Principio de privilegios mínimos con la gobernanza de identificadores de Entra de Microsoft
Un concepto que debe abordarse antes de adoptar una estrategia de gobernanza de identidades es el principio de privilegios mínimos (PLOP). El privilegio mínimo es un principio en la gobernanza de identidades que implica asignar usuarios y grupos solo el nivel mínimo de acceso y permisos necesarios para realizar sus tareas. La idea es restringir los derechos de acceso para que un usuario o grupo pueda completar su trabajo, pero también minimizar los privilegios innecesarios que podrían aprovechar los atacantes o provocar infracciones de seguridad.
En lo que respecta a la gobernanza de identificadores de Entra de Microsoft, la aplicación del principio de privilegios mínimos ayuda a mejorar la seguridad y mitigar los riesgos. Este enfoque garantiza que a los usuarios y grupos solo se les concede acceso a los recursos, los datos y las acciones que son relevantes para sus roles y responsabilidades, y nada más allá de eso.
Conceptos clave del principio de privilegios mínimos
Acceso solo a los recursos necesarios: a los usuarios solo se les concede acceso a la información y los recursos si tienen una necesidad genuina de que realicen sus tareas. Esto evita el acceso no autorizado a datos confidenciales y minimiza el posible impacto de una vulneración de seguridad. La automatización del aprovisionamiento de usuarios ayuda a reducir la concesión innecesaria de derechos de acceso. Flujos de trabajo del ciclo de vida es una característica de gobernanza de identidades que permite a las organizaciones administrar usuarios de Microsoft Entra mediante la automatización de procesos básicos del ciclo de vida.
Control de acceso basado en rol (RBAC): los derechos de acceso se determinan en función de los roles o funciones de trabajo específicos de los usuarios. A cada rol se le asignan los permisos mínimos necesarios para cumplir sus responsabilidades. Control de acceso basado en rol de Microsoft Entra administra el acceso a los recursos de Microsoft Entra.
Privilegio Just-In-Time: los derechos de acceso solo se conceden durante el tiempo necesario y se revocan cuando ya no son necesarios. Esto reduce la ventana de oportunidad para que los atacantes aprovechen privilegios excesivos. Privileged Identity Management (PIM) es un servicio de Microsoft Entra ID que le permite administrar, controlar y supervisar el acceso a recursos importantes de su organización y puede proporcionar acceso Just-In-Time.
Auditoría y revisión periódicas: las revisiones periódicas del acceso y los permisos de los usuarios se llevan a cabo para asegurarse de que los usuarios aún requieren el acceso al que se les ha concedido. Esto ayuda a identificar y rectificar las desviaciones del principio de privilegios mínimos. Revisiones de Access en Microsoft Entra ID, parte de Microsoft Entra, permiten a las organizaciones administrar eficazmente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. El acceso de los usuarios se puede revisar de forma periódica para asegurarse de que solo las personas adecuadas tengan acceso continuado.
Denegación predeterminada: la postura predeterminada es denegar el acceso y el acceso solo se concede explícitamente con fines aprobados. Esto contrasta con un enfoque de "permitir predeterminado", lo que puede dar lugar a la concesión de privilegios innecesarios. Administración de derechos es una característica de gobernanza de identidades que permite a las organizaciones administrar el ciclo de vida de identidad y acceso a escala mediante la automatización de flujos de trabajo de solicitud de acceso, asignaciones de acceso, revisiones y expiración.
Al seguir el principio de privilegios mínimos, su organización puede reducir el riesgo de problemas de seguridad y asegurarse de que los controles de acceso están alineados con las necesidades empresariales.
Roles con privilegios mínimos para administrar en las características de Identity Governance
Se recomienda usar el rol con menos privilegios para realizar tareas administrativas en la gobernanza de identidades. Igualmente, para realizar estas tareas, se recomienda usar Microsoft Entra PIM para activar un rol según sea necesario. A continuación se muestran los roles de directorio con menos privilegios para configurar las características de gobernanza de identidades:
| Característica | Rol con privilegios mínimos |
|---|---|
| Administración de derechos | Administrador de Identity Governance |
| Revisiones de acceso | Administrador de usuarios (con la excepción de las revisiones de acceso de Azure o los roles de Microsoft Entra, que requiere el administrador de roles con privilegios) |
| Flujos de trabajo de ciclo de vida | Administrador de flujos de trabajo del ciclo de vida |
| Privileged Identity Management | Administrador de roles con privilegios |
| Términos de uso | Administrador de seguridad o Administrador de acceso condicional |
Nota:
El rol con privilegios mínimos para la administración de derechos ha cambiado del rol Administrador de usuarios al rol Administrador de gobernanza de identidades.