Proteger la identidad con confianza cero

  • Artículo
  • Tiempo de lectura: 15 minutos

Fondo

Las aplicaciones en la nube y el personal móvil han redefinido el perímetro de seguridad. Los empleados traen sus propios dispositivos y trabajan de forma remota. Los datos se acceden fuera de la red corporativa y se comparten con colaboradores externos, como socios y proveedores. Las aplicaciones y los datos corporativos se están moviendo de entornos locales a híbridos y en la nube. Las organizaciones ya no pueden depender de los controles de red tradicionales para la seguridad. Los controles deben moverse a donde están los datos: en dispositivos, dentro de aplicaciones y con partners.

Las identidades, que representan personas, servicios o dispositivosIoT, son el dominador común en las muchas redes,puntos de conexión y aplicaciones actuales. En el modelo de seguridad Confianza cero, funcionan como una forma eficaz, flexible y granular de controlar el acceso a los datos.

Antes de que una identidad intente obtener acceso a un recurso, las organizaciones deben:

  • Compruebe la identidad con autenticación segura.

  • Asegúrese de que el acceso es compatible y típico para esa identidad.

  • Sigue los principios de acceso con privilegios mínimos.

Una vez que se haya comprobado la identidad, podemos controlar el acceso de esa identidad a los recursos en función de las directivas de la organización, el análisis de riesgos en marcha y otras herramientas.

Objetivos de implementación de confianza cero de identidad

Antes de que la mayoría de las organizaciones inicien el viaje de confianza cero,su enfoque de identidad es problemático, ya que el proveedor de identidades local está en uso, no hay SSO entre aplicaciones locales y en la nube, y la visibilidad del riesgo de identidad es muy limitada.

Al implementar un marco de confianza cero de un extremo a otro para la identidad, le recomendamos que se centre primero en estos objetivos iniciales de implementación:

Icono de lista con una marca de verificación.

I.La identidad de la nube se federa con sistemas de identidad locales.

II.Las directivas de acceso condicional cancelan el acceso y proporcionan actividades de corrección.

III.Los análisis mejoran la visibilidad.

Una vez completadas, céntrate en estos objetivos de implementación adicionales:

Icono de lista con dos marcas de verificación.

IV.Las identidades y los privilegios de acceso se administran con el gobierno de identidades.

V.El usuario, el dispositivo, la ubicación y el comportamiento se analizan en tiempo real para determinar el riesgo y ofrecer protección continua.

VI.Integre señales de amenazas de otras soluciones de seguridad para mejorar la detección, protección y respuesta.

Guía de implementación de identidad cero confianza

Esta guía le guiará por los pasos necesarios para administrar identidades siguiendo los principios de un marco de seguridad de confianza cero.




Icono lista de comprobación con una marca de verificación.

Objetivos iniciales de implementación

I. Federadas de identidades en la nube con sistemas de identidad locales

Azure Active Directory (AD) permite una autenticación segura, un punto de integración para la seguridad del punto de conexión y el núcleo de las directivas centradas en el usuario para garantizar un acceso con privilegios mínimos. Azure AD las capacidades de acceso condicional de Azure AD son el punto de decisión de directiva para el acceso a recursos basado en la identidad de usuario, el entorno, el estado del dispositivo y el riesgo, comprobado explícitamente en el punto de acceso. Mostraremos cómo puede implementar una estrategia de identidad de confianza cero con Azure AD.

Diagrama de los pasos de la fase 1 de los objetivos iniciales de implementación.

Conectar todos los usuarios para Azure AD y federar con sistemas de identidad locales

Mantener una canalización en buen estado de las identidades de sus empleados y los artefactos de seguridad necesarios (grupos de autorización y puntos de conexión para controles de directiva de acceso adicionales) le coloca en el mejor lugar para usar identidades y controles coherentes en la nube.

Siga estos pasos:

  1. Elija una opción de autenticación. Azure AD le proporciona la mejor fuerza bruta, DDoS y protección contra la protección por rociado con contraseña, pero tome la decisión adecuada para su organización y sus necesidades de cumplimiento.

  2. Solo lleve las identidades que necesita absolutamente. Por ejemplo, use ir a la nube como una oportunidad para dejar atrás cuentas de servicio que solo tienen sentido local. Deje atrás roles con privilegios locales.

  3. Si su empresa tiene más de 100 000 usuarios, grupos y dispositivos combinados, cree un cuadro de sincronización de alto rendimiento que mantendrá su ciclo de vida actualizado.

Establezca su Identity Foundation con Azure AD

Una estrategia de confianza cero requiere comprobar explícitamente, usar principios de acceso con privilegios mínimos y asumir una infracción. Azure AD puede actuar como punto de decisión de directiva para aplicar las directivas de acceso en función de la información sobre el usuario, el punto de conexión, el recurso de destino y el entorno.

Haga este paso:

  • Coloque Azure AD en la ruta de acceso de todas las solicitudes de acceso. Esto conecta a todos los usuarios y a todas las aplicaciones o recursos a través de un plano de control de identidad y proporciona Azure AD con la señal para tomar las mejores decisiones posibles sobre el riesgo de autenticación o autorización. Además, el inicio de sesión único y los barandales de directivas coherentes proporcionan una mejor experiencia de usuario y contribuyen a aumentar la productividad.

Integre todas las aplicaciones con Azure AD

El inicio de sesión único impide que los usuarios abandonen copias de sus credenciales en varias aplicaciones y ayuda a evitar que los usuarios se a acostumbran a entregar sus credenciales debido a las indicaciones excesivas.

Asegúrese también de que no tiene varios motores de IAM en su entorno. Esto no solo disminuye la cantidad de señal que Azure AD ve, lo que permite que los malos actores vivan en las costuras entre los dos motores de IAM, también puede llevar a una mala experiencia de usuario y a que sus socios empresariales se conviertan en los primeros dudosos de su estrategia de confianza cero.

Siga estos pasos:

  1. Integre aplicaciones empresariales modernas que hablen OAuth2.0 o SAML.

  2. Para kerberos y aplicaciones de autenticación basadas en formularios, inténtelas conel Azure AD de aplicación.

  3. Si publica sus aplicaciones heredadas con redes de entrega de aplicaciones o controladores, use Azure AD para integrarlas con la mayoría de las principales (como Citrix, Akamai y F5).

  4. Para ayudar a descubrir y migrar sus aplicaciones fuera de ADFS y motores de IAM existentes o antiguos, revise recursos y herramientas.

  5. Identidades de Power Push en las distintas aplicaciones en la nube. Esto le ofrece una integración del ciclo de vida de identidad más estrecha dentro de esas aplicaciones.

Sugerencia

Obtenga información sobre cómo implementar una estrategia de confianza cerode un extremo a otro para las aplicaciones.

Comprobar explícitamente con autenticación segura

Siga estos pasos:

  1. Despliegue Azure AD MFA (P1). Este es un elemento fundamental para reducir el riesgo de sesión del usuario. A medida que los usuarios aparecen en nuevos dispositivos y desde nuevas ubicaciones, poder responder a un reto de MFA es una de las formas más directas que los usuarios pueden enseñarnos que son dispositivos o ubicaciones familiares a medida que se mueven por todo el mundo (sin que los administradores analicen señales individuales).

  2. Bloquear la autenticación heredada. Uno de los vectores de ataque más comunes para los actores malintencionados es usar credenciales robadas o reproducida contra protocolos heredados, como SMTP, que no pueden hacer desafíos de seguridad modernos.

II. Las directivas de acceso condicional cancelan el acceso y proporcionan actividades de corrección

Azure AD acceso condicional (CA) analiza señales como usuario, dispositivo y ubicación para automatizar decisiones y exigir directivas de acceso de la organización para recursos. Puede usar directivas de CA para aplicar controles de acceso como la autenticación multifactor (MFA). Las directivas de ca le permiten solicitar a los usuarios mfa cuando sea necesario para la seguridad y mantenerse al tanto de los usuarios cuando no sea necesario.

Diagrama de directivas de acceso condicional en Confianza cero.

Microsoft proporciona directivas condicionales estándar denominadas valores predeterminados de seguridad que garantizan un nivel básico de seguridad. Sin embargo, es posible que su organización necesite más flexibilidad de la que ofrecen los valores predeterminados de seguridad. Puede usar acceso condicional para personalizar los valores predeterminados de seguridad con más granularidad y para configurar nuevas directivas que cumplan sus requisitos.

Planear previamente las directivas de acceso condicional y tener un conjunto de directivas activas y de reserva es un pilar fundamental de la aplicación de directivas de Access en una implementación de confianza cero. Tómese el tiempo para configurar las ubicaciones IP de confianza en su entorno. Incluso si no los usa en una directiva de acceso condicional, la configuración de estas IP informa del riesgo de protección de identidad mencionado anteriormente.

Haga este paso:

Registrar dispositivos con Azure AD para restringir el acceso desde dispositivos vulnerables y en peligro

Siga estos pasos:

  1. Habilitar Azure AD combinación híbrida o Azure AD unirse. Si está administrando el portátil o equipo del usuario, lleve esa información a Azure AD y úsela para ayudar a tomar mejores decisiones. Por ejemplo, puede permitir el acceso de un cliente enriquecido a los datos (clientes que tienen copias sin conexión en el equipo) si sabe que el usuario viene de un equipo que controla y administra su organización. Si no lo incluye, es probable que elija bloquear el acceso de los clientes enriquecidos, lo que puede provocar que los usuarios trabajen en torno a su seguridad o utilicen ti de sombra.

  2. Habilite el servicio intune en Microsoft Endpoint Manager (EMS) para administrar los dispositivos móviles de los usuarios e inscribir dispositivos. Lo mismo puede decirse de los dispositivos móviles de los usuarios que de los portátiles: cuanto más sepa sobre ellos (nivel de revisión, jailbreak, root, etc.), más podrá confiar o desconfiar de ellos y proporcionar una explicación de por qué bloquea o permite el acceso.

Sugerencia

Más información sobre cómo implementar una estrategia de confianza cero de un extremo a otro para los puntos de conexión

III. Los análisis mejoran la visibilidad

A medida que crea su estado en Azure AD con autenticación, autorización y aprovisionamiento, es importante tener información operativa sólida sobre lo que está sucediendo en el directorio.

Configurar el registro y los informes para mejorar la visibilidad

Haga este paso:

  • Planee una Azure AD de informes y supervisión para poder conservar y analizar registros de Azure AD, ya sea en Azure o con un sistema SIEM de elección.




Icono lista de comprobación con dos marcas de verificación.

Objetivos de implementación adicionales

IV. Las identidades y los privilegios de acceso se administran con el gobierno de identidades

Una vez que haya logrado sus tres objetivos iniciales, puede centrarse en objetivos adicionales, como un gobierno de identidad más sólido.

Diagrama de los pasos de la fase 4 de los objetivos de implementación adicionales.

Proteger el acceso con privilegios con Privileged Identity Management

Controle los puntos de conexión, las condiciones y las credenciales que los usuarios usan para obtener acceso a las operaciones o roles con privilegios.

Siga estos pasos:

  1. Tome el control de sus identidades privilegiadas. Tenga en cuenta que, en una organización transformada digitalmente, el acceso privilegiado no solo es el acceso administrativo, sino también el acceso del propietario de la aplicación o del desarrollador que puede cambiar la forma en que las aplicaciones de misión crítica ejecutan y administran los datos.

  2. Use Privileged Identity Management para proteger identidades con privilegios.

El consentimiento del usuario a las aplicaciones es una forma muy común para que las aplicaciones modernas obtengan acceso a los recursos de la organización, pero hay algunos procedimientos recomendados que debe tener en cuenta.

Siga estos pasos:

  1. Restrinja el consentimiento del usuario y administre las solicitudes de consentimiento para asegurarse de que no se produzca una exposición innecesaria de los datos de su organización a las aplicaciones.

  2. Revise el consentimiento anterior o existente en su organización para obtener cualquier consentimiento excesivo o malintencionado.

Para obtener más información sobre las herramientas para protegerse de las tácticas para obtener acceso a información confidencial, vea "Reforzar la protección contra amenazas cibernéticas y aplicaciones fraudulentas" en nuestra guía para implementar una estrategia de confianza cero de identidad.

Administrar derechos

Con las aplicaciones que se autentican de forma centralizada y están controladas desde Azure AD, ahora puede simplificar el proceso de solicitud de acceso, aprobación y recertificación para asegurarse de que las personas correctas tienen el acceso correcto y de que tiene una pista de por qué los usuarios de su organización tienen el acceso que tienen.

Siga estos pasos:

  1. Use Administración de derechos para crear paquetes de acceso que los usuarios pueden solicitar a medida que se unen a distintos equipos o proyectos y que les asigna acceso a los recursos asociados (como aplicaciones, sitios de SharePoint, pertenencias a grupos).

  2. Si la implementación de administración de derechos no es posible para su organización en este momento, al menos habilite los paradigmas de autoservicio en su organización mediante la implementación de administración de grupos de autoservicio y acceso de aplicaciones de autoservicio.

Usar la autenticación sin contraseña para reducir el riesgo de ataques de suplantación de identidad (phishing) y contraseña

Con Azure AD fido 2.0 y el inicio de sesión telefónico sin contraseña, puede mover la aguja en las credenciales que los usuarios (especialmente los usuarios confidenciales o privilegiados) están empleando día a día. Estas credenciales son factores de autenticación sólidos que también pueden mitigar el riesgo.

Haga este paso:

V. El usuario, el dispositivo, la ubicación y el comportamiento se analizan en tiempo real para determinar el riesgo y ofrecer protección continua

El análisis en tiempo real es fundamental para determinar el riesgo y la protección.

Diagrama de los pasos de la fase 5 de los objetivos de implementación adicionales.

Implementar Azure AD protección con contraseña

Al habilitar otros métodos para comprobar explícitamente a los usuarios, no ignore las contraseñas débiles, el rociado de contraseñas y los ataques de reproducción de infracciones. Y las directivas de contraseña compleja clásicas no impiden los ataques de contraseña más frecuentes.

Haga este paso:

  • Habilite Azure AD protección con contraseña para los usuarios en la nube y local.

Habilitar la protección de identidades

Obtenga una señal de riesgo de sesión o usuario más granular con Protección de identidad. Podrá investigar el riesgo y confirmar el riesgo o descartar la señal, lo que ayudará al motor a comprender mejor el aspecto del riesgo en su entorno.

Haga este paso:

Habilitar la integración de Microsoft Defender para aplicaciones en la nube con protección de identidades

Microsoft Defender para Aplicaciones en la nube supervisa el comportamiento de los usuarios dentro de SaaS y las aplicaciones modernas. Esto le Azure AD información sobre lo que le ocurrió al usuario después de que se autenticaron y recibieron un token. Si el patrón de usuario empieza a parecer sospechoso (por ejemplo, un usuario empieza a descargar gigabytes de datos de OneDrive o empieza a enviar correos electrónicos no deseados en Exchange Online), se puede enviar una señal Azure AD notificárselo que el usuario parece estar en peligro o con un alto riesgo. En la siguiente solicitud de acceso de este usuario, Azure AD realizar acciones correctamente para comprobarlo o bloquearlo.

Haga este paso:

Habilitar la integración de acceso condicional con Microsoft Defender para aplicaciones en la nube

Con las señales emitidas después de la autenticación y con las solicitudes de proxy de Defender para Aplicaciones en la nube a las aplicaciones, podrá supervisar las sesiones que van a las aplicaciones SaaS y aplicar restricciones.

Siga estos pasos:

  1. Habilitar la integración de acceso condicional.

  2. Extender el acceso condicional a aplicaciones locales.

Habilitar sesión restringida para su uso en decisiones de acceso

Cuando el riesgo de un usuario es bajo, pero inicia sesión desde un punto de conexión desconocido, es posible que desee permitirles acceso a recursos críticos, pero no permitirles hacer cosas que dejen a su organización en un estado no conforme. Ahora puede configurar Exchange Online y SharePoint Online para ofrecer al usuario una sesión restringida que les permita leer correos electrónicos o ver archivos, pero no descargarlos y guardarlos en un dispositivo que no sea de confianza.

Haga este paso:

VI. Integrar señales de amenazas de otras soluciones de seguridad para mejorar la detección, protección y respuesta

Por último, se pueden integrar otras soluciones de seguridad para una mayor eficacia.

Integrar Microsoft Defender para la identidad con Microsoft Defender para aplicaciones en la nube

La integración con Microsoft Defender para la identidad permite a Azure AD saber que un usuario está disfrutando de un comportamiento arriesgado al acceder a recursos locales y no modernos (como recursos compartidos de archivos). Esto se puede tener en cuenta en el riesgo general del usuario para bloquear el acceso adicional en la nube.

Siga estos pasos:

  1. Habilite Microsoft Defender para la identidad con Microsoft Defender para aplicaciones en la nube para que las señales locales se trabiliten en la señal de riesgo que conocemos sobre el usuario.

  2. Compruebe la puntuación de prioridad de investigación combinada para cada usuario en riesgo para proporcionar una vista holística de cuáles deben centrarse en su SOC.

Habilitar Microsoft Defender para el punto de conexión

Microsoft Defender para punto de conexión le permite dar fe del estado de los Windows y determinar si están en peligro. A continuación, puede alimentar esa información para mitigar el riesgo en tiempo de ejecución. Mientras que la combinación de dominios le proporciona una sensación de control, Defender para el punto de conexión le permite reaccionar a un ataque de malware casi en tiempo real detectando patrones en los que varios dispositivos de usuario están alcanzando sitios no confiables, y para reaccionar elevando su riesgo de dispositivo o usuario en tiempo de ejecución.

Haga este paso:

Productos tratados en esta guía

Microsoft Azure

Azure Active Directory

Microsoft Defender para la identidad

Microsoft 365

Microsoft Endpoint Manager (incluye Microsoft Intune)

Microsoft Defender para endpoint

SharePoint online

Exchange Online

Conclusión

La identidad es fundamental para una estrategia de confianza cero correcta. Para obtener más información o ayuda con la implementación, póngase en contacto con su equipo de Éxito del cliente o continúe leyendo los demás capítulos de esta guía, que abarcan todos los pilares de Confianza cero.



Serie de guías de implementación de confianza cero

Icono de la introducción

Icono de identidad

Icono para puntos de conexión

Icono para aplicaciones

Icono de datos

Icono de infraestructura

Icono para redes

Icono de visibilidad, automatización, organización