Explicación de la auditoría en las identidades

  • 3 minutos

Es necesario comprender el valor y el propósito de las auditorías en la solución de identidad. La auditoría proporciona un método para que un administrador detecte un ataque que ya se ha producido o que está en curso. Además, la auditoría es una herramienta para el cumplimiento y el seguimiento de lo que ha hecho la identidad. Además, auditar puede ayudar un desarrollador a depurar problemas relacionados con la seguridad. Por ejemplo, si un error en la configuración de la autorización o al comprobar la directiva niega accidentalmente el acceso a un usuario autorizado, un programador puede detectar y aislar rápidamente la causa de este error examinando el registro de eventos.

Todas las actividades, desde el inicio de sesión hasta un cambio de contraseña y la configuración y el uso de la autenticación multifactor, se pueden registrar, notificar y supervisar. Estos registros proporcionan al administrador de identidades un recurso para revisar cómo se ejecuta la solución de identidad y acceso. Los procedimientos de auditoría correctos mantienen las identidades seguras, lo que a su vez mantiene seguros los datos y las soluciones. Algunos de los distintos registros que quiere tener en cuenta para la auditoría son los registros de actividad de Microsoft Entra, los registros de inicio de sesión, los registros de aprovisionamiento y los registros de auditoría. Puede usar varias herramientas, desde Azure Monitor a Microsoft Sentinel, para los informes y la supervisión.

Descripción del concepto de gobernanza

En el diccionario Merriam-Webster se afirma que la gobernanza es el acto o proceso de supervisar el control y la dirección de un sistema. Ese sistema podría ser un gobierno, un presupuesto o una solución de identidades en Azure. La gobernanza tiene procesos y controles implementados para operar los sistemas y evaluar su ejecución responsable. No basta con crear una solución y después olvidarla. Tiene que supervisar su ejecución, actualizar los procesos con regularidad, quitar o reemplazar características obsoletas, etc. Si no lo hace, el sistema se degrada lentamente y falla. La gobernanza es la misma que con una solución de administración de identidades que se crea en Azure. Debe supervisar, evaluar y actualizar el sistema a lo largo del tiempo.

Escenario La historia sencilla, pero probable
Juan, el desarrollador de aplicaciones Tiene un usuario llamado Juan. A Juan se le asigna una cuenta en la empresa y trabaja durante varios años. Durante ese tiempo, el usuario tiene acceso de administrador para implementar una aplicación que Juan ha ayudado a compilar. Más tarde, Juan abandona la empresa; pero la cuenta de usuario nunca se quita del sistema. El gerente de Juan se olvidó de enviar el papeleo para cerrar la cuenta. No hay ningún sistema de gobernanza en vigor para observar que la cuenta no se usa y que Juan ya no aparece en los sistemas de RR. HH. Un año después, Juan es víctima de un correo electrónico de suplantación de identidad (phishing) y le roban un nombre de usuario y una contraseña personales. Como muchas personas, Juan usaba una contraseña similar para cuentas personales y profesionales. Y ahora tiene un escenario en el que se podría acceder a los sistemas mediante una cuenta que parece ser válida.

¿Por qué la gobernanza? En este escenario, la gobernanza podría ayudar en muchas áreas diferentes:

  • Comprobar con RR. HH. periódicamente si todas las cuentas siguen existiendo en la base de datos de RR. HH. como empleados.
  • Comprobar cuándo se ha iniciado sesión por última vez en una cuenta.
  • Comprobar si la cuenta necesita todos los derechos que tiene actualmente.
  • Comprobar que las contraseñas se cambian periódicamente o, mejor todavía, que los empleados usen MFA.
  • Y otras muchas maneras.

Descripción del concepto de administración del ciclo de vida de la identidad

La administración del ciclo de vida de las identidades es la piedra angular de la gobernanza de identidades y, para que esa gobernanza resulte eficaz a diferentes escalas, es preciso modernizar la infraestructura de administración del ciclo de vida de las identidades en las aplicaciones. La administración del ciclo de vida de la identidad tiene como objetivo automatizar y administrar todo el proceso del ciclo de vida de la identidad digital.

La administración de identidades digitales es una tarea compleja. Tiene que poner en correlación objetos reales, como una persona y su relación con una organización. Piense en el usuario como en un empleado de la organización, con una representación digital. En las organizaciones pequeñas, el mantenimiento de la representación digital de las personas que necesitan una identidad puede ser un proceso manual. Cuando se contrata a alguien o llega un contratista, un especialista de TI puede crear una cuenta para ellos en un directorio. Después, se les asigna el acceso que necesitan. Pero en las organizaciones de tamaño medio y grande, la automatización puede permitir la modificación de la escala de la organización. La automatización permite a TI mantener la precisión de las identidades.

El proceso típico para establecer la administración del ciclo de vida de la identidad en una organización sigue estos pasos:

  1. Ya hay sistemas de registro: orígenes de datos que la organización trata como con autoridad. Por ejemplo, la organización puede tener un sistema de RR. HH. Ese sistema está autorizado para proporcionar la lista actual de empleados y algunas de sus propiedades, como el nombre o departamento.
  2. Compare el sistema de registro con uno o varios directorios y bases de datos usados por las aplicaciones, y resuelva las incoherencias entre los directorios y los sistemas de registro.
  3. Determine qué procesos se pueden usar para proporcionar información de autorización para los visitantes. Es posible que sea necesario buscar una forma alternativa cuando ya no se necesite una identidad digital para un visitante.

Estrategia de administración del ciclo de vida de la identidad

Tiene que planear la administración del ciclo de vida de la identidad para los empleados u otras personas con una relación organizativa. Con cada contratista o alumno, muchas organizaciones modelan el proceso de "unirse, avanzar y abandonar". Las definiciones de unirse, avanzar y abandonar son las siguientes:

  • Unirse: cuando una persona entra en el ámbito de la necesidad de acceso, esas aplicaciones necesitan una identidad, por lo que es posible que sea necesario crear una identidad digital si todavía no hay una disponible.
  • Avanzar: cuando una persona se mueve entre límites, para lo que es necesario agregar o eliminar autorizaciones de acceso adicionales a su identidad digital.
  • Abandonar: cuando un individuo abandona el ámbito de la necesidad de acceso, es posible que sea necesario eliminar el acceso y que las aplicaciones ya no necesiten la identidad, salvo con fines de auditoría o forenses.

Por ejemplo, si un nuevo empleado se une a la organización y nunca antes ha estado afiliado, necesita una nueva identidad digital, representada como una cuenta de usuario en Microsoft Entra ID. La creación de esta cuenta se correspondería a un proceso "Unión", que se podría automatizar. Más adelante, si la organización tiene un empleado que cambia, por ejemplo, de Ventas a Marketing, se correspondería a un proceso "Moverse". Un proceso "Moverse" necesita quitar los derechos de acceso que el usuario tenía en la organización Ventas, que ya no necesita. Después, concederle derechos en la organización Marketing que ahora necesita.

Herramientas de supervisión

Pensar siempre en Confianza cero: Comprobación explícita - Usar el acceso con privilegios mínimos - Asumir la vulneración de seguridad

Servicios de supervisión:

  • Azure Monitor
  • Application Insights
  • Azure Service Health
  • Azure Resource Health
  • Azure Resource Manager
  • Azure Policy