Procedimientos de seguridad recomendados
Al usar Azure Lighthouse, es importante tener en cuenta la seguridad y el control de acceso. Los usuarios de su inquilino tendrán acceso directo a las suscripciones y los grupos de recursos del cliente, por lo que es recomendable tomar medidas para proteger la seguridad del inquilino. También es recomendable asegurarse de que solo se permite el acceso necesario para administrar de forma eficaz los recursos de los clientes. En este tema se proporcionan recomendaciones para ayudarle a hacerlo.
Sugerencia
Estas recomendaciones también se aplican a empresas que administran varios inquilinos con Azure Lighthouse.
Requerir autenticación multifactor de Microsoft Entra
La autenticación multifactor de Microsoft Entra (también conocida como verificación en dos pasos) ayuda a evitar que los atacantes obtengan acceso a una cuenta al requerir varios pasos de autenticación. Debe requerir autenticación multifactor a todos los usuarios del inquilino administrador, incluidos los usuarios que tendrán acceso a los recursos delegados de cliente.
Le recomendamos que pida a sus clientes que implementen también la autenticación multifactor de Microsoft Entra en sus inquilinos.
Importante
Las directivas de acceso condicional que se establecen en el inquilino de un cliente no se aplican a los usuarios que acceden a los recursos de ese cliente a través de Azure Lighthouse. Solo las directivas establecidas en el inquilino de administración se aplican a esos usuarios. Se recomienda encarecidamente requerir la autenticación multifactor de Microsoft Entra para el inquilino de administración y el inquilino administrado (cliente).
Asignar permisos a grupos mediante el principio de privilegios mínimos
Para facilitar la administración, use los grupos de Microsoft Entra para cada rol necesario para administrar los recursos de los clientes. Esto le permite agregar o quitar usuarios individuales del grupo según sea necesario, en lugar de asignar permisos directamente a cada usuario.
Importante
Para agregar permisos a un grupo de Microsoft Entra, la opción Tipo de grupo debe establecerse en Seguridad. Esta opción se selecciona cuando se crea el grupo. Para obtener más información, vea Crear un grupo básico y agregar miembros.
Al crear la estructura de permisos, asegúrese de seguir el principio de privilegios mínimos para que los usuarios solo tengan los permisos necesarios para completar su trabajo, lo que ayuda a reducir la posibilidad de errores involuntarios.
Por ejemplo, puede que quiera usar una estructura como la siguiente:
Nombre del grupo | Tipo | principalId | Definición de roles | Id. de definición de roles |
---|---|---|---|---|
Arquitectos | Grupo de usuarios | <principalId> | Colaborador | b24988ac-6180-42a0-ab88-20f7382dd24c |
Evaluación | Grupo de usuarios | <principalId> | Lector | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
Especialistas en VM | Grupo de usuarios | <principalId> | Colaborador de VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
Automation | Nombre de entidad de seguridad de servicio (SPN) | <principalId> | Colaborador | b24988ac-6180-42a0-ab88-20f7382dd24c |
Una vez que se hayan creado estos grupos, puede asignarles usuarios según sea necesario. Agregue solo los usuarios que realmente necesitan tener acceso. Asegúrese de revisar la pertenencia a grupos con regularidad y quite los usuarios que ya no sean adecuados o que no sea necesario incluir.
Tenga en cuenta que al incorporar clientes a través de una oferta pública de servicios administrados, cualquier grupo (o entidad de servicio o usuario) que incluya tendrá los mismos permisos para todos los clientes que compren el plan. A fin de asignar grupos diferentes con el objetivo de que trabajen con cada cliente, tendrá que publicar un plan privado independiente exclusivo para cada cliente o incorporar los clientes individualmente mediante plantillas de Resource Manager. Por ejemplo, podría publicar un plan público que tenga un acceso muy limitado y, después, trabajar con el cliente directamente para incorporar sus recursos para obtener acceso adicional mediante una plantilla de recursos de Azure personalizada que concede acceso adicional según sea necesario.
Sugerencia
También puede crear autorizaciones aptas que permitan a los usuarios del inquilino de administración tener un rol superior temporalmente. Con el uso de autorizaciones válidas, puede minimizar el número de asignaciones permanentes de usuarios a roles con privilegios, lo que ayuda a reducir los riesgos de seguridad relacionados con el acceso con privilegios por parte de los usuarios del inquilino. Esta característica tiene requisitos específicos de concesión de licencia. Para obtener más información, vea Creación de autorizaciones aptas.
Pasos siguientes
- Consulte la información de la línea base de seguridad para conocer cómo se aplica la guía de Microsoft Cloud Security Benchmark a Azure Lighthouse.
- Implementar la autenticación multifactor de Microsoft Entra.
- Más información sobre las experiencias de administración entre inquilinos.