Esta arquitectura muestra el modo en que los equipos del centro de operaciones de seguridad (SOC) pueden incorporar funcionalidades de identidad y acceso de Microsoft Entra en una estrategia de seguridad global integrada y con capas de confianza cero.
La seguridad de red domina las operaciones de SOC cuando todos los servicios y dispositivos estaban contenidos en redes administradas en organizaciones. Sin embargo, Gartner predice que, hasta 2022, el tamaño del mercado de los servicios en la nube crecerá a una tasa de casi el triple de los servicios de TI generales. A medida que más empresas adoptan la informática en la nube, hay un cambio para tratar la identidad del usuario como el límite de seguridad principal.
La protección de identidades en la nube es una prioridad alta.
En el informe de investigación de infracciones de datos de 2020 de Verizon se afirma que el 37 % de las vulneraciones de datos involucró el uso de credenciales robadas, y el 22 % involucró la suplantación de identidad (phishing).
En un estudio de incidentes de vulneraciones de datos de 2019 a cargo de IBM se informó que el costo mundial medio de una vulneración de datos era de 3,9 millones de dólares, donde el costo medio en EE. UU. era más cercano a 8,2 millones de dólares.
En el informe de inteligencia de seguridad de 2019 de Microsoft se informó que los ataques de suplantación de identidad aumentaron en un margen del 250 % entre enero y diciembre de 2018.
El modelo de seguridad de Confianza cero trata a todos los hosts como si fueran accesibles desde Internet y considera que toda la red podría estar en peligro y hostil. Este enfoque se centra en generar una autenticación (AuthN), autorización y cifrado sólidos, a la vez que proporciona acceso en compartimentos y una mejor agilidad operativa.
Gartner promueve una arquitectura de seguridad adaptativa que reemplace una estrategia basada en la respuesta a incidentes por un modelo evitar-detectar-responder-predecir. La seguridad adaptativa combina el control de acceso, la supervisión del comportamiento, la administración del uso y la detección con supervisión y análisis continuos.
En Arquitectura de referencia de ciberseguridad de Microsoft (MCRA) se describen las funcionalidades de ciberseguridad de Microsoft y cómo se integran en las arquitecturas de seguridad existentes, incluidos los entornos híbridos y de nube, que usan Microsoft Entra ID para identidad como servicio (IDaaS).
En este artículo se aborda el avance del enfoque de seguridad adaptable de confianza cero hacia IDaaS, y se destacan los componentes disponibles en la plataforma de Microsoft Entra.
Posibles casos de uso
- Diseño de nuevas soluciones de seguridad
- Mejora o integración en las implementaciones existentes
- Formación de los equipos del SOC
Arquitectura
Descargue un archivo de Visio de esta arquitectura.
Flujo de trabajo
- La administración de credenciales controla la autenticación.
- El aprovisionamiento y la administración de derechos definen el paquete de acceso, asignan usuarios a los recursos y envían datos para atestación.
- El motor de autorización evalúa la directiva de acceso para determinar el acceso. El motor también evalúa las detecciones de riesgos, incluidos los datos de análisis de comportamiento de usuarios y entidades (UEBA) , y comprueba el cumplimiento de los dispositivos para la administración de puntos de conexión.
- Si se autorizan, el usuario o el dispositivo obtienen acceso según las directivas y controles de acceso condicional.
- Si no se autorizan, los usuarios pueden aplicar la corrección en tiempo real para desbloquearse.
- Todos los datos de sesión se registran para su análisis e informes.
- El sistema de Administración de eventos e información de seguridad (SIEM) del equipo del SOC recibe todos los datos de registro, detección de riesgos y UEBA de las identidades locales y en la nube.
Componentes
Los siguientes componentes y procesos de seguridad contribuyen a esta arquitectura IDaaS de Microsoft Entra.
Administración de credenciales
La administración de credenciales incluye servicios, directivas y prácticas que emiten, realizan el seguimiento y actualizan el acceso a los recursos o servicios. La administración de credenciales de Microsoft Entra incluye las siguientes funcionalidades:
El autoservicio de restablecimiento de contraseña (SSPR) habilita el autoservicio por parte de los usuarios para permitirles restablecer sus propias contraseñas perdidas, olvidadas o en peligro. SSPR no solo reduce las llamadas al departamento de soporte técnico, sino que proporciona una mayor flexibilidad y seguridad al usuario.
La escritura diferida de contraseñas sincroniza las contraseñas cambiadas en la nube con los directorios locales en tiempo real.
Las contraseñas prohibidas analizan los datos de telemetría que exponen las contraseñas débiles o en peligro usadas habitualmente, y prohíben su uso global en todo el Microsoft Entra ID. Puede personalizar esta funcionalidad para su entorno e incluir una lista de contraseñas personalizadas que se prohibirán en su propia organización.
El bloqueo inteligente compara los intentos de autenticación legítimos con intentos por fuerza bruta para obtener acceso no autorizado. En virtud de la directiva predeterminada de bloqueo inteligente, una cuenta se bloquea durante un minuto después de realizar 10 intentos de inicio de sesión incorrectos. A medida que se produzcan errores adicionales en los intentos de inicio de sesión, aumentará el tiempo de bloqueo de la cuenta. Puede usar directivas para ajustar la configuración para la combinación adecuada de seguridad y facilidad de uso de su organización.
La autenticación multifactor requiere varias formas de autenticación cuando los usuarios intentan acceder a los recursos protegidos. La mayoría de los usuarios están familiarizados con el uso de algo que conocen, como una contraseña, al acceder a los recursos. MFA pide a los usuarios que muestren también algo que tienen, como el acceso a un dispositivo de confianza, o algo que son, como un identificador biométrico. MFA puede usar diferentes tipos de métodos de autenticación, como llamadas telefónicas, mensajes de texto o notificaciones a través de la aplicación Authenticator.
La autenticación sin contraseñas reemplaza la contraseña en el flujo de trabajo de autenticación por un smartphone o un token de hardware, un identificador biométrico o un PIN. La autenticación sin contraseñas de Microsoft puede funcionar con recursos de Azure, como Windows Hello para empresas y la aplicación Microsoft Authenticator en dispositivos móviles. También puede habilitar la autenticación sin contraseña con claves de seguridad compatibles con FIDO2, que usan WebAuthn y el protocolo Client-to-Authenticator (CTAP) de FIDO Alliance.
Aprovisionamiento de aplicaciones y derecho
La administración de derechos es una característica de gobernanza de identidades de Microsoft Entra que permite a las organizaciones administrar el ciclo de vida de identidad y acceso a escala. La administración de derechos automatiza los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, las revisiones y las expiraciones.
El aprovisionamiento de Microsoft Entra le permite crear automáticamente roles e identidades de usuario en las aplicaciones a las que los usuarios necesitan acceder. Puede configurar el aprovisionamiento de Microsoft Entra para aplicaciones de software como servicio (SaaS) de terceros, como SuccessFactors, WorkDay y muchas más.
El inicio de sesión único (SSO) de conexión directa autentica de forma automática a los usuarios en aplicaciones basadas en la nube una vez que inician sesión en sus dispositivos corporativos. También puede usar SSO de conexión directa de Microsoft Entra con sincronización de hash de contraseñas o autenticación de paso a través.
La atestación con revisiones de acceso de Microsoft Entra ayuda a cumplir los requisitos de supervisión y auditoría. Las revisiones de acceso le permiten hacer cosas como identificar rápidamente el número de usuarios administradores, asegurarse de que los nuevos empleados puedan acceder a los recursos necesarios, o revisar la actividad de los usuarios para determinar si todavía necesitan acceso.
Directivas y controles de Acceso condicional
Una directiva de acceso condicional es una instrucción if-then de asignaciones y controles de acceso. Usted define la respuesta ("hacer esto") al motivo por el que se desencadena la directiva ("si se cumple"), lo que permite que el motor de autorización tome decisiones que apliquen las directivas de la organización. Con el acceso condicional de Microsoft Entra, puede controlar el modo en que los usuarios autorizados acceden a las aplicaciones. La herramienta What If de Microsoft Entra ID puede ayudarle a comprender por qué una directiva de Acceso condicional se ha aplicado o no, o bien si una directiva se aplicaría a un usuario en una circunstancia específica.
Los controles de acceso condicional funcionan junto con las directivas de Acceso condicional para ayudar a aplicar la directiva de la organización. Los controles de acceso condicional de Microsoft Entra le permiten implementar la seguridad en función de los factores detectados en el momento de la solicitud de acceso, en lugar de aplicar un enfoque único para todos. Al acoplar los controles de Acceso condicional con condiciones de acceso, se reduce la necesidad de crear controles de seguridad adicionales. Como ejemplo típico, puede permitir que los usuarios de un dispositivo unido a un dominio tengan acceso a los recursos mediante SSO, pero exigir MFA para los usuarios de fuera de la red o que usen sus propios dispositivos.
Microsoft Entra ID puede usar los siguientes controles de Acceso condicional con directivas de Acceso condicional:
El control de acceso basado en roles (RBAC) de Azure permite configurar y asignar los roles adecuados a los usuarios que necesitan realizar tareas administrativas o especializadas con recursos de Azure. Puede usar Azure RBAC para crear o mantener cuentas independientes solo de administración dedicadas, limitar el acceso a los roles que configure, aplicar límites temporales al acceso, o conceder acceso mediante los flujos de trabajo de aprobación.
Privileged Identity Management (PIM) ayuda a reducir el vector de ataque de su organización al permitirle agregar supervisión y protección adicionales a las cuentas administrativas. Con Microsoft Entra PIM, puede administrar y controlar el acceso a los recursos dentro de Azure, Microsoft Entra ID y otros servicios de Microsoft 365 con acceso Just-in-Time (JIT) y Just Enough Administration (JEA). PIM proporciona un historial de actividades administrativas y un registro de cambios, y le avisa cuando se agregan o quitan usuarios de los roles que defina.
Puede usar PIM para exigir la aprobación o justificación para activar los roles administrativos. Los usuarios pueden mantener los privilegios normales la mayor parte del tiempo, y solicitar y recibir acceso a los roles que necesitan para completar tareas administrativas o especializadas. Cuando completan su trabajo y cierran sesión, o expira el límite de tiempo de acceso, pueden volver a autenticarse con sus permisos de usuario estándar.
Microsoft Defender for Cloud Apps es un agente de seguridad de acceso a la nube (CASB) que analiza los registros de tráfico para detectar y supervisar las aplicaciones y los servicios que se usan en su organización. Con Defender for Cloud Apps, puede:
- Crear directivas para administrar la interacción con aplicaciones y servicios
- Identificar las aplicaciones como autorizadas o no autorizadas
- Controlar y limitar el acceso a los datos
- Aplicar protección de la información para proteger contra la pérdida de información
Defender for Cloud Apps también puede funcionar con directivas de acceso y directivas de sesión para controlar el acceso de los usuarios a las aplicaciones SaaS. Por ejemplo, puede:
- Limitar los intervalos IP que pueden acceder a las aplicaciones
- Requerir autenticación multifactor para el acceso a aplicaciones
- Permitir actividades solo desde dentro de las aplicaciones aprobadas
La página de control de acceso del centro de administración de SharePoint proporciona varias maneras de controlar el acceso al contenido de SharePoint y OneDrive. Puede optar por bloquear el acceso, permitir el acceso solo web limitado desde dispositivos no administrados, o bien controlar el acceso en función de la ubicación de red.
Puede limitar los permisos de aplicación a buzones de Exchange Online específicos mediante ApplicationAccessPolicy de Microsoft Graph API.
Las condiciones de uso (CDU) ofrecen una manera de presentar información a la que los usuarios finales deben dar su consentimiento antes de obtener acceso a los recursos protegidos. Los documentos de CDU se cargan en Azure como archivos PDF, que luego están disponibles como controles en las directivas de Acceso condicional. Al crear una directiva de Acceso condicional que requiere a los usuarios dar su consentimiento a las CDU en el momento de iniciar sesión, puede auditar fácilmente a los usuarios que aceptaron las CDU.
La administración de puntos de conexión controlar la manera en que los usuarios autorizados pueden acceder a las aplicaciones en la nube desde una amplia variedad de dispositivos, como dispositivos móviles y personales. Puede usar las directivas de Acceso condicional para restringir el acceso solo a los dispositivos que cumplan determinados estándares de seguridad y cumplimiento. Estos dispositivos administrados requieren una identidad de dispositivo.
Detección de riesgos
Azure Identity Protection incluye varias directivas que pueden ayudar a su organización a administrar las respuestas a las acciones sospechosas de los usuarios. El riesgo de usuario es la probabilidad de que una identidad de usuario esté en peligro. El riesgo de inicio de sesión es la probabilidad de que una solicitud de inicio de sesión no provenga del usuario. Microsoft Entra ID calcula las puntuaciones de riesgo de inicio de sesión en función de la probabilidad de que la solicitud de inicio de sesión se origine en el usuario real, en función del análisis de comportamiento.
Las detecciones de riesgo de Microsoft Entra emplean algoritmos y heurística de aprendizaje automático adaptable para detectar acciones sospechosas relacionadas con las cuentas de usuario. Cada acción sospechosa detectada se almacena en un registro llamado detección de riesgos. Microsoft Entra ID calcula la probabilidad de riesgo de usuario y de inicio de sesión con estos datos, que se mejoran con las señales y los orígenes de inteligencia sobre amenazas internos y externos de Microsoft.
Puede usar las API de detección de riesgos de Identity Protection en Microsoft Graph para exponer información sobre los usuarios e inicios de sesión de riesgo.
La corrección en tiempo real permite a los usuarios desbloquearse a sí mismos mediante SSPR y MFA para corregir algunas detecciones de riesgo.
Consideraciones
Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.
Registro
Los informes de auditoría de Microsoft Entra proporcionan rastreabilidad para las actividades de Azure con registros de auditoría, registros de inicio de sesión, e informes de usuario de riesgo e inicio de sesión de riesgo. Puede filtrar y buscar los datos de registro en función de varios parámetros, incluido el servicio, la categoría, la actividad y el estado.
Puede enrutar los datos de registro de Microsoft Entra ID a puntos de conexión, entre otros :
- Cuentas de Azure Storage
- Registros de Azure Monitor
- Azure Event Hubs
- Soluciones de SIEM, como Microsoft Sentinel, ArcSight, Splunk, SumoLogic, otras herramientas de SIEM externas o su propia solución.
También puede usar la API de informes de Microsoft Graph para recuperar y consumir datos de registro de Microsoft Entra ID dentro de sus propios scripts.
Consideraciones locales e híbridas
Los métodos de autenticación son fundamentales para proteger las identidades de su organización en un escenario híbrido. Microsoft proporciona guías específicas sobre cómo elegir un método de autenticación híbrida con Microsoft Entra ID.
Microsoft Defender for Identity puede usar las señales de Azure Active Directory local para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones de Insider maliciosas. Defender for Identity usa UEBA para identificar amenazas internas y marcar el riesgo. Incluso si una identidad se pone en riesgo, Defender for Identity puede ayudar a identificar el riesgo en función del comportamiento inusual del usuario.
Defender for Identity se integra con Defender for Cloud Apps para ampliar la protección a las aplicaciones en la nube. Puede usar Defender for Cloud Apps para crear directivas de sesión que protejan los archivos durante la descarga. Por ejemplo, puede establecer automáticamente permisos de solo vista en cualquier archivo descargado por determinados tipos de usuario.
Configure una aplicación local en Microsoft Entra ID para usar Microsoft Defender for Cloud Apps para la supervisión en tiempo real. Defender for Cloud Apps usa Control de aplicaciones de acceso condicional para supervisar y controlar sesiones en tiempo real basadas en directivas de acceso condicional. Puede aplicar estas directivas a las aplicaciones locales que usen Application Proxy en Microsoft Entra ID.
Microsoft Entra Application Proxy permite a los usuarios acceder a aplicaciones web locales desde clientes remotos. Con Application Proxy, puede supervisar todas las actividades de inicio de sesión de las aplicaciones desde un solo lugar.
Puede usar Defender for Identity con Microsoft Entra ID Protection para ayudar a proteger las identidades de usuario que se sincronizan con Azure mediante Microsoft Entra Connect.
Si algunas de las aplicaciones ya usan un controlador de entrega o un controlador de red existente para proporcionar acceso fuera de la red, puede integrarlos en Microsoft Entra ID. Varios partners, entre otros, Akamai, Citrix, F5 Networks y Zscaler, ofrecen soluciones y guías para la integración en Microsoft Entra ID.
Optimización de costos
La optimización de costes trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costes.
Los precios de Microsoft Entra abarcan de Gratis, para características como SSO y MFA, a Premium P2, para características como PIM y administración de derechos. Para obtener información sobre los precios, vea Precios de Microsoft Entra.
Pasos siguientes
- Seguridad de Confianza cero
- Guía de implementación de Confianza cero para Microsoft Entra ID
- Información general sobre el pilar de seguridad
- Inquilino de demo de Microsoft Entra (requiere una cuenta de Microsoft Partner Network) o evaluación gratuita de Enterprise Mobility + Security
- Planes de implementación de Microsoft Entra