Editar

Compartir a través de

Principios y dependencias de diseño de acceso condicional

Microsoft Entra ID
Microsoft Endpoint Manager

En este artículo, obtendrá información sobre los principios de diseño y las dependencias de un escenario de acceso condicional basado en Confianza cero.

Principios de diseño

Comenzaremos con algunos principios de diseño.

Acceso condicional como motor de directivas de confianza cero

El enfoque de Microsoft para Confianza cero incluye el acceso condicional como motor de directivas principal. Esta es una introducción a ese enfoque:

Diagrama que proporciona información general sobre el modelo de confianza cero.

Descargar un archivo SVG de de esta arquitectura.

El acceso condicional se usa como motor de directivas para una arquitectura de confianza cero que abarca tanto la definición de directiva como la aplicación de directivas. En función de varias señales o condiciones, el acceso condicional puede bloquear o conceder acceso limitado a los recursos, como se muestra aquí:

Diagrama que proporciona información general sobre la señal de acceso condicional, la decisión y la ruta de acceso de cumplimiento.

Esta es una vista más detallada de los elementos del acceso condicional y lo que trata:

Diagrama que muestra una vista más detallada del acceso condicional.

En este diagrama se muestra el acceso condicional y los elementos relacionados que pueden ayudar a proteger el acceso de los usuarios a los recursos, en lugar de a acceso no interactivo o no humano. En el diagrama siguiente se describen ambos tipos de identidades.

Diagrama que describe los tipos de identidad de acceso condicional.

El acceso condicional se ha centrado principalmente en proteger el acceso de humanos interactivos a recursos. A medida que crece el número de identidades no humanas, también se debe tener en cuenta el acceso desde ellas. Microsoft ofrece dos características relacionadas con la protección del acceso a las identidades de carga de trabajo y desde estas.

  • Proteger el acceso a las aplicaciones representadas por una identidad de carga de trabajo que no se puede seleccionar en el portal de acceso condicional de Microsoft Entra. Esta opción se admite mediante atributos de seguridad. Asignar un atributo de seguridad a las identidades de carga de trabajo y seleccionarlos en el portal de acceso condicional de Microsoft Entra forma parte de la licencia P1 de Id. de Microsoft Entra.
  • Protección del acceso a los recursos iniciados por identidades de carga de trabajo (entidades de servicio). Se ofrece una nueva característica "Identidades de carga de trabajo de Microsoft Entra" en una licencia independiente que admite este escenario. Incluye la administración del ciclo de vida de las identidades de carga de trabajo, incluida la protección del acceso a los recursos con acceso condicional.

Modelo de acceso empresarial

Microsoft ha proporcionado anteriormente instrucciones y principios para el acceso a recursos locales en función de un modelo de niveles:

  • Nivel 0: controladores de dominio, infraestructura de clave pública (PKI), servidores y soluciones de administración de servicios de federación de Active Directory (AD FS) que administran estos servidores
  • Nivel 1: Servidores que hospedan aplicaciones
  • Nivel 2: Dispositivos cliente

Este modelo sigue siendo relevante para los recursos locales. Para ayudar a proteger el acceso a los recursos en la nube, Microsoft recomienda una estrategia de control de acceso que:

  • Es integral y coherente.
  • Aplica rigurosamente los principios de seguridad a lo largo de la pila tecnológica.
  • Es lo suficientemente flexible como para satisfacer las necesidades de su organización.

En función de estos principios, Microsoft creó el siguiente modelo de acceso empresarial:

Diagrama que describe el modelo de acceso empresarial.

El modelo de acceso empresarial reemplaza el modelo de nivel heredado, que se centraba en contener la elevación no autorizada de privilegios en un entorno local de Windows Server Active Directory. En el nuevo modelo, el nivel 0 se expande para convertirse en el plano de control, el nivel 1 consta de la administración y el plano de datos, y el nivel 2 abarca el acceso de usuario y aplicación.

Microsoft recomienda mover el control y la administración a los servicios en la nube que usan el acceso condicional como el principal plano de control y el motor de directivas, definiendo y aplicando el acceso.

Puede ampliar el motor de directivas de acceso condicional de Microsoft Entra a otros puntos de cumplimiento de directivas, entre los que se incluyen:

  • Aplicaciones modernas: aplicaciones que usan protocolos de autenticación modernos.
  • Aplicaciones heredadas: a través del proxy de aplicación de Microsoft Entra.
  • Soluciones de vpn y acceso remoto: soluciones como VPN AlwaysOn de Microsoft, Cisco AnyConnect, Palo Alto Networks, F5, Fortinet, Citrix y Zscaler.
  • Documentos, correo electrónico y otros archivos: a través de Microsoft Information Protection.
  • Aplicaciones SaaS.
  • Aplicaciones que se ejecutan en otras nubes, como AWS o Google Cloud (en función de la federación).

Principios de confianza cero

Los tres principios principales de confianza cero que Microsoft define parecen ser comprendidos, especialmente por los departamentos de seguridad. Sin embargo, a veces se pasa por alto la importancia de la facilidad de uso durante el diseño de soluciones de Confianza cero.

La facilidad de uso siempre debe considerarse un principio implícito.

Principios del acceso condicional

En función de la información anterior, este es un resumen de los principios sugeridos. Microsoft recomienda crear un modelo de acceso basado en el acceso condicional que esté alineado con los tres principios principales de Confianza cero de Microsoft:

Comprobar explícitamente

  • Mueva el plano de control a la nube. Integre aplicaciones con el identificador de Entra de Microsoft y protéjalas mediante el acceso condicional.
  • Considere que todos los clientes son externos.

Usar de acceso con privilegios mínimos

  • Evalúe el acceso en función del cumplimiento y el riesgo, incluido el riesgo de usuario, el riesgo de inicio de sesión y el riesgo del dispositivo.
  • Use estas prioridades de acceso:
    • Acceda directamente al recurso mediante el acceso condicional para la protección.
    • Publique el acceso al recurso mediante el proxy de aplicación de Microsoft Entra mediante el acceso condicional para la protección.
    • Uso del acceso condicional: VPN basada en para acceder al recurso. Restrinja el acceso al nivel de la aplicación o el nombre DNS.

Asumir de vulneración

  • Segmente la infraestructura de red.
  • Minimizar el uso de PKI empresarial.
  • Migre el inicio de sesión único (SSO) de AD FS a la sincronización de hash de contraseñas (PHS).
  • Minimice las dependencias de los controladores de dominio mediante KDC de Kerberos en el identificador de Microsoft Entra.
  • Mueva el plano de administración a la nube. Administrar dispositivos mediante Microsoft Endpoint Manager.

Estos son algunos principios más detallados y procedimientos recomendados para el acceso condicional:

  • Aplicar principios de confianza cero al acceso condicional.
  • Use el modo de solo informe antes de colocar una directiva en producción.
  • Pruebe escenarios positivos y negativos.
  • Use el control de cambios y revisiones en las directivas de acceso condicional.
  • Automatice la administración de directivas de acceso condicional mediante herramientas como Azure DevOps/ GitHub o Azure Logic Apps.
  • Use el modo de bloqueo solo para el acceso general si y dónde necesita.
  • Asegúrese de que todas las aplicaciones y la plataforma estén protegidas. El acceso condicional no tiene "denegar todo" implícito.
  • Proteja los usuarios con privilegios en todos los sistemas de control de acceso basado en rol (RBAC) de Microsoft 365.
  • Requerir el cambio de contraseña y la autenticación multifactor para usuarios e inicios de sesión de alto riesgo (aplicados por la frecuencia de inicio de sesión).
  • Restringir el acceso desde dispositivos de alto riesgo. Use una directiva de cumplimiento de Intune con una comprobación de cumplimiento en Acceso condicional.
  • Proteja los sistemas con privilegios, como el acceso a los portales de administrador para Office 365, Azure, AWS y Google Cloud.
  • Evite las sesiones persistentes del explorador para los administradores y en dispositivos que no son de confianza.
  • Bloquear la autenticación heredada.
  • Restrinja el acceso desde plataformas de dispositivos desconocidas o no admitidas.
  • Requerir un dispositivo compatible para el acceso a los recursos, siempre que sea posible.
  • Restringir el registro de credenciales seguras.
  • Considere la posibilidad de usar la directiva de sesión predeterminada que permite a las sesiones continuar si hay una interrupción, si se cumplen las condiciones adecuadas antes de la interrupción.

En el diagrama siguiente se muestran las dependencias y las tecnologías relacionadas. Algunas de las tecnologías son requisitos previos para el acceso condicional. Otros dependen del acceso condicional. El diseño descrito en este documento se centra principalmente en el acceso condicional y no en las tecnologías relacionadas.

Diagrama que muestra las dependencias de acceso condicional.

Guía de acceso condicional

Para obtener más información, vea diseño de acceso condicional basado en confianza cero y roles.

Colaboradores

Microsoft mantiene este artículo. Originalmente fue escrito por los siguientes colaboradores.

Autor principal:

Para ver perfiles de LinkedIn no públicos, inicie sesión en LinkedIn.

Pasos siguientes