Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe una colección de procedimientos recomendados de seguridad de administración de identidades y control de acceso de Azure. Estos procedimientos recomendados se derivan de nuestra experiencia con Microsoft Entra ID y las experiencias de los clientes como usted mismo.
Para cada procedimiento recomendado, explicaremos:
- Qué es el procedimiento recomendado
- Por qué le conviene habilitar este procedimiento recomendado
- Cuál podría ser el resultado si no habilita el procedimiento recomendado
- Alternativas posibles al procedimiento recomendado
- Cómo aprender a habilitar el procedimiento recomendado
Este artículo sobre la administración de identidades de Azure y los procedimientos recomendados de seguridad de control de acceso se basa en una opinión de consenso y las funcionalidades y conjuntos de características de la plataforma Azure, tal como existen en el momento en que se escribió este artículo.
La intención de escribir este artículo es proporcionar una hoja de ruta general a una posición de seguridad más sólida después de la implementación guiada por nuestros "5 pasos para proteger la infraestructura de identidad", que le guía a través de algunas de nuestras características y servicios principales.
Las opiniones y las tecnologías cambian con el tiempo y este artículo se actualizará periódicamente para reflejar esos cambios.
Los procedimientos recomendados de seguridad de control de acceso y administración de identidades de Azure que se describen en este artículo incluyen:
- Tratar la identidad como perímetro de seguridad principal
- Centralización de la administración de identidades
- Administración de inquilinos conectados
- Habilitar el inicio de sesión único
- Activar el acceso condicional
- Planear mejoras de seguridad rutinarias
- Habilitación de la administración de contraseñas
- Aplicación de la comprobación multifactor para usuarios
- Uso del control de acceso basado en rol
- Menor exposición de cuentas con privilegios
- Controlar las ubicaciones en las que se encuentran los recursos
- Uso de Microsoft Entra ID para la autenticación de almacenamiento
Tratar la identidad como perímetro de seguridad principal
Muchos consideran que la identidad es el perímetro principal para la seguridad. Se trata de un cambio desde el enfoque tradicional en la seguridad de red. Los perímetros de red siguen siendo más porosos y esa defensa perimetral no puede ser tan eficaz como era antes de la explosión de dispositivos BYOD y aplicaciones en la nube.
Microsoft Entra ID es la solución de Azure para la administración de identidades y acceso. Microsoft Entra ID es un servicio de administración de identidades y directorios multiinquilino basado en la nube de Microsoft. Combina servicios de directorio fundamentales, la administración del acceso a las aplicaciones y la protección de identidades en una única solución.
En las secciones siguientes se enumeran los procedimientos recomendados para la seguridad de identidad y acceso mediante el identificador de Microsoft Entra.
Procedimiento recomendado: Centre los controles de seguridad y las detecciones en torno a las identidades de usuario y servicio. Detalle: use Microsoft Entra ID para colocar controles e identidades.
Centralización de la administración de identidades
En un escenario de identidad híbrida, se recomienda integrar los directorios locales y en la nube. La integración permite al equipo de TI administrar cuentas desde una ubicación, independientemente de dónde se cree una cuenta. La integración también ayuda a los usuarios a ser más productivos al proporcionar una identidad común para acceder a los recursos locales y en la nube.
Procedimiento recomendado: establecer una única instancia de Microsoft Entra. La coherencia y una única fuente autoritativa aumentarán la claridad y reducirán los riesgos de seguridad de los errores humanos y la complejidad de la configuración.
Detalle: designe un único directorio de Microsoft Entra como origen autoritativo para las cuentas corporativas y organizativas.
Procedimiento recomendado: integre los directorios locales con el identificador de Microsoft Entra.
Detalle: Use Microsoft Entra Connect para sincronizar el directorio local con el directorio en la nube.
Nota:
Hay factores que afectan al rendimiento de Microsoft Entra Connect. Asegúrese de que Microsoft Entra Connect tiene suficiente capacidad para evitar que los sistemas de bajo rendimiento impidan la seguridad y la productividad. Las organizaciones grandes o complejas (organizaciones que aprovisionan más de 100 000 objetos) deben seguir las recomendaciones para optimizar su implementación de Microsoft Entra Connect.
Procedimiento recomendado: no sincronice las cuentas con el identificador de Microsoft Entra que tengan privilegios elevados en la instancia de Active Directory existente.
Detalle: No cambie la configuración predeterminada de Microsoft Entra Connect que filtre estas cuentas. Esta configuración mitiga el riesgo de que los adversarios se despivoten de la nube a los recursos locales (lo que podría crear un incidente importante).
Procedimiento recomendado: Active la sincronización de hash de contraseñas.
Detalle: La sincronización de hash de contraseñas es una característica que se usa para sincronizar los hash de contraseñas de usuario desde una instancia de Active Directory local a una instancia de Microsoft Entra basada en la nube. Esta sincronización ayuda a protegerse contra las credenciales filtradas que se reutilizan a partir de ataques previos.
Incluso si decide usar la federación con servicios de federación de Active Directory (AD FS) u otros proveedores de identidades, puede configurar opcionalmente la sincronización de hash de contraseñas como copia de seguridad en caso de que se produzca un error en los servidores locales o deje de estar disponible temporalmente. Esta sincronización permite a los usuarios iniciar sesión en el servicio con la misma contraseña que usan para iniciar sesión en su instancia de Active Directory local. También permite que Identity Protection detecte credenciales en peligro comparando los hash de contraseñas sincronizados con contraseñas que se sabe que están en peligro, si un usuario ha usado la misma dirección de correo electrónico y contraseña en otros servicios que no están conectados a Microsoft Entra ID.
Para obtener más información, consulte Implementación de la sincronización de hash de contraseña con la sincronización de Microsoft Entra Connect.
Procedimiento recomendado: para el nuevo desarrollo de aplicaciones, use Microsoft Entra ID para la autenticación.
Detalle: use las funcionalidades correctas para admitir la autenticación:
- Id. de Entra de Microsoft para empleados
- Microsoft Entra B2B para usuarios invitados y asociados externos
- Id. externo de Microsoft Entra para controlar cómo los clientes se registran, inician sesión y administran sus perfiles cuando usan sus aplicaciones
Las organizaciones que no integran su identidad local con su identidad en la nube pueden tener más sobrecarga en la administración de cuentas. Esta sobrecarga aumenta la probabilidad de que haya errores e infracciones de seguridad.
Nota:
Debe elegir en qué directorios residirán las cuentas críticas y si la estación de trabajo de administración usada se administra mediante nuevos servicios en la nube o procesos existentes. El uso de procesos de administración y aprovisionamiento de identidades existentes puede reducir algunos riesgos, pero también puede crear el riesgo de que un atacante pone en peligro una cuenta local y cambie a la nube. Es posible que quiera usar una estrategia diferente para distintos roles (por ejemplo, administradores de TI frente a administradores de unidades de negocio). Tiene dos opciones. La primera opción es crear cuentas de Microsoft Entra que no estén sincronizadas con la instancia de Active Directory local. Una su estación de trabajo de administración a Microsoft Entra ID, que puede administrar y aplicar revisiones mediante Microsoft Intune. La segunda opción es usar cuentas de administrador existentes mediante la sincronización con la instancia de Active Directory local. Use estaciones de trabajo existentes en el dominio de Active Directory para la administración y la seguridad.
Administración de inquilinos conectados
Su organización de seguridad necesita visibilidad para evaluar el riesgo y determinar si se siguen las directivas de su organización y los requisitos normativos. Debe asegurarse de que la organización de seguridad tenga visibilidad sobre todas las suscripciones conectadas al entorno de producción y la red (a través de Azure ExpressRoute o VPN de sitio a sitio. Un administrador global de Microsoft Entra ID puede elevar su acceso al rol Administrador de acceso de usuario y ver todas las suscripciones y grupos administrados conectados a su entorno.
Consulte Elevación del acceso para administrar todas las suscripciones y grupos de administración de Azure para asegurarse de que usted y el grupo de seguridad pueden ver todas las suscripciones o grupos de administración conectados a su entorno. Debe quitar este acceso elevado después de haber evaluado los riesgos.
Habilitar el inicio de sesión único
En un mundo primero en la nube, primero en la nube, quiere habilitar el inicio de sesión único (SSO) en dispositivos, aplicaciones y servicios desde cualquier lugar para que los usuarios puedan ser productivos dondequiera y cada vez. Cuando tiene varias soluciones de identidad para administrar, esto se convierte en un problema administrativo no solo para TI, sino también para los usuarios que tienen que recordar varias contraseñas.
Mediante el uso de la misma solución de identidad para todas las aplicaciones y recursos, puede lograr el SSO. Y los usuarios pueden usar el mismo conjunto de credenciales para iniciar sesión y acceder a los recursos que necesitan, tanto si los recursos se encuentran en el entorno local como en la nube.
Procedimiento recomendado: Habilitar SSO.
Detalle: Microsoft Entra ID extiende Active Directory local a la nube. Los usuarios pueden usar su cuenta profesional o educativa principal para sus dispositivos unidos a un dominio, los recursos de la empresa y todas las aplicaciones web y SaaS que necesitan para realizar sus trabajos. Los usuarios no tienen que recordar varios conjuntos de nombres de usuario y contraseñas, y su acceso a la aplicación se puede aprovisionar (o desaprovisionar) automáticamente en función de sus pertenencias a grupos de la organización y su estado como empleado. Además, puede controlar ese acceso a las aplicaciones de la galería o a sus propias aplicaciones locales que ha desarrollado y publicado a través del proxy de aplicación de Microsoft Entra.
Use SSO para permitir que los usuarios accedan a sus aplicaciones SaaS en función de su cuenta profesional o educativa en Microsoft Entra ID. Esto es aplicable no solo para las aplicaciones SaaS de Microsoft, sino también para otras aplicaciones, como Google Apps y Salesforce. Puede configurar su aplicación para que use Microsoft Entra ID como proveedor de identidad basada en SAML. Como control de seguridad, el identificador de Microsoft Entra no emite un token que permite a los usuarios iniciar sesión en la aplicación a menos que se les haya concedido acceso a través del identificador de Microsoft Entra. Puede conceder acceso directamente o a través de un grupo del que son miembros los usuarios.
Las organizaciones que no crean una identidad común para establecer el inicio de sesión único para sus usuarios y aplicaciones se exponen más a escenarios en los que los usuarios tienen varias contraseñas. Estos escenarios aumentan la probabilidad de que los usuarios reutilicen contraseñas o usen contraseñas no seguras.
Activar el acceso condicional
Los usuarios pueden acceder a los recursos de su organización mediante una variedad de dispositivos y aplicaciones desde cualquier lugar. Como administrador de TI, quiere asegurarse de que estos dispositivos cumplan los estándares de seguridad y cumplimiento. Solo centrarse en quién puede acceder a un recurso ya no es suficiente.
Para equilibrar la seguridad y la productividad, también debe pensar en cómo se accede a un recurso antes de que pueda tomar una decisión de control de acceso. Con el acceso condicional de Microsoft Entra, puede abordar este requisito. Con el acceso condicional, puede tomar decisiones de control de acceso automatizadas en función de las condiciones para acceder a las aplicaciones en la nube.
Procedimiento recomendado: Administración y control del acceso a los recursos corporativos.
Detalle: Configure directivas comunes de acceso condicional de Microsoft Entra basadas en la sensibilidad de grupo, ubicación y aplicación para aplicaciones SaaS y apps conectadas a Microsoft Entra ID.
Procedimiento recomendado: bloquear los protocolos de autenticación heredados.
Detalles: Los atacantes aprovechan a diario los puntos débiles de protocolos anteriores, especialmente en ataques de difusión de contraseña. Configure el acceso condicional para bloquear los protocolos heredados.
Planear mejoras de seguridad rutinarias
La seguridad siempre está evolucionando y es importante crear en el marco de administración de identidades y en la nube una manera de mostrar periódicamente el crecimiento y descubrir nuevas formas de proteger su entorno.
La puntuación de seguridad de identidad es un conjunto de controles de seguridad recomendados que Microsoft publica que funciona para proporcionar una puntuación numérica para medir objetivamente la posición de seguridad y ayudar a planear futuras mejoras de seguridad. También puede ver su puntuación en comparación con las de otros sectores, así como sus propias tendencias a lo largo del tiempo.
Procedimiento recomendado: planee las revisiones de seguridad rutinarias y las mejoras en función de los procedimientos recomendados de su sector.
Detalle: use la característica Puntuación de seguridad de identidad para clasificar las mejoras a lo largo del tiempo.
Habilitación de la administración de contraseñas
Si tiene varios inquilinos o quiere permitir que los usuarios restablezcan sus propias contraseñas, es importante que use las directivas de seguridad adecuadas para evitar el abuso.
Procedimiento recomendado: configure el autoservicio de restablecimiento de contraseña (SSPR) para los usuarios.
Detalle: use la característica de restablecimiento de contraseña de autoservicio del Microsoft Entra ID.
Procedimiento recomendado: supervise cómo o si se usa realmente SSPR.
Detalle: Supervise a los usuarios que se registran mediante el informe de la Actividad de registro de restablecimiento de contraseña de Microsoft Entra ID. La característica de creación de informes que proporciona Microsoft Entra ID le ayuda a responder preguntas mediante informes creados previamente. Si está debidamente protegido por licencia, también puede crear consultas personalizadas.
Procedimiento recomendado: ampliar las directivas de contraseña basadas en la nube a la infraestructura local.
Detalle: mejore las directivas de contraseñas de su organización realizando las mismas comprobaciones de los cambios de contraseña locales que para los cambios de contraseña basados en la nube. Instale la protección con contraseña de Microsoft Entra para los agentes de Windows Server Active Directory local para ampliar las listas de contraseñas prohibidas a la infraestructura existente. Los usuarios y administradores que cambian, establecen o restablecen las contraseñas locales deben cumplir la misma directiva de contraseñas que los usuarios solo en la nube.
Aplicación de la comprobación multifactor para usuarios
Se recomienda exigir la verificación en dos pasos a todos los usuarios. Esto incluye a los administradores y otras personas de su organización, ya que el hecho de que su cuenta esté en peligro puede tener un impacto significativo (por ejemplo, los directores financieros).
Existen varias opciones para exigir la verificación en dos pasos. La mejor opción para usted depende de sus objetivos, la edición de Microsoft Entra que está ejecutando y su programa de licenciamiento. Consulte Exigencia de verificación en dos pasos para un usuario para determinar la mejor opción para usted. Consulte las páginas de precios de Microsoft Entra ID y Microsoft Entra autenticación multifactor para obtener más información sobre las licencias y los precios.
A continuación, se indican las opciones y ventajas para habilitar la verificación en dos pasos:
Opción 1: Habilitar MFA para todos los usuarios y métodos de inicio de sesión con los valores predeterminados de seguridad de Microsoft Entra
Ventaja: esta opción le permite aplicar MFA de forma sencilla y rápida a todos los usuarios de su entorno con una directiva estricta para:
- Desafiar a cuentas administrativas y mecanismos de inicio de sesión administrativo;
- Solicitar el desafío de MFA a través de Microsoft Authenticator para todos los usuarios;
- Restringir los protocolos de autenticación heredados.
Este método está disponible para todos los niveles de licencia, pero no se puede mezclar con las directivas de acceso condicional existentes. Puede encontrar más información en los Valores predeterminados de seguridad de Microsoft Entra.
Opción 2: habilitar la autenticación multifactor mediante el cambio de estado de usuario.
Ventaja: este es el método tradicional para exigir la verificación en dos pasos. Funciona tanto con la autenticación multifactor de Microsoft Entra en la nube como con Servidor Microsoft Azure Multi-Factor Authentication. El uso de este método requiere que los usuarios realicen la verificación en dos pasos cada vez que inicien sesión, e invalida las directivas de acceso condicional.
Para determinar dónde debe habilitarse la autenticación multifactor, consulte ¿Qué versión de la autenticación multifactor de Microsoft Entra es adecuada para mi organización?
Opción 3: habilitar la autenticación multifactor mediante una directiva de acceso condicional.
Ventaja: esta opción permite solicitar la verificación en dos pasos en condiciones específicas mediante el uso del acceso condicional. Las condiciones específicas pueden ser el inicio de sesión del usuario desde distintas ubicaciones, dispositivos no confiables o aplicaciones que considere de riesgo. Definir condiciones específicas donde exija la verificación en dos pasos le permite evitar pedirla constantemente a los usuarios, lo cual puede ser una experiencia desagradable para el usuario.
Esta es la forma más flexible de habilitar la verificación en dos pasos para los usuarios. La habilitación de la directiva de acceso condicional solo funciona con la autenticación multifactor de Microsoft Entra en la nube y es una característica premium de Microsoft Entra ID. Puede encontrar más información sobre este método en Implementación de la autenticación multifactor de Microsoft Entra en la nube.
Opción 4: habilitar la autenticación multifactor con directivas de acceso condicional mediante la evaluación de directivas de acceso condicional basadas en riesgos.
Ventaja: esta opción le permite:
- Detecte posibles vulnerabilidades que afecten a las identidades de la organización.
- Configure respuestas automatizadas para las acciones sospechosas detectadas relacionadas con las identidades de la organización.
- Investigar incidentes sospechosos y tomar las medidas adecuadas para resolverlos.
Este método utiliza la evaluación de riesgos de Microsoft Entra ID Protection para determinar si se requiere la verificación en dos pasos en función de los riesgos del usuario y el inicio de sesión para todas las aplicaciones en la nube. Este método requiere licencias de Microsoft Entra ID P2. Puede encontrar más información sobre este método en Microsoft Entra ID Protection.
Nota:
La opción 2, en la que se habilita la autenticación multifactor al cambiar el estado del usuario, invalida las directivas de acceso condicional. Dado que las opciones de 3 y 4 usan directivas de acceso condicional, no puede usar la opción 2 con ellas.
Las organizaciones que no agregan capas adicionales de protección de identidad, como la verificación en dos pasos, son más susceptibles a ataques de robo de credenciales. Un ataque de robo de credenciales puede poner en peligro la seguridad de los datos.
Uso del control de acceso basado en rol
La administración de acceso para los recursos en la nube es fundamental para cualquier organización que use la nube. El control de acceso basado en rol de Azure (Azure RBAC) ayuda a administrar quién tiene acceso a los recursos de Azure, qué puede hacer con esos recursos y a qué áreas puede acceder.
La designación de grupos o roles individuales responsables de funciones específicas en Azure ayuda a evitar confusiones que pueden provocar errores humanos y de automatización que crean riesgos de seguridad. Restringir el acceso en función de la necesidad de conocer y los principios de seguridad con privilegios mínimos es imperativo para las organizaciones que quieran aplicar directivas de seguridad para el acceso a los datos.
El equipo de seguridad necesita visibilidad de los recursos de Azure para evaluar y corregir el riesgo. Si el equipo de seguridad tiene responsabilidades operativas, necesitan permisos adicionales para realizar sus trabajos.
Puede usar RBAC de Azure para asignar permisos a usuarios, grupos y aplicaciones en un ámbito determinado. El ámbito de una asignación de roles puede ser una suscripción, un grupo de recursos o un único recurso.
Procedimiento recomendado: segregar las tareas dentro de su equipo y conceder solo la cantidad de acceso a los usuarios que necesitan para realizar sus trabajos. En lugar de conceder a todos los usuarios permisos sin restricciones en su suscripción o recursos de Azure, permita solo determinadas acciones en un ámbito determinado.
Detalle: Use los roles integrados de Azure para asignar privilegios a los usuarios.
Nota:
Los permisos específicos crean complejidad y confusión innecesarias, acumulando en una configuración "heredada" que es difícil de corregir sin miedo a romper algo. Evite los permisos específicos de los recursos. En su lugar, use grupos de administración para los permisos de toda la empresa y grupos de recursos para los permisos dentro de las suscripciones. Evite permisos específicos del usuario. En su lugar, asigne acceso a grupos en el identificador de Microsoft Entra.
Procedimiento recomendado: conceda acceso a los equipos de seguridad con responsabilidades de Azure para ver los recursos de Azure para que puedan evaluar y corregir el riesgo.
Detalle: conceda a los equipos de seguridad el rol de Lector de Seguridad RBAC de Azure. Puede usar el grupo de administración raíz o el grupo de administración de segmentos, en función del ámbito de responsabilidades:
- Grupo de administración raíz para equipos responsables de todos los recursos empresariales
- Grupo de administración de segmentos para equipos con ámbito limitado (normalmente debido a límites normativos u otros límites organizativos)
Procedimiento recomendado: conceda los permisos adecuados a los equipos de seguridad que tengan responsabilidades operativas directas.
Detalle: revise los roles integrados de Azure para la asignación de roles adecuada. Si los roles integrados no satisfacen las necesidades específicas de su organización, puede crear roles personalizados de Azure. Al igual que con los roles predefinidos, puede asignar roles personalizados a usuarios, grupos y entidades de servicio en los ámbitos de suscripción, grupo de recursos y recurso.
Procedimientos recomendados: conceda a Microsoft Defender for Cloud acceso a roles de seguridad que lo necesiten. Defender for Cloud permite a los equipos de seguridad identificar y corregir rápidamente los riesgos.
Detalle: agregue equipos de seguridad con estas necesidades al rol Administrador de seguridad de RBAC de Azure para que puedan ver directivas de seguridad, ver estados de seguridad, editar directivas de seguridad, ver alertas y recomendaciones, y descartar alertas y recomendaciones. Puede hacerlo mediante el grupo de administración raíz o el grupo de administración de segmentos, en función del ámbito de las responsabilidades.
Las organizaciones que no aplican el control de acceso a datos mediante funcionalidades como RBAC de Azure podrían proporcionar más privilegios de los necesarios a sus usuarios. Esto puede provocar un riesgo en los datos al permitir que los usuarios accedan a tipos de datos (por ejemplo, un gran impacto empresarial) que no deberían tener.
Menor exposición de cuentas con privilegios
Proteger el acceso con privilegios es un primer paso fundamental para proteger los recursos empresariales. Minimizar el número de personas que tienen acceso a información segura o a recursos reduce la posibilidad de que los usuarios malintencionados obtengan acceso o de que un usuario autorizado, sin darse cuenta, afecte a un recurso confidencial.
Las cuentas con privilegios son cuentas que administran los sistemas de TI. Estas cuentas son el objetivo de los ciberatacantes, ya que les proporcionan acceso a los datos y los sistemas de una organización. Para proteger el acceso con privilegios, debe aislar las cuentas y los sistemas del riesgo de exposición a usuarios malintencionados.
Le recomendamos que desarrolle y siga una hoja de ruta para proteger el acceso con privilegios contra los atacantes cibernéticos. Para obtener información sobre cómo crear un mapa de ruta detallado para proteger las identidades y el acceso administrados o notificados en el identificador de Microsoft Entra, Microsoft Azure, Microsoft 365 y otros servicios en la nube, consulte Protección del acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID.
A continuación se resumen los procedimientos recomendados que se encuentran en Protección del acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID:
Procedimiento recomendado: Administración, control y supervisión del acceso a las cuentas con privilegios.
Detalle: Activa Microsoft Entra Privileged Identity Management. Tras activar Privileged Identity Management, recibirá mensajes de correo electrónico de notificación si se producen cambios en el rol de acceso con privilegios. Estas notificaciones proporcionan una advertencia temprana cuando se agregan usuarios adicionales a roles con privilegios elevados en el directorio.
Procedimiento recomendado: garantizar que todas las cuentas de administrador críticas son cuentas de Microsoft Entra administradas. Detalles: quite las cuentas de consumidor de los roles de administrador críticos (por ejemplo, cuentas Microsoft como hotmail.com, live.com y outlook.com).
Procedimiento recomendado: Asegúrese de que todos los roles de administrador críticos tienen una cuenta aparte para las tareas administrativas, a fin de evitar la suplantación de identidad y otros ataques que pueden poner en peligro los privilegios administrativos.
Detalles: cree una cuenta de administración aparte que tenga asignados los privilegios necesarios para realizar las tareas administrativas. Bloquee el uso de estas cuentas administrativas para herramientas de productividad diarias como el correo electrónico de Microsoft 365 o la exploración web arbitraria.
Procedimiento recomendado: Identificación y clasificación de las cuentas que están en roles con privilegios elevados.
Detalle: después de activar Microsoft Entra Privileged Identity Management, vea los usuarios que están en los roles de administrador global, con privilegios y otros con privilegios elevados. Quite todas las cuentas que no sean necesarias en los roles y clasifique las restantes que estén asignadas a roles de administrador:
- Se asignan individualmente a los usuarios administrativos y se pueden usar con fines no administrativos (por ejemplo, correo electrónico personal)
- Asignadas individualmente a usuarios administrativos y designadas solo para fines administrativos
- Compartidas entre varios usuarios
- Para los escenarios de acceso de emergencia
- Para scripts automatizados
- Para usuarios externos
Procedimiento recomendado: Implementar el acceso "Just-In-Time (JIT)" para reducir el tiempo de exposición de privilegios aún más y aumentar la visibilidad sobre el uso de cuentas con privilegios.
Detalle: Microsoft Entra Privileged Identity Management le permite:
- Limite a los usuarios a asumir solo sus privilegios JIT.
- Asignar roles para una duración reducida con confianza de que los privilegios se revocan automáticamente.
Procedimiento recomendado: defina al menos dos cuentas de acceso de emergencia.
Detalle: las cuentas de acceso de emergencia ayudan a las organizaciones a restringir el acceso con privilegios en un entorno existente de Microsoft Entra. Estas cuentas tienen privilegios elevados y no se asignan a individuos específicos. Las cuentas de acceso de emergencia se limitan a escenarios en los que no se pueden usar cuentas administrativas normales. Las organizaciones deben limitar el uso de la cuenta de emergencia solo a la cantidad de tiempo necesaria.
Evalúe las cuentas asignadas o aptas para el rol de administrador global. Si no ve que ninguna cuenta que se use solo en la nube mediante el dominio *.onmicrosoft.com (destinado al acceso de emergencia), créelas. Para obtener más información, consulte Administración de cuentas administrativas de acceso de emergencia en Microsoft Entra ID.
Procedimiento recomendado: Tener un proceso de "romper el cristal" en su lugar en caso de emergencia.
Detalle: siga los pasos descritos en Protección del acceso con privilegios para implementaciones híbridas y en la nube en Microsoft Entra ID.
Procedimiento recomendado: requerir que todas las cuentas de administrador críticas sean sin contraseña (preferidas) o que requieran autenticación multifactor.
Detalle: use la aplicación Microsoft Authenticator para iniciar sesión en cualquier cuenta de Microsoft Entra sin usar una contraseña. Al igual que Windows Hello para empresas, Microsoft Authenticator usa la autenticación basada en claves para habilitar una credencial de usuario vinculada a un dispositivo y usa la autenticación biométrica o un PIN.
Requerir autenticación multifactor de Microsoft Entra en el inicio de sesión para todos los usuarios individuales asignados permanentemente a uno o varios de los roles de administrador de Microsoft Entra: Administrador global, Administrador de roles con privilegios, Administrador de Exchange Online y Administrador de SharePoint Online. Habilite la autenticación multifactor para las cuentas de administrador y asegúrese de que los usuarios de la cuenta de administrador se hayan registrado.
Procedimiento recomendado: para las cuentas de administrador críticas, tenga una estación de trabajo de administración en la que no se permitan tareas de producción (por ejemplo, exploración y correo electrónico). Esto protegerá las cuentas de administrador de los vectores de ataque que usan la exploración y el correo electrónico y reducirá significativamente el riesgo de un incidente importante.
Detalle: use una estación de trabajo de administración. Elija un nivel de seguridad de estación de trabajo:
- Los dispositivos de productividad altamente seguros proporcionan seguridad avanzada para explorar y otras tareas de productividad.
- Las estaciones de trabajo de acceso con privilegios (PAW) proporcionan un sistema operativo dedicado que está protegido frente a ataques de Internet y vectores de amenazas para tareas confidenciales.
Procedimiento recomendado: Desaprovisionar cuentas de administrador cuando los empleados abandonan la organización.
Detalle: tenga un proceso implementado que deshabilite o elimine cuentas de administrador cuando los empleados abandonan la organización.
Procedimiento recomendado: pruebe periódicamente las cuentas de administrador mediante técnicas de ataque actuales.
Detalle: use el simulador de ataques de Microsoft 365 o una oferta de terceros para ejecutar escenarios de ataque realistas en su organización. Esto puede ayudarle a encontrar usuarios vulnerables antes de que se produzca un ataque real.
Procedimiento recomendado: tome medidas para mitigar las técnicas expuestas a ataques más usadas.
Detalle: Identifique las cuentas de Microsoft que tengan roles administrativos y que deban cambiarse a cuentas profesionales o educativas
Asegúrese de que las contraseñas de las cuentas administrativas han cambiado recientemente
Activación de la sincronización de hash de contraseñas
Obtener la puntuación de seguridad de Microsoft 365 (si usa Microsoft 365)
Revise la guía de seguridad de Microsoft 365 (si usa Microsoft 365)
Configurar la supervisión de actividad de Microsoft 365 (si usa Microsoft 365)
Establecer responsables del plan de respuesta ante incidentes o emergencias
Protección de cuentas administrativas con privilegios locales
Si no protege el acceso con privilegios, es posible que encuentre que tiene demasiados usuarios en roles con privilegios elevados y es más vulnerable a los ataques. Actores malintencionados, incluidos los atacantes cibernéticos, a menudo tienen como destino cuentas de administrador y otros elementos de acceso con privilegios para obtener acceso a datos confidenciales y sistemas mediante el robo de credenciales.
Controlar las ubicaciones en las que se crean los recursos
Habilitar a los operadores de nube para realizar tareas mientras se evita que rompan convenciones necesarias para administrar los recursos de la organización es fundamental. Las organizaciones que quieran controlar las ubicaciones en las que se crean los recursos deben codificar de forma rígida estas ubicaciones.
Puede usar Azure Resource Manager para crear directivas de seguridad cuyas definiciones describen las acciones o recursos que se deniegan específicamente. Las definiciones de políticas se asignan en el ámbito deseado, como la suscripción, el grupo de recursos o un recurso específico.
Nota:
Las directivas de seguridad no son las mismas que RBAC de Azure. En realidad, usan RBAC de Azure para autorizar a los usuarios a crear esos recursos.
Las organizaciones que no controlan cómo se crean los recursos son más susceptibles a los usuarios que podrían abusar del servicio mediante la creación de más recursos de los que necesitan. La protección del proceso de creación de recursos es un paso importante para proteger un escenario multiinquilino.
Supervisión activa de actividades sospechosas
Un sistema de supervisión de identidades activa puede detectar rápidamente un comportamiento sospechoso y desencadenar una alerta para una investigación más detallada. En la tabla siguiente se enumeran las funcionalidades de Microsoft Entra que pueden ayudar a las organizaciones a supervisar sus identidades:
Procedimiento recomendado: Tener un método para identificar:
- Intentos para iniciar sesión sin realizar ningún seguimiento.
- Ataques por fuerza bruta contra una cuenta determinada.
- Intenta iniciar sesión desde varias ubicaciones.
- Inicios de sesión desde dispositivos infectados.
- Direcciones IP sospechosas.
Detalle: Utilice los informes de anomalías de Microsoft Entra ID P1 o P2. Disponer de procesos y procedimientos para que los administradores de TI ejecuten estos informes diariamente o a petición (normalmente en un escenario de respuesta a incidentes).
Procedimiento recomendado: tener un sistema de supervisión activo que le notifique los riesgos y puede ajustar el nivel de riesgo (alto, medio o bajo) a sus requisitos empresariales.
Detalle: Utilice Microsoft Entra ID Protection, que marca los riesgos actuales en su propio panel y envía un resumen diario por correo electrónico. Para ayudar a proteger las identidades de la organización, puede configurar directivas basadas en riesgos que respondan automáticamente a los problemas detectados cuando se alcanza un nivel de riesgo especificado.
Las organizaciones que no supervisan activamente sus sistemas de identidad corren el riesgo de poner en peligro las credenciales de usuario. Sin saber que se realizan actividades sospechosas a través de estas credenciales, las organizaciones no pueden mitigar este tipo de amenaza.
Uso de Microsoft Entra ID para la autenticación de almacenamiento
Azure Storage admite la autenticación y autorización con el identificador de Entra de Microsoft para Blob Storage y Queue Storage. Con la autenticación de Microsoft Entra, puede usar el control de acceso basado en roles de Azure para conceder permisos específicos a usuarios, grupos y aplicaciones hasta el nivel de un contenedor de blobs o cola individual.
Se recomienda usar el identificador de Entra de Microsoft para autenticar el acceso al almacenamiento.
Paso siguiente
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.