Acceso con privilegios: intermediarios

La seguridad de los dispositivos intermediarios es un componente fundamental de la protección del acceso con privilegios.

Los intermediarios agregan un vínculo a la cadena de control de Confianza cero para la sesión de un extremo a otro del usuario o administrador, por lo que deben mantener (o mejorar) las garantías de seguridad de Confianza cero en la sesión. Algunos ejemplos de intermediarios son las redes privadas virtuales (VPN), los servidores de salto, la infraestructura de escritorio virtual (VDI), así como la publicación de aplicaciones a través de servidores proxy de acceso.

Un atacante puede atacar a un intermediario para intentar escalar privilegios mediante credenciales almacenadas en ellos, obtener acceso remoto de red a redes corporativas o aprovechar la confianza en ese dispositivo si se usa para tomar decisiones de acceso de Confianza cero. Dirigirse a los intermediarios se ha convertido en algo demasiado común, especialmente para las organizaciones que no mantienen rigurosamente la posición de seguridad de estos dispositivos. Por ejemplo, las credenciales recopiladas de dispositivos VPN.

Los intermediarios varían en propósito y tecnología, pero normalmente proporcionan acceso remoto, seguridad de sesión o ambos:

• Acceso remoto: habilitación del acceso a sistemas en redes empresariales desde Internet.
• Seguridad de sesión: aumento de las protecciones de seguridad y la visibilidad de una sesión.
  • Escenario de dispositivo no administrado: suministro de un escritorio virtual administrado al que puedan acceder dispositivos no administrados (por ejemplo, dispositivos de empleados personales) o dispositivos administrados a los que pueda acceder un asociado o proveedor.
  • Escenario de seguridad de administrador: consolidación de las rutas administrativas o aumento de la seguridad con acceso Just-In-Time, supervisión y grabación de sesiones y funcionalidades similares.

Asegurarse de que las garantías de seguridad se mantienen desde el dispositivo y la cuenta de origen hasta la interfaz de recursos requiere comprender el perfil de riesgo de las opciones intermediarias y de mitigación.

Oportunidad y valor del atacante

Los distintos tipos de intermediarios realizan funciones únicas, por lo que cada uno de ellos requiere un enfoque de seguridad diferente, aunque hay algunos elementos comunes críticos, como la aplicación rápida de parches de seguridad a dispositivos, firmware, sistemas operativos y aplicaciones.

La oportunidad del atacante se representa mediante la superficie de ataque disponible a la que puede dirigirse un operador de ataque:

• Los servicios nativos en la nube como Microsoft Entra PIM, Azure Bastion y el proxy de aplicaciones Microsoft Entra ofrecen una superficie de ataque limitada a los atacantes. Aunque se exponen a la red pública de Internet, los clientes (y atacantes) no tienen acceso a los sistemas operativos subyacentes que proporcionan los servicios y normalmente se mantienen y supervisan de forma coherente a través de mecanismos automatizados en el proveedor de nube. Esta superficie de ataque más pequeña limita las opciones disponibles a los atacantes frente a las aplicaciones y dispositivos locales clásicos que el personal de TI (que a menudo se ve sobrecargado por prioridades en conflicto y más tareas de seguridad de las que tiene tiempo de completar) debe configurar, revisar y supervisar.
• Las redes privadas virtuales (VPN) y los Escritorios remotos / servidores de salto suelen tener una oportunidad considerable para los atacantes, ya que se exponen a Internet para proporcionar acceso remoto y el mantenimiento de estos sistemas se olvida con frecuencia. Aunque solo tienen algunos puertos de red expuestos, los atacantes solo necesitan acceso a un servicio sin revisión para un ataque.
• Los servicios PIM/PAM de terceros se hospedan con frecuencia de forma local o como una máquina virtual en infraestructura como servicio (IaaS) y normalmente solo están disponibles para los hosts de intranet. Aunque no se expone directamente a Internet, una sola credencial en peligro puede permitir que los atacantes accedan al servicio a través de VPN u otro medio de acceso remoto.

El valor del atacante representa lo que un atacante puede obtener al poner en peligro a un intermediario. Una situación de peligro se define como un atacante que obtiene control total sobre la aplicación o máquina virtual o un administrador de la instancia del cliente del servicio en la nube.

Los componentes que los atacantes pueden recopilar de un intermediario para la siguiente fase de su ataque incluyen:

• Obtención de la conectividad de red para comunicarse con todos o la mayoría de los recursos de las redes empresariales. Este acceso lo proporcionan normalmente las VPN y las soluciones de Escritorio remoto o servidor de salto. Aunque Azure Bastion y Microsoft Entra Application Proxy (o soluciones de terceros similares) también proporcionan acceso remoto, estas soluciones suelen ser conexiones específicas de la aplicación o del servidor y no proporcionan acceso de red general.
• Suplantación de la identidad del dispositivo: puede anular los mecanismos de Confianza cero si un dispositivo es necesario para la autenticación o si un atacante lo usa para recopilar inteligencia sobre las redes de destino. Los equipos de operaciones de seguridad a menudo no supervisan estrechamente la actividad de la cuenta del dispositivo y solo se centran en las cuentas de usuario.
• Robo de credenciales de cuenta para autenticarse en los recursos, que son el recurso más valioso para los atacantes, ya que ofrece la capacidad de elevar los privilegios para acceder a su objetivo final o a la siguiente fase del ataque. Escritorio remoto o los servidores de salto y los servicios PIM/PAM de terceros son los destinos más atractivos y tienen la dinámica de jugárselo todo a una sola carta, con mayor valor del atacante y mayores mitigaciones de seguridad:
  • Las soluciones de PIM/PAM suelen almacenar las credenciales de todos o la mayoría de los roles con privilegios de la organización, lo que las convierte en un objetivo sumamente ventajoso para poner en peligro.
  • PIM de Microsoft Entra no ofrece a los atacantes la capacidad de robar credenciales porque desbloquea los privilegios ya asignados a una cuenta mediante MFA u otros flujos de trabajo, pero un flujo de trabajo mal diseñado podría permitir que un adversario escalase privilegios.
  • Escritorio remoto o los servidores de salto usados por los administradores proporcionan un host por el que pasan muchas o todas las sesiones confidenciales, lo que permite a los atacantes usar herramientas de ataque de robo de credenciales estándar para robar y reutilizar estas credenciales.
  • Las VPN pueden almacenar credenciales en la solución, lo que proporciona a los atacantes una posible oportunidad de escalación de privilegios, por lo que se recomienda firmemente usar Microsoft Entra ID para la autenticación a fin de mitigar este riesgo.

Perfiles de seguridad intermediarios

El establecimiento de estas garantías requiere una combinación de controles de seguridad, algunos de los cuales son comunes a muchos intermediarios y otros específicos del tipo de intermediario.

Un intermediario es un vínculo de la cadena de Confianza cero que presenta una interfaz a los usuarios o dispositivos y, a continuación, permite el acceso a la siguiente interfaz. Los controles de seguridad deben abordar las conexiones entrantes de direcciones, la seguridad del propio dispositivo, aplicación o servicio intermediarios y, si procede, proporcionar señales de seguridad de Confianza cero para la siguiente interfaz.

Controles de seguridad comunes

Los elementos de seguridad comunes para los intermediarios se centran en mantener una buena protección de la seguridad para los niveles empresarial y especializado, con restricciones adicionales para la seguridad con privilegios.

Estos controles de seguridad deben aplicarse a todos los tipos de intermediarios:

• Aplicación de seguridad de conexión de entrada: use el acceso condicional de Microsoft Entra ID para asegurarse de que todas las conexiones entrantes de dispositivos y cuentas se conocen, son de confianza y se permiten. Para más información, consulte el artículo Protección de las interfaces con privilegios para obtener definiciones detalladas de los requisitos de dispositivo y cuenta para los niveles empresarial y especializado.
• Mantenimiento adecuado del sistema: todos los intermediarios deben seguir buenas prácticas de protección de la seguridad, entre las que se incluyen:
  • Configuración segura: siga las bases de referencia de configuración de seguridad del fabricante o del sector y los procedimientos recomendados tanto para la aplicación como para los sistemas operativos, servicios en la nube u otras dependencias subyacentes. Las instrucciones aplicables de Microsoft incluyen la base de referencia de seguridad de Azure y las bases de referencia de Windows.
  • Aplicación rápida de revisiones: las actualizaciones de seguridad y las revisiones de los proveedores se deben aplicar rápidamente después del lanzamiento.
• Los atacantes pueden hacer un uso inapropiado de los modelos de control de acceso basado en rol (RBAC) para escalar privilegios. El modelo de RBAC del intermediario debe revisarse cuidadosamente para asegurarse de que solo se conceden privilegios administrativos al personal autorizado protegido en un nivel especializado o con privilegios. Este modelo debe incluir todos los sistemas operativos o servicios en la nube subyacentes (contraseña de cuenta raíz, usuarios o grupos de administradores locales, administradores de inquilinos, etc.).
• Detección y respuesta de puntos de conexión (EDR) y señal de confianza de salida: los dispositivos que incluyen un sistema operativo completo deben supervisarse y protegerse con un servicio de EDR, como Microsoft Defender para punto de conexión. Este control debe configurarse para que proporcione señales de cumplimiento de dispositivos al acceso condicional para que la directiva pueda aplicar este requisito para las interfaces.

Los intermediarios con privilegios requieren controles de seguridad adicionales:

• Control de acceso basado en rol (RBAC): los derechos administrativos deben restringirse solo a los roles con privilegios que cumplen ese estándar para estaciones de trabajo y cuentas.
• Dispositivos dedicados (opcional): debido a la confidencialidad extrema de las sesiones con privilegios, las organizaciones pueden optar por implementar instancias dedicadas de funciones intermediarias para roles con privilegios. Este control permite restricciones de seguridad adicionales para estos intermediarios con privilegios y una supervisión más profunda de la actividad de rol con privilegios.

Guía de seguridad para cada tipo de intermediario

Esta sección contiene instrucciones de seguridad específicas únicas para cada tipo de intermediario.

Privileged Access Management o Privileged Identity Management

Un tipo de intermediario diseñado explícitamente para casos de uso de seguridad son las soluciones de Privileged Access Management o Privileged Identity Management (PIM/PAM).

Casos de uso y escenarios de PIM/PAM

Las soluciones de PIM/PAM están diseñadas para aumentar las garantías de seguridad para las cuentas confidenciales que se cubrirían con perfiles especializados o con privilegios, y normalmente se centran primero en los administradores de TI.

Aunque las características varían entre los proveedores de PIM/PAM, muchas soluciones proporcionan funcionalidades de seguridad para:

• Simplificar la administración de cuentas de servicio y la rotación de contraseñas (una funcionalidad muy importante)

• Proporcionar flujos de trabajo avanzados para el acceso Just-In-Time (JIT)

• Registrar y supervisar las sesiones administrativas

  Importante

  Las funcionalidades de PIM/PAM proporcionan excelentes mitigaciones para algunos ataques, pero no abordan muchos riesgos de acceso con privilegios, especialmente el riesgo de que el dispositivo se vea en peligro. Aunque algunos proveedores defienden que su solución de PIM/PAM es una solución "milagrosa" que puede mitigar el riesgo de los dispositivos, nuestra experiencia al investigar los incidentes de los clientes ha demostrado sistemáticamente que esto no funciona en la práctica.

  Un atacante con el control de una estación de trabajo o un dispositivo puede usar esas credenciales (y los privilegios asignados a ellas) mientras el usuario tiene la sesión iniciada (y a menudo también puede robar credenciales para su uso posterior). Una solución de PIM/PAM por sí sola no puede ver ni mitigar de forma coherente y confiable estos riesgos de dispositivo, por lo que debe tener protecciones discretas de dispositivos y cuentas que se complementen entre sí.

Riesgos de seguridad y recomendaciones para PIM/PAM

Las funcionalidades de cada proveedor de PIM/PAM varían en función de cómo protegerlas, así que revise y siga las recomendaciones y procedimientos recomendados de configuración de seguridad específicos del proveedor.

Nota:

Asegúrese de configurar una segunda persona en flujos de trabajo críticos para la empresa para ayudar a mitigar el riesgo interno (aumenta el costo o la fricción de posibles connivencias por amenazas internas).

Redes privadas virtuales de usuario final

Las redes privadas virtuales (VPN) son intermediarios que proporcionan acceso de red completo a los puntos de conexión remotos, normalmente requieren que el usuario final se autentique y pueden almacenar las credenciales localmente para autenticar las sesiones de usuario entrantes.

Nota:

Esta guía solo hace referencia a las VPN de "punto a sitio" que usan los usuarios, no a las VPN de "sitio a sitio" que se usan normalmente para la conectividad del centro de datos o la aplicación.

Casos de uso y escenarios de VPN

Las VPN establecen conectividad remota a la red empresarial para habilitar el acceso a recursos para usuarios y administradores.

Riesgos de seguridad y recomendaciones para las VPN

Los riesgos más críticos para los intermediarios de VPN son la falta de mantenimiento, los problemas de configuración y el almacenamiento local de credenciales.

Microsoft recomienda una combinación de controles para los intermediarios de VPN:

• Integración de la autenticación de Microsoft Entra: para reducir o eliminar el riesgo de credenciales almacenadas localmente (y cualquier carga de sobrecarga para mantenerlas) y aplicar directivas de Confianza cero en cuentas o dispositivos de entrada con acceso condicional. Para obtener instrucciones sobre la integración, consulte:
  • Integración de Microsoft Entra de VPN de Azure
  • Habilitar la autenticación de Microsoft Entra en VPN Gateway
  • Integración de VPN de terceros
    • Cisco AnyConnect
    • GlobalProtect y Captive Portal de Palo Alto Networks
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Private Access (ZPA)
    • y mucho más
• Aplicación rápida de revisiones: asegúrese de que todos los elementos de la organización admiten la aplicación rápida de revisiones, lo que incluye:
  • Patrocinio organizativo y soporte técnico de liderazgo para los requisitos.
  • Procesos técnicos estándar para actualizar las VPN con un tiempo de inactividad mínimo o cero. Este proceso debe incluir software VPN, dispositivos y cualquier firmware o sistema operativo subyacente.
  • Procesos de emergencia para implementar rápidamente actualizaciones de seguridad críticas.
  • Gobernanza para detectar y corregir continuamente los elementos que falten.
• Configuración segura: las funcionalidades de cada proveedor de VPN varían en función de cómo protegerlas, así que revise y siga las recomendaciones y procedimientos recomendados de configuración de seguridad específicos del proveedor.
• Ir más allá de VPN: reemplace las VPN a lo largo del tiempo por opciones más seguras, como Microsoft Entra Application Proxy o Azure Bastion, ya que solo proporcionan acceso directo a la aplicación o servidor en lugar del acceso de red completo. Además, el proxy de aplicación de Microsoft Entra permite la supervisión de sesión para mayor seguridad con Microsoft Defender for Cloud Apps.

Proxy de aplicación de Microsoft Entra

Microsoft Entra Application Proxy y funcionalidades similares de terceros proporcionan acceso remoto a aplicaciones heredadas y a otras aplicaciones hospedadas en el entorno local o en máquinas virtuales IaaS en la nube.

Casos de uso y escenarios para el proxy de aplicación de Microsoft Entra

Esta solución es adecuada para publicar aplicaciones de productividad de usuario final heredadas para usuarios autorizados a través de Internet. También se puede usar para publicar algunas aplicaciones administrativas.

Riesgos de seguridad y recomendaciones para el proxy de aplicaciones Microsoft Entra

El proxy de aplicaciones de Microsoft Entra retroadapta eficazmente la aplicación de la moderna directiva Confianza cero a las aplicaciones existentes. Para más información, consulte Consideraciones de seguridad para el proxy de aplicaciones Microsoft Entra

Microsoft Entra Application Proxy también se puede integrar con Microsoft Defender for Cloud Apps para agregar seguridad de sesión de Control de aplicaciones de acceso condicional para:

• Impedir la filtración de datos
• Proteger en la descarga
• Impedir la carga de archivos sin etiqueta
• Supervisar el cumplimiento de las sesiones de usuario
• Bloquear acceso
• Bloquear actividades personalizadas

Para más información, consulte Implementación de Defender for Cloud Apps Control de aplicaciones de acceso condicional para aplicaciones de Microsoft Entra

A medida que publica aplicaciones a través de Microsoft Entra Application Proxy, Microsoft recomienda que los propietarios de aplicaciones trabajen con los equipos de seguridad para seguir los privilegios mínimos y asegurarse de que el acceso a cada aplicación esté disponible solo para los usuarios que la requieran. A medida que implemente más aplicaciones de esta manera, es posible que pueda desplazar algún uso de VPN de punto a sitio del usuario final.

Escritorio remoto o servidor de salto

Este escenario proporciona un entorno de escritorio completo que ejecuta una o varias aplicaciones. Esta solución tiene una serie de variaciones diferentes, entre las que se incluyen:

• Experiencias: escritorio completo en una ventana o una sola experiencia proyectada de aplicación.
• Host remoto: puede ser una máquina virtual compartida o una máquina virtual de escritorio dedicada mediante Windows Virtual Desktop (WVD) u otra solución de infraestructura de escritorio virtual (VDI).
• Dispositivo local: puede ser un dispositivo móvil, una estación de trabajo administrada o una estación de trabajo administrada por el asociado o personal.
• Escenario: centrado en aplicaciones de productividad de usuario o en escenarios administrativos, a menudo denominado "servidor de salto".

Casos de uso y recomendaciones de seguridad para Escritorio remoto o servidor de salto

Las configuraciones más comunes son:

• Protocolo de escritorio remoto (RDP) directo: esta configuración no se recomienda para las conexiones a Internet, ya que RDP es un protocolo que tiene protecciones limitadas frente a ataques modernos, como la difusión de contraseña. RDP directo debe convertirse en:
  • RDP a través de una puerta de enlace publicada por el proxy de aplicación de Microsoft Entra
  • Azure Bastion
• RDP a través de una puerta de enlace mediante
  • Servicios de Escritorio remoto (RDS) incluidos en Windows Server. Publicación con el proxy de aplicación de Microsoft Entra
  • Windows Virtual Desktop (WVD): siga los procedimientos recomendados de seguridad de Windows Virtual Desktop.
  • VDI de terceros: siga los procedimientos recomendados del fabricante o del sector, o adapte las instrucciones de WVD a la solución.
• Servidor de Secure Shell (SSH): proporciona shell remoto y scripting para los departamentos de tecnología y los propietarios de cargas de trabajo. La protección de esta configuración debe incluir lo siguiente:
  • Seguimiento de los procedimientos recomendados del sector o fabricante para realizar la configuración de forma segura, cambiar las contraseñas predeterminadas (si procede) y usar claves SSH en lugar de contraseñas, así como almacenar y administrar de forma segura las claves SSH.
  • Uso de Azure Bastion para la comunicación remota de SSH a los recursos hospedados en Azure: conexión a una máquina virtual Linux mediante Azure Bastion.

Azure Bastion

Azure Bastion es un intermediario diseñado para proporcionar acceso seguro a los recursos de Azure mediante un explorador y Azure Portal. Azure Bastion proporciona recursos de acceso en Azure que admiten protocolos de Secure Shell (SSH) y Protocolo de escritorio remoto (RDP).

Casos de uso y escenarios para Azure Bastion

Azure Bastion proporciona de forma eficaz una solución flexible que el personal de operaciones de TI y los administradores de cargas de trabajo fuera de TI pueden usar para administrar los recursos hospedados en Azure sin necesidad de una conexión VPN completa al entorno.

Riesgos de seguridad y recomendaciones para Azure Bastion

A Azure Bastion se accede a través de Azure Portal, por lo que debe asegurarse de que la interfaz de Azure Portal requiere el nivel de seguridad adecuado para los recursos que contiene y los roles que la usan, normalmente con privilegios o nivel especializado.

Puede obtener instrucciones adicionales en la documentación de Azure Bastion.

Pasos siguientes

• Introducción a la protección del acceso con privilegios
• Estrategia de acceso con privilegios
• Medición correcta
• Niveles de seguridad
• Cuentas de acceso con privilegios
• Interfaces
• Dispositivos de acceso con privilegios
• Modelo de acceso de Enterprise