Niveles de seguridad de acceso privilegiados

Este documento describe los niveles de seguridad de una estrategia de acceso privilegiado Para obtener una hoja de ruta sobre cómo adoptar esta estrategia, vea el plan de modernización rápida (RaMP). Para obtener instrucciones sobre la implementación, consulte Implementación con privilegios de acceso

Estos niveles están diseñados principalmente para proporcionar una guía técnica sencilla y sencilla para que las organizaciones puedan implementar rápidamente estas protecciones de importancia crítica. La estrategia de acceso privilegiado reconoce que las organizaciones tienen necesidades únicas, pero también que las soluciones personalizadas crean complejidad que da como resultado mayores costos y menor seguridad a lo largo del tiempo. Para equilibrar esta necesidad, la estrategia proporciona una orientación prescriptiva firme para cada nivel y flexibilidad, permitiendo a las organizaciones elegir cuándo se requerirá cada rol para satisfacer los requisitos de ese nivel.

Defining three security levels

Simplificar las cosas ayuda a las personas a entenderlo y reduce el riesgo de que se confundan y cometen errores. Aunque la tecnología subyacente es casi siempre compleja, es fundamental mantener las cosas simples en lugar de crear soluciones personalizadas que sean difíciles de admitir. Para obtener más información, vea el artículo Principios de diseño de seguridad.

Diseñar soluciones que se centren en las necesidades de los administradores y usuarios finales, les será más fácil. El diseño de soluciones sencillas para la seguridad y el personal de TI para crear, evaluar y mantener (con automatización siempre que sea posible) conduce a menos errores de seguridad y garantías de seguridad más confiables.

La estrategia de seguridad de acceso con privilegios recomendados implementa un sencillo sistema de garantías de tres niveles, que se extiende por diferentes áreas, diseñado para ser fácil de implementar para: cuentas, dispositivos, intermediarios e interfaces.

Increase attacker cost with each level of security investment

Cada nivel sucesivo eleva los costos de los atacantes, con un nivel adicional de inversión en Defender for Cloud. Los niveles están diseñados para dirigirse a los "puntos dulces" donde los defensores obtienen el mayor retorno (aumento del costo del atacante) por cada inversión de seguridad que realizan.

Cada rol de su entorno debe asignarse a uno de estos niveles (y, opcionalmente, aumentarse con el tiempo como parte de un plan de mejora de seguridad). Cada perfil se define claramente como una configuración técnica y automatizada, siempre que sea posible, para facilitar la implementación y acelerar las protecciones de seguridad. Para obtener más información sobre la implementación, consulte el artículo Guía básica de acceso con privilegios.

Los niveles de seguridad utilizados en esta estrategia son:

  • Enterprise seguridad es adecuada para todos los usuarios empresariales y escenarios de productividad. En la progresión del plan de modernización rápida, la empresa también sirve de punto de partida para un acceso especializado y privilegiado, ya que se basa progresivamente en los controles de seguridad de la seguridad empresarial.

    Nota

    Existen configuraciones de seguridad más débiles, pero microsoft para organizaciones empresariales no recomienda en la actualidad debido a las habilidades y los recursos que los atacantes tienen disponibles. Para obtener información sobre lo que los atacantes pueden comprar entre sí en los mercados oscuros y los precios promedios, consulte el vídeo 10 Mejores prácticas recomendadas para Seguridad de Azure

  • La seguridad especializada proporciona mayores controles de seguridad para los roles con un impacto empresarial elevado (si se ve comprometida por un atacante o un usuario malintencionado de Insider).

    Su organización debe haber documentado criterios para cuentas especializadas y con privilegios (por ejemplo, el posible impacto empresarial es superior a 1 M USD) y, a continuación, identificar todos los roles y cuentas que cumplen ese criterio. (utilizados a lo largo de esta estrategia, incluidas las Cuentas Especializadas)

    Los roles especializados suelen incluir:

    • Desarrolladores de sistemas críticos para la empresa.
    • Roles empresariales sensibles como los usuarios de terminales SWIFT, investigadores con acceso a datos confidenciales, personal con acceso a informes financieros antes de su publicación, administradores de nóminas, aprobadores para procesos empresariales sensibles y otros roles de alto impacto.
    • Ejecutivos , asistentes personales o asistentes administrativos que manejan información confidencial de forma periódica.
    • Cuentas de redes sociales de gran impacto que podrían dañar la reputación de la compañía.
    • Los administradores de TI confidenciales tienen importantes privilegios e impacto, pero no son de toda la empresa. Este grupo suele incluir administradores de cargas de trabajo individuales de alto impacto. (por ejemplo, administradores de planeación de recursos empresariales, administradores bancarios, departamento de soporte técnico/ roles de soporte técnico, etc.)

    La seguridad de cuentas especializadas también sirve como paso intermedio para la seguridad con privilegios, que se basa aún más en estos controles. Consulte el mapa de ruta de acceso con privilegios para obtener más información sobre el orden recomendado de progresión.

  • Privileged security is the highest level of security designed for roles that could easily cause a major incident and potential material damage to the organization in a hands of an attacker or malicious insider. Este nivel suele incluir roles técnicos con permisos administrativos en la mayoría o en todos los sistemas empresariales (y a veces incluye algunos roles críticos para la empresa).

    Las cuentas con privilegios se centran primero en la seguridad, con la productividad definida como la capacidad de realizar de forma fácil y segura tareas de trabajo confidenciales de forma segura. Estos roles no podrán realizar tareas de productividad generales ni de trabajo confidencial (explorar la web, instalar y usar cualquier aplicación) con la misma cuenta o el mismo dispositivo o estación de trabajo. Tendrán cuentas y estaciones de trabajo altamente restringidas con un mayor seguimiento de sus acciones en busca de actividad anómala que podría representar la actividad de atacantes.

    Los roles de seguridad con privilegios de acceso suelen incluir:

    • Azure AD los administradores globales y los roles relacionados
    • Otros roles de administración de identidades con derechos administrativos sobre un directorio empresarial, sistemas de sincronización de identidades, solución de federación, directorio virtual, sistema de administración de identidad/acceso privilegiado o similar.
    • Roles con pertenencia a estos grupos de Active Directory local
      • administradores de Enterprise
      • Administradores de dominio
      • Administrador de esquema
      • BUILTIN\Administrators
      • Operadores de cuenta
      • Operadores de copia de seguridad
      • Operadores de impresión
      • Operadores de servidor
      • Controladores de dominio
      • Controladores de dominio de solo lectura
      • Propietarios de creadores de directiva de grupo
      • Operadores criptográficos
      • Usuarios COM distribuidos
      • Grupos de Exchange locales confidenciales (incluidos permisos de Exchange Windows y Exchange subsistema de confianza)
      • Otros grupos delegados: grupos personalizados que puede crear su organización para administrar las operaciones de directorio.
      • Cualquier administrador local para un inquilino de sistema operativo subyacente o servicio en la nube que hospede las funcionalidades anteriores, incluidas
        • Miembros del grupo de administradores locales
        • Personal que conozca la raíz o la contraseña de administrador integrada
        • Administradores de cualquier herramienta de administración o seguridad con agentes instalados en esos sistemas

Pasos siguientes