Control de seguridad V2: Administración de identidades

Nota

La versión más actualizada de Azure Security Benchmark está disponible aquí.

La administración de identidades abarca los controles para establecer una identidad segura y controles de acceso mediante Azure Active Directory. Esto incluye el uso del inicio de sesión único, las autenticaciones seguras, las identidades administradas y los principios de servicio para las aplicaciones, el acceso condicional y la supervisión de las anomalías de la cuenta.

Para ver la instancia de Azure Policy integrada aplicable, vea Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Administración de identidades.

IM-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
IM-1 16.1, 16.2, 16.4, 16.5 IA-2, IA-8, AC-2, AC-3

Azure Active Directory (Azure AD) es un servicio de administración de identidades y acceso predeterminado de Azure. Debe unificar en Azure AD para regir la administración de identidades y accesos de la organización en:

  • Recursos de Microsoft Cloud, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.

  • Los recursos de su organización, como aplicaciones en Azure o los recursos de la red corporativa.

La protección de Azure AD debe tener máxima prioridad en la práctica de seguridad en la nube de su organización. Azure AD proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar la posición de seguridad de las identidades en relación con los procedimientos recomendados de Microsoft. Use la puntuación para medir el grado de coincidencia de la configuración con los procedimientos recomendados y para hacer mejoras en la posición de seguridad.

Nota: Azure AD admite proveedores de identidades externos, que permiten a los usuarios que no tienen un cuenta de Microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

IM-2: Administración de identidades de aplicaciones de forma segura y automática

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
IM-2 N/D AC-2, AC-3, IA-2, IA-4, IA-9

En el caso de cuentas no humanas, como servicios o automatización, use identidades administradas de Azure, en lugar de crear una cuenta de usuario más eficaz para acceder a los recursos o ejecutar código. Las identidades administradas de Azure le permiten autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure AD. La autenticación se habilita mediante reglas de concesión de acceso predefinidas que permiten evitar las credenciales codificadas de forma rígida en los archivos de código fuente o de configuración.

En el caso de los servicios que no admiten identidades administradas, use Azure AD para crear entidades de servicio con permisos restringidos en el nivel de recurso. Se recomienda configurar entidades de servicio con credenciales de certificado y revertir a secretos de cliente. En ambos casos, Azure Key Vault se puede usar junto con las identidades administradas de Azure, de modo que el entorno en tiempo de ejecución (por ejemplo, una función de Azure) pueda recuperar la credencial del almacén de claves.

Use Azure Key Vault para el registro de entidades de seguridad: authentication#authorize-a-security-principal-to-access-key-vault

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

IM-3: Uso del inicio de sesión único de Azure AD para acceder a las aplicaciones

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
IM-3 4.4. IA-2, IA-4

Azure AD proporciona administración de identidades y acceso a los recursos de Azure, las aplicaciones en la nube y las aplicaciones locales. La administración de identidades y acceso se aplica a las identidades empresariales, como los empleados, así como a las identidades externas, como asociados y proveedores.

Use el inicio de sesión único (SSO) de Azure AD para administrar y proteger el acceso a los datos y los recursos de su organización locales y en la nube. Conecte todos los usuarios, las aplicaciones y los dispositivos a Azure AD para un acceso seguro y sin problemas, y para conseguir más visibilidad y control.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

IM-4: Uso de controles con autenticación multifactor sólida para todo el acceso basado en Azure Active Directory

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
IM-4 4.2, 4.4 4.5, 11.5, 12.11, 16.3 AC-2, AC-3, IA-2, IA-4

Azure AD admite controles de autenticación sólida a través de la autenticación multifactor (MFA) y métodos seguros sin contraseña.

  • Autenticación multifactor: habilite Azure AD MFA y siga las recomendaciones del control de seguridad "Habilitar MFA" de Azure Security Center. La MFA se puede exigir a todos los usuarios, a usuarios concretos o a nivel de cada usuario en función de los factores de riesgo y las condiciones de inicio de sesión.

  • Autenticación sin contraseña: hay disponibles tres opciones de autenticación sin contraseña: Windows Hello para empresas, aplicación Microsoft Authenticator y métodos de autenticación locales, como las tarjetas inteligentes.

Para administradores y usuarios con privilegios, asegúrese de que se usa el nivel más alto del método de autenticación sólida, seguido de la implementación de la directiva de autenticación sólida adecuada para otros usuarios.

Si la autenticación con contraseña heredada todavía se usa para la autenticación de Azure AD, tenga en cuenta que las cuentas solo en la nube (cuentas de usuario creadas directamente en Azure) tienen una directiva de contraseñas de línea de base predeterminada. Además, las cuentas híbridas (cuentas de usuario que proceden de Active Directory local) siguen las directivas de contraseñas locales. Cuando se usa la autenticación con contraseña, Azure AD proporciona una funcionalidad de protección de contraseña que impide que los usuarios establezcan contraseñas fáciles de adivinar. Microsoft proporciona una lista global de contraseñas prohibidas que se actualiza en función de la telemetría; asimismo, los clientes pueden ampliarla en función de sus necesidades (por ejemplo, mediante la personalización de marca, referencias culturales, etc.). Esta protección de contraseñas se puede usar para las cuentas híbridas y solo en la nube.

Nota: La autenticación basada solo en las credenciales de contraseña es susceptible a métodos de ataque populares. Para una mayor seguridad, use una autenticación sólida, como MFA y una directiva de contraseñas segura. En el caso de las aplicaciones de terceros y los servicios de Marketplace que pueden tener contraseñas predeterminadas, debe cambiarlas durante la configuración inicial del servicio.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

IM-5: Supervisión y alerta de anomalías de cuenta

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
IM-5 4.8, 4.9, 16.12, 16.13 AC-2, AC-3, AC-7, AU-6

Azure AD proporciona los siguientes orígenes de datos:

  • Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.

  • Registros de auditoría: proporcionan rastreabilidad mediante los registros de todos los cambios realizados mediante diversas características de Azure AD. Entre los ejemplos de registros de auditoría de los cambios registrados destacan agregar o eliminar usuarios, aplicaciones, grupos, roles y directivas.

  • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.

  • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.

Estos orígenes de datos se pueden integrar con Azure Monitor, Azure Sentinel o sistemas SIEM de terceros.

Azure Security Center también puede alertar sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación incorrectos y cuentas en desuso en la suscripción.

Microsoft Defender for Identity es una solución de seguridad que puede usar señales de Active Directory locales para identificar, detectar e investigar amenazas avanzadas, identidades en riesgo y acciones internas malintencionadas.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

IM-6: Restricción del acceso a recursos de Azure en función de las condiciones

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
IM-6 N/D AC-2, AC-3

Use el acceso condicional de Azure AD para un control de acceso más granular basado en condiciones definidas por el usuario, como requerir inicios de sesión de usuario desde determinados intervalos IP para usar MFA. También se puede usar una administración de sesión de autenticación granular mediante la directiva de acceso condicional de Azure AD para distintos casos de uso.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

IM-7: Elimine la exposición de credenciales no intencionada

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
IM-7 18.1, 18.7 IA-5

Implemente Azure DevOps Credential Scanner para identificar las credenciales en el código. El escáner de credenciales también fomenta el traslado de credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.

En GitHub, puede usar la característica de escaneo de secretos nativos para identificar credenciales u otro tipo de secretos en el código.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

IM-8: Protección del acceso de los usuarios a las aplicaciones heredadas

Identificador de Azure Identificadores de CIS Controls v7.1 Identificadores de NIST SP 800-53 r4
IM-8 14.6 AC-2, AC-3, SC-11

Asegúrese de que tiene controles de acceso modernos y supervisión de sesiones para las aplicaciones heredadas y los datos que almacenan y procesan. Mientras que las VPN suelen usarse para acceder a las aplicaciones heredadas, a menudo tienen un control de acceso básico y una supervisión de sesión limitada.

Azure AD Application Proxy permite publicar aplicaciones locales heredadas en usuarios remotos con el inicio de sesión único (SSO) mientras se valida explícitamente la confiabilidad de los usuarios y dispositivos remotos con el acceso condicional de Azure AD.

Como alternativa, Microsoft Cloud App Security es un servicio de agente de seguridad de acceso a la nube (CASB) que puede proporcionar controles para supervisar las sesiones de aplicación de un usuario y las acciones de bloqueo, para aplicaciones locales heredadas y aplicaciones de software como servicio (SaaS) en la nube.

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):