Protección de la solución de identidad de Azure Active Directory B2C
Artículo
En este artículo se proporcionan los procedimientos recomendados para proteger la solución de Azure Active Directory B2C (Azure AD B2C). Para compilar la solución de identidad mediante Azure AD B2C, hay muchos componentes que debe considerar en cuanto a la protección y supervisión.
En función de la solución, tiene uno o varios de los siguientes componentes en el ámbito:
Debe proteger y supervisar todos estos componentes para asegurarse de que los usuarios puedan iniciar sesión en aplicaciones sin interrupciones. Siga las instrucciones de este artículo para proteger la solución frente a ataques de bots, la creación de cuentas fraudulentas, el fraude de acciones de ingresos internacionales (ISRF) y la difusión de contraseñas.
Cómo proteger la solución
La solución de identidad usa varios componentes para proporcionar una experiencia de inicio de sesión fluida. En la tabla siguiente se muestran los mecanismos de protección que se recomiendan para cada componente.
Componente
Punto de conexión
Por qué
Cómo proteger
Puntos de conexión de autenticación de Azure AD B2C
En la tabla siguiente se proporciona información general sobre los diferentes mecanismos de protección que puede usar para proteger distintos componentes.
Qué
Por qué
Cómo
Firewall de aplicaciones web (WAF)
WAF actúa como primera capa de defensa frente a solicitudes malintencionadas realizadas a puntos de conexión de Azure AD B2C. Proporciona una protección centralizada contra vulnerabilidades y vulnerabilidades comunes, como DDoS, bots, OWASP Top 10, etc. Se recomienda usar WAF para asegurarse de que las solicitudes malintencionadas se detienen incluso antes de llegar a los puntos de conexión de Azure AD B2C.
AFD es un punto de entrada global y escalable que usa la red perimetral global de Microsoft para crear aplicaciones web rápidas, seguras y muy escalables. Las funcionalidades clave de AFD son:
Puede agregar o quitar dominios personalizados en forma de autoservicio
Experiencia simplificada de administración de certificados
Puede traer su propio certificado y recibir una alerta de expiración de certificados con una buena experiencia de rotación a través de Azure Key Vault
Certificado aprovisionado por AFD para el aprovisionamiento y la autorización más rápidos a la expiración
Verificación y corrección de identidades & / Fraud Protection
La comprobación y la corrección de identidades son fundamentales para crear una experiencia de usuario de confianza y proteger contra la adquisición de cuentas y la creación fraudulenta de cuentas. También contribuye a la higiene de los inquilinos asegurándose de que los objetos de usuario reflejen los usuarios reales, y que se alinean con los escenarios empresariales.
Azure AD B2C permite la integración de la comprobación y la corrección de identidades, así como la protección contra fraudes de varios asociados de proveedores de software.
Identity Protection proporciona detección de riesgos en curso. Cuando se detecta un riesgo durante el inicio de sesión, puede configurar la directiva condicional de Azure AD B2C para permitir al usuario corregir el riesgo antes de continuar con el inicio de sesión. Los administradores también pueden usar informes de protección de identidades para revisar los usuarios de riesgo que están en riesgo y revisar los detalles de detección. El informe de detecciones de riesgos incluye información sobre cada detección de riesgos, como su tipo y la ubicación del intento de inicio de sesión, etc. Los administradores también pueden confirmar o denegar que el usuario está en peligro.
Cuando un usuario intenta iniciar sesión, la entidad de certificación recopila varias señales, como los riesgos de la protección de identidades, para tomar decisiones y aplicar directivas organizativas. La entidad de certificación puede ayudar a los administradores a desarrollar directivas que sean coherentes con la posición de seguridad de su organización. Las directivas pueden incluir la capacidad de bloquear completamente el acceso de usuario o proporcionar acceso después de que el usuario haya completado otra autenticación como MFA.
La MFA agrega una segunda capa de seguridad al proceso de registro e inicio de sesión y es un componente esencial para mejorar la posición de seguridad de la autenticación de usuario en Azure AD B2C. La aplicación Authenticator - TOTP es el método de MFA recomendado en Azure AD B2C.
Administración de eventos e información de seguridad (SIEM)/ Orquestación de seguridad, automatización y respuesta (SOAR)
Necesita un sistema de supervisión y alertas confiable para analizar patrones de uso, como inicios de sesión y registros, y detectar cualquier comportamiento anómalo que pueda ser indicativo de un ciberataque. Es un paso importante que agrega una capa adicional de seguridad. También puede comprender patrones y tendencias que solo se pueden capturar y crear a lo largo del tiempo. Las alertas ayudan a determinar factores como la tasa de cambio en los inicios de sesión generales, un aumento de los inicios de sesión con errores, los recorridos de registro erróneos, y los fraudes basados en teléfono, como ataques IRSF, etc. Todos ellos pueden ser indicadores de un ciberataque continuo que requiere atención inmediata. Azure AD B2C admite el registro de alto nivel y específico, así como la generación de informes y alertas. Se recomienda implementar la supervisión y las alertas en todos los inquilinos de producción.
Azure AD B2C permite conectarse a sistemas externos mediante los conectores de API o el perfil técnico de la API de REST. Debe proteger estas interfaces. Puede evitar solicitudes malintencionadas a las API de REST mediante la protección de los puntos de conexión de autenticación de Azure AD B2C. Puede proteger estos puntos de conexión con un WAF y AFD.
Escenario 1: Protección de la experiencia de inicio de sesión
Después de crear una experiencia de inicio de sesión o un flujo de usuario, deberá proteger componentes específicos del flujo frente a actividades malintencionadas. Por ejemplo, si el flujo de inicio de sesión implica lo siguiente, en la tabla se muestran los componentes que necesita proteger y la técnica de protección asociada:
Autenticación de contraseña y correo electrónico de cuenta local
Autenticación multifactor de Microsoft Entra mediante SMS o llamada telefónica
Componente
Punto de conexión
Cómo proteger
Puntos de conexión de autenticación de Azure AD B2C
Escenario 2: Protección de la experiencia de registro
Después de crear una experiencia de registro o un flujo de usuario, debe proteger componentes específicos del flujo frente a actividades malintencionadas. Si el flujo de inicio de sesión implica lo siguiente, en la tabla se muestran los componentes que necesita proteger y la técnica de protección asociada:
Correo electrónico de cuenta local y registro de contraseña
Comprobación de correo electrónico mediante OTP de correo electrónico
Autenticación multifactor de Microsoft Entra mediante SMS o llamada telefónica
Componente
Punto de conexión
Cómo proteger
Puntos de conexión de autenticación de Azure AD B2C
En este escenario, el uso de los mecanismos de protección de WAF y AFD protege los puntos de conexión de autenticación de Azure AD B2C y los componentes OTP de correo electrónico.
La autenticación multifactor ayuda a proteger el entorno y los recursos, ya que requiere que los usuarios confirmen su identidad mediante varios métodos de autenticación, como una llamada de teléfono, un mensaje de texto, una notificación de aplicación móvil o una contraseña de un solo uso. Puede usar la autenticación multifactor tanto en el entorno local como en la nube para agregar seguridad para acceder a Microsoft servicios en línea, aplicaciones de acceso remoto, etc. Esta ruta de aprendizaje proporcio
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.
