Entorno de administración de seguridad mejorado

  • Artículo
  • Tiempo de lectura: 3 minutos

La arquitectura del entorno de administración de seguridad mejorada (ESAE) (a menudo denominada bosque rojo, bosque administrador o bosque protegido) es un enfoque para proporcionar un entorno seguro para los administradores de Windows Server Active Directory (AD).

La recomendación de Microsoft de usar este patrón de arquitectura se ha sustituido por la estrategia de acceso privilegiado moderna y las instrucciones del plan de modernización rápida (RAMP) como el método recomendado predeterminado para proteger a los usuarios privilegiados. El patrón de bosque administrativo de ESAE en hardened (on-prem o basado en la nube) ahora se considera una configuración personalizada adecuada solo para los casos de excepción enumerados a continuación.

¿Qué sucede si ya tengo ESAE?

Para los clientes que ya han implementado esta arquitectura para mejorar la seguridad o simplificar la administración de varios bosques, no es urgente retirar o reemplazar una implementación de esae si se está operando según lo diseñado y lo previsto. Al igual que con cualquier sistema empresarial, debe mantener el software en él aplicando actualizaciones de seguridad y asegurándose de que el software está dentro del ciclo de vida del soporte técnico.

Microsoft también recomienda que las organizaciones con ESAE o bosques en hardened adopten la estrategia moderna de acceso privilegiado con las instrucciones del plan de modernización rápida (RAMP). Esto complementa una implementación de ESAE existente y proporciona seguridad adecuada para los roles que no están protegidos por esae, incluidos Azure AD administradores globales, usuarios empresariales confidenciales y usuarios empresariales estándar. Para obtener más información, vea el artículo Proteger niveles de seguridad de acceso con privilegios.

¿Por qué cambiar la recomendación?

Cuando esae se diseñó originalmente hace 10 años, el foco se centraba en entornos locales con AD como proveedor de identidades local. Las implementaciones de esae y bosques en hardened se centran en proteger Windows Server Active Directory administradores.

Microsoft recomienda las nuevas soluciones basadas en la nube, ya que se pueden implementar más rápidamente para proteger un ámbito más amplio de sistemas y roles administrativos y empresariales.

La estrategia de acceso privilegiado proporciona protección y supervisión para un conjunto mucho mayor de usuarios confidenciales, al tiempo que proporciona pasos incrementales de menor costo para crear rápidamente garantías de seguridad.

Aunque siguen siendo válidas para casos de uso específicos, las implementaciones de bosques en hardened ESAE son más costosas y difíciles de usar, lo que requiere más soporte operativo en comparación con la solución basada en la nube más reciente (debido a la naturaleza compleja de esa arquitectura). Las implementaciones de ESAE están diseñadas para proteger solo Windows Server Active Directory administradores. La estrategia de acceso privilegiado basada en la nube proporciona protección y supervisión para un conjunto mucho mayor de usuarios confidenciales, a la vez que proporciona pasos incrementales de menor costo para crear rápidamente garantías de seguridad.

¿Cuáles son los casos de uso de ESAE válidos?

Aunque no es una recomendación estándar, este patrón de arquitectura es válido en un conjunto limitado de escenarios.

En estos casos de excepción, la organización debe aceptar el aumento de la complejidad técnica y los costos operativos de la solución. La organización debe tener un programa de seguridad sofisticado para medir el riesgo, supervisar el riesgo y aplicar un rigor operativo coherente al uso y mantenimiento de la implementación de ESAE.

Entre los escenarios de ejemplo se incluyen:

  • Entornos locales aislados, donde los servicios en la nube no están disponibles, como laboratorios de investigación sin conexión, infraestructura crítica o utilidades, entornos de tecnología operativa desconectada (OT), como control de supervisión y adquisición de datos (SCADA) /Sistemas de control industrial (ICS) y clientes del sector público que dependen completamente de la tecnología local.
  • Entornos altamente regulados: la regulación del sector o del gobierno puede requerir específicamente una configuración de bosque administrativo.
  • Se exige garantía de seguridad de alto nivel: organizaciones con poca tolerancia al riesgo que están dispuestas a aceptar el aumento de la complejidad y el costo operativo de la solución.

Nota

Aunque Microsoft ya no recomienda un modelo de bosque aislado en la mayoría de los escenarios de la mayoría de las organizaciones, Microsoft sigue operando una arquitectura similar internamente (y los procesos de soporte y el personal asociados) debido a los requisitos de seguridad extremos para proporcionar servicios en la nube confiables a organizaciones de todo el mundo.

Pasos siguientes

Revise las directrices de estrategia de acceso privilegiado y plan de modernización rápida (RAMP) para proporcionar entornos seguros para usuarios con privilegios.