Fase 2: Permisos de tamaño correcto y automatización del principio de privilegios mínimos
En esta sección de la guía de referencia de operaciones de administración de permisos de Microsoft Entra se describen las comprobaciones y las acciones que debe realizar para corregir los resultados clave en su entorno e implementar el acceso Just-In-Time (JIT) con permisos a petición.
Corrección continua y permisos de tamaño correcto
Propietario recomendado: operaciones de seguridad de la información
Determinar las responsabilidades de corrección y supervisión
Para operar el producto de forma óptima, la administración de permisos de Microsoft Entra requiere la ejecución continua de tareas y procesos operativos clave. Configure tareas clave y propietarios para mantener su entorno.
| Tarea | Propietario |
|---|---|
| Supervisión y mantenimiento de PCI en función de los objetivos | Operaciones de seguridad de la información |
| Evaluación de prioridades e investigación de los resultados del informe | Operaciones de seguridad de la información |
| Evaluación de prioridades e investigación de alertas | Operaciones de seguridad de la información |
| Revisión de consultas de auditoría | Seguridad y auditoría |
| Seguimiento e informe sobre el progreso | Operaciones de seguridad de la información |
Reducción de PCI a niveles de destino
Es importante reducir las puntuaciones de PCI en todos los sistemas de autorización en función de los umbrales de PCI y las directivas definidas por la organización. Actuar sobre los hallazgos ayuda a que su entorno sea más seguro. Los tres hallazgos con el mayor impacto en la reducción de las puntuaciones de PCI son las super identidades, las identidades inactivas y las identidades sobreaprovisionadas.
Superidentidades
Las superidentidades tienen los permisos de privilegios más altos en un sistema de autorización. Entre ellas se incluyen identidades humanas y no humanas, como usuarios, entidades de servicio y funciones sin servidor. Demasiadas superidentidades pueden crear riesgos excesivos y aumentar el radio de explosión durante una infracción.
Procedimiento recomendado: se recomiendan cinco o menos identidades de usuario o grupo por sistema de autorización. Use un pequeño número de superaplicaciones, entidades de servicio, funciones sin servidor y cuentas de servicio. Proporcione un razonamiento claro y una justificación para usarlos.
Guía de corrección
- Para las superidentidades esperadas, como los administradores de infraestructura, use las etiquetas ck_exclude_from_pci y ck_exclude_from_reports.
- La etiqueta ck_exclude_from_pci quita la identidad del cálculo de puntuación PCI del sistema de autorización
- La etiqueta ck_exclude_from_reports quita la identidad del informe de análisis de permisos, por lo que no se llama como una superidentidad
- Cambiar el tamaño correcto de los permisos de otras superidentidades y usar un modelo de acceso JIT
- Uso de las herramientas de corrección de administración de permisos para ajustar el tamaño
- Configuración del permiso a petición para lograr el modelo de acceso JIT
Identidades inactivas
Estas identidades no han realizado acciones durante 90 días.
Procedimiento recomendado: ajuste regularmente el tamaño de los permisos de identidades inactivas, lo que puede ser vectores de ataque potenciales para actores incorrectos.
Guía de corrección
Revise las identidades inactivas para determinar la corrección:
- Si se necesita la identidad inactiva, aplique la etiqueta ck_exclude_from_reports para quitar la identidad del informe de análisis de permisos, por lo que no se llama como una identidad inactiva.
- Si la identidad inactiva no es necesaria en su entorno, se recomienda revocar los permisos sin usar de la identidad o asignarle el estado de solo lectura. Aprenda a revocar el acceso a tareas de alto riesgo y sin usar o asignar el estado de solo lectura.
Identidades sobreaprovisionadas
Las identidades sobreaprovisionadas o las identidades excesivas no usan muchos de sus permisos concedidos.
Procedimiento recomendado: permisos de tamaño correcto con regularidad de estas identidades para reducir el riesgo de uso indebido de permisos, ya sea accidental o malintencionado. Esta acción reduce el radio potencial de explosión durante un incidente de seguridad.
Guía de corrección
Corrija las identidades sobreaprovisionadas con roles integrados con privilegios mínimos o con roles personalizados de tamaño correcto.
Nota:
Tenga en cuenta los límites de roles personalizados. Se recomienda el enfoque de rol integrado con privilegios mínimos si su organización está cerca de alcanzar estos límites.
Para los roles integrados con privilegios mínimos, se recomienda usar la administración de permisos de Microsoft Entra para determinar qué permisos usa la identidad y, a continuación, asignar el rol integrado que se alinea con este uso.
Para roles personalizados de tamaño correcto, se recomienda corregir identidades sobreaprovisionadas por equipos o grupos:
Identifique un equipo o grupo que necesite permisos de tamaño correcto. Por ejemplo, los administradores o desarrolladores de un servicio web.
Cree un nuevo rol de tamaño adecuado en función de lo que el equipo usa actualmente.
Vaya a Corrección>Roles o directivas>Crear rol o directiva.
Seleccione los usuarios de un equipo o grupo.
Haga clic en Siguiente y, en Tareas seleccionadas, valide los permisos en el nuevo rol. Se rellenarán automáticamente en función de la actividad histórica de los usuarios o grupos seleccionados.
Agregue permisos de equipo adicionales, según sea necesario.
Cree el nuevo rol o directiva.
Revoque los permisos del equipo actual.
Asigne a los miembros del equipo el rol o directiva de tamaño adecuado.
Nota:
Se recomienda empezar por cambiar el tamaño de las identidades no humanas, como las entidades de servicio y las cuentas de máquina. La actividad de identidades no humanas es menos probable que varíe día a día, lo que reduce el riesgo de posibles interrupciones del servicio causadas por el ajuste de tamaño correcto.
Para obtener más información sobre las herramientas de corrección disponibles en Administración de permisos de Microsoft Entra:
- Creación de un rol o una directiva
- Clonación de un rol o una directiva
- Modificación de un rol o una directiva
- Eliminación de un rol o una directiva
- Adjuntar y desasociar directivas para identidades de AWS
- Agregar y quitar roles y tareas para identidades de Microsoft Azure y GCP
- Revocar el acceso a tareas de alto riesgo y sin usar o asignar el estado de solo lectura para las identidades de Azure y GCP
Seguimiento del progreso y medición del éxito
Para cumplir los objetivos de la organización, habilite los procesos para realizar un seguimiento e informar sobre el progreso. Algunas herramientas integradas de administración de permisos de Microsoft Entra son:
- informe de historial de PCI: reciba información general regular y detallada sobre cómo cambian las puntuaciones de PCI en los sistemas de autorización y las carpetas a lo largo del tiempo. Mida el grado de cumplimiento de la organización y el mantenimiento de los objetivos de PCI. Se recomienda programar un informe periódico del historial de PCI para las partes interesadas clave. Asegúrese de que la cadencia coincide con las revisiones de progreso internas.
- informe de análisis de permisos: mida el progreso de la corrección y programe el informe que se enviará a las partes interesadas clave o exporte una versión PDF del informe para los sistemas de autorización de forma periódica. Esta práctica permite a su organización medir el progreso de la corrección a lo largo del tiempo. Por ejemplo, con este enfoque puede ver cuántas identidades inactivas se limpian cada semana y qué impacto tuvo en las puntuaciones de PCI.
- Panel de administración de permisos: obtenga información general sobre los sistemas de autorización y sus puntuaciones de PCI. Use la sección Lista de cambios de PCI más alta para ordenar los sistemas de autorización por puntuación de PCI para priorizar la actividad de corrección. Consulte también Cambio de PCI durante los últimos siete días para ver qué sistemas de autorización tenían más progreso y cuál podría necesitar más revisión. Seleccione sistemas de autorización en la sección Mapa térmico de PCI para acceder al gráfico de tendencias de PCI para ese sistema de autorización. Observe cómo PCI cambia durante un período de 90 días.
Operacionalización de permisos a petición
Propietario recomendado: arquitectura de seguridad de la información
Permisos a petición completa el panorama del acceso justo y necesario al permitir a las organizaciones conceder a los usuarios permisos limitados en el tiempo, cuando sea necesario.
Para poner en marcha los permisos a petición, cree y mantenga un proceso bien definido para implementar permisos a petición en su entorno. En la siguiente tabla se describen las tareas y los propietarios recomendados.
| Tarea | Propietario recomendado |
|---|---|
| Determine qué sistemas de autorización usar con permisos a petición | Arquitectura de seguridad de la información |
| Defina los procesos de administración para incorporar nuevos sistemas de autorización al modelo de permisos a petición. Seleccione y entrene aprobadores y solicitantes y, a continuación, delegue permisos. Vea la siguiente sección para obtener más información. | Arquitectura de seguridad de la información |
| Actualización de los procedimientos del modelo operativo estándar para las asignaciones iniciales de permisos de usuario y un proceso de solicitud de permisos ad hoc | Arquitectura de seguridad de la información |
Determinación de aprobadores
Los aprobadores revisan las solicitudes de Permisos a petición y tienen autoridad para aprobar o denegar solicitudes. Seleccione aprobadores para los sistemas de autorización que desea usar con permisos a petición. Se recomienda al menos dos aprobadores para cada sistema de autorización.
Creación de grupos de seguridad de Microsoft Entra para aprobadores
Para delegar permisos, el equipo de IAM crea grupos de seguridad de Microsoft Entra que se asignan a los Aprobadores. Asegúrese de que los aprobadores con la propiedad compartida y las responsabilidades están en el mismo grupo de seguridad.
Se recomienda usar PIM para grupos. Esto proporciona acceso JIT a los permisos del aprobador para aprobar o denegar solicitudes a petición de permisos.
Para crear grupos de seguridad de Microsoft Entra ID, consulte Administración de grupos y pertenencia a grupos.
Asignación de permisos a aprobadores
Una vez creados los grupos de seguridad de Microsoft Entra, un administrador de administración de permisos concede a los grupos de seguridad sus permisos de aprobador en Administración de permisos. Asegúrese de que a los grupos de seguridad se les conceden permisos de aprobador para los sistemas de autorización de los que son responsables. Obtenga más información sobre los roles de administración de permisos de Microsoft Entra y los niveles de permisos.
Determinación y creación de un grupo de seguridad de administrador del solicitante
Designe al menos dos administradores de solicitante que creen solicitudes a petición de permisos en nombre de identidades en su entorno. Por ejemplo, para las identidades de máquina. Cree un grupo de seguridad de Microsoft Entra para estos administradores del solicitante.
Se recomienda usar PIM para grupos. Esto proporciona acceso JIT a los permisos del solicitante necesarios para realizar solicitudes a petición de permisos en nombre de otros usuarios.
Para crear grupos de seguridad de Microsoft Entra ID, consulte Administración de grupos y pertenencia a grupos.
Permitir que los usuarios realicen solicitudes a petición de permisos
Un administrador de administración de permisos agrega identidades de solicitante al grupo de seguridad Administrador del solicitante para cada sistema de autorización. Agregar una identidad del solicitante le permite realizar solicitudes a petición de permisos para cualquier sistema de autorización, para el que tiene permisos. Los miembros del grupo de seguridad Administrador del solicitante pueden solicitar permisos en nombre de las identidades del sistema de autorización especificado. Obtenga más información sobre los roles de administración de permisos de Microsoft Entra y los niveles de permisos.
Determinación de directivas organizativas para permisos a petición
Puede configurar las opciones de permisos a petición para alinearse con las necesidades de la organización. Se recomienda establecer directivas para:
- Roles y directivas disponibles para que los usuarios soliciten: use filtros de rol y directiva para especificar qué usuarios pueden solicitar. Evite que los usuarios no calificados soliciten roles de alto riesgo y con privilegios elevados, como propietario de la suscripción.
- Límites de duración de la solicitud: especifique la duración máxima permitida para los permisos adquiridos a través de permisos a petición. Acepte un límite de duración que se alinee con la forma en que los usuarios solicitan y obtienen acceso a los permisos.
- Directiva de código de acceso de un solo uso (OTP): puede requerir OTP de correo electrónico para que los solicitantes creen solicitudes. Además, puede requerir OTP de correo electrónico para que los aprobadores aprueben o rechacen solicitudes. Use estas configuraciones para uno o ambos escenarios.
- Aprobaciones automáticas para AWS: como opción para permisos a petición para AWS, puede configurar solicitudes de directiva específicas para que se aprueben automáticamente. Por ejemplo, puede agregar directivas comunes de bajo riesgo a la lista de aprobación automática y ayudar a ahorrar tiempo para los solicitantes y aprobadores.
Aprenda a establecer selecciones para solicitudes y aprobaciones automáticas.
Creación de plantillas de rol o directiva personalizadas para la organización
En la administración de permisos de Microsoft Entra, las plantillas de roles o directivas son conjuntos de permisos que puede crear para permisos a petición. Cree plantillas que se asignen a acciones comunes realizadas en el entorno. A continuación, los usuarios tienen plantillas para solicitar conjuntos de permisos, en lugar de seleccionar continuamente permisos individuales.
Por ejemplo, si la creación de máquinas virtuales (VM) es una tarea común, cree una plantilla Crear una máquina virtual con los permisos necesarios. Los usuarios no tienen que saber ni seleccionar manualmente todos los permisos necesarios para la tarea.
Para obtener información sobre cómo crear plantillas de rol o directiva, consulte ver roles o directivas y solicitudes de permiso en el panel de corrección.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de