Administración de identidades y accesoIdentity and access management

La identidad aporta gran parte de las garantías de seguridad.Identity provides the basis of a large percentage of security assurance. Permite el acceso basado en la autenticación de la identidad y los controles de autorización en los servicios en la nube, para proteger los datos y los recursos, y para decidir qué solicitudes deben permitirse.It enables access based on identity authentication and authorization controls in cloud services to protect data and resources and to decide which requests should be permitted.

La administración de identidad y de acceso (IAM) es un límite de seguridad principal en la nube pública.Identity and access management (IAM) is boundary security in the public cloud. Debe tratarse como la base de cualquier arquitectura de nube pública segura y totalmente compatible.It must be treated as the foundation of any secure and fully compliant public cloud architecture. Azure ofrece un conjunto completo de servicios, herramientas y arquitecturas de referencia para que las organizaciones puedan crear entornos altamente seguros y que funcionen de manera eficiente, como se describe aquí.Azure offers a comprehensive set of services, tools, and reference architectures to enable organizations to make highly secure, operationally efficient environments as outlined here.

En esta sección se examinan las consideraciones y las recomendaciones de diseño relativas a IAM en un entorno empresarial.This section examines design considerations and recommendations related to IAM in an enterprise environment.

Por qué necesitamos la administración de identidades y accesoWhy we need identity and access management

El panorama tecnológico de la empresa se está volviendo cada vez más complejo y heterogéneo.The technological landscape in the enterprise is becoming complex and heterogenous. Con el fin de administrar el cumplimiento y la seguridad de este entorno, IAM permite a los usuarios adecuados acceder a los recursos correctos en un momento determinado y por las razones adecuadas.To manage compliance and security for this environment, IAM enables the right individuals to access the right resources at the right time for the right reasons.

Plan de la administración de identidades y accesoPlan for identity and access management

Normalmente, las organizaciones empresariales siguen un enfoque de privilegios mínimos para el acceso operativo.Enterprise organizations typically follow a least-privileged approach to operational access. Este modelo se debe expandir para incluir a Azure mediante el control de acceso basado en rol (RBAC de Azure) de Azure Active Directory (Azure AD) y las definiciones de roles personalizados.This model should be expanded to consider Azure through Azure Active Directory (Azure AD), Azure role-based access control (Azure RBAC), and custom role definitions. Es fundamental planear cómo administrar el control y el acceso al plano de datos en los recursos de Azure.It's critical to plan how to govern control- and data-plane access to resources in Azure. Cualquier diseño para IAM y RBAC de Azure debe cumplir los requisitos legales, de seguridad y de funcionamiento antes de que se pueda aceptar.Any design for IAM and Azure RBAC must meet regulatory, security, and operational requirements before it can be accepted.

La administración de identidades y acceso es un proceso de varios pasos que implica un planeamiento cuidadoso de la integración de identidades y otras consideraciones de seguridad, como el bloqueo de la autenticación heredada y el planeamiento de contraseñas modernas.Identity and access management is a multistep process that involves careful planning for identity integration and other security considerations, such as blocking legacy authentication and planning for modern passwords. El planeamiento del almacenamiento provisional también implica la necesidad de seleccionar la administración de identidades y acceso de tipo "negocio a negocio" o "negocio a consumidor".Staging planning also involves selection of business-to-business or business-to-consumer identity and access management. Aunque estos requisitos varían, existen consideraciones de diseño comunes y recomendaciones que se deben tener en cuenta cuando se use una zona de aterrizaje de la empresa.While these requirements vary, there are common design considerations and recommendations to consider for an enterprise landing zone.

Diagrama que muestra la administración de identidades y acceso.

Figura 1: Administración de identidades y acceso.Figure 1: Identity and access management.

Consideraciones de diseño:Design considerations:

  • Existen límites en el número de roles personalizados y las asignaciones de roles que se deben tener en cuenta al diseñar un marco relativo a IAM y la gobernanza.There are limits around the number of custom roles and role assignments that must be considered when you lay down a framework around IAM and governance. Para más información, consulte Limites de servicio de RBAC de Azure.For more information, see Azure RBAC service limits.
  • Hay un límite de 2000 asignaciones de roles por suscripción.There's a limit of 2,000 role assignments per subscription.
  • Hay un límite de 500 asignaciones de roles por grupo de administración.There's a limit of 500 role assignments per management group.
  • Propiedad de recursos centralizada o federada:Centralized versus federated resource ownership:
    • Es necesario administrar de forma centralizada los recursos compartidos o cualquier aspecto del entorno que implemente o aplique un límite de seguridad, como la red.Shared resources or any aspect of the environment that implements or enforces a security boundary, such as the network, must be managed centrally. Este requisito forma parte de muchos marcos normativos.This requirement is part of many regulatory frameworks. Es una práctica habitual en cualquier organización que conceda o deniegue el acceso a los recursos empresariales confidenciales o críticos.It's standard practice for any organization that grants or denies access to confidential or critical business resources.
    • La administración de los recursos de la aplicación que no infrinjan los límites de seguridad u otros aspectos necesarios para mantener la seguridad y el cumplimiento se pueden delegar a los equipos de la aplicación.Managing application resources that don't violate security boundaries or other aspects required to maintain security and compliance can be delegated to application teams. Permitir a los usuarios aprovisionar recursos dentro de un entorno administrado de forma segura ofrece a las organizaciones la oportunidad de aprovechar la naturaleza ágil de la nube y, al mismo tiempo, evitar la infracción de cualquier límite crítico de seguridad o gobernanza.Allowing users to provision resources within a securely managed environment allows organizations to take advantage of the agile nature of the cloud while preventing the violation of any critical security or governance boundary.

Recomendaciones de diseño:Design recommendations:

  • Use RBAC de Azure para administrar el acceso del plano de datos a los recursos, siempre que sea posible.Use Azure RBAC to manage data-plane access to resources, where possible. Algunos ejemplos son Azure Key Vault, una cuenta de almacenamiento o una base de datos SQL.Examples are Azure Key Vault, a storage account, or a SQL database.
  • Implemente las directivas de acceso condicional de Azure AD para cualquier usuario con derechos en los entornos de Azure.Deploy Azure AD conditional-access policies for any user with rights to Azure environments. Al hacerlo, obtendrá otro mecanismo para proteger un entorno de Azure controlado frente a accesos no autorizados.Doing so provides another mechanism to help protect a controlled Azure environment from unauthorized access.
  • Exija que los usuarios con derechos en los entornos de Azure realicen la autenticación multifactor.Enforce multi-factor authentication for any user with rights to the Azure environments. La aplicación de la autenticación multifactor es un requisito de muchos marcos de cumplimiento.Multi-factor authentication enforcement is a requirement of many compliance frameworks. Reduce en gran medida el riesgo de robo de credenciales y el acceso no autorizado.It greatly lowers the risk of credential theft and unauthorized access.
  • Use Azure AD Privileged Identity Management (PIM) para establecer un privilegio mínimo pero no un acceso permanente.Use Azure AD Privileged Identity Management (PIM) to establish zero standing access and least privilege. Asigne los roles de la organización al nivel mínimo de acceso necesario.Map your organization's roles to the minimum level of access needed. PIM de Azure AD puede ser una extensión de las herramientas y los procesos existentes, usar herramientas nativas de Azure tal y como se describió anteriormente, o bien pueden usarse ambas opciones si es necesario.Azure AD PIM can either be an extension of existing tools and processes, use Azure native tools as outlined, or use both as needed.
  • Cuando acceda a los recursos, use los grupos que solo sean de Azure AD para los recursos del plano de control de Azure en PIM de Azure AD.Use Azure-AD-only groups for Azure control-plane resources in Azure AD PIM when you grant access to resources.
    • Agregue grupos locales al grupo que solo sea de Azure AD, si ya existe un sistema de administración de grupos.Add on-premises groups to the Azure-AD-only group if a group management system is already in place.
  • Use las revisiones de acceso de Azure AD PIM para validar periódicamente los derechos de los recursos.Use Azure AD PIM access reviews to periodically validate resource entitlements. Las revisiones del acceso forman parte de muchos marcos de cumplimiento normativo.Access reviews are part of many compliance frameworks. Como resultado, muchas organizaciones ya tendrán implantado un proceso para abordar este requisito.As a result, many organizations will already have a process in place to address this requirement.
  • Integre los registros de Azure AD con el elemento central Azure Monitor de la plataforma.Integrate Azure AD logs with the platform-central Azure Monitor. Azure Monitor permite tener un único origen de confianza de datos de registro y supervisión en Azure, lo que proporciona a las organizaciones opciones nativas de la nube para cumplir los requisitos de recopilación y retención de registros.Azure Monitor allows for a single source of truth around log and monitoring data in Azure, which gives organizations cloud-native options to meet requirements around log collection and retention.
  • Si existen requisitos de soberanía de datos, se pueden implementar directivas de usuario personalizadas para aplicarlos.If any data sovereignty requirements exist, custom user policies can be deployed to enforce them.
  • Use las definiciones de roles personalizados en el inquilino de Azure AD al considerar los siguientes roles clave:Use custom role definitions within the Azure AD tenant while you consider the following key roles:
RoleRole UsoUsage AccionesActions Ninguna acciónNo actions
Propietario de la plataforma Azure (como, por ejemplo, el rol de propietario integrado)Azure platform owner (such as the built-in Owner role) Administración de grupos y del ciclo de vida de la suscripción.Management group and subscription lifecycle management *
Administración de redes (NetOps)Network management (NetOps) Administración de conectividad global en toda la plataforma: Redes virtuales, enrutamientos definidos por el usuario, grupos de seguridad de red, dispositivos virtuales de red, VPN, Azure ExpressRoute y otrosPlatform-wide global connectivity management: Virtual networks, UDRs, NSGs, NVAs, VPN, Azure ExpressRoute, and others */read, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/**/read, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
Operaciones de seguridad (SecOps)Security operations (SecOps) Rol de administrador de seguridad que cuenta con una vista horizontal en todo el espacio de Azure y la directiva de depuración de Azure Key Vault.Security administrator role with a horizontal view across the entire Azure estate and the Azure Key Vault purge policy */read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/**/read, */register/action, Microsoft.KeyVault/locations/deletedVaults/purge/action, Microsoft.Insights/alertRules/*, Microsoft.Authorization/policyDefinitions/*, Microsoft.Authorization/policyAssignments/*, Microsoft.Authorization/policySetDefinitions/*, Microsoft.PolicyInsights/*, Microsoft.Security/*
Propietario de la suscripciónSubscription owner Rol delegado del propietario de la suscripción derivado del rol del propietario de la suscripción.Delegated role for subscription owner derived from subscription Owner role * Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*Microsoft.Authorization/*/write, Microsoft.Network/vpnGateways/*, Microsoft.Network/expressRouteCircuits/*, Microsoft.Network/routeTables/write, Microsoft.Network/vpnSites/*
Propietarios de aplicaciones (DevOps/AppOps)Application owners (DevOps/AppOps) Rol del colaborador concedido para el equipo de aplicaciones u operaciones en el nivel del grupo de recursos.Contributor role granted for application/operations team at resource group level * Microsoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/actionMicrosoft.Authorization/*/write, Microsoft.Network/publicIPAddresses/write, Microsoft.Network/virtualNetworks/write, Microsoft.KeyVault/locations/deletedVaults/purge/action
  • Use el acceso Just-in-Time de Azure Security Center en todos los recursos de tipo Infraestructura como servicio (IaaS) y así habilitar la protección de nivel de red para el acceso de usuario efímero a las máquinas virtuales de IaaS.Use Azure Security Center just-in-time access for all infrastructure as a service (IaaS) resources to enable network-level protection for ephemeral user access to IaaS virtual machines.
  • Use identidades administradas de Azure AD para recursos de Azure a fin de evitar la autenticación en función de los nombres de usuario y las contraseñas.Use Azure AD managed identities for Azure resources to avoid authentication based on user names and passwords. Como muchas infracciones de seguridad de los recursos de la nube pública se originan con el robo de credenciales insertadas en el código u otros orígenes de texto, el uso de identidades administradas para el acceso mediante programación reduce considerablemente el riesgo de robo de credenciales.Because many security breaches of public cloud resources originate with credential theft embedded in code or other text sources, enforcing managed identities for programmatic access greatly reduces the risk of credential theft.
  • Use identidades con privilegios para los runbooks de Automation que requieran permisos de acceso elevados.Use privileged identities for automation runbooks that require elevated access permissions. Los flujos de trabajo automatizados que infringen los límites de seguridad críticos deben regirse con las mismas herramientas y directivas que cuenten los usuarios con privilegios equivalentes.Automated workflows that violate critical security boundaries should be governed by the same tools and policies users of equivalent privilege are.
  • No agregue usuarios directamente a los ámbitos de recursos de Azure.Don't add users directly to Azure resource scopes. En su lugar, agregue usuarios a los roles definidos, que luego se asignan a los ámbitos de recursos.Instead add users to defined roles, which are then assigned to resource scopes. Las asignaciones de usuarios directas eluden la administración centralizada y aumentan en gran medida la administración necesaria para evitar el acceso no autorizado a los datos restringidos.Direct user assignments circumvent centralized management, greatly increasing the management required to prevent unauthorized access to restricted data.

Plan de la autenticación en una zona de aterrizajePlan for authentication inside a landing zone

Una decisión de diseño fundamental que debe tomar una organización empresarial al adoptar Azure, es si quiere ampliar el dominio de identidades local existente a Azure o si quiere crear uno nuevo.A critical design decision that an enterprise organization must make when adopting Azure is whether to extend an existing on-premises identity domain into Azure or to create a brand new one. Los requisitos de autenticación dentro de la zona de aterrizaje deben evaluarse minuciosamente e incorporarse en planes para implementar Active Directory Domain Services (AD DS) en Windows Server, Azure AD Domain Services (Azure AD DS) o ambos.Requirements for authentication inside the landing zone should be thoroughly assessed and incorporated into plans to deploy Active Directory Domain Services (AD DS) in Windows Server, Azure AD Domain Services (Azure AD DS), or both. La mayoría de los entornos de Azure usarán al menos Azure AD para la autenticación del tejido de Azure, la autenticación del host local de AD DS y la administración de directivas de grupo.Most Azure environments will use at least Azure AD for Azure fabric authentication and AD DS local host authentication and group policy management.

Consideraciones de diseño:Design considerations:

  • Tenga en cuenta las responsabilidades centralizadas y delegadas para administrar los recursos implementados dentro de la zona de aterrizaje.Consider centralized and delegated responsibilities to manage resources deployed inside the landing zone.
  • Las aplicaciones que dependen de los servicios de dominio y utilizan protocolos más antiguos pueden usar Azure AD DS.Applications that rely on domain services and use older protocols can use Azure AD DS.

Recomendaciones de diseño:Design recommendations:

  • Use las responsabilidades centralizadas y delegadas para administrar los recursos implementados en la zona de aterrizaje en función de los requisitos de roles y seguridad.Use centralized and delegated responsibilities to manage resources deployed inside the landing zone based on role and security requirements.
  • Las operaciones con privilegios, como la creación de objetos de entidades de servicio, el registro de aplicaciones en Azure AD y la obtención y administración de certificados o certificados comodín requieren permisos especiales.Privileged operations such as creating service principal objects, registering applications in Azure AD, and procuring and handling certificates or wildcard certificates require special permissions. Tenga en cuenta qué usuarios van a controlar estas solicitudes y cómo va a proteger y supervisar sus cuentas con el grado de diligencia necesaria.Consider which users will be handling such requests and how to secure and monitor their accounts with the degree of diligence required.
  • Si una organización tiene un escenario en el que el acceso a una aplicación que use la autenticación integrada de Windows deba realizarse de forma remota con Azure AD, considere la posibilidad de usar Azure AD Application Proxy.If an organization has a scenario where an application that uses integrated Windows authentication must be accessed remotely through Azure AD, consider using Azure AD Application Proxy.
  • Hay una diferencia entre Azure AD, Azure AD DS y AD DS que se ejecuta en Windows Server.There's a difference between Azure AD, Azure AD DS, and AD DS running on Windows Server. Evalúe las necesidades de la aplicación y comprenda y documente el proveedor de autenticación que utilizará cada una de ellas.Evaluate your application needs, and understand and document the authentication provider that each one will be using. Realice sus planes teniendo en mente todas las aplicaciones.Plan accordingly for all applications.
  • Evalúe la compatibilidad de las cargas de trabajo para AD DS en Windows Server y para Azure AD DS.Evaluate the compatibility of workloads for AD DS on Windows Server and for Azure AD DS.
  • Asegúrese de que el diseño de red permite que los recursos que requieren AD DS en Windows Server para la autenticación y administración locales obtengan acceso a los controladores de dominio adecuados.Ensure your network design allows resources that require AD DS on Windows Server for local authentication and management to access the appropriate domain controllers.
    • En el caso de AD DS en Windows Server, considere la posibilidad de usar entornos de servicios compartidos que ofrezcan autenticación local y administración de host en un contexto de red más amplio para toda la empresa.For AD DS on Windows Server, consider shared services environments that offer local authentication and host management in a larger enterprise-wide network context.
  • Implemente Azure AD DS en la región primaria, ya que este servicio solo se puede proyectar en una suscripción.Deploy Azure AD DS within the primary region because this service can only be projected into one subscription.
  • Use identidades administradas en lugar de entidades de servicio para realizar la autenticación en los servicios de Azure.Use managed identities instead of service principals for authentication to Azure services. Este enfoque reduce la posibilidad de que le roben las credenciales.This approach reduces exposure to credential theft.