Niveles de seguridad de acceso con privilegios

  • Artículo
  • Tiempo de lectura: 5 minutos

En este documento se describen los niveles de seguridad de una estrategia de acceso privilegiado Para obtener una hoja de ruta sobre cómo adoptar esta estrategia, vea el plan de modernización rápida (RaMP). Para obtener instrucciones de implementación, vea Implementación de acceso con privilegios

Estos niveles están diseñados principalmente para proporcionar instrucciones técnicas sencillas y sencillas para que las organizaciones puedan implementar rápidamente estas protecciones de importancia crítica. La estrategia de acceso privilegiado reconoce que las organizaciones tienen necesidades únicas, pero también que las soluciones personalizadas crean complejidad que da como resultado mayores costos y menor seguridad a lo largo del tiempo. Para equilibrar esta necesidad, la estrategia proporciona directrices prescriptivas firmes para cada nivel y flexibilidad a través de permitir que las organizaciones elijan cuándo se necesitará cada rol para cumplir los requisitos de ese nivel.

Definir tres niveles de seguridad

Hacer las cosas sencillas ayuda a los usuarios a comprenderlo y reduce el riesgo de que se confundan y cometen errores. Aunque la tecnología subyacente es casi siempre compleja, es fundamental mantener las cosas simples en lugar de crear soluciones personalizadas difíciles de admitir. Para obtener más información, vea el artículo Principios de diseño de seguridad.

Diseñar soluciones que se centren en las necesidades de los administradores y los usuarios finales, les será más sencillo. Diseñar soluciones que sean sencillas para el personal de TI y seguridad para crear, evaluar y mantener (con automatización siempre que sea posible) conduce a menos errores de seguridad y garantías de seguridad más confiables.

La estrategia de seguridad de acceso privilegiado recomendada implementa un sencillo sistema de garantías de tres niveles, que abarca todas las áreas, diseñado para ser fácil de implementar: cuentas, dispositivos, intermediarios e interfaces.

Aumentar el costo del atacante con cada nivel de inversión de seguridad

Cada nivel sucesivo impulsa los costos de los atacantes, con un nivel adicional de inversión de Defender para la nube. Los niveles están diseñados para dirigirse a los "puntos dulces" donde los defensores obtienen la mayor rentabilidad (aumento del costo de los atacantes) por cada inversión de seguridad que realicen.

Cada rol de su entorno debe asignarse a uno de estos niveles (y, opcionalmente, aumentar con el tiempo como parte de un plan de mejora de la seguridad). Cada perfil está claramente definido como una configuración técnica y automatizado siempre que sea posible para facilitar la implementación y acelerar las protecciones de seguridad. Para obtener más información sobre la implementación, vea el artículo Guía de acceso privilegiado.

Los niveles de seguridad usados en esta estrategia son:

  • Enterprise seguridad es adecuada para todos los usuarios empresariales y escenarios de productividad. En la progresión del plan de modernización rápida, la empresa también sirve como punto de partida para un acceso especializado y privilegiado a medida que se van basando progresivamente en los controles de seguridad de la seguridad empresarial.

    Nota

    Existen configuraciones de seguridad más débiles, pero microsoft no recomienda actualmente para las organizaciones empresariales debido a las aptitudes y recursos que los atacantes tienen disponibles. Para obtener información sobre lo que los atacantes pueden comprar entre sí en los mercados oscuros y los precios medios, vea el vídeo Top 10 Best Practices for Azure Security

  • La seguridad especializada proporciona controles de seguridad más elevados para los roles con un impacto empresarial elevado (si está en peligro por un atacante o un insider malintencionado).

    Su organización debe tener criterios documentados para cuentas especializadas y con privilegios (por ejemplo, el posible impacto empresarial es de más de 1 millón de usd) y, a continuación, identificar todos los roles y cuentas que cumplan esos criterios. (se usa a lo largo de esta estrategia, incluidas las cuentas especializadas)

    Los roles especializados suelen incluir:

    • Desarrolladores de sistemas críticos empresariales.
    • Roles empresariales confidenciales como usuarios de terminales SWIFT, investigadores con acceso a datos confidenciales, personal con acceso a informes financieros antes de la publicación pública, administradores de nóminas, aprobadores de procesos empresariales confidenciales y otros roles de alto impacto.
    • Ejecutivos y asistentes personales o asistentes administrativos que manejan periódicamente información confidencial.
    • Cuentas de medios sociales de alto impacto que podrían dañar la reputación de la compañía.
    • Administradores de TI confidenciales con un gran impacto y privilegios, pero no para toda la empresa. Este grupo suele incluir administradores de cargas de trabajo individuales de alto impacto. (por ejemplo, administradores de planeación de recursos empresariales, administradores bancarios, roles de soporte técnico/de soporte técnico, etc.)

    La seguridad de cuentas especializadas también sirve como paso provisional para la seguridad privilegiada, que se basa aún más en estos controles. Vea guía de acceso con privilegios para obtener detalles sobre el orden recomendado de progresión.

  • La seguridad privilegiada es el nivel más alto de seguridad diseñado para roles que podrían causar fácilmente un incidente importante y posibles daños materiales a la organización en manos de un atacante o un insider malintencionado. Este nivel suele incluir roles técnicos con permisos administrativos en la mayoría o en todos los sistemas empresariales (y a veces incluye algunos roles críticos para la empresa)

    Las cuentas con privilegios se centran en la seguridad en primer lugar, con la productividad definida como la capacidad de realizar de forma fácil y segura tareas de trabajo confidenciales de forma segura. Estos roles no tendrán la capacidad de realizar tareas de trabajo confidenciales y de productividad general (navegar por la web, instalar y usar ninguna aplicación) con la misma cuenta o el mismo dispositivo o estación de trabajo. Tendrán cuentas y estaciones de trabajo altamente restringidas con mayor supervisión de sus acciones para actividades anómalas que podrían representar la actividad de los atacantes.

    Los roles de seguridad de acceso privilegiado suelen incluir:

    • Azure AD administradores globales y roles relacionados
    • Otros roles de administración de identidades con derechos administrativos en un directorio empresarial, sistemas de sincronización de identidades, solución de federación, directorio virtual, sistema de administración de identidades/accesos privilegiados o similar.
    • Roles con pertenencia a estos grupos locales de Active Directory
      • Enterprise administradores
      • Administradores de dominio
      • Administrador de esquema
      • BUILTIN\Administrators
      • Operadores de cuenta
      • Operadores de copia de seguridad
      • Operadores de impresión
      • Operadores de servidor
      • Controladores de dominio
      • Controladores de dominio de solo lectura
      • Propietarios del creador de directivas de grupo
      • Operadores criptográficos
      • Usuarios COM distribuidos
      • Grupos de Exchange locales confidenciales (incluidos Exchange Windows permisos y Exchange subsistema de confianza)
      • Otros grupos delegados: grupos personalizados que puede crear su organización para administrar las operaciones de directorio.
      • Cualquier administrador local de un sistema operativo subyacente o inquilino del servicio en la nube que hospeda las capacidades anteriores, incluidas las
        • Miembros del grupo de administradores locales
        • Personal que conoce la raíz o la contraseña de administrador integrada
        • Administradores de cualquier herramienta de administración o seguridad con agentes instalados en esos sistemas

Pasos siguientes