Acceso privilegiado: Intermediarios

La seguridad de los dispositivos intermedios es un componente crítico para proteger el acceso con privilegios.

Los intermediarios agregan un vínculo a la cadena de garantía de confianza cero para la sesión de fin a fin del usuario o administrador, por lo que deben mantener (o mejorar) las garantías de seguridad de confianza cero en la sesión. Algunos ejemplos de intermediarios son las redes privadas virtuales (VPN), los servidores de salto, la infraestructura de escritorio virtual (VDI), así como la publicación de aplicaciones a través de servidores proxy de acceso.

Un atacante puede atacar a un intermediario para intentar escalar privilegios con credenciales almacenadas en ellas, obtener acceso remoto de red a redes corporativas o explotar la confianza en ese dispositivo si se usa para decisiones de acceso de confianza cero. Los intermediarios de destino se han vuelto demasiado comunes, especialmente para las organizaciones que no mantienen rigurosamente la posición de seguridad de estos dispositivos. Por ejemplo, credenciales recopiladas de dispositivos VPN.

Los intermediarios varían en propósito y tecnología, pero normalmente proporcionan acceso remoto, seguridad de sesión o ambos:

• Acceso remoto: habilitar el acceso a sistemas en redes empresariales desde Internet
• Seguridad de la sesión: aumentar las protecciónes de seguridad y la visibilidad de una sesión
  • Escenario de dispositivo no administrado: proporcionar un escritorio virtual administrado al que puedan obtener acceso los dispositivos no administrados (por ejemplo, dispositivos de empleados personales) o dispositivos administrados por un partner o proveedor.
  • Escenario de seguridad de administrador: consolide las vías administrativas o aumente la seguridad con acceso justo a tiempo, supervisión y grabación de sesiones y capacidades similares.

Garantizar que las garantías de seguridad se mantienen desde el dispositivo y la cuenta de origen hasta la interfaz de recursos requiere comprender el perfil de riesgo de las opciones de intermediación y mitigación.

Oportunidad y valor del atacante

Los distintos tipos de intermediarios realizan funciones únicas para que cada uno de ellos requiera un enfoque de seguridad diferente, aunque hay algunas características comunes críticas, como aplicar rápidamente revisiones de seguridad a dispositivos, firmware, sistemas operativos y aplicaciones.

La oportunidad del atacante se representa mediante la superficie de ataque disponible a la que un operador de ataque puede dirigirse:

• Los servicios en la nube nativos como Azure AD PIM, Azure Bastion y Azure AD proxy de aplicación ofrecen una superficie de ataque limitada a los atacantes. Aunque están expuestos a Internet público, los clientes (y los atacantes) no tienen acceso a los sistemas operativos subyacentes que proporcionan los servicios y normalmente se mantienen y supervisan de forma coherente a través de mecanismos automatizados en el proveedor de la nube. Esta superficie de ataque más pequeña limita las opciones disponibles para los atacantes frente a las aplicaciones y dispositivos locales clásicos que deben ser configurados, parcheados y supervisados por el personal de IT que a menudo se ven abrumados por prioridades en conflicto y más tareas de seguridad de las que tienen tiempo para completar.
• Las redes privadas virtuales (VPN) y los servidores de acceso rápido a escritorios remotos con frecuencia tienen una oportunidad de ataque importante, ya que se exponen a Internet para proporcionar acceso remoto y el mantenimiento de estos sistemas con frecuencia se olvida. Aunque solo tienen algunos puertos de red expuestos, los atacantes solo necesitan acceso a un servicio no autorizado para un ataque.
• Los servicios DEI/PAM de terceros se hospedan con frecuencia de forma local o como máquina virtual en Infraestructura como servicio (IaaS) y normalmente solo están disponibles para los hosts de intranet. Aunque no se expone directamente a Internet, una única credencial en peligro puede permitir que los atacantes accedan al servicio a través de VPN u otro medio de acceso remoto.

El valor del atacante representa lo que un atacante puede obtener al comprometer a un intermediario. Un compromiso se define como un atacante que obtiene el control total sobre la aplicación/máquina virtual y/o un administrador de la instancia de cliente del servicio en la nube.

Los ingredientes que los atacantes pueden recopilar de un intermediario para la siguiente fase de su ataque incluyen:

• Obtenga conectividad de red para comunicarse con la mayoría o con todos los recursos de las redes empresariales. Normalmente, este acceso se proporciona mediante VPN y soluciones de servidor de escritorio remoto y salto. Aunque las soluciones de Azure Bastion y Azure AD App Proxy (o soluciones similares de terceros) también proporcionan acceso remoto, estas soluciones suelen ser conexiones específicas de aplicaciones o servidores y no proporcionan acceso de red general
• Suplantar la identidad del dispositivo: puede derrotar a los mecanismos de confianza cero si un dispositivo es necesario para la autenticación o si un atacante lo usa para recopilar inteligencia en las redes de destino. Los equipos de operaciones de seguridad a menudo no supervisan de cerca la actividad de la cuenta del dispositivo y solo se centran en las cuentas de usuario.
• Robar credenciales de cuenta para autenticar los recursos, que son el activo más valioso para los atacantes, ya que ofrece la capacidad de elevar privilegios para acceder a su objetivo final o a la siguiente fase del ataque. Los servidores de escritorio remoto y saltos y LOSX/PAM de terceros son los objetivos más atractivos y tienen la dinámica "Todos los huevos en una cesta" con un mayor valor de ataque y mitigaciones de seguridad:
  • Las soluciones de PROXX/PAM suelen almacenar las credenciales para la mayoría o para todos los roles privilegiados de la organización, lo que las hace un objetivo altamente lucrativo para comprometer o armar.
  • Azure AD PROXM no ofrece a los atacantes la capacidad de robar credenciales porque desbloquea privilegios ya asignados a una cuenta con MFA u otros flujos de trabajo, pero un flujo de trabajo mal diseñado podría permitir que un adversario escalase privilegios.
  • Los servidores de acceso directo y escritorio remoto usados por los administradores proporcionan un host por el que pasan muchas o todas las sesiones confidenciales, lo que permite a los atacantes usar herramientas de ataque de robo de credenciales estándar para robar y reutilizar estas credenciales.
  • Las VPN pueden almacenar credenciales en la solución, lo que proporciona a los atacantes un potencial tesoro de escalación de privilegios, lo que lleva a la recomendación firme de usar Azure AD para la autenticación para mitigar este riesgo.

Perfiles de seguridad intermedios

Establecer estas garantías requiere una combinación de controles de seguridad, algunos de los cuales son comunes a muchos intermediarios y otros específicos del tipo de intermediario.

Un intermediario es un vínculo de la cadena De confianza cero que presenta una interfaz para los usuarios o dispositivos y, a continuación, permite el acceso a la siguiente interfaz. Los controles de seguridad deben abordar las conexiones entrantes, la seguridad del propio dispositivo o aplicación o servicio intermedios y( si procede) proporcionar señales de seguridad de confianza cero para la siguiente interfaz.

Controles de seguridad comunes

Los elementos de seguridad comunes para los intermediarios se centran en mantener una buena seguridad higiénica para empresas y niveles especializados, con restricciones adicionales para la seguridad con privilegios.

Estos controles de seguridad deben aplicarse a todos los tipos de intermediarios:

• Exigir la seguridad de la conexión de entrada: use Azure AD y acceso condicional para asegurarse de que todas las conexiones entrantes de dispositivos y cuentas se conocen, confían y se permiten. Para obtener más información, vea el artículo Secuiting privileged interfaces for detailed definitions for device and account requirements for enterprise and specialized.
• Mantenimiento adecuado del sistema: todos los intermediarios deben seguir buenas prácticas de seguridad higiénicas, entre las que se incluyen:
  • Configuración segura: siga las líneas base de configuración de seguridad del fabricante o del sector y los procedimientos recomendados tanto para la aplicación como para cualquier sistema operativo subyacente, servicios en la nube u otras dependencias. Las instrucciones aplicables de Microsoft incluyen las líneas base de seguridad de Azure Windows líneas base.
  • Revisión rápida: las actualizaciones de seguridad y las revisiones de los proveedores deben aplicarse rápidamente después del lanzamiento.
• Los atacantes pueden abusar de los modelos de control de acceso basado en roles (RBAC) para escalar privilegios. El modelo RBAC del intermediario debe revisarse cuidadosamente para asegurarse de que solo se conceden privilegios administrativos al personal autorizado protegido a nivel especializado o privilegiado. Este modelo debe incluir todos los sistemas operativos o servicios en la nube subyacentes (contraseña de cuenta raíz, usuarios/grupos de administradores locales, administradores de inquilinos, etc.).
• Detección y respuesta de punto de conexión (EDR) y señal de confianza saliente: los dispositivos que incluyen un sistema operativo completo deben supervisarse y protegerse con un EDR como Microsoft Defender para punto de conexión. Este control debe configurarse para que proporciona señales de cumplimiento del dispositivo a Acceso condicional para que la directiva pueda exigir este requisito para las interfaces.

Los intermediarios privilegiados requieren controles de seguridad adicionales:

• Control de acceso basado en roles (RBAC): los derechos administrativos deben restringirse solo a roles privilegiados que se reúnen de forma estándar para estaciones de trabajo y cuentas.
• Dispositivos dedicados (opcional): debido a la confidencialidad extrema de las sesiones privilegiadas, las organizaciones pueden optar por implementar instancias dedicadas de funciones intermedias para roles privilegiados. Este control permite restricciones de seguridad adicionales para estos intermediarios privilegiados y una supervisión más estrecha de la actividad de roles privilegiados.

Instrucciones de seguridad para cada tipo de intermediario

Esta sección contiene instrucciones de seguridad específicas únicas para cada tipo de intermediario.

Administración de acceso con privilegios /administración de identidades privilegiadas

Un tipo de intermediario diseñado explícitamente para casos de uso de seguridad son las soluciones de administración de identidades privilegiadas o administración de acceso con privilegios (PIM/PAM).

Usar casos y escenarios para PIM/PAM

Las soluciones DES/PAM están diseñadas para aumentar las garantías de seguridad de las cuentas confidenciales que se cubrirían con perfiles especializados o privilegiados, y normalmente se centran primero en los administradores de TI.

Aunque las características varían entre los proveedores de PROX/PAM, muchas soluciones proporcionan capacidades de seguridad para:

• Simplificar la administración de cuentas de servicio y el giro de contraseñas (una capacidad críticamente importante)

• Proporcionar flujos de trabajo avanzados para acceso justo a tiempo (JIT)

• Grabar y supervisar sesiones administrativas

  Importante

  Las capacidades de PIM/PAM proporcionan excelentes mitigaciones para algunos ataques, pero no abordan muchos riesgos de acceso privado, en particular el riesgo de que el dispositivo se vea comprometido. Aunque algunos proveedores son defensores de que su solución DES/PAM es una solución "bala plateada" que puede mitigar el riesgo de los dispositivos, nuestra experiencia al investigar incidentes de clientes ha demostrado de forma coherente que esto no funciona en la práctica.

  Un atacante con el control de una estación de trabajo o un dispositivo puede usar esas credenciales (y privilegios asignados a ellas) mientras el usuario está conectado (y a menudo también puede robar credenciales para su uso posterior). Una solución DE PROX.PROX/PAM por sí sola no puede ver y mitigar de forma coherente y confiable estos riesgos del dispositivo, por lo que debe tener protección discreta de dispositivos y cuentas que se complementen entre sí.

Riesgos de seguridad y recomendaciones para PIM/PAM

Las capacidades de cada proveedor de PIM/PAM varían en función de cómo protegerlas, así que revise y siga las recomendaciones y procedimientos recomendados de configuración de seguridad específicos de su proveedor.

Redes privadas virtuales del usuario final

Las redes privadas virtuales (VPN) son intermediarios que proporcionan acceso completo a la red para puntos de conexión remotos, normalmente requieren que el usuario final se autentique y pueden almacenar las credenciales localmente para autenticar las sesiones de usuario entrante.

Usar casos y escenarios para VPN

Las VPN establecen conectividad remota a la red empresarial para habilitar el acceso a recursos para usuarios y administradores.

Riesgos de seguridad y recomendaciones para VPN

Los riesgos más críticos para los intermediarios vpn son la negligencia en el mantenimiento, los problemas de configuración y el almacenamiento local de credenciales.

Microsoft recomienda una combinación de controles para los intermediarios VPN:

• Integre Azure AD autenticación: para reducir o eliminar el riesgo de credenciales almacenadas localmente (y cualquier carga de sobrecarga para mantenerlas) y aplicar directivas de confianza cero en cuentas o dispositivos de entrada con acceso condicional. Para obtener instrucciones sobre la integración, vea
  • Integración de AAD VPN de Azure
  • Habilitar Autenticación de Azure AD en la puerta de enlace VPN
  • Integración de VPN de terceros
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect y Portal cautiva
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Acceso privado de Zscaler (ZPA)
    • y mucho más
• Revisión rápida: asegúrese de que todos los elementos de la organización admiten revisiones rápidas, incluidos:
  • Patrocinio organizativo y soporte de liderazgo para requisitos
  • Procesos técnicos estándar para actualizar LAS VPN con un tiempo de inactividad mínimo o cero. Este proceso debe incluir software VPN, dispositivos y cualquier sistema operativo o firmware subyacente
  • Procesos de emergencia para implementar rápidamente actualizaciones de seguridad críticas
  • Gobernanza para detectar y corregir continuamente los elementos perdidos
• Configuración segura: las capacidades de cada proveedor de VPN varían en función de cómo protegerlas, así que revise y siga las recomendaciones y procedimientos recomendados de configuración de seguridad específicos de su proveedor
• Ir más allá de VPN: reemplace las VPN a lo largo del tiempo con opciones más seguras, como Azure AD Proxy de aplicación o Azure Bastion, ya que solo proporcionan acceso directo a aplicaciones o servidores en lugar de acceso de red completo. Además, Azure AD proxy de aplicación permite supervisar la sesión para obtener seguridad adicional con Microsoft Defender para aplicaciones en la nube.

Azure AD proxy de aplicación

Azure AD de aplicaciones y funcionalidades similares de terceros proporcionan acceso remoto a aplicaciones heredadas y a otras aplicaciones hospedadas localmente o en máquinas virtuales de IaaS en la nube.

Usar casos y escenarios para Azure AD proxy de aplicación

Esta solución es adecuada para publicar aplicaciones de productividad de usuario final heredadas para usuarios autorizados a través de Internet. También se puede usar para publicar algunas aplicaciones administrativas.

Riesgos de seguridad y recomendaciones para Azure AD proxy de aplicación

Azure AD proxy de aplicación adapta eficazmente la aplicación de directivas zero trust moderna a las aplicaciones existentes. Para obtener más información, vea Consideraciones de seguridad para Azure AD proxy de aplicación

Azure AD proxy de aplicación también se puede integrar con Microsoft Defender para aplicaciones en la nube para agregar seguridad de sesión de control de aplicaciones de acceso condicional a:

• Evitar la exfiltración de datos
• Proteger al descargar
• Impedir la carga de archivos sin etiquetar
• Supervisar las sesiones de usuario para el cumplimiento normativo
• Bloquear el acceso
• Bloquear actividades personalizadas

Para obtener más información, vea Implementar El control de aplicaciones de acceso condicional de Defender para aplicaciones en la nube para Azure AD aplicaciones

A medida que publica aplicaciones a través del proxy de aplicación de Azure AD, Microsoft recomienda que los propietarios de aplicaciones trabajen con equipos de seguridad para seguir los mínimos privilegios y garantizar que el acceso a cada aplicación esté disponible solo para los usuarios que lo requieran. A medida que implemente más aplicaciones de esta manera, es posible que pueda compensar algún punto del usuario final al uso de VPN del sitio.

Escritorio remoto / servidor de salto

Este escenario proporciona un entorno de escritorio completo que ejecuta una o varias aplicaciones. Esta solución tiene varias variantes diferentes, entre las que se incluyen:

• Experiencias: escritorio completo en una ventana o una sola experiencia de aplicación proyectada
• Host remoto: puede ser una máquina virtual compartida o una máquina virtual de escritorio dedicada con Windows escritorio virtual (WVD) u otra solución de Infraestructura de escritorio virtual (VDI).
• Dispositivo local: puede ser un dispositivo móvil, una estación de trabajo administrada o una estación de trabajo administrada personal o asociada
• Escenario: centrado en aplicaciones de productividad de usuario o en escenarios administrativos, a menudo denominados "servidor de salto".

Usar casos y recomendaciones de seguridad para escritorio remoto /servidor jump

Las configuraciones más comunes son:

• Protocolo de escritorio remoto directo (RDP): esta configuración no se recomienda para las conexiones a Internet, ya que RDP es un protocolo que tiene protección limitada contra ataques modernos como el uso de contraseñas. Rdp directo se debe convertir a:
  • RDP a través de una puerta de enlace publicada Azure AD proxy de aplicación
  • Azure Bastion
• RDP a través de una puerta de enlace mediante
  • Servicios de escritorio remoto (RDS) incluidos en Windows Server. Publicar con Azure AD de aplicación.
  • Windows escritorio virtual (WVD): siga los procedimientos recomendados Windows seguridad de escritorio virtual.
  • VDI de terceros: siga los procedimientos recomendados del fabricante o del sector, o adapte las instrucciones de WVD a su solución
• Servidor Secure Shell (SSH): proporciona shell remoto y scripting para departamentos de tecnología y propietarios de cargas de trabajo. La protección de esta configuración debe incluir:
  • Siguiendo los procedimientos recomendados del sector o del fabricante para configurarlo de forma segura, cambiar las contraseñas predeterminadas (si corresponde) y usar claves DE.SSH en lugar de contraseñas, y almacenar y administrar de forma segura las claves DE.SSH.
  • Usar La comunicación remota de Azure Bastion para SSH a los recursos hospedados en Azure: Conectar a una máquina virtual Linux con Azure Bastion

Azure Bastion

Azure Bastion es un intermediario diseñado para proporcionar acceso seguro a los recursos de Azure mediante un explorador y azure portal. Azure Bastion proporciona recursos de acceso en Azure compatibles con protocolos DE ESCRITORIO REMOTO (RDP) y Shell seguro (SSH).

Usar casos y escenarios para Azure Bastión

Azure Bastion proporciona de forma eficaz una solución flexible que pueden usar el personal de operaciones de TI y los administradores de cargas de trabajo fuera de TI para administrar recursos hospedados en Azure sin necesidad de una conexión VPN completa al entorno.

Riesgos de seguridad y recomendaciones para Azure Bastion

Se tiene acceso a Azure Bastion a través del Portal de Azure, por lo que asegúrese de que la interfaz de Azure Portal requiere el nivel de seguridad adecuado para los recursos que contiene y los roles que lo usan, normalmente de nivel privilegiado o especializado.

Hay instrucciones adicionales disponibles en la documentación de Azure Bastion

Pasos siguientes

• Información general sobre cómo proteger el acceso con privilegios
• Estrategia de acceso privilegiado
• Medir el éxito
• Niveles de seguridad
• Cuentas de acceso con privilegios
• Interfaces
• Dispositivos de acceso con privilegios
• Enterprise de acceso