Compartir a través de


Control de seguridad v3: Administración de identidades

Identity Management cubre los controles para establecer una identidad segura y controles de acceso mediante Azure Active Directory, incluido el uso de inicio de sesión único, autenticaciones seguras, identidades administradas (y entidades de servicio) para aplicaciones, acceso condicional y supervisión de anomalías de cuentas.

IM-1: Uso del sistema de autenticación e identidad centralizado

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
6,7, 12,5 AC-2, AC-3, IA-2, IA-8 7.2, 8.3

Principio de seguridad: use un sistema de autenticación e identidad centralizado para controlar las identidades y autenticaciones de su organización para los recursos en la nube y no en la nube.

Guía de Azure: Azure Active Directory (Azure AD) es el servicio de administración de identidades y autenticación de Azure. Debe estandarizar en Azure AD para controlar la identidad y la autenticación de su organización en:

  • Recursos en la nube de Microsoft, como Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
  • Los recursos de la organización, como las aplicaciones de Azure, las aplicaciones de terceros que se ejecutan en los recursos de red corporativa y las aplicaciones SaaS de terceros.
  • Las identidades empresariales de Active Directory se sincronizan con Azure AD para garantizar una estrategia de identidad administrada de forma coherente y centralizada.

Nota: En cuanto sea técnicamente factible, debe migrar aplicaciones locales basadas en Active Directory a Azure AD. Esto podría ser un directorio empresarial de Azure AD, una configuración empresarial a negocio o una configuración de negocio a consumidor.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

IM-2: Protección de sistemas de identidad y autenticación

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
5.4, 6.5 AC-2, AC-3, IA-2, IA-8, SI-4 8.2, 8.3

Principio de seguridad: proteja la identidad y el sistema de autenticación como prioridad alta en la práctica de seguridad en la nube de su organización. Entre los controles de seguridad comunes se incluyen:

  • Restricción de roles y cuentas con privilegios
  • Requerir autenticación segura para todo el acceso con privilegios
  • Supervisar y auditar actividades de alto riesgo

Guía de Azure: use la línea de base de seguridad de Azure AD y la puntuación de seguridad de identidad de Azure AD para evaluar la posición de seguridad de la identidad de Azure AD y corregir las brechas de seguridad y configuración. La puntuación de seguridad de identidad de Azure AD evalúa Azure AD para las siguientes configuraciones: -Use roles administrativos limitados

  • Activar la directiva de riesgo de usuario
  • Designar más de un administrador global
  • Habilitación de la directiva para bloquear la autenticación heredada
  • Asegurarse de que todos los usuarios pueden completar la autenticación multifactor para el acceso seguro
  • Requerir MFA para roles administrativos
  • Habilitar el autoservicio de restablecimiento de contraseña
  • No expirar las contraseñas
  • Activar la política de riesgo de inicio de sesión
  • No permitir que los usuarios concedan consentimiento a aplicaciones no administradas

Nota: Siga los procedimientos recomendados publicados para todos los demás componentes de identidad, incluidos Active Directory local y cualquier funcionalidad de terceros, y las infraestructuras (como sistemas operativos, redes, bases de datos) que las hospedan.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

IM-3: Administrar identidades de aplicación de forma segura y automática

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
No disponible AC-2, AC-3, IA-4, IA-5, IA-9 No disponible

Principio de seguridad: use identidades de aplicación administradas en lugar de crear cuentas humanas para que las aplicaciones accedan a los recursos y ejecuten código. Las identidades de aplicación administradas proporcionan ventajas como reducir la exposición de las credenciales. Automatice la rotación de credenciales para garantizar la seguridad de las identidades.

Guía de Azure: use identidades administradas de Azure, que se pueden autenticar en servicios y recursos de Azure que admiten la autenticación de Azure AD. Las credenciales de identidad administrada están totalmente administradas, rotadas y protegidas por la plataforma, lo que evita las credenciales codificadas de forma rígida en archivos de configuración o código fuente.

En el caso de los servicios que no admiten identidades administradas, use Azure AD para crear una entidad de servicio con permisos restringidos en el nivel de recurso. Se recomienda configurar las entidades de servicio con credenciales de certificado y utilizar secretos de cliente como respaldo para la autenticación.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

IM-4: Autenticación del servidor y los servicios

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
No disponible IA-9 No disponible

Principio de seguridad: autentique los servicios y servidores remotos del lado cliente para asegurarse de que se está conectando a servicios y servidores de confianza. El protocolo de autenticación de servidor más común es Seguridad de la capa de transporte (TLS), donde el lado cliente (a menudo un explorador o dispositivo cliente) comprueba el servidor comprobando que la entidad de certificación de confianza emitió el certificado del servidor.

Nota: La autenticación mutua se puede usar cuando el servidor y el cliente se autentican entre sí.

Guía de Azure: muchos servicios de Azure admiten la autenticación TLS de forma predeterminada. Para los servicios que admiten el conmutador de activación/desactivación de TLS por parte del usuario, asegúrese de que siempre esté habilitado para admitir la autenticación del servidor/servicio. La aplicación cliente también debe diseñarse para comprobar la identidad del servidor o servicio (comprobando el certificado del servidor emitido por una entidad de certificación de confianza) en la fase de protocolo de enlace.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

IM-5: Uso del inicio de sesión único (SSO) para el acceso a aplicaciones

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
12.5 IA-4, IA-2, IA-8 No disponible

Principio de seguridad: use el inicio de sesión único (SSO) para simplificar la experiencia del usuario para autenticarse en recursos, incluidas las aplicaciones y los datos en los servicios en la nube y en entornos locales.

Guía de Azure: use Azure AD para el acceso a aplicaciones de carga de trabajo a través del inicio de sesión único (SSO) de Azure AD, lo que evita la necesidad de varias cuentas. Azure AD proporciona administración de identidades y acceso a los recursos de Azure (plano de administración, como la CLI, PowerShell, el portal), las aplicaciones en la nube y las aplicaciones locales.

Azure AD admite el inicio de sesión único para identidades empresariales, como identidades de usuario corporativas, así como identidades de usuario externos de usuarios públicos y de terceros de confianza.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

IM-6: Uso de controles de autenticación seguros

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
6.3, 6.4 AC-2, AC-3, IA-2, IA-5, IA-8 7.2, 8.2, 8.3, 8.4

Principio de seguridad: aplique controles de autenticación seguros (autenticación sin contraseña segura o autenticación multifactor) con el sistema centralizado de administración de identidades y autenticación para todo el acceso a los recursos. La autenticación basada solo en credenciales de contraseña se considera heredada, ya que no es segura y no se mantiene en pie para los métodos de ataque populares.

Al implementar la autenticación segura, configure primero a los administradores y a los usuarios con privilegios para garantizar el nivel más alto del método de autenticación segura, seguido rápidamente de la implementación de la directiva de autenticación segura adecuada para todos los usuarios.

Nota: Si se requiere autenticación basada en contraseña heredada para escenarios y aplicaciones heredadas, asegúrese de que se siguen los procedimientos recomendados de seguridad de contraseñas, como los requisitos de complejidad.

Guía de Azure: Azure AD admite controles de autenticación seguros mediante métodos sin contraseña y autenticación multifactor (MFA).

  • Autenticación sin contraseña: use la autenticación sin contraseña como método de autenticación predeterminado. Hay tres opciones disponibles en la autenticación sin contraseña: Windows Hello para empresas, inicio de sesión en el teléfono de la aplicación Microsoft Authenticator y FIDO 2Keys. Además, los clientes pueden usar métodos de autenticación locales, como tarjetas inteligentes.
  • Autenticación multifactor: Azure MFA se puede aplicar en todos los usuarios, seleccionar usuarios o en el nivel por usuario en función de las condiciones de inicio de sesión y los factores de riesgo. Habilite Azure MFA y siga las recomendaciones de administración de identidades y acceso de Azure Defender for Cloud para la configuración de MFA.

Si la autenticación basada en contraseña heredada todavía se usa para la autenticación de Azure AD, tenga en cuenta que las cuentas solo en la nube (cuentas de usuario creadas directamente en Azure) tienen una directiva de contraseña de línea de base predeterminada. Y las cuentas híbridas (cuentas de usuario que proceden de Active Directory local) siguen las directivas de contraseñas locales.

En el caso de aplicaciones y servicios de terceros que pueden tener identificadores y contraseñas predeterminados, debe deshabilitarlos o cambiarlos durante la configuración inicial del servicio.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

IM-7: Restringir el acceso a los recursos en función de las condiciones

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.3, 6.4, 13.5 AC-2, AC-3, AC-6 7.2

Principio de seguridad: valide explícitamente las señales de confianza para permitir o denegar el acceso de los usuarios a los recursos, como parte de un modelo de acceso de confianza cero. Las señales que se deben validar deben incluir la autenticación segura de la cuenta de usuario, el análisis de comportamiento de la cuenta de usuario, la confiabilidad del dispositivo, la pertenencia a usuarios o grupos, ubicaciones, etc.

Guía de Azure: use el acceso condicional de Azure AD para controles de acceso más granulares en función de las condiciones definidas por el usuario, como requerir inicios de sesión de usuario de determinados intervalos IP (o dispositivos) para usar MFA. El acceso condicional de Azure AD permite aplicar controles de acceso en las aplicaciones de la organización en función de determinadas condiciones.

Defina las condiciones y criterios aplicables para el acceso condicional de Azure AD en la carga de trabajo. Tenga en cuenta los siguientes casos de uso comunes:

  • Exigir la autenticación multifactor para los usuarios con funciones administrativas
  • Requerir autenticación multifactor para tareas de administración de Azure
  • Bloqueo de inicios de sesión para los usuarios que intentan usar protocolos de autenticación heredados
  • Requerir ubicaciones de confianza para el registro de Azure AD Multi-Factor Authentication
  • Bloquear o conceder el acceso desde ubicaciones concretas
  • Bloqueo de comportamientos de inicio de sesión riesgosos
  • Requerir dispositivos administrados por la organización para aplicaciones específicas

Nota: También se puede usar una administración de sesiones de autenticación pormenorizadas a través de la directiva de acceso condicional de Azure AD para controles como la frecuencia de inicio de sesión y la sesión del explorador persistente.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

IM-8: Restringir la exposición de credenciales y secretos

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
16.9, 16.12 IA-5 3.5, 6.3, 8.2

Principio de seguridad: asegúrese de que los desarrolladores de aplicaciones controle de forma segura las credenciales y los secretos:

  • Evite insertar las credenciales y secretos en el código y los archivos de configuración.
  • Uso del almacén de claves o un servicio de almacén de claves seguro para almacenar las credenciales y secretos
  • Busque credenciales en el código fuente.

Nota: Esto suele regirse y aplicarse a través de un ciclo de vida de desarrollo de software seguro (SDLC) y de DevOps.

Guía de Azure: asegúrese de que los secretos y las credenciales se almacenan en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en los archivos de código y configuración.

  • Implemente El analizador de credenciales de Azure DevOps para identificar las credenciales en el código.
  • Para GitHub, use la característica de examen de secretos nativo para identificar credenciales u otra forma de secretos dentro del código.

Los clientes como Azure Functions, los servicios de Azure Apps y las máquinas virtuales pueden usar identidades administradas para acceder a Azure Key Vault de forma segura. Consulte Controles de protección de datos relacionados con el uso de Azure Key Vault para la administración de secretos.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

IM-9: Protección del acceso de usuario a las aplicaciones existentes

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
6,7, 12,5 AC-2, AC-3, SC-11 No disponible

Principio de seguridad: en un entorno híbrido, donde tiene aplicaciones locales o aplicaciones en la nube no nativas mediante la autenticación heredada, considere la posibilidad de soluciones como el agente de seguridad de acceso a la nube (CASB), el proxy de aplicación, el inicio de sesión único (SSO) para controlar el acceso a estas aplicaciones para las siguientes ventajas:

  • Aplicación de una autenticación segura centralizada
  • Supervisión y control de actividades de usuario final de riesgo
  • Supervisar y remediar actividades de riesgo en aplicaciones heredadas
  • Detección y prevención de la transmisión de datos confidenciales

Guía de Azure: proteja las aplicaciones en la nube locales y no nativas mediante la autenticación heredada mediante la conexión a:

  • Proxy de aplicaciones de Azure AD junto con la autenticación basada en encabezados para publicar aplicaciones heredadas locales para usuarios remotos con inicio de sesión único (SSO) al tiempo que se valida explícitamente la confiabilidad de los usuarios y dispositivos remotos con el Acceso Condicional de Azure AD. Si es necesario, use la solución Software-Defined Perimeter (SDP) de terceros que puede ofrecer una funcionalidad similar.
  • Sus redes y controladores de entrega de aplicaciones de terceros existentes
  • Microsoft Defender for Cloud Apps, usándolo como un servicio de agente de seguridad de acceso a la nube (CASB) para proporcionar controles para supervisar las sesiones de aplicación de un usuario y bloquear acciones (para aplicaciones locales heredadas y aplicaciones de software como servicio (SaaS) en la nube).

Nota: Las VPN se usan normalmente para acceder a las aplicaciones heredadas, a menudo solo tienen un control de acceso básico y una supervisión de sesión limitada.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::