Seguridad e identidad multinube con Azure y Amazon Web Services (AWS)
Muchas organizaciones se encuentran con una estrategia multinube de facto, aunque no fuera su intención estratégica deliberada. En un entorno multinube, es fundamental garantizar experiencias en seguridad e identidad coherentes para evitar una mayor fricción para desarrolladores e iniciativas empresariales, y un mayor riesgo de la organización ante los ciberataques que aprovechan las brechas de seguridad.
La coherencia relacionada con la seguridad y la identidad entre nubes debe incluir:
- Integración de identidades de varias nubes
- Autenticación sólida y validación de confianza explícita
- Seguridad de las plataformas en la nube (multinube)
- Microsoft Defender for Cloud
- Privileged Identity Management (Azure)
- Administración de identidades coherente de un extremo a otro
Integración de identidades de varias nubes
Los clientes que usan las plataformas en la nube de Azure y AWS se benefician de la consolidación de los servicios de identidad entre estas dos nubes mediante Microsoft Entra ID y los servicios de inicio de sesión único (SSO). Este modelo permite un plano de identidad consolidado mediante el cual se puede acceder y controlar de forma coherente el acceso a los servicios de ambas nubes.
Este enfoque permite que los controles de acceso basados en roles enriquecidos en el ID de Microsoft Entra se habiliten en los servicios de administración de identidades y accesos (IAM) de AWS mediante reglas para asociar los atributos user.userprincipalname y user.assignrole de Microsoft Entra ID en los permisos IAM. Este enfoque reduce el número de identidades únicas que los usuarios y administradores deben mantener en ambas nubes, incluida una consolidación de la identidad por diseño de cuenta que usa AWS. La solución de IAM de AWS permite e identifica específicamente Microsoft Entra ID como una federación y un origen de autenticación para sus clientes.
En Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con Amazon Web Services (AWS) puede encontrar un tutorial completo de esta integración.
Autenticación sólida y validación de confianza explícita
Dado que muchos clientes continúan admitiendo un modelo de identidades híbrido para los servicios de Active Directory, es cada vez más importante que los equipos de ingeniería de seguridad implementen soluciones de autenticación sólida y bloqueen métodos de autenticación heredados asociados principalmente con tecnologías locales y heredadas de Microsoft.
Una combinación de la autenticación multifactor y de directivas de acceso condicional permite mejorar la seguridad de los escenarios de autenticación habituales para los usuarios finales de la organización. Aunque la autenticación multifactor proporciona un alto nivel de seguridad a la hora confirmar las autenticaciones, se pueden aplicar controles adicionales mediante los controles de las directivas de acceso condicional para bloquear la autenticación heredada en entornos de nube de Azure y AWS. Una autenticación sólida que use únicamente clientes de autenticación modernos solo es posible con la combinación de la autenticación multifactor y las directivas de acceso condicional.
Seguridad de las plataformas en la nube (multinube)
Una vez que se ha establecido una identidad común en el entorno multinube, se puede usar el servicio Cloud Platform Security (CPS) de Microsoft Defender for Cloud Apps para detectar, supervisar, evaluar y proteger esos servicios. Con el panel de Cloud Discovery, el personal de operaciones de seguridad puede revisar las aplicaciones y los recursos que se usan en las plataformas en la nube de AWS y Azure. Una vez que se revisa y autoriza el uso de los servicios, estos se pueden administrar como aplicaciones empresariales en Microsoft Entra ID para habilitar el modo de inicio de sesión único de Lenguaje de Marcado para Confirmaciones de Seguridad (SAML), basado en contraseña y vinculado para comodidad de los usuarios.
CPS también proporciona la posibilidad de evaluar las plataformas en la nube conectadas para detectar configuraciones erróneas y problemas de cumplimiento normativo mediante controles de configuración y seguridad recomendados específicos del proveedor. Este diseño permite a las organizaciones mantener una única vista consolidada de todos los servicios de plataforma en la nube y su estado en relación con el cumplimiento.
CPS proporciona también directivas control de acceso y de sesiones para evitar y proteger su entorno de puntos de conexión o usuarios de riesgo cuando surgen problemas de filtración de datos o de archivos malintencionados en esas plataformas.
Microsoft Defender for Cloud
Microsoft Defender for Cloud proporciona administración de seguridad unificada y protección contra amenazas en las cargas de trabajo híbridas y en varias nubes, incluidas las cargas de trabajo de Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP). Defender for Cloud le ayuda a encontrar y corregir los puntos vulnerables de seguridad, aplicar controles de acceso y de aplicación para bloquear actividades malintencionadas, detectar amenazas mediante análisis e inteligencia, y responder rápidamente en caso de ataque.
Para proteger sus recursos basados en AWS en Microsoft Defender for Cloud, puede conectar una cuenta con la experiencia de los conectores de la nube clásica o la página de configuración del entorno (en la versión preliminar), que se recomienda.
Privileged Identity Management (Azure)
Para limitar y controlar el acceso de las cuentas con más privilegios en Microsoft Entra ID, es posible habilitar Privileged Identity Management (PIM) para proporcionar acceso cuando es necesario a los servicios de Azure. Una vez implementado, Privileged Identity Management se puede usar para controlar y limitar el acceso mediante el modelo de asignación para roles, eliminar el acceso persistente a estas cuentas con privilegios y proporcionar detección y supervisión adicionales de los usuarios con estos tipos de cuenta.
En combinación con Microsoft Sentinel, se pueden establecer libros y cuadernos de estrategias para supervisar y enviar alertas al personal del centro de operaciones de seguridad cuando se produce un desplazamiento lateral de las cuentas que se han puesto en peligro.
Administración de identidades coherente de un extremo a otro
Asegúrese de que todos los procesos incluyen una vista general de todas las nubes, así como de los sistemas locales, y que el personal de identidad y seguridad está formado en estos procesos.
El uso de una única identidad en Microsoft Entra ID, cuentas de AWS y servicios locales permite esta estrategia de un extremo a otro y una mayor seguridad y protección de las cuentas con y sin privilegios. Los clientes que actualmente quieran reducir la carga que supone mantener varias identidades en su estrategia multinube adoptan Microsoft Entra ID para proporcionar un control, auditoría y detección coherentes y seguros de las anomalías y el abuso de identidades en su entorno.
El crecimiento continuo de nuevas funcionalidades en el ecosistema de Microsoft Entra le ayuda a mantenerse al día de las amenazas al entorno como resultado del uso de identidades como un plano de control común en los entornos multinube.
Pasos siguientes
- Microsoft Entra B2B: permite el acceso a las aplicaciones corporativas desde identidades administradas por asociados.
- Azure Active Directory B2C compatibilidad de la oferta de servicio con el inicio de sesión único y la administración de usuarios para aplicaciones orientadas a los consumidores.
- Servicios de dominio de Microsoft Entra: servicio de controlador de dominio hospedado que permite la funcionalidad de administración de usuarios y la unión a dominios compatibles de Active Directory.
- Introducción a la seguridad de Microsoft Azure
- Procedimientos recomendados para la administración de identidades y la seguridad del control de acceso en Azure
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de