Niveles de seguridad de acceso con privilegios
En este documento se describen los niveles de seguridad de una estrategia de acceso con privilegios. Para obtener un plan de desarrollo sobre cómo adoptar esta estrategia, consulte el plan de modernización rápida (RaMP). Para obtener instrucciones de implementación, consulte implementación del acceso con privilegios.
Estos niveles están diseñados principalmente para proporcionar instrucciones técnicas sencillas y directas a fin de que las organizaciones puedan implementar rápidamente estas protecciones de importancia crítica. La estrategia de acceso con privilegios reconoce que las organizaciones tienen necesidades únicas, pero también que las soluciones personalizadas generan dificultades que dan lugar a mayores costos y una menor seguridad con el tiempo. Para equilibrar estas necesidades, la estrategia proporciona instrucciones prescriptivas consistentes para cada nivel y flexibilidad al permitir que las organizaciones elijan cuándo se necesitará cada rol para cumplir los requisitos de ese nivel.
Simplificar las cosas ayuda a los usuarios a comprenderlas y reduce el riesgo de que se confundan y cometan errores. Aunque la tecnología subyacente casi siempre es compleja, resulta fundamental mantener las cosas sencillas, en lugar de crear soluciones personalizadas a las que sea difícil proporcionar soporte técnico. Para más información, consulte Principios de diseño de seguridad.
Diseñar soluciones centradas en las necesidades de los administradores y los usuarios finales mantendrá las cosas sencillas para ellos. Diseñar soluciones sencillas para que el personal de seguridad y TI las cree, evalúe y mantenga (con automatización siempre que sea posible) conduce a menos errores de seguridad y garantías de seguridad más confiables.
La estrategia de seguridad de acceso con privilegios recomendada implementa un sencillo sistema de garantías de tres niveles que abarca varias áreas, diseñadas para ser fáciles de implementar: cuentas, dispositivos, intermediarios e interfaces.
Cada nivel sucesivo aumenta los costos del atacante, con un nivel adicional de inversión de Defender for Cloud. Los niveles están diseñados para tener como objetivo las "zonas óptimas" en las que los defensores obtienen el máximo rendimiento (aumento del costo de los atacantes) por cada inversión en seguridad que realizan.
Cada rol del entorno debe asignarse a uno de estos niveles (y, opcionalmente, aumentarse con el tiempo como parte de un plan de mejora de la seguridad). Cada perfil se define claramente como una configuración técnica y se automatiza siempre que es posible para facilitar la implementación y acelerar las protecciones de seguridad. Para más información acerca de la implementación, consulte el artículo Plan de desarrollo del acceso con privilegios.
Niveles de seguridad
Los niveles de seguridad utilizados en esta estrategia son los siguientes:
Empresa
La seguridad empresarial es adecuada para todos los usuarios empresariales y escenarios de productividad. En el desarrollo del plan de modernización rápida, la empresa también sirve como punto inicial para el acceso especializado y con privilegios, ya que se están basados progresivamente en los controles de seguridad de la seguridad empresarial.
Nota:
Existen configuraciones de seguridad menos seguras, pero Microsoft no las recomienda actualmente para las organizaciones empresariales debido a las aptitudes y recursos que están a disposición de los atacantes. Para obtener información acerca de lo que los atacantes pueden comprar entre sí en los mercados negros y los precios promedio, consulte el vídeo Top 10 Best Practices for Azure Security (10 procedimientos recomendados principales para la seguridad de Azure).
Especializada
La seguridad especializada proporciona controles de seguridad mejorada para los roles que tienen un impacto empresarial elevado (si un atacante o un infiltrado malintencionado los ponen en peligro).
Su organización debe tener criterios documentados para las cuentas especializadas y con privilegios (por ejemplo, el posible impacto empresarial es de más de 1 millón USD) y, a continuación, para identificar todos los roles y cuentas que cumplen esos criterios. (Estos se usan a lo largo de esta estrategia, incluso en las cuentas especializadas)
Los roles especializados suelen incluir:
- Desarrolladores de sistemas críticos para la empresa.
- Roles empresariales confidenciales, como los usuarios de terminales SWIFT, investigadores con acceso a datos confidenciales, personal con acceso a informes financieros antes de la divulgación pública, administradores de nóminas, aprobadores para procesos empresariales confidenciales y otros roles de alto impacto.
- Ejecutivos y asistentes personales o administrativos que periódicamente administran información confidencial.
- Cuentas de redes sociales de alto impacto que podrían dañar la reputación de la empresa.
- Administradores de TI confidencial con un impacto y privilegios significativos, pero no en toda la empresa. Este grupo normalmente incluye a los administradores de cargas de trabajo individuales de alto impacto. (Por ejemplo, los administradores de planeamiento de recursos empresariales, administradores de banca, roles de soporte técnico o del departamento de soporte técnico, etc.)
La seguridad de las cuentas especializadas también sirve como paso provisional para la seguridad con privilegios, que se basa en estos controles. Consulte el plan de desarrollo de acceso con privilegios para obtener más información acerca del orden recomendado de desarrollo.
Privileged
La seguridad con privilegios es el nivel de seguridad más alto y está diseñado para roles que podrían causar fácilmente incidentes importantes y posibles daños materiales a la organización en manos de un atacante o un infiltrado malintencionado. Este nivel normalmente incluye roles técnicos con permisos administrativos en la mayoría o en todos los sistemas empresariales (y, a veces, incluye algunos roles críticos para la empresa).
Las cuentas con privilegios se centran principalmente en la seguridad y definen la productividad como la capacidad de realizar de manera fácil y segura las tareas de trabajo confidenciales. Estos roles no tendrán la capacidad de realizar trabajos confidenciales y tareas de productividad generales (navegar por la web, instalar y usar cualquier aplicación) con la misma cuenta, dispositivo o estación de trabajo. Tendrán cuentas y estaciones de trabajo altamente restringidas con una mayor supervisión de sus acciones para detectar la actividad anómala que podría representar actividades de atacantes.
Los roles de seguridad de acceso con privilegios suelen incluir:
- Administradores globales de Microsoft Entra y funciones relacionadas
- Otros roles de administración de identidades con derechos administrativos en un directorio empresarial, en sistemas de sincronización de identidades, soluciones de federación, directorios virtuales, sistemas de administración de identidades y acceso con privilegios o similares.
- Roles con pertenencia a estos grupos de Active Directory local
- Administradores de la empresa
- Admins. del dominio
- Administrador de esquema
- BUILTIN\Administradores
- Operadores de cuentas
- Operadores de copias de seguridad
- Operadores de impresión
- Operadores de servidores
- Controladores de dominio
- Controladores de dominio de solo lectura
- Propietarios del creador de directivas de grupo
- Operadores criptográficos
- Usuarios de COM distribuido
- Grupos de Exchange locales confidenciales (incluidos los permisos de Windows de Exchange y el subsistema de confianza de Exchange).
- Otros grupos delegados: los grupos personalizados que puede crear la organización para administrar operaciones de directorio.
- Cualquier administrador local de un sistema operativo subyacente o un inquilino de servicio en la nube que hospede las funcionalidades anteriores, incluidos
- Miembros del grupo local de administradores.
- Personal que conoce la contraseña de administrador raíz o integrada.
- Administradores de cualquier herramienta de administración o seguridad con agentes instalados en dichos sistemas.