Protección de la identidad con Confianza cero
Fondo
Las aplicaciones en la nube y los trabajadores móviles han redefinido el perímetro de seguridad. Los empleados traen sus propios dispositivos y trabajan de forma remota. Se accede a los datos fuera de la red corporativa y se comparten con colaboradores externos, como asociados y proveedores. Las aplicaciones y los datos corporativos se están moviendo desde los entornos locales hasta los entornos híbridos y de nube. En las organizaciones la seguridad ya no puede depender de los controles de red tradicionales. Los controles deben moverse a donde están los datos: en los dispositivos, dentro de las aplicaciones y con los asociados.
Las identidades, que representan personas, servicios o dispositivos IoT, son el denominador común en muchas redes, puntos de conexión y aplicaciones actuales. En el modelo de seguridad de Confianza cero, funcionan como una manera eficaz, flexible y granular de controlar el acceso a los datos.
Antes de que una identidad intente acceder a un recurso, las organizaciones deben hacer lo siguiente:
Comprobar la identidad con autenticación segura.
Garantizar que el acceso sea compatible y habitual para esa identidad.
Seguir los principios de acceso con privilegios mínimos.
Una vez comprobada la identidad, podemos controlar su acceso a los recursos en función de las directivas de la organización, el análisis sistemático de los riesgos y otras herramientas.
Objetivos de implementación del modelo de seguridad de Confianza cero para la identidad
Antes de que la mayoría de las organizaciones comiencen el recorrido por el modelo de seguridad de Confianza cero, su forma de hacer frente a la identidad es problemática en lo referente al proveedor de identidades que se usa, a que no existe inicio de sesión único entre las aplicaciones en la nube y locales y a que la visibilidad sobre el riesgo de la identidad es muy limitada.
Al implementar un marco de trabajo completo de Confianza cero para la identidad, se recomienda centrarse primero en estos objetivos de implementación iniciales: |
|
I.La identidad en la nube se federa con los sistemas de identidad locales. II.Las directivas de acceso condicional regulan el acceso y proporcionan actividades de corrección. |
|
Una vez que haya completado estos requisitos, céntrese en los siguientes objetivos de implementación adicionales: |
|
IV.Las identidades y los privilegios de acceso se administran con la gobernanza de identidades. |
Guía de implementación del modelo de seguridad de Confianza cero para la identidad
Esta guía le lleva por los pasos necesarios para administrar las identidades siguiendo los principios de un marco de seguridad de Confianza cero.
|
Objetivos de implementación adicionales |
I. Federación de las identidades de nube con los sistemas de identidad locales
Microsoft Entra ID permite una autenticación sólida, es el lugar de integración para la seguridad de los puntos de conexión y el núcleo de sus directivas centradas en el usuario para garantizar el acceso con privilegios mínimos. Las funcionalidades de acceso condicional de Microsoft Entra son el punto de decisión sobre las directivas de acceso a los recursos en función de la identidad del usuario, el entorno, el estado del dispositivo y el riesgo, verificados explícitamente en el punto de acceso. Le mostraremos cómo puede implementar una estrategia de identidad de Confianza cero con Microsoft Entra ID.
Conexión de todos los usuarios a Microsoft Entra ID y federación con sistemas de identidad locales
Mantener una canalización en buen estado de las identidades de los empleados y los artefactos de seguridad necesarios (grupos de autorización y puntos de conexión para los controles de directivas de acceso adicionales) le coloca en el mejor lugar para usar identidades y controles coherentes en la nube.
Siga estos pasos:
Elija una opción de autenticación. Aunque Microsoft Entra ID proporciona la mejor protección contra los ataques por fuerza bruta, DDoS y protección contra la difusión de contraseñas, debe tomar la decisión que sea adecuada para su organización y sus necesidades de cumplimiento.
Solo traiga las identidades que de verdad necesite. Por ejemplo, use la transición a la nube como una oportunidad de dejar atrás las cuentas de servicio que solo tienen sentido en el entorno local. Deje atrás los roles con privilegios locales.
Si su empresa tiene más de 100 000 usuarios, grupos y dispositivos combinados, cree un cuadro de sincronización de alto rendimiento que mantenga actualizado el ciclo de vida.
Establezca su base de identidad con Microsoft Entra ID
Una estrategia de Confianza cero requiere la comprobación explícita de la identidad, el uso de principios de acceso con privilegios mínimos y la asunción de infracción. Microsoft Entra ID puede actuar como punto de decisión sobre las directivas para aplicar las directivas de acceso de acuerdo con la información sobre el usuario, el punto de conexión, el recurso de destino y el entorno.
Siga este paso:
- Coloque Microsoft Entra ID en el camino de cada solicitud de acceso. De esta forma, todos los usuarios y todas las aplicaciones o recursos se conectan mediante un único plano de control de identidad y se proporciona a Microsoft Entra ID la señal para tomar las mejores decisiones posibles sobre el riesgo de autenticación o autorización. Además, el inicio de sesión único y los límites de protección coherentes de las directivas proporcionan una mejor experiencia de usuario y contribuyen a mejoras en la productividad.
Integración de todas sus aplicaciones con Microsoft Entra ID
El inicio de sesión único impide que los usuarios dejen copias de sus credenciales en varias aplicaciones y ayuda a evitar que se habitúen a entregar sus credenciales debido al exceso de solicitudes.
Asegúrese también de no tener varios motores de IAM en su entorno. Con ello, no solo se reduce la cantidad de señales que detecta Microsoft Entra ID, lo que permite que actores malintencionados vivan en las uniones entre los dos motores, sino que también puede provocar una mala experiencia del usuario y que los asociados empresariales sean los primeros en dudar de su estrategia de Confianza cero.
Siga estos pasos:
Integre las aplicaciones empresariales modernas que usen OAuth2.0 o SAML.
En el caso de Kerberos y las aplicaciones de autenticación basadas en formularios, intégrelas mediante el proxy de aplicación de Microsoft Entra.
Si publica las aplicaciones heredadas mediante controladores o redes de entrega de aplicaciones, use Microsoft Entra ID para integrarlas con la mayoría de los principales (como Citrix, Akamai y F5).
Para ayudar a detectar y migrar las aplicaciones fuera de ADFS y los motores de IAM existentes o antiguos, revise los recursos y las herramientas.
Favorezca la inserción de identidades en varias aplicaciones en la nube. Así, se proporciona una integración más estrecha del ciclo de vida de las identidades dentro de esas aplicaciones.
Comprobación explícita con autenticación segura
Siga estos pasos:
Implemente la autenticación multifactor de Microsoft Entra (P1). Esta es una parte fundamental en la reducción del riesgo de las sesiones de usuario. Cuando aparecen usuarios en nuevos dispositivos y desde nuevas ubicaciones, la posibilidad de responder a un desafío de MFA se convierte en una de las formas más directas de decirnos que estos dispositivos o ubicaciones son conocidos (sin que los administradores tengan que analizar señales individuales).
Bloquee la autenticación heredada. Uno de los vectores de ataque más comunes de los actores malintencionados es usar credenciales robadas o reproducidas con protocolos heredados, como SMTP, que no aceptan los desafíos de seguridad modernos.
II. Las directivas de acceso condicional regulan el acceso y proporcionan actividades de corrección
El acceso condicional de Microsoft Entra analiza señales como el usuario, el dispositivo y la ubicación para automatizar las decisiones y aplicar las directivas de acceso de la organización para el recurso. Puede usar directivas de CA para aplicar controles de acceso como la autenticación multifactor (MFA). Las directivas de CA le permiten solicitar a los usuarios MFA cuando sea necesario por motivos de seguridad y permanecer al margen cuando no se requiera.
Microsoft proporciona directivas condicionales estándar llamadas valores predeterminados de seguridad que garantizan un nivel básico de seguridad. Sin embargo, su organización puede necesitar más flexibilidad de la que ofrecen los valores predeterminados de seguridad. Puede usar el acceso condicional para personalizar los valores predeterminados de seguridad con mayor granularidad y configurar nuevas directivas que cumplan sus requisitos.
Planear las directivas de acceso condicional por adelantado y contar con un conjunto de directivas activas y de reserva es uno de los pilares fundamentales en la aplicación de directivas de acceso en una implementación de Confianza cero. Dedique tiempo a configurar las ubicaciones de IP de confianza de su entorno. Incluso si no las usa en una directiva de acceso condicional, la configuración de estas direcciones IP informa del riesgo de la protección de identidades mencionado anteriormente.
Siga este paso:
- Consulte nuestra guía de implementación y los procedimientos recomendados para crear directivas de acceso condicional resistentes.
Registro de dispositivos con Microsoft Entra ID para restringir el acceso desde dispositivos vulnerables y en peligro
Siga estos pasos:
Habilite la unión híbrida de Microsoft Entra o la unión a Microsoft Entra. Si va a administrar el equipo portátil o de escritorio del usuario, lleve esa información a Microsoft Entra ID y úsela para ayudar a tomar mejores decisiones. Por ejemplo, puede decidir permitir al cliente avanzado acceso a los datos (clientes que tienen copias sin conexión en el equipo) si sabe que el usuario procede de una máquina que la organización controla y administra. Si no incluye esta funcionalidad, probablemente optará por bloquear el acceso de los clientes avanzados, lo que puede dar lugar a que los usuarios esquiven la seguridad o utilicen shadow IT.
Habilite el servicio Intune en Microsoft Endpoint Manager (EMS) para administrar los dispositivos móviles de los usuarios e inscribir dispositivos. Lo mismo se puede decir de los dispositivos móviles de usuario que de los portátiles: cuanto más sepa de ellos (nivel de revisión, si se han liberado, descifrado, etc.), más puede confiar o desconfiar de ellos y justificar el motivo de bloquear o permitir el acceso.
Sugerencia
Aprenda a implementar una estrategia completa de Confianza cero para los puntos de conexión.
III. Los análisis mejoran la visibilidad
A medida que crea su patrimonio en Microsoft Entra ID con soluciones de autenticación, autorización y aprovisionamiento, es importante tener información operativa sólida sobre lo que sucede en el directorio.
Configuración del registro y los informes para mejorar la visibilidad
Siga este paso:
- Planee una implementación de supervisión y generación de informes de Microsoft Entra para poder conservar y analizar los registros de Microsoft Entra ID, ya sea en Azure o mediante un sistema SIEM de su elección.
|
Objetivos de implementación adicionales |
IV. Las identidades y los privilegios de acceso se administran con la gobernanza de identidades.
Una vez que haya logrado los tres objetivos iniciales, puede centrarse en objetivos adicionales, como una gobernanza de identidades más sólida.
Protección del acceso con privilegios con Privileged Identity Management
Controle los puntos de conexión, las condiciones y las credenciales que usan los usuarios para acceder a las operaciones o los roles con privilegios.
Siga estos pasos:
Tome el control de las identidades con privilegios. Tenga en cuenta que, en una organización transformada digitalmente, el acceso con privilegios no es solo el acceso administrativo, sino también el acceso del desarrollador o el propietario de la aplicación, que puede cambiar la forma en que las aplicaciones críticas ejecutan y controlan los datos.
Use Privileged Identity Management para proteger las identidades con privilegios.
Restricción del consentimiento del usuario a las aplicaciones
El consentimiento del usuario a las aplicaciones es una manera muy común de que las aplicaciones modernas obtengan acceso a los recursos de la organización, pero hay algunos procedimientos recomendados que debe tener en cuenta.
Siga estos pasos:
Restrinja el consentimiento del usuario y administre las solicitudes de consentimiento para asegurarse de que no se produzca ninguna exposición innecesaria de los datos de la organización a las aplicaciones.
Revise el consentimiento anterior o existente en su organización para ver si hay consentimiento excesivo o malintencionado.
Para más información sobre las herramientas para protegerse frente a tácticas de acceso a información confidencial, consulte "Protección reforzada contra amenazas cibernéticas y aplicaciones no autorizadas" en nuestra guía para implementar una estrategia de identidad de Confianza cero.
Administración de derechos
Gracias a que las aplicaciones se autentican de forma centralizada y se controlan desde Microsoft Entra ID, ahora puede simplificar el proceso de solicitud de acceso, aprobación y recertificación para que las personas correctas tengan el acceso correcto y tener una pista de por qué los usuarios de su organización tienen el acceso que tienen.
Siga estos pasos:
Use la administración de derechos para crear paquetes de acceso que los usuarios pueden solicitar cuando se unen a distintos equipos o proyectos y que les asignan acceso a los recursos asociados (por ejemplo, aplicaciones, sitios de SharePoint o pertenencias a grupos).
Si la implementación de la administración de derechos no es posible para su organización en este momento, al menos habilite paradigmas de autoservicio mediante la administración de grupos de autoservicio y el acceso a la aplicación de autoservicio.
Uso de la autenticación sin contraseña para reducir el riesgo de ataques de suplantación de identidad (phishing) y contraseña
Gracias a la compatibilidad de Microsoft Entra ID con FIDO 2.0 y el inicio de sesión por teléfono sin contraseña, puede cambiar en gran medida la forma en que los usuarios (especialmente los usuarios confidenciales o con privilegios) emplean diariamente las credenciales. Estas credenciales son factores de autenticación sólidos que también pueden mitigar el riesgo.
Siga este paso:
- Comience a implementar credenciales sin contraseña en su organización.
V. El usuario, el dispositivo, la ubicación y el comportamiento se analizan en tiempo real para determinar el riesgo y ofrecer protección continua.
El análisis en tiempo real es fundamental para determinar el riesgo y la protección.
Implementación de la protección de contraseñas de Microsoft Entra
Al habilitar otros métodos para comprobar a los usuarios explícitamente, no pase por alto las contraseñas débiles, la difusión de contraseñas y los ataques de reproducción de infracciones. Además, las directivas de contraseñas complejas clásicas no impiden los ataques de contraseña más frecuentes.
Siga este paso:
- Habilite la protección con contraseña de Microsoft Entra ID para los usuarios de la nube y del entorno local.
Habilitación de Identity Protection
Obtenga señales más claras del riesgo de las sesiones y los usuarios con Identity Protection. Podrá investigar el riesgo y confirmarlo, o bien descartar la señal, lo que ayudará al motor a comprender mejor qué forma adopta el riesgo en su entorno.
Siga este paso:
Habilitación de la integración de Microsoft Defender for Cloud Apps con Identity Protection
Microsoft Defender for Cloud Apps supervisa el comportamiento del usuario dentro de las aplicaciones SaaS y modernas. Luego, informa a Microsoft Entra ID de lo que le ha pasado al usuario después de autenticarse y recibir un token. Si el patrón del usuario empieza a parecer sospechoso (por ejemplo, un usuario empieza a descargar gigas de datos de OneDrive o empieza a enviar correos electrónicos no deseados en Exchange Online), se puede enviar una señal a Microsoft Entra ID para notificarle que el usuario podría estar en peligro o ser de alto riesgo. En la siguiente solicitud de acceso de este usuario, Microsoft Entra ID puede tomar medidas para verificar el usuario o bloquearlo.
Siga este paso:
- Habilite la supervisión de Defender for Cloud Apps para enriquecer la señal de Identity Protection.
Habilitación de la integración del acceso condicional con Microsoft Defender for Cloud Apps
Con las señales emitidas después de la autenticación y con las solicitudes de proxy de Defender for Cloud Apps a las aplicaciones, podrá supervisar las sesiones que van a las aplicaciones SaaS y aplicar restricciones.
Siga estos pasos:
Habilitación de sesiones restringidas para su uso en decisiones de acceso
Cuando el riesgo del usuario es bajo, pero inicia sesión desde un punto de conexión desconocido, es posible que quiera permitirle acceder a recursos críticos, pero no hacer cosas que dejen a la organización en un estado de no conformidad. Ahora, puede configurar Exchange Online y SharePoint Online para ofrecer al usuario una sesión restringida que le permita leer correos electrónicos o ver archivos, pero no descargarlos ni guardarlos en un dispositivo que no sea de confianza.
Siga este paso:
- Habilite el acceso limitado a SharePoint Online y Exchange Online.
VI. Integración de señales de amenazas de otras soluciones de seguridad para mejorar la detección, la protección y la respuesta
Por último, se pueden integrar otras soluciones de seguridad para una mayor eficacia.
Integración de Microsoft Defender for Identity con Microsoft Defender for Cloud Apps
La integración con Microsoft Defender for Identity permite a Microsoft Entra ID saber que un usuario tiene un comportamiento de riesgo al acceder a recursos locales que no son modernos (como los recursos compartidos de archivos). Este hecho se puede tener luego en cuenta en el riesgo general del usuario para bloquear el acceso futuro en la nube.
Siga estos pasos:
Habilite Microsoft Defender for Identity con Microsoft Defender for Cloud Apps para incorporar las señales locales a la señal de riesgo que conocemos sobre el usuario.
Compruebe la puntuación de prioridad de investigación combinada de cada usuario en riesgo para proporcionar una vista holística de aquellos en los debe centrarse el SOC.
Habilitación de Microsoft Defender para punto de conexión
Microsoft Defender para punto de conexión permite atestiguar el estado de las máquinas Windows y determinar si están en peligro. Luego, puede usar esa información para mitigar el riesgo en tiempo de ejecución. Mientras que la unión a un dominio le ofrece una sensación de control, Defender para punto de conexión le permite reaccionar ante un ataque de malware casi en tiempo real mediante la detección de patrones en los que varios dispositivos de usuario llegan a sitios no confiables y reaccionar elevando su riesgo de dispositivo o usuario en tiempo de ejecución.
Siga este paso:
Protección de la identidad de acuerdo con la Orden Ejecutiva 14028 sobre ciberseguridad y Memorándum 22-09 de OMB
La Orden Ejecutiva 14028 sobre la mejora de la ciberseguridad y el Memorándum 22-09 de OMB incluye acciones específicas sobre Confianza cero. Las acciones de identidad incluyen el uso de sistemas de administración de identidades centralizados, el uso de MFA resistente a la suplantación de identidad y la incorporación de al menos una señal de nivel de dispositivo en las decisiones de autorización. Para obtener instrucciones detalladas sobre cómo implementar estas acciones con Microsoft Entra ID, consulte Cumplimiento de los requisitos de identidad del memorándum 22-09 con Microsoft Entra ID.
Productos incluidos en esta guía
Microsoft Azure
Microsoft Defender for Identity
Microsoft 365
Microsoft Endpoint Manager (incluye Microsoft Intune)
Microsoft Defender para punto de conexión
Conclusión
La identidad es fundamental para una estrategia de Confianza cero correcta. Para más información o ayuda con la implementación, póngase en contacto con el equipo de éxito del cliente o siga leyendo los demás capítulos de esta guía, que abarcan todos los pilares de Confianza cero.
La serie de la guía de implementación de Confianza cero
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de