Compartir a través de


Control de seguridad v3: Acceso con privilegios

Acceso con privilegios cubre los controles para proteger el acceso con privilegios a su inquilino y recursos de Azure, incluida una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e inadvertidos.

PA-1: Separar y limitar usuarios con privilegios elevados o administrativos

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
5,4, 6,8 AC-2, AC-6 7.1, 7.2, 8.1

Principio de seguridad: Asegúrese de identificar todas las cuentas de alto impacto empresarial. Limite el número de cuentas con privilegios o administrativos en el plano de control de la nube, el plano de administración y el plano de datos o carga de trabajo.

Guía de Azure: Azure Active Directory (Azure AD) es el servicio de administración de identidades y acceso predeterminado de Azure. Los roles integrados más críticos de Azure AD son Administrador global y Administrador de roles con privilegios, ya que los usuarios asignados a estos dos roles pueden delegar roles de administrador. Con estos privilegios, los usuarios pueden leer y modificar directa o indirectamente todos los recursos de su entorno de Azure:

  • Administrador global o Administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que usan identidades de Azure AD.
  • Administrador de roles con privilegios: los usuarios con este rol pueden administrar las asignaciones de roles en Azure AD, así como en Azure AD Privileged Identity Management (PIM). Además, este rol permite la administración de todos los aspectos de PIM y unidades administrativas.

Fuera de Azure AD, Azure tiene roles integrados que pueden ser críticos para el acceso con privilegios en el nivel de recursos.

  • Propietario: concede acceso total para administrar todos los recursos, incluida la capacidad de asignar roles en RBAC de Azure.
  • Colaborador: concede acceso completo para administrar todos los recursos, pero no permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints o compartir galerías de imágenes.
  • Administrador de acceso de usuario: permite administrar el acceso de usuario a los recursos de Azure. Nota: Es posible que tenga otros roles críticos que deban regirse si usa roles personalizados en el nivel de Azure AD o nivel de recurso con determinados permisos con privilegios asignados.

Asegúrese de restringir también las cuentas con privilegios en otros sistemas de administración, identidad y seguridad que tengan acceso administrativo a los recursos críticos para la empresa, como controladores de dominio (DCs) de Active Directory, herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden armarlos inmediatamente para poner en peligro los recursos críticos para la empresa.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PA-2: Evitar el acceso permanente para las cuentas de usuario y los permisos

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
No disponible AC-2 No disponible

Principio de seguridad: En lugar de crear privilegios permanentes, use el mecanismo Just-In-Time (JIT) para asignar acceso con privilegios a los distintos niveles de recursos.

Guía de Azure: Habilite el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y Azure AD mediante Azure AD Privileged Identity Management (PIM). JIT es un modelo en el que los usuarios reciben permisos temporales para realizar tareas con privilegios, lo que impide que los usuarios malintencionados o no autorizados obtengan acceso después de que los permisos hayan expirado. El acceso se concede solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividad sospechosa o no segura en la organización de Azure AD.

Restrinja el tráfico entrante a los puertos de administración de máquinas virtuales (VM) confidenciales con la característica Just-In-Time (JIT) de Microsoft Defender for Cloud para el acceso a máquinas virtuales. Esto garantiza que el acceso con privilegios a la máquina virtual solo se concede cuando los usuarios lo necesitan.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PA-3: Administración del ciclo de vida de identidades y derechos

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
6.1, 6.2 AC-5, AC-6 7.1, 7.2, 8.1

Principio de seguridad: Use un proceso automatizado o un control técnico para administrar la identidad y el ciclo de vida de acceso, incluida la solicitud, la revisión, la aprobación, el aprovisionamiento y el desaprovisionamiento.

Guía de Azure: Use las características de administración de derechos de Azure AD para automatizar los flujos de trabajo de solicitud de acceso (para grupos de recursos de Azure). Esto permite que los flujos de trabajo de los grupos de recursos de Azure administren asignaciones de acceso, revisiones, expiración y aprobación dual o de varias fases.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PA-4: Revisar y conciliar el acceso de los usuarios con regularidad

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
5.1, 5.3, 5.5 AC-2, AC-6 7.1, 7.2, 8.1, A3.4

Principio de seguridad: Realice una revisión periódica de los derechos de la cuenta con privilegios. Asegúrese de que el acceso concedido a las cuentas es válido para la administración del plano de control, el plano de administración y las cargas de trabajo.

Guía de Azure: Revise todas las cuentas con privilegios y los derechos de acceso en Azure, incluidos los inquilinos de Azure, los servicios de Azure, los procesos de CI/CD y la administración empresarial y las herramientas de seguridad.

Use las revisiones de acceso de Azure AD para revisar los roles de Azure AD y los roles de acceso a recursos de Azure, las pertenencias a grupos y el acceso a las aplicaciones empresariales. Los informes de Azure AD también pueden proporcionar registros para ayudar a detectar cuentas obsoletas, cuentas que no se usan durante cierto período de tiempo.

Además, Azure AD Privileged Identity Management se puede configurar para alertar cuando se crea un número excesivo de cuentas de administrador para un rol específico e identificar cuentas de administrador obsoletas o configuradas incorrectamente.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PA-5: Configurar el acceso de emergencia

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
No disponible AC-2 No disponible

Principio de seguridad: Configure el acceso de emergencia para asegurarse de que no está bloqueado accidentalmente fuera de la infraestructura crítica en la nube (como el sistema de administración de identidades y acceso) en caso de emergencia.

Las cuentas de acceso de emergencia rara vez se deben usar y pueden ser muy perjudiciales para la organización si están en peligro, pero su disponibilidad para la organización también es fundamental para los pocos escenarios cuando se requieren.

Guía de Azure: Para evitar que se bloquee accidentalmente fuera de la organización de Azure AD, configure una cuenta de acceso de emergencia (por ejemplo, una cuenta con rol de administrador global) para el acceso cuando no se puedan usar cuentas administrativas normales. Las cuentas de acceso de emergencia suelen tener privilegios elevados y no deben asignarse a individuos específicos. Las cuentas de acceso de emergencia se limitan a situaciones "excepcionales" o de emergencia en las que no se pueden usar las cuentas administrativas normales.

Debe asegurarse de que las credenciales (como la contraseña, el certificado o la tarjeta inteligente) para las cuentas de acceso de emergencia se mantienen seguras y solo se conocen para las personas que tienen autorización para usarlas solo en una emergencia. También puede usar controles adicionales, tales controles duales (por ejemplo, dividir la credencial en dos partes y darle a personas independientes) para mejorar la seguridad de este proceso. También debe supervisar los registros de inicio de sesión y auditoría para asegurarse de que las cuentas de acceso de emergencia solo se pueden usar con autorización.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
12.8, 13.5 AC-2, SC-2, SC-7 No disponible

Principio de seguridad: Las estaciones de trabajo aisladas protegidas son importantes para la seguridad de roles confidenciales, como el administrador, el desarrollador y el operador de servicio crítico.

Guía de Azure: Use Azure Active Directory, Microsoft Defender o Microsoft Intune para implementar estaciones de trabajo de acceso con privilegios (PAW) locales o en Azure para tareas con privilegios. La PAW debe administrarse centralmente para aplicar la configuración segura, incluida la autenticación segura, las líneas de base de software y hardware, y el acceso lógico y de red restringidos.

También puede usar Azure Bastion, que es un servicio PaaS totalmente administrado por la plataforma que se puede aprovisionar dentro de la red virtual. Azure Bastion permite la conectividad RDP/SSH a las máquinas virtuales directamente desde Azure Portal mediante el explorador.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PA-7: Siga el principio de administración suficiente (privilegios mínimos)

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
3.3, 6.8 AC-2, AC-3, AC-6 7.1, 7.2

Principio de seguridad: Siga el principio de administración suficiente (privilegios mínimos) para administrar los permisos en el nivel específico. Use características como el control de acceso basado en rol (RBAC) para administrar el acceso a los recursos a través de asignaciones de roles.

Guía de Azure: Use el control de acceso basado en rol de Azure (RBAC de Azure) para administrar el acceso a los recursos de Azure mediante asignaciones de roles. A través de RBAC, puede asignar roles a usuarios, entidades de servicio de grupo e identidades administradas. Hay roles integrados predefinidos para determinados recursos y estos roles se pueden inventariar o consultar mediante herramientas como la CLI de Azure, Azure PowerShell y Azure Portal.

Los privilegios que asigne a los recursos a través de Azure RBAC siempre deben limitarse a lo que requieren los roles. Los privilegios limitados complementarán el enfoque Just-In-Time (JIT) de Azure AD Privileged Identity Management (PIM) y esos privilegios se deben revisar periódicamente. Si es necesario, también puede usar PIM para definir la condición de período de tiempo (asignación de límite de tiempo) en la asignación de roles donde un usuario puede activar o usar el rol solo dentro de las fechas de inicio y finalización.

Nota: Use roles integrados de Azure para asignar permisos y crear solo roles personalizados cuando sea necesario.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::

PA-8 Determinar el proceso de acceso para la compatibilidad con proveedores de nube

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
6.1, 6.2 AC-4, AC-2, AC-3 No disponible

Principio de seguridad: Establezca un proceso de aprobación y una ruta de acceso para solicitar y aprobar la solicitud de soporte técnico del proveedor y el acceso temporal a los datos a través de un canal seguro.

Guía de Azure: En escenarios de soporte técnico en los que Microsoft necesita acceder a sus datos, use Customer Lockbox para revisar y aprobar o rechazar cada solicitud de acceso a datos de Microsoft.

Implementación y contexto adicional:

Partes interesadas de la seguridad del cliente (más información)::