Procedimientos de seguridad recomendados
Al usar Azure Lighthouse, es importante tener en cuenta la seguridad y el control de acceso. Los usuarios de su inquilino tendrán acceso directo a las suscripciones y los grupos de recursos del cliente, por lo que es importante tomar medidas que ayuden a mantener la seguridad del inquilino. También se recomienda habilitar solo el acceso mínimo necesario para administrar eficazmente los recursos de los clientes. En este tema, se proporcionan recomendaciones para ayudarle a implementar estas prácticas de seguridad.
Sugerencia
Estas recomendaciones también se aplican a empresas que administran varios inquilinos con Azure Lighthouse.
Requerir autenticación multifactor de Microsoft Entra
La autenticación multifactor de Microsoft Entra (también conocida como verificación en dos pasos) ayuda a evitar que los atacantes obtengan acceso a una cuenta al requerir varios pasos de autenticación. Debe requerir autenticación multifactor a todos los usuarios del inquilino administrador, incluidos los usuarios que tendrán acceso a los recursos delegados de cliente.
Le recomendamos pedirle a sus clientes que implementen también la autenticación multifactor de Microsoft Entra en sus inquilinos.
Importante
Las directivas de acceso condicional que se establecen en el inquilino de un cliente no se aplican a los usuarios que acceden a los recursos de ese cliente a través de Azure Lighthouse. Solo las directivas establecidas en el inquilino de administración se aplican a esos usuarios. Se recomienda encarecidamente requerir la autenticación multifactor de Microsoft Entra para el inquilino de administración y el inquilino administrado (cliente).
Asignar permisos a grupos mediante el principio de privilegios mínimos
Para facilitar la administración, use los grupos de Microsoft Entra para cada rol necesario para administrar los recursos de los clientes. Esto le permite agregar o quitar usuarios individuales del grupo según sea necesario, en lugar de asignar permisos directamente a cada usuario.
Importante
Para agregar permisos a un grupo de Microsoft Entra, la opción Tipo de grupo debe establecerse en Seguridad. Esta opción se selecciona cuando se crea el grupo. Para más información, consulte Tipos de grupos.
Al definir la estructura de permisos, asegúrese de seguir el principio de privilegios mínimos para que los usuarios solo tengan los permisos necesarios para completar su trabajo. Limitar los permisos para los usuarios puede ayudar a reducir la posibilidad de errores accidentales.
Por ejemplo, puede que quiera usar una estructura como la siguiente:
| Nombre del grupo | Tipo | principalId | Definición de roles | Id. de definición de roles |
|---|---|---|---|---|
| Arquitectos | Grupo de usuarios | <principalId> | Colaborador | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Evaluación | Grupo de usuarios | <principalId> | Lector | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Especialistas en VM | Grupo de usuarios | <principalId> | Colaborador de VM | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Automation | Nombre de entidad de seguridad de servicio (SPN) | <principalId> | Colaborador | b24988ac-6180-42a0-ab88-20f7382dd24c |
Después de crear estos grupos, puede asignar usuarios según sea necesario. Agregue solo usuarios que realmente necesiten tener el acceso concedido por ese grupo.
Asegúrese de revisar la pertenencia a grupos con regularidad y quite los usuarios que ya no sea necesario incluir.
Tenga en cuenta que al incorporar clientes a través de una oferta pública de servicios administrados, cualquier grupo (o entidad de servicio o usuario) que incluya tendrá los mismos permisos para todos los clientes que compren el plan. Para asignar grupos diferentes para que trabajen con clientes diferentes, debe publicar un plan privado independiente exclusivo para cada cliente o incorporar los clientes individualmente mediante plantillas de Azure Resource Manager. Por ejemplo, podría publicar un plan público que tenga un acceso muy limitado y, después, trabajar con cada cliente directamente para incorporar sus recursos mediante una plantilla de recursos de Azure personalizada que concede acceso adicional según sea necesario.
Sugerencia
También puede crear autorizaciones aptas que permitan a los usuarios del inquilino de administración tener un rol superior temporalmente. Con el uso de autorizaciones válidas, puede minimizar el número de asignaciones permanentes de usuarios a roles con privilegios, lo que ayuda a reducir los riesgos de seguridad relacionados con el acceso con privilegios por parte de los usuarios del inquilino. Esta característica tiene requisitos específicos de concesión de licencia. Para obtener más información, vea Creación de autorizaciones aptas.
Pasos siguientes
- Consulte la información de la línea base de seguridad para conocer cómo se aplica la guía de Microsoft Cloud Security Benchmark a Azure Lighthouse.
- Implementar la autenticación multifactor de Microsoft Entra.
- Más información sobre las experiencias de administración entre inquilinos.