las actividades que aumentan el riesgo (navegación por Internet desde estaciones de trabajo protegidas, cuentas de administrador local en varios sistemas, etc.).
    • Reduzca las aplicaciones en Active Directory o Controladores de dominio (cada aplicación agregada es superficie expuesta a ataques adicional).
      • Elimine las aplicaciones innecesarias.
      • Si es posible, las aplicaciones siguen siendo necesarias para otras cargas de trabajo fuera de / DC.
  • Copia de seguridad inmutable de Active Directory:
    • Componente crítico para la recuperación de la infección por ransomware.
    • Programación de copia de seguridad normal.
    • Se almacena en una ubicación fuera de la nube o basada en la nube determinada por el plan de recuperación ante desastres.
  • Realice una evaluación de la seguridad de Active Directory:
    • La suscripción de Azure es necesaria para ver los resultados (panel personalizado de Log Analytics).
    • Ofertas admitidas por ingenieros de Microsoft o a petición.
    • Valide o identifique las instrucciones de la evaluación.
    • Microsoft recomienda realizar evaluaciones de forma anual.

Para obtener instrucciones completas sobre estas recomendaciones, revise los procedimientos recomendados para proteger Active Directory.

Recomendaciones complementarias

Microsoft reconoce que algunas entidades pueden no ser capaces de implementar completamente una arquitectura de confianza cero basada en la nube debido a restricciones variables. Algunas de estas restricciones se mencionaron en la sección anterior. En lugar de una implementación completa, las organizaciones pueden abordar el riesgo y avanzar hacia confianza cero, a la vez que mantienen los equipos o arquitecturas heredados en el entorno. Además de las instrucciones mencionadas anteriormente, las siguientes funcionalidades pueden ayudar a reforzar la seguridad de su entorno y servir como punto de partida para adoptar una arquitectura de confianza cero.

Microsoft Defender for Identity (MDI)

Microsoft Defender for Identity (MDI) (antes Azure Advanced Threat Protection o ATP) respalda la arquitectura de confianza cero de Microsoft y se centra en el pilar de identidad. Esta solución basada en la nube usa señales de AD local y Microsoft Entra ID para identificar, detectar e investigar amenazas que implican identidades. MDI supervisa estas señales para identificar comportamientos anómalos y malintencionados de usuarios y entidades. En particular, MDI facilita la capacidad de visualizar la ruta de desplazamiento lateral de un adversario resaltando cómo se pueden usar las cuentas dadas si se ponen en peligro. Los análisis de comportamiento y las características de línea de base de usuario de MDI son elementos clave para determinar la actividad anómala dentro del entorno de AD.

Nota:

Aunque MDI recopila señales de AD local, requiere una conexión basada en la nube.

Microsoft Defender para Internet de las cosas (D4IoT)

Además de otras instrucciones descritas en este documento, las organizaciones que operan en uno de los escenarios mencionados anteriormente podrían implementar Microsoft Defender para IoT (D4IoT). Esta solución incluye un sensor de red pasivo (virtual o físico) que permite la detección de recursos, la administración del inventario y el análisis de comportamiento basado en riesgos para entornos de Internet de las cosas (IoT) y tecnología operativa (OT). Se puede implementar en entornos locales con conexión inalámbrica o conectada a la nube y tiene la capacidad de realizar una inspección profunda de paquetes en más de 100 protocolos de red propietarios ICS/OT.

Pasos siguientes

Consulte los artículos siguientes:

  1. Estrategia de acceso con privilegios
  2. Plan de modernización rápida de la seguridad (RAMP)
  3. Procedimientos recomendados para proteger Active Directory