Línea base de seguridad de Azure para Azure Active Directory

Esta línea base de seguridad aplica las instrucciones de la versión 2.0 de Azure Security Benchmark a Azure Active Directory. Azure Security Benchmark proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa por medio de los controles de seguridad que define Azure Security Benchmark y las directrices aplicables a Azure Active Directory relacionadas.

Cuando una característica tiene Azure Policy definiciones relevantes, se muestran en esta línea de base, para ayudarle a medir el cumplimiento de los controles y recomendaciones de Azure Security Benchmark. Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar determinados escenarios de seguridad.

Nota:

Se han excluido los controles no aplicables a Azure Active Directory y aquellos para los que se recomienda la guía global al pie de la letra. Para ver cómo Azure Active Directory se asigna por completo a Azure Security Benchmark, consulte el archivo completo de asignación de línea base de seguridad de Azure Active Directory.

Seguridad de redes

Para más información, consulte Azure Security Benchmark: seguridad de red.

NS-6: simplificación de las reglas de seguridad de red

Guía: use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red en los grupos de seguridad de red o las instancias de Azure Firewall configuradas para los recursos de Azure Active Directory. Puede utilizar etiquetas de servicio en lugar de direcciones IP específicas al crear reglas de seguridad. Al especificar el nombre de la etiqueta de servicio "AzureActiveDirectory" en el campo de origen o destino apropiado de una regla, puede permitir o denegar el tráfico para el servicio correspondiente. Microsoft administra los prefijos de direcciones que la etiqueta de servicio incluye y actualiza automáticamente dicha etiqueta a medida que las direcciones cambian.

Responsabilidad: Customer

NS-7: servicio de nombres de dominio (DNS) seguro

Guía: Azure Active Directory no expone sus configuraciones de DNS subyacentes, ya que esta configuración la mantiene Microsoft.

Responsabilidad: Microsoft

Administración de identidades

Para más información, consulte Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Guía: Azure Migrate usa Azure Active Directory (Azure AD) como un servicio de administración de identidades y acceso predeterminado de Azure. Debe unificar Azure AD para controlar la administración de identidades y accesos de la organización en:

  • Los recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar la posición de seguridad de las identidades en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite identidades externas que permiten a los usuarios que no tienen una cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos mediante la identidad externa.

Responsabilidad: Customer

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Guía: Use Identidad administrada para los recursos de Azure para cuentas que no son humanas, como servicios o automatización. Se recomienda usar la característica de identidad administrada de Azure en lugar de crear una cuenta humana más eficaz para acceder a los recursos o ejecutarlos. Puede autenticarse de forma nativa en los servicios o recursos de Azure que admiten la autenticación de Azure Active Directory (Azure AD) mediante una regla de concesión de acceso predefinida sin usar la credencial codificada de forma rígida en el código fuente o los archivos de configuración. No se pueden asignar identidades administradas de Azure a recursos de Azure AD, Azure AD es el mecanismo para autenticarse con identidades administradas asignadas a los recursos de otro servicio.

Responsabilidad: Customer

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Guía: Use Azure Active Directory para proporcionar administración de identidades y accesos a recursos de Azure, aplicaciones en la nube y aplicaciones locales. Esto incluye no solo las identidades empresariales, como los empleados, sino también las identidades externas, como asociados y proveedores. Esto permite que el inicio de sesión único (SSO) administre y proteja el acceso a los datos y recursos de la organización locales y en la nube. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para obtener un acceso seguro y sin problemas, y para lograr mayor visibilidad y control.

Responsabilidad: Customer

Acceso con privilegios

Para más información, consulte Azure Security Benchmark: Acceso con privilegios.

PA-1: Protección y limitación de usuarios con privilegios elevados

Guía: Los roles integrados más críticos de Azure AD son los de administrador global y administrador de roles con privilegios, ya que los usuarios que tengan asignados estos dos roles pueden delegar roles de administrador:

  • Administrador global: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.

  • Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.

Nota: Si usa roles personalizados con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban administrarse. Además, puede que también quiera aplicar controles similares a la cuenta de administrador de recursos empresariales críticos.

Azure AD cuenta con privilegios elevados: los usuarios y entidades de servicio que están asignados directa o indirectamente a los roles de administrador global o administrador de roles con privilegios, o que son elegibles para ellos, y otros roles con privilegios elevados en Azure AD y Azure.

Limite el número de cuentas con privilegios elevados y proteja estas cuentas en un nivel elevado, ya que los usuarios con este privilegio pueden leer directa o indirectamente, y modificar todos los recursos de su entorno de Azure.

Puede habilitar el acceso con privilegios Just-in-Time (JIT) a los recursos de Azure y Azure AD mediante Azure AD Privileged Identity Management (PIM). JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.

Responsabilidad: Customer

PA-3: Revisión y conciliación de manera periódica del acceso de los usuarios

Guía: Revise periódicamente las asignaciones de acceso de cuentas de usuario para asegurarse de que las cuentas y su acceso son válidos, especialmente centrados en los roles con privilegios elevados, incluidos el de administrador global y el administrador de roles con privilegios. Puede usar las revisiones de Azure Active Directory (Azure AD) para revisar las pertenencias a grupos, el acceso a aplicaciones empresariales y las asignaciones de roles, tanto para roles de Azure AD como para roles de Azure. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management para crear un flujo de trabajo de informes de revisión de acceso para facilitar el proceso de revisión.

Además, se puede configurar Azure Privileged Identity Management para enviar una alerta cuando se cree un número de cuentas de administrador excesivo y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.

Responsabilidad: Customer

PA-6: Uso de estaciones de trabajo con privilegios de acceso

Guía: Las estaciones de trabajo seguras y aisladas son de una importancia vital para la seguridad de los roles con acceso a información confidencial como administradores, desarrolladores y operadores de servicios críticos. Use estaciones de trabajo de usuario de alta seguridad o Azure Bastion para las tareas administrativas. Use Azure Active Directory, Protección contra amenazas avanzada de Microsoft Defender (ATP) o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para las tareas administrativas. Las estaciones de trabajo protegidas se pueden administrar de forma centralizada para aplicar una configuración segura, como autenticación sólida, líneas de base de software y hardware y acceso lógico y de red restringido.

Responsabilidad: Customer

PA-7: Seguimiento de solo una administración suficiente (principio de privilegios mínimos)

Guía: Los clientes pueden configurar su implementación de Azure Active Directory (Azure AD) con privilegios mínimos, mediante la asignación de usuarios a los roles con los permisos mínimos necesarios para que los usuarios completen sus tareas administrativas.

Responsabilidad: Customer

PA-8: Selección del proceso de aprobación para el soporte técnico de Microsoft

Guía: Azure Active Directory no admite la caja de seguridad del cliente. Microsoft puede trabajar con los clientes mediante métodos que no son de caja de seguridad para la aprobación del acceso a los datos de los clientes.

Responsabilidad: Compartido

Protección de datos

Para más información, consulte Azure Security Benchmark: protección de datos.

DP-2: Protección de datos confidenciales

Guía: Tenga en cuenta las siguientes instrucciones para implementar la protección de los datos confidenciales:

  • Aislamiento: un directorio es el límite de datos por el que los servicios de Azure Active Directory (Azure AD) almacenan y procesan los datos de un cliente. Los clientes deben determinar dónde desean que resida la mayoría de los datos de Azure AD del cliente mediante el establecimiento de la propiedad Country en su directorio.

  • Segmentación: el rol del administrador global tiene control total de todos los datos de directorio y las reglas que rigen el acceso y las instrucciones de procesamiento. Un directorio se puede segmentar en unidades administrativas y aprovisionarse con usuarios y grupos que administrarán los administradores de esas unidades. Los administradores globales pueden delegar la responsabilidad a otros principios de su organización al asignarles a roles predefinidos o roles personalizados que puedan crear.

  • Acceso: los permisos se pueden aplicar en un usuario, grupo, rol, aplicación o dispositivo. La asignación puede ser permanente o temporal, según la configuración de Privileged Identity Management.

  • Cifrado: Azure AD cifra todos los datos en reposo o en tránsito. La oferta no permite a los clientes cifrar datos de directorio con su propia clave de cifrado.

Para determinar cómo se asigna el país seleccionado a la ubicación física del directorio, consulte el artículo "Dónde se encuentran tus datos".

Como el cliente usa herramientas, características y aplicaciones de Azure AD que interactúan con su directorio, utilice el artículo Azure Active Directory: ¿Dónde se encuentran los datos?

Responsabilidad: Customer

DP-4: Cifrado de la información confidencial en tránsito

Guía: Para complementar los controles de acceso, los datos en tránsito deben protegerse frente a ataques de "fuera de banda" (por ejemplo, captura del tráfico) mediante cifrado para que los atacantes no puedan leer ni modificar los datos fácilmente.

Azure AD admite el cifrado de datos en tránsito con TLS v1.2 u otra versión posterior.

Aunque esto es opcional en el caso del tráfico de redes privadas, es fundamental para el tráfico de redes externas y públicas. Asegúrese de que los clientes que se conectan a los recursos de Azure puedan negociar TLS v1.2 o superior. Para la administración remota, use SSH (para Linux) o RDP/TLS (para Windows) en lugar de un protocolo sin cifrar. Se deben deshabilitar los protocolos y las versiones de SSL, TLS y SSH obsoletos, así como los cifrados débiles.

De forma predeterminada, Azure proporciona el cifrado de los datos en tránsito entre los centros de datos de Azure.

Responsabilidad: Customer

DP-5: Cifrado de datos confidenciales en reposo

Guía: para complementar los controles de acceso, Azure AD cifra los datos en reposo para protegerlos frente a ataques "fuera de banda" (como el acceso al almacenamiento subyacente) mediante cifrado. Esto ayuda a garantizar que los atacantes no puedan leer ni modificar los datos fácilmente.

Responsabilidad: Microsoft

Administración de recursos

Para más información, consulte Azure Security Benchmark: Administración de recursos.

AM-1: Asegurarse de que el equipo de seguridad tiene visibilidad sobre los riesgos para los recursos

Guía: Asegúrese de que se conceden a los equipos de seguridad permisos de lector de seguridad en el inquilino y las suscripciones de Azure para que puedan supervisar los riesgos de seguridad mediante Azure Security Center.

En función de la estructura de las responsabilidades del equipo de seguridad, la supervisión de los riesgos de seguridad puede ser responsabilidad de un equipo de seguridad central o de un equipo local. Dicho esto, la información y los riesgos de seguridad siempre se deben agregar de forma centralizada dentro de una organización.

Los permisos de lector de seguridad se pueden aplicar en general a un inquilino completo (grupo de administración raíz) o a grupos de administración o a suscripciones específicas.

Nota: Es posible que se requieran permisos adicionales para obtener visibilidad de las cargas de trabajo y los servicios.

Responsabilidad: Customer

registro y detección de amenazas

Para más información, consulte Azure Security Benchmark: registro y detección de amenazas.

LT-1: Habilitación de la detección de amenazas para recursos de Azure

Guía: Use la funcionalidad de Azure Active Directory (Azure AD) Identity Protection integrada para la detección de amenazas para los recursos de Azure AD.

Azure AD genera registros de actividad que a menudo se usan para la detección o búsqueda de amenazas. Los registros de inicio de sesión de Azure AD proporcionan un registro de la actividad de autenticación y autorización para usuarios, servicios y aplicaciones. Los registros de auditoría de Azure AD realizan un seguimiento de los cambios realizados en un inquilino de Azure AD, incluidos los cambios que mejoran o disminuyen la posición de seguridad.

Responsabilidad: Customer

LT-2: Habilitación de la detección de amenazas para la administración de identidades y acceso de Azure

Guía: Azure Active Directory (Azure AD) proporciona los siguientes registros de usuario que se pueden ver en los informes de Azure AD o integrados en Azure Monitor, Azure Sentinel, SIEM o herramientas de supervisión para casos de uso de supervisión y análisis más sofisticados:

  • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.
  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.
  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
  • Usuarios de riesgo: un usuario de riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Las detecciones de riesgos de Identity Protection están habilitadas de forma predeterminada y no requieren ningún proceso de incorporación. Los datos de granularidad o riesgo se determinan mediante la SKU de licencia.

Responsabilidad: Customer

LT-4: Habilitación del registro para recursos de Azure

Guía: Azure Active Directory (Azure AD) genera registros de actividad. A diferencia de algunos servicios de Azure, Azure AD distingue entre los registros de actividad y de recursos. Los registros de actividad están disponibles automáticamente en la sección de Azure AD de Azure Portal y se pueden exportar a Azure Monitor, Azure Event Hubs, Azure Storage, SIEMs y otras ubicaciones.

  • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.

  • Los registros de auditoría proporcionan rastreabilidad mediante los registros de todos los cambios realizados por diversas características de Azure AD. Algunos ejemplos de registros de auditoría incluyen los cambios realizados en cualquier recurso de Azure AD como agregar o quitar usuarios, aplicaciones, grupos, roles y directivas.

Azure AD también proporciona registros relacionados con la seguridad que se pueden ver en los informes de Azure AD o que están integrados con Azure Monitor, Azure Sentinel u otras herramientas de SIEM o supervisión para casos más sofisticados de uso de supervisión y análisis:

  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
  • Usuarios de riesgo: un usuario de riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Las detecciones de riesgos de Identity Protection están habilitadas de forma predeterminada y no requieren ningún proceso de incorporación. Los datos de granularidad o riesgo se determinan mediante la SKU de licencia.

Responsabilidad: Customer

LT-5: Centralizar la administración y el análisis de los registros de seguridad

Guía: Se recomiendan las siguientes directrices cuando los clientes quieran centralizar sus registros de seguridad para facilitar la búsqueda de amenazas y el análisis de la posición de seguridad:

  • Centralice el almacenamiento y el análisis de los registros para permitir su correlación. Asegúrese de que, para cada origen de registro en Azure AD, asigna un propietario de datos, una guía de acceso y una ubicación de almacenamiento; que determinar qué herramientas se usan para procesar y acceder a los datos, y los requisitos de retención de datos.

  • Asegúrese también de que integra los registros de actividad de Azure en el registro central. Recopile registros mediante Azure Monitor para agregar datos de seguridad generados por dispositivos de punto de conexión, recursos de red y otros sistemas de seguridad. En Azure Monitor, use áreas de trabajo de Log Analytics para realizar consultas y análisis, y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo.

  • Además, habilite e incorpore los datos a Azure Sentinel o a un sistema SIEM de terceros.

Muchas organizaciones optan por usar Azure Sentinel para los datos de acceso frecuente y Azure Storage para los datos inactivos que se usan con menos frecuencia.

Responsabilidad: Customer

LT-6: Configuración de la retención del almacenamiento de registros

Guía: asegúrese de que todas las cuentas de almacenamiento o las áreas de trabajo de Log Analytics que se usan para almacenar registros de inicio de sesión de Azure Active Directory, registros de auditoría y registros de datos de riesgo tengan el período de retención de registros configurado de acuerdo a la normativa de cumplimiento de la organización.

En Azure Monitor, puede establecer el período de retención del área de trabajo de Log Analytics de acuerdo con la normativa de cumplimiento de su organización. Use cuentas de área de trabajo de Azure Storage, Data Lake o Log Analytics para el almacenamiento de archivo a largo plazo.

Responsabilidad: Customer

LT-7: Uso de orígenes de sincronización de hora aprobados

Guía: Azure Active Directory (Azure AD) no admite la configuración de sus propios orígenes de sincronización de hora. El servicio Azure AD se basa en los orígenes de sincronización de hora de Microsoft y no se expone a los clientes para su configuración.

Responsabilidad: Microsoft

administración de posturas y vulnerabilidades

Para más información, consulte Azure Security Benchmark: administración de posturas y vulnerabilidades.

PV-1: establecimiento de configuraciones seguras para servicios de Azure

Guía: Las soluciones de administración de identidades y acceso de Microsoft ayudan a TI a proteger el acceso a aplicaciones y recursos en el entorno local y en la nube. Es importante que las organizaciones sigan los procedimientos recomendados de seguridad para asegurarse de que su implementación de administración de identidades y acceso sea segura y más resistente a los ataques.

En función de la estrategia de implementación de administración de identidades y acceso, la organización debe seguir las instrucciones de procedimientos recomendados de Microsoft para proteger la infraestructura de identidad.

Las organizaciones que colaboran con asociados externos también deben evaluar e implementar las configuraciones de gobernanza, seguridad y cumplimiento adecuadas para reducir el riesgo de seguridad y proteger los recursos confidenciales.

Responsabilidad: Customer

PV-2: sostenimiento de configuraciones seguras para servicios de Azure

Guía: La puntuación segura de Microsoft proporciona a las organizaciones una medida de su posición de seguridad y recomendaciones que pueden ayudar a proteger a las organizaciones frente a amenazas. Se recomienda que las organizaciones revisen periódicamente su puntuación de seguridad para ver las acciones de mejora sugeridas para mejorar su posición de seguridad de identidad.

Responsabilidad: Customer

PV-8: realización de una simulaciones de ataques periódicas

Guía: Según sea necesario, realice pruebas de penetración o actividades de equipo rojo en los recursos de Azure y asegúrese de corregir todos los resultados de seguridad críticos. siga las reglas de compromiso de la prueba de penetración de Microsoft Cloud para asegurarse de que las pruebas de penetración no infrinjan las directivas de Microsoft. Use la estrategia de Microsoft y la ejecución de las pruebas de penetración del equipo rojo y sitios activos en la infraestructura de nube, los servicios y las aplicaciones administradas por Microsoft.

Responsabilidad: Compartido

Pasos siguientes