Control de seguridad v3: Acceso con privilegios
El acceso con privilegios cubre los controles para proteger el acceso con privilegios a los recursos y al inquilino de Azure, e incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios.
PA-1: Separación y limitación de usuarios administrativos o con muchos privilegios
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principio de seguridad: asegúrese de identificar todas las cuentas de alto impacto empresarial. Limite el número de cuentas administrativas o con privilegios elevados en el plano de control, el plano de administración y el plano de datos/cargas de trabajo de la nube.
Guía de Azure: Azure Active Directory (Azure AD) es el servicio predeterminado de administración de identidades y acceso de Azure. Los roles integrados más críticos de Azure AD son Administrador global y Administrador de roles con privilegios, ya que los usuarios asignados a estos dos roles pueden delegar roles de administrador. Con estos privilegios, los usuarios pueden leer y modificar todos los recursos de su entorno de Azure de forma directa o indirecta:
- Administrador global/administrador de empresa: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que utilizan identidades de Azure AD.
- Administrador de roles con privilegios: los usuarios con este rol pueden administrar asignaciones de roles en Azure AD, y dentro de Azure AD Privileged Identity Management (PIM). Además, este rol permite administrar todos los aspectos de PIM y de las unidades administrativas.
Fuera de Azure AD, Azure tiene roles integrados que pueden ser críticos para el acceso con privilegios a nivel de los recursos.
- Propietario: Concede acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC.
- Colaborador: concede acceso completo para administrar todos los recursos, pero no le permite asignar roles en RBAC de Azure, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes.
- Administrador de acceso de usuario: permite administrar el acceso de los usuarios a los recursos de Azure. Nota: Si usa roles personalizados a nivel de Azure AD o a nivel de los recursos con determinados permisos con privilegios asignados, es posible que tenga otros roles críticos que deban administrarse.
Asegúrese de restringir también las cuentas con privilegios en los otros sistemas de administración, identidad y seguridad que tienen acceso administrativo a los recursos críticos para su negocio, como controladores de dominio (DC) de Active Directory, herramientas de seguridad y herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden convertirlos inmediatamente en un arma para poner en peligro los recursos críticos para la empresa.
Implementación y contexto adicional:
- Permisos de rol administrativo en Azure AD
- Uso de alertas de seguridad de Azure Privileged Identity Management
- Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD
Partes interesadas de seguridad del cliente (más información):
- Administración de identidades y claves
- Arquitectura de seguridad
- Administración del cumplimiento de la seguridad
- Operaciones de seguridad
PA-2: Evitar el acceso permanente en cuentas de usuario y permisos
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/A |
Principio de seguridad: en lugar de crear privilegios permanentes, use el mecanismo Just-In-Time (JIT) para asignar acceso con privilegios a los distintos niveles de recursos.
Guía de Azure: habilite el acceso con privilegios Just-in-Time (JIT) a los recursos de Azure y Azure AD mediante Azure AD Privileged Identity Management (PIM). JIT es un modelo en el que los usuarios reciben permisos temporales para realizar tareas con privilegios, lo que impide que usuarios malintencionados o sin autorización obtengan acceso después de que el permiso haya expirado. El acceso se concede solo cuando los usuarios lo necesitan. PIM también puede generar alertas de seguridad cuando hay actividades sospechosas o no seguras en la organización de Azure AD.
Restrinja el tráfico entrante a los puertos de administración de máquinas virtuales (VM) confidenciales con la característica de acceso Just-In-Time (JIT) a VM de Microsoft Defender for Cloud. Esto garantiza que el acceso con privilegios a la VM solo se concede cuando los usuarios lo necesiten.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
- Administración de identidades y claves
- Arquitectura de seguridad
- Administración del cumplimiento de la seguridad
- Operaciones de seguridad
PA-3: Administración del ciclo de vida de identidades y derechos
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principio de seguridad: use un proceso o un control técnico automatizados para administrar el ciclo de vida de identidades y acceso, incluida la solicitud, revisión, aprobación, aprovisionamiento y desaprovisionamiento.
Guía de Azure: use las características de administración de derechos de Azure AD para automatizar los flujos de trabajo de solicitud de acceso (para grupos de recursos de Azure). Esto permite que los flujos de trabajo de los grupos de recursos de Azure administren las asignaciones de acceso, las revisiones, la expiración y la aprobación de dos fases o más.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):
- Administración de identidades y claves
- Seguridad de las aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
PA-4: Revisión y conciliación de manera periódica del acceso de los usuarios
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Principio de seguridad: realice una revisión periódica de los derechos de las cuentas con privilegios. Asegúrese de que el acceso concedido a las cuentas sea válido para la administración del plano de control, el plano de administración y las cargas de trabajo.
Guía de Azure: revise todas las cuentas con privilegios y los derechos de acceso de Azure, incluidos el inquilino de Azure, los servicios de Azure, las VM/IaaS, los procesos de CI/CD, y las herramientas de administración y seguridad empresariales.
Use revisiones de acceso de Azure AD para revisar los roles de Azure AD y los roles de acceso a recursos de Azure, las pertenencias a grupos y el acceso a aplicaciones empresariales. Los informes de Azure AD también pueden proporcionar registros para ayudar a detectar cuentas obsoletas, cuentas que no se usan durante cierta cantidad de tiempo.
Además, se puede configurar Azure AD Privileged Identity Management para enviar alertas cuando se cree un número excesivo de cuentas de administrador para un rol en particular, y para identificar las cuentas de administrador que hayan quedado obsoletas o que no estén configuradas correctamente.
Implementación y contexto adicional:
- Creación de una revisión de acceso de los roles de recursos de Azure en Privileged Identity Management (PIM)
- Procedimiento para usar las revisiones de acceso e identidades de Azure AD
Partes interesadas de seguridad del cliente (más información):
- Administración de identidades y claves
- Seguridad de las aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
PA-5: Configuración del acceso de emergencia
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| N/D | AC-2 | N/D |
Principio de seguridad: configure el acceso de emergencia para asegurarse de no quedar bloqueado por accidente de la infraestructura crítica de la nube (por ejemplo, su sistema de administración de identidades y acceso) en caso de emergencia.
Las cuentas de acceso de emergencia se deben usar muy rara vez y pueden ser muy perjudiciales para la organización si están en peligro, pero su disponibilidad para la organización también es fundamental para los pocos escenarios en los que se requieren.
Guía de Azure: para evitar que se le bloquee por accidente el acceso a la organización de Azure AD, configure una cuenta de acceso de emergencia (por ejemplo, una cuenta con el rol Administrador global) para cuando no se puedan usar cuentas administrativas normales. Las cuentas de acceso de emergencia tienen normalmente privilegios elevados y no se asignan a usuarios específicos. Las cuentas de acceso de emergencia se limitan a situaciones "excepcionales" o de emergencia en las que no se pueden usar las cuentas administrativas normales.
Debe asegurarse de que las credenciales (como contraseña, certificado o tarjeta inteligente) de las cuentas de acceso de emergencia estén protegidas y solo las conozcan aquellas personas que estén autorizadas a usarlas solo en caso de emergencia. También puede usar controles adicionales, como controles duales (por ejemplo, dividir la credencial en dos partes y entregárselas a personas distintas) para mejorar la seguridad de este proceso. Además, debe supervisar los registros de inicio de sesión y auditoría para asegurarse de que las cuentas de acceso de emergencia solo se puedan usar con autorización.
Implementación y contexto adicional:
- Administración de cuentas de acceso de emergencia en Azure AD
- Administración de identidades y claves
Partes interesadas de seguridad del cliente (más información):
- Seguridad de las aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
- Security Operations (SecOps)
PA-6: Uso de estaciones de trabajo con privilegios de acceso
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/D |
Principio de seguridad: las estaciones de trabajo seguras y aisladas son de vital importancia para la seguridad de los roles con acceso a información confidencial, como administradores, desarrolladores y operadores de servicios críticos.
Guía de Azure: use Azure Active Directory, Microsoft Defender o Microsoft Intune para implementar estaciones de trabajo de acceso con privilegios en el entorno local o en Azure para las tareas con privilegios. Las estaciones de trabajo de acceso con privilegios se pueden administrar de manera centralizada para aplicar una configuración segura, incluida la autenticación sólida, líneas de base de software y hardware, y acceso lógico y de red restringido.
También puede usar Azure Bastion, que es un servicio PaaS totalmente administrado por la plataforma, que se puede aprovisionar dentro de la red virtual. Azure Bastion permite la conectividad RDP/SSH a las máquinas virtuales directamente desde Azure Portal mediante un explorador.
Implementación y contexto adicional:
- Protección del acceso con privilegios
- Acceso con privilegios: Estrategia
- Acceso con privilegios: Administración
Partes interesadas de seguridad del cliente (más información):
- Seguridad de las aplicaciones y DevSecOps
- Security Operations (SecOps)
- Administración de identidades y claves
PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos)
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principio de seguridad: siga el principio de administración suficiente (privilegios mínimos) para administrar los permisos en un nivel específico. Use características, como el control de acceso basado en roles (RBAC), para administrar el acceso a los recursos a través de asignaciones de roles.
Guía de Azure: use el control de acceso basado en roles de Azure (Azure RBAC) para administrar el acceso a los recursos de Azure a través de las asignaciones de roles. A través de RBAC, puede asignar roles a usuarios, grupos, entidades de servicio e identidades administradas. Hay roles integrados predefinidos para determinados recursos, y estos roles se pueden inventariar o consultar mediante herramientas, como la CLI de Azure, Azure PowerShell y Azure Portal.
Los privilegios que se asignen a los recursos a través de Azure RBAC siempre se deben limitar a los requisitos de los roles. Los privilegios limitados complementarán el enfoque Just-in-Time (JIT) de Azure AD Privileged Identity Management (PIM), y esos privilegios deben revisarse periódicamente. Si es necesario, también puede usar PIM para definir la condición de duración (asignación de límite de tiempo) en la asignación de roles, donde un usuario puede activar o usar el rol solo dentro de las fechas de inicio y finalización.
Nota: Use los roles integrados de Azure para asignar los permisos, y cree solo los roles personalizados cuando sea necesario.
Implementación y contexto adicional:
- ¿Qué es el control de acceso basado en rol de Azure (RBAC)?
- Configuración de RBAC en Azure
- Procedimiento para usar las revisiones de acceso e identidades de Azure AD
- Azure AD Privileged Identity Management: Asignación con límite de tiempo
Partes interesadas de seguridad del cliente (más información):
- Seguridad de las aplicaciones y DevSecOps
- Administración del cumplimiento de la seguridad
- Administración de la posición
- Administración de identidades y claves
PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube
| Id. de CIS Controls v8 | Identificadores de NIST SP 800-53 r4 | Id. de PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/A |
Principio de seguridad: establezca un proceso de aprobación y una ruta de acceso para solicitar y aprobar las solicitudes de soporte técnico de los proveedores y el acceso temporal a los datos a través de un canal seguro.
Guía de Azure: en escenarios de soporte técnico en los que Microsoft tenga que acceder a los datos, use Caja de seguridad del cliente para revisar y aprobar o rechazar la solicitud de acceso a datos de Microsoft.
Implementación y contexto adicional:
Partes interesadas de seguridad del cliente (más información):