Lista de comprobación de RaMP: validar explícitamente la confianza para todas las solicitudes de acceso

Esta lista de comprobación del Plan de modernización rápida (RaMP) le ayuda a establecer un perímetro de seguridad para aplicaciones en la nube y dispositivos móviles que usa la identidad como plano de control y valida explícitamente la confianza para las cuentas de usuario y los dispositivos antes de permitir el acceso, tanto para redes públicas como privadas.

Para ser productivos, los empleados (usuarios) deben poder usar:

  • Sus credenciales de cuenta para comprobar su identidad.
  • Su punto de conexión (dispositivo), como un equipo, una tableta o un teléfono.
  • Las aplicaciones que ha proporcionado para realizar sus trabajos.
  • Una red a través de la cual el tráfico fluye entre dispositivos y aplicaciones, ya sea en el entorno local o en la nube.

Cada uno de estos elementos es el objetivo de los atacantes y debe protegerse con el principio central de "nunca confiar, comprobar siempre" de Confianza cero.

Esta lista de comprobación incluye el uso de Confianza cero para validar explícitamente la confianza para todas las solicitudes de acceso para:

Después de completar este trabajo, habrá creado esta parte de la arquitectura de Confianza cero.

Las secciones identidades, puntos de conexión, aplicaciones y red de la arquitectura de Confianza cero

Identities

Compruebe y proteja cada identidad con autenticación segura en todo el patrimonio digital con Azure Active Directory (Azure AD), una solución completa de administración de identidades y acceso con seguridad integrada que conecta 425 millones de personas a sus aplicaciones, dispositivos y datos cada mes.

Responsabilidades de los miembros del programa y del proyecto

En esta tabla se describe la protección general de las cuentas de usuario en términos de una jerarquía de patrocinio, administración de programas o administración de proyectos para determinar e impulsar los resultados.

Lead Propietario Responsabilidad
CISO, CIO o Director de seguridad de identidad Patrocinio ejecutivo
Responsable del programa de Identity Security o Identity Architect Impulsar los resultados y la colaboración entre equipos.
Arquitecto de seguridad Asesorar sobre la configuración y los estándares
Seguridad de identidad o arquitecto de identidades Implementar cambios de configuración.
Administración de identidades Actualizar documentos de directivas y estándares
Administración de identidad o gobernanza de seguridad Supervisar para garantizar el cumplimiento
Equipo de educación de usuarios Asegurarse de que la guía para los usuarios refleje las actualizaciones de las directivas

Objetivos de la implementación

Cumpla estos objetivos de implementación para proteger sus identidades con privilegios con Confianza cero.

Listo Objetivo de implementación Propietario Documentación
1. Implemente el acceso con privilegios protegidos para proteger las cuentas de usuario administrativas. Implementador de TI Protección del acceso con privilegios para las implementaciones híbridas y en la nube en Azure AD
2. Implemente Azure AD Privileged Identity Management (PIM) para un proceso de aprobación Just-In-Time limitado para el uso de cuentas de usuario con privilegios. Implementador de TI Planeación de una implementación de Privileged Identity Management

Cumpla estos objetivos de implementación para proteger las identidades de usuario con Confianza cero.

Listo Objetivo de implementación Propietario Documentación
1. Habilite el autoservicio de restablecimiento de contraseña (SSPR), que proporciona funcionalidades de restablecimiento de credenciales. Implementador de TI Planeamiento de una implementación de autoservicio de restablecimiento de contraseña de Azure AD
2. Habilite Multi-Factor Authentication (MFA) y seleccione los métodos adecuados para MFA. Implementador de TI Planeamiento de una implementación de Multi-Factor Authentication de Azure AD
3. Habilite el registro de usuario combinado para su directorio para permitir que los usuarios se registren en SSPR y MFA en un paso Implementador de TI Habilitación del registro de información de seguridad combinado en Azure AD
4. Configure una directiva de acceso condicional para requerir el registro de MFA. Implementador de TI Instrucciones: Configuración de la directiva de registro de Azure AD Multi-Factor Authentication
5. Habilite las directivas basadas en riesgos de usuario e inicio de sesión para proteger el acceso de los usuarios a los recursos. Implementador de TI Cómo: Configuración y habilitación de directivas de riesgo
6. Detecte y bloquee contraseñas débiles conocidas y sus variantes y bloquee términos débiles adicionales específicos de su organización. Implementador de TI Eliminación de contraseñas incorrectas mediante la Protección con contraseña de Azure AD
7. Implemente Microsoft Defender for Identity y revise y mitigue las alertas abiertas (en paralelo con las operaciones de seguridad). Equipo de operaciones de seguridad Microsoft Defender for Identity
8. Implementar credenciales sin contraseña. Implementador de TI Planeamiento de una implementación de autenticación sin contraseña en Azure AD

Ahora ha creado la sección Identidades de la arquitectura de Confianza cero.

La sección Identidades de la arquitectura de Confianza cero

Puntos de conexión

Asegúrese del estado de cumplimiento y mantenimiento antes de conceder acceso a los puntos de conexión (dispositivos) y obtenga visibilidad sobre cómo acceden a la red.

Responsabilidades de los miembros del programa y del proyecto

En esta tabla se describe la protección general de los puntos de conexión en términos de una jerarquía de patrocinio, administración de programas o administración de proyectos para determinar e impulsar los resultados.

Lead Propietario Responsabilidad
CISO, CIO o Director de seguridad de identidad Patrocinio ejecutivo
Responsable del programa de Identity Security o de un arquitecto de identidades Impulsar los resultados y la colaboración entre equipos.
Arquitecto de seguridad Asesorar sobre la configuración y los estándares
Seguridad de identidad o arquitecto de seguridad de infraestructura Implementar cambios de configuración.
Administración de administración de dispositivos móviles (MDM) Actualizar documentos de directivas y estándares
Gobernanza de seguridad o Administración mdm Supervisar para garantizar el cumplimiento
Equipo de educación de usuarios Asegurarse de que la guía para los usuarios refleje las actualizaciones de las directivas

Objetivos de la implementación

Cumpla estos objetivos de implementación para proteger los puntos de conexión (dispositivos) con Confianza cero.

Listo Objetivo de implementación Propietario Documentación
1. Registrar dispositivos con Azure AD. MDM Administración Identidades de dispositivo
2. Inscribir dispositivos y crear perfiles de configuración. MDM Administración Información general sobre la administración de dispositivos
3. Conecte Defender para punto de conexión a Intune (en paralelo con las operaciones de seguridad). Administración de seguridad de identidad Configuración de Microsoft Defender para punto de conexión en Intune
4. Supervise el cumplimiento del dispositivo y el riesgo de acceso condicional. Administración de seguridad de identidad Uso de directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune
5. Implemente Microsoft Information Protection e integre con directivas de acceso condicional. Administración de seguridad de identidad Uso de etiquetas de confidencialidad para proteger el contenido

Ahora ha creado la sección Puntos de conexión de la arquitectura de Confianza cero.

La sección Puntos de conexión de la arquitectura de Confianza cero

Aplicaciones

Dado que los usuarios malintencionados usan aplicaciones para infiltrarse en su organización, debe asegurarse de que las aplicaciones usan servicios, como Azure AD y Intune, que proporcionan protección Confianza cero o se protegen contra ataques.

Responsabilidades de los miembros del programa y del proyecto

En esta tabla se describe una implementación de Confianza cero para las aplicaciones en términos de una jerarquía de patrocinio, administración de programas o administración de proyectos para determinar e impulsar los resultados.

Lead Propietario Responsabilidad
CISO, CIO o Director de seguridad de aplicaciones Patrocinio ejecutivo
Jefe de programa de administración de aplicaciones Impulsar los resultados y la colaboración entre equipos.
Arquitecto de identidades Asesoramiento sobre la configuración de Azure AD para aplicaciones
Actualización de los estándares de autenticación para aplicaciones locales
Arquitecto de desarrolladores Asesoramiento sobre la configuración y los estándares de las aplicaciones locales y en la nube
Arquitecto de red Implementación de cambios de configuración de VPN
Arquitecto de red en la nube Implementación de Azure AD Application Proxy
Gobernanza de seguridad Supervisar para garantizar el cumplimiento

Objetivos de la implementación

Cumpla estos objetivos de implementación para garantizar la protección Confianza cero de las aplicaciones SaaS, PaaS y locales.

Listo Tipo de uso de aplicaciones o aplicaciones Objetivos de la implementación Propietario Documentación
Aplicaciones SaaS y PaaS que forman parte de las suscripciones a la nube de Microsoft Use el registro de aplicaciones de Azure AD y las directivas de certificación y consentimiento de aplicaciones.
Use directivas de acceso condicional de Azure AD y directivas de mam y directivas de protección de aplicaciones (APP) Intune para permitir el uso de aplicaciones.
Arquitecto de identidades Administración de aplicaciones en Azure AD
Aplicaciones de las suscripciones en la nube de Microsoft habilitadas para OAuth y que acceden a los datos de Microsoft 365 a través de las API de Graph Use el complemento de gobernanza de aplicaciones en Defender for Cloud Apps para la visibilidad del comportamiento de la aplicación, la gobernanza con la aplicación de directivas y la detección y corrección de ataques basados en aplicaciones. Ingeniero de seguridad Información general
Aplicaciones SaaS y PaaS que no forman parte de las suscripciones a la nube de Microsoft Asegúrese de que usan Azure AD para la autenticación. Esto significa que todos los inicios de sesión en la aplicación están sujetos a requisitos de seguridad de usuarios y dispositivos, como la autenticación multifactor y cumplir los requisitos definidos para el cumplimiento de dispositivos. Arquitecto de aplicaciones Integración de todas sus aplicaciones en Azure AD
Usuarios locales que acceden a aplicaciones locales, que incluyen aplicaciones que se ejecutan en servidores locales e basados en IaaS. Asegúrese de que las aplicaciones admiten protocolos de autenticación modernos, como OAuth/OIDC y SAML. Póngase en contacto con el proveedor de la aplicación para obtener actualizaciones para proteger el inicio de sesión del usuario. Arquitecto de identidades Consulte la documentación del proveedor.
Usuarios remotos que acceden a aplicaciones locales a través de una conexión VPN Configuración del dispositivo VPN para que use Azure AD como proveedor de identidades Arquitecto de red Consulte la documentación del proveedor.
Usuarios remotos que acceden a aplicaciones web locales a través de una conexión VPN Publique las aplicaciones a través del Application Proxy de Azure AD. Los usuarios remotos solo necesitan acceder a la aplicación publicada individual, que se enruta al servidor web local a través de un conector proxy de aplicación.

Las conexiones aprovechan la autenticación sólida de Azure AD y limitan los usuarios y sus dispositivos para acceder a una sola aplicación a la vez. En cambio, el ámbito de una VPN de acceso remoto típico es todas las ubicaciones, protocolos y puertos de toda la red local.
Arquitecto de red en la nube Acceso remoto a aplicaciones locales a través de Azure AD Application Proxy

Después de completar estos objetivos de implementación, habrá creado la sección Aplicaciones de la arquitectura de Confianza cero.

La sección Aplicaciones de la arquitectura de Confianza cero

Red

El modelo de Confianza cero supone una infracción y comprueba cada solicitud como si se origina en una red no controlada. Aunque se trata de una práctica habitual para las redes públicas, también se aplica a las redes internas de su organización que suelen estar firewalladas desde la red pública de Internet.

Para cumplir Confianza cero, su organización debe abordar las vulnerabilidades de seguridad en redes públicas y privadas, tanto locales como en la nube, y asegurarse de comprobar explícitamente, usar el acceso con privilegios mínimos y asumir la vulneración. Los dispositivos, los usuarios y las aplicaciones no deben ser de confianza inherente porque están en las redes privadas.

Responsabilidades de los miembros del programa y del proyecto

En esta tabla se describe una implementación de Confianza cero para redes públicas y privadas en términos de una jerarquía de patrocinio, administración de programas o administración de proyectos para determinar e impulsar los resultados.

Lead Propietario Responsabilidad
CISO, CIO o Director de seguridad de red Patrocinio ejecutivo
Líder del programa de liderazgo en redes Impulsar los resultados y la colaboración entre equipos.
Arquitecto de seguridad Asesoramiento sobre la configuración y los estándares de directivas de acceso y cifrado
Arquitecto de redes Asesoramiento sobre los cambios en el filtrado de tráfico y la arquitectura de red
Ingenieros de red Cambios de configuración de segmentación de diseño
Implementadores de red Cambiar la configuración del equipo de red y actualizar los documentos de configuración
Gobernanza de redes Supervisar para garantizar el cumplimiento

Objetivos de la implementación

Cumpla estos objetivos de implementación para garantizar Confianza cero protección para las redes públicas y privadas, tanto para el tráfico local como basado en la nube. Estos objetivos se pueden realizar en paralelo.

Listo Objetivo de implementación Propietario Documentación
Requerir cifrado para todas las conexiones de tráfico, incluidos los componentes de IaaS y entre usuarios y aplicaciones locales. Arquitecto de seguridad Componentes de IaaS de Azure

IPsec para dispositivos Windows locales
Limite el acceso a datos y aplicaciones críticos por directiva (identidad de usuario o dispositivo) o filtrado de tráfico. Arquitecto de seguridad o arquitecto de red Directivas de acceso para Cloud App Security control de aplicaciones de acceso condicional

Firewall de Windows para dispositivos Windows
Implemente la segmentación de red local con controles de tráfico de entrada y salida con micro-perímetros y microsegmentación. Arquitecto de red o ingeniero de red Consulte la documentación de los dispositivos perimetrales y de red local.
Use la detección de amenazas en tiempo real para el tráfico local. Analistas de SecOps Protección contra amenazas de Windows

Microsoft Defender para punto de conexión
Implemente la segmentación de red en la nube con controles de tráfico de entrada y salida con micro-perímetros y microsegmentación. Arquitecto de red o ingeniero de red Implementación de patrones de segmentación de red en Azure
Use la detección de amenazas en tiempo real para el tráfico en la nube. Arquitecto de red o ingeniero de red Filtrado basado en inteligencia sobre amenazas de Azure Firewall

Azure Firewall sistema de prevención y detección de intrusiones de red Premium (IDPS)

Después de completar estos objetivos de implementación, habrá creado la sección Red de la arquitectura de Confianza cero.

Sección Red de la arquitectura de Confianza cero

Siguiente paso

Continúe la iniciativa de acceso y productividad del usuario con Datos, Cumplimiento y Gobernanza.