Acceso con privilegios: Interfaces
Un componente crítico para garantizar el acceso con privilegios es la aplicación de una directiva de confianza cero para garantizar que los dispositivos, cuentas e intermediarios cumplan los requisitos de seguridad antes de proporcionar acceso.
Esta directiva garantiza que los usuarios y dispositivos que inician la sesión entrante sean conocidos, confiables y puedan acceder al recurso (a través de la interfaz). La aplicación de directivas se realiza mediante el motor de directivas de acceso condicional de Azure AD que evalúa la directiva asignada a la interfaz de aplicación específica (como Azure Portal, Salesforce, Office 365, AWS, Workday y otros).
Esta guía define tres niveles de seguridad para la seguridad de la interfaz que puede usar para activos con diferentes niveles de confidencialidad. Estos niveles se configuran en el plan de modernización rápida (RAMP) de acceso privilegiado y se corresponden con los niveles de seguridad de cuentas y dispositivos.
Los requisitos de seguridad para las sesiones entrantes en las interfaces se aplican a las cuentas y al dispositivo de origen, ya sea una conexión directa desde dispositivos físicos o un intermediario de escritorio remoto o servidor jump. Los intermediarios pueden aceptar sesiones desde dispositivos personales para proporcionar el nivel de seguridad empresarial (para algunos escenarios), pero los intermediarios especializados o privilegiados no deben permitir conexiones de niveles inferiores debido a la naturaleza confidencial de seguridad de sus roles.
Nota
Estas tecnologías proporcionan un fuerte control de acceso de extremo a extremo a la interfaz de la aplicación, pero el recurso en sí también debe protegerse de ataques fuera de banda en el código o la funcionalidad de la aplicación, vulnerabilidades no detectadas o errores de configuración en el sistema operativo o firmware subyacente, en datos en reposo o en tránsito, cadenas de suministro u otros medios.
Asegúrese de evaluar y descubrir riesgos para los propios activos para una protección completa. Microsoft proporciona herramientas y instrucciones para ayudarle con esto, como Microsoft Defender parala nube, Puntuaciónsegura de Microsoft y directrices de modelado de amenazas.
Ejemplos de interfaz
Las interfaces vienen en diferentes formas, normalmente como:
- Sitios web de aplicaciones o servicios en la nube, como Azure Portal, AWS, Office 365
- Consola de escritorio que administra una aplicación local (Microsoft Management Console (MMC) o una aplicación personalizada)
- Interfaz de scripting o consola, como Shell seguro (SSH) o PowerShell
Aunque algunas de ellas admiten directamente la aplicación de la confianza cero a través del motor de directivas de acceso condicional de Azure AD, algunas de ellas tendrán que publicarse a través de un intermediario, como Azure AD App Proxy o Remote Desktop /jump server.
Seguridad de la interfaz
El objetivo final de la seguridad de la interfaz es asegurarse de que cada sesión entrante a la interfaz se conoce, se confía y se permite:
- Conocido: el usuario se autentica con autenticación segura y el dispositivo se autentica (con excepciones para dispositivos personales que usan una solución de Escritorio remoto o VDI para el acceso empresarial)
- Confianza: el estado de seguridad se valida y se exige explícitamente para cuentasy dispositivos que usan un motor de directivas de confianza cero
- Permitido: el acceso a los recursos sigue el principio de privilegio mínimo mediante una combinación de controles para asegurarse de que solo se puede acceder a él
- Por los usuarios adecuados
- En el momento adecuado (acceso justo a tiempo, no acceso permanente)
- Con el flujo de trabajo de aprobación adecuado (según sea necesario)
- En un nivel de riesgo o confianza aceptable
Controles de seguridad de interfaz
Establecer garantías de seguridad de la interfaz requiere una combinación de controles de seguridad, incluidos:
- Aplicación de directivas de confianza cero: usar acceso condicional para asegurarse de que las sesiones entrantes cumplen los requisitos para:
- Confianza del dispositivo para garantizar el dispositivo como mínimo:
- Está administrada por la empresa
- Tiene detección y respuesta de puntos de conexión en él
- Cumple con los requisitos de configuración de las organizaciones
- No está infectado o bajo ataque durante la sesión
- La confianza del usuario es lo suficientemente alta en función de las señales, entre las que se incluyen:
- Uso de autenticación multifactor durante el inicio de sesión inicial (o agregado más adelante para aumentar la confianza)
- Si esta sesión coincide con los patrones de comportamiento históricos
- Si la cuenta o la sesión actual desencadenan alertas basadas en inteligencia de amenazas
- Azure AD de protección de identidad
- Confianza del dispositivo para garantizar el dispositivo como mínimo:
- Modelo de control de acceso basado en roles (RBAC) que combina grupos/permisos de directorio empresarial y roles, grupos y permisos específicos de la aplicación
- Flujos de trabajo de acceso justo a tiempo que garantizan requisitos específicos para privilegios (aprobaciones de pares, seguimiento de auditoría, expiración con privilegios, etc.) se aplican antes de permitir privilegios para los que la cuenta es apta.
Niveles de seguridad de la interfaz
Esta guía define tres niveles de seguridad. Para obtener más información sobre estos niveles, vea Mantenerlo simple: personas y perfiles. Para obtener instrucciones de implementación, vea el plan de modernización rápida.
Enterprise interfaz
Enterprise la seguridad de la interfaz es adecuada para todos los usuarios empresariales y escenarios de productividad. Enterprise también sirve como punto de partida para cargas de trabajo de mayor confidencialidad en las que puede crear de forma incremental para alcanzar niveles de garantía de acceso especializados y privilegiados.
- Aplicación de directivas de confianza cero: en sesiones entrantes con acceso condicional para asegurarse de que los usuarios y dispositivos están protegidos en el nivel empresarial o superior
- Para admitir, puede permitir que se conecten sus propios escenarios de dispositivos (BYOD), dispositivos personales y dispositivos administrados por asociados si usan un intermediario empresarial, como una solución de escritorio virtual (WVD) de Windows dedicada o una solución similar de escritorio remoto o servidor jump.
- Role-Based control de acceso (RBAC): el modelo debe asegurarse de que la aplicación solo se administra mediante roles en el nivel de seguridad especializado o privilegiado
Interfaz especializada
Los controles de seguridad de las interfaces especializadas deben incluir
- Aplicación de directivas de confianza cero: en sesiones entrantes con acceso condicional para asegurarse de que los usuarios y dispositivos están protegidos en el nivel especializado o con privilegios
- Role-Based control de acceso (RBAC): el modelo debe asegurarse de que la aplicación solo se administra mediante roles en el nivel de seguridad especializado o privilegiado
- Flujos de trabajo de acceso justo a tiempo (opcional): que aplican menos privilegios al garantizar que los privilegios solo los usan los usuarios autorizados durante el tiempo que se necesitan.
Interfaz con privilegios
Los controles de seguridad de las interfaces especializadas deben incluir
- Aplicación de directivas de confianza cero: en sesiones entrantes con acceso condicional para asegurarse de que los usuarios y dispositivos están protegidos en el nivel de privilegios
- Role-Based control de acceso (RBAC): el modelo debe asegurarse de que la aplicación solo se administra mediante roles en el nivel de seguridad privilegiado
- Flujos de trabajo de acceso justo a tiempo (obligatorios) que aplican privilegios mínimos al garantizar que los privilegios solo los usan los usuarios autorizados durante el tiempo que son necesarios.