Protección de aplicaciones mediante la confianza cero
Fondo
Para sacar el máximo provecho de las aplicaciones y los servicios en la nube, las organizaciones deben encontrar el equilibrio adecuado entre facilitar el acceso y conservar el control para proteger datos críticos a los que se accede a través de aplicaciones y API.
El modelo de confianza cero ayuda a las organizaciones a garantizar que las aplicaciones, y los datos que estas contienen, estén protegidos a través de las acciones siguientes:
- Aplicar controles y tecnologías para detectar aplicaciones de TI en la sombra.
- Garantizar los permisos adecuados en las aplicaciones.
- Limitar el acceso de acuerdo con el uso de análisis en tiempo real.
- Supervisar el comportamiento anómalo.
- Determinar las acciones del usuario.
- Confirmar las opciones de configuración seguras.
Objetivos de implementación de la confianza cero para aplicaciones
Antes de que la mayoría de las organizaciones inicien el recorrido de confianza cero, el acceso a sus propias aplicaciones locales se produce través de redes físicas o una VPN, y algunas aplicaciones críticas en la nube están accesibles para los usuarios.
Al implementar un enfoque de confianza cero para administrar y supervisar las aplicaciones, es recomendable centrarse primero en estos objetivos de implementación iniciales: |
|
I. Obtener visibilidad de la actividad y los datos de sus aplicaciones al conectarlas mediante API. II. Detectar y determinar el uso de aplicaciones de TI en la sombra. |
|
Una vez que haya completado estos requisitos, céntrese en los siguientes objetivos de implementación adicionales: |
|
IV. Implementar controles de sesión y acceso adaptables para todas las aplicaciones. V. Reforzar la protección contra las ciberamenazas cibernéticas y aplicaciones no autorizadas. VI. Evaluar la posición de seguridad de los entornos de nube |
Guía de implementación de la confianza cero para aplicaciones
Esta guía le mostrará los pasos necesarios para proteger las aplicaciones y las API de acuerdo con los principios de un marco de seguridad de confianza cero. Nuestro enfoque está en consonancia con estos tres principios de confianza cero:
Comprobar de forma explícita. Siempre autenticar y autorizar en función de todos los puntos de datos disponibles, lo que incluye la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.
Usar el acceso con privilegios mínimos. Limite el acceso de los usuarios mediante el acceso Just-In-Time (JIT) y Just-Enough Access (JEA), las directivas adaptables en función de los riesgos y la protección de datos para garantizar la seguridad de los datos y la productividad.
Asumir la vulneración. Minimiza el radio de alcance de las vulneraciones y evite el movimiento lateral mediante la segmentación del acceso por red, usuario, dispositivos y aplicación. Comprueba que todas las sesiones estén cifradas de extremo a extremo. Utilice el análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.
|
Objetivos de implementación adicionales |
I. Obtener visibilidad de la actividad y los datos de sus aplicaciones al conectarlas mediante API
La mayoría de las actividades de los usuarios de una organización tienen su origen en aplicaciones en la nube y recursos asociados. La principales aplicaciones en la nube proporcionan una API para consumir información del inquilino y obtener las acciones de gobernanza correspondientes. Use estas integraciones con fines de supervisión y envío de alertas cuando se produzcan amenazas y anomalías en su entorno.
Siga estos pasos:
Use Microsoft Defender for Cloud Apps, que se integra con otros servicios para optimizar la visibilidad, las acciones de gobernanza y el uso.
Revise qué aplicaciones se pueden conectar mediante la integración de la API de Defender for Cloud Apps y conecte las aplicaciones que necesita. Aproveche la mayor visibilidad con el fin de investigar actividades, archivos y cuentas para las aplicaciones de su entorno de nube.
Sugerencia
Aprenda a implementar una estrategia integral de confianza cero para los puntos de conexión.
II. Detectar y determinar el uso de aplicaciones de TI en la sombra
En su organización se usa una media de 1000 aplicaciones diferentes. El 80 % de los empleados usan aplicaciones no autorizadas que nadie ha revisado y que podrían incumplir las directivas de seguridad y cumplimiento de su empresa. Y dado que los empleados pueden acceder a los recursos y aplicaciones de su empresa desde fuera de la red corporativa, ya no es suficiente con las reglas y directivas de los firewalls.
Centre la atención en identificar patrones de uso de las aplicaciones, evaluar los niveles de riesgo y la idoneidad de las aplicaciones para la empresa, evitar la pérdida de datos a través de aplicaciones no conformes y limitar el acceso a datos regulados.
Siga estos pasos:
Configure Cloud Discovery, el cual analiza los registros de tráfico en el catálogo de Microsoft Defender for Cloud Apps de más de 16 000 aplicaciones en la nube. Las aplicaciones se clasifican y puntúan en función de más de 90 factores de riesgo.
Descubra e identifique aplicaciones de TI en la sombra para determinar las aplicaciones utilizadas mediante una de estas tres opciones:
Lleve a cabo la integración con Microsoft Defender para punto de conexión para empezar a recopilar datos inmediatamente sobre el tráfico en la nube en sus dispositivos Windows 10, dentro y fuera de su red.
Implemente el recopilador de registros de Defender for Cloud Apps en los servidores firewall y proxy para obtener datos de los puntos de conexión y enviarlos a Defender for Cloud Apps con fines de análisis.
Integre Defender for Cloud Apps con su proxy.
Identifique el nivel de riesgo de aplicaciones específicas:
En el portal de Defender for Cloud Apps, en Detección, haga clic en Aplicaciones detectadas. Filtre la lista de aplicaciones detectadas en su organización según los factores de riesgo que quiera analizar.
Vea los detalles de la aplicación para entender mejor los aspectos de conformidad. Para ello, haga clic en el nombre de la aplicación y, a continuación, en la pestaña Información para ver los detalles sobre los factores de riesgo de seguridad de la aplicación.
Evalúe los aspectos de cumplimiento y analice el uso:
En el portal de Defender for Cloud Apps, en Detección, haga clic en Aplicaciones detectadas. Filtre la lista de aplicaciones detectadas en su organización según los factores de riesgo que quiera analizar. Por ejemplo, use la consulta sugerida para filtrar las aplicaciones no conformes.
Vea los detalles de la aplicación para entender mejor los aspectos de conformidad. Para ello, haga clic en el nombre de la aplicación y, a continuación, en la pestaña Información para ver los detalles sobre los factores de riesgo de seguridad de la aplicación.
En el portal de Defender for Cloud Apps, en Detección, haga clic en Aplicaciones detectadas y vea los detalles. Para ello, haga clic en la aplicación específica que quiera investigar. La pestaña Uso le permite saber cuántos usuarios activos usan la aplicación y la cantidad de tráfico que genera. Si desea ver quién está usando concretamente la aplicación, puede ver más detalles haciendo clic en Usuarios activos totales.
Vea más detalles de las aplicaciones detectadas. Vea subdominios y recursos para obtener información sobre actividades específicas, el acceso a los datos y el uso de recursos en los servicios en la nube.
-
Cree nuevas etiquetas de aplicación personalizadas para clasificar cada aplicación en función del estado o la justificación empresarial. Estas etiquetas se pueden usar con fines de supervisión específicos.
Las etiquetas de aplicación se pueden administrar en la configuración de Cloud Discovery. Posteriormente, las etiquetas pueden usarse para filtrar contenido en las páginas de Cloud Discovery y crear directivas que las utilicen.
Administre las aplicaciones detectadas mediante la galería de Microsoft Entra. En el caso de las aplicaciones que ya aparecen en la galería de Microsoft Entra, puede aplicar el inicio de sesión único y administrar la aplicación con Microsoft Entra ID. Para ello, en la fila en la que aparece la aplicación pertinente, elija los tres puntos al final de la fila y, después, elija Administrar aplicación con el identificador de Microsoft Entra ID.
III. Proteger automáticamente la información y las actividades confidenciales mediante la implementación de directivas
Defender for Cloud Apps permite definir la forma en que quiere que los usuarios se comporten en la nube. Esto se puede hacer mediante la creación de directivas. Hay muchos tipos de directiva. Por ejemplo, de acceso, actividad, detección de anomalías, detección de aplicaciones, de archivos, detección de anomalías de Cloud Discovery y de sesión.
Las directivas permite detectar comportamientos de riesgo, infracciones o actividades y puntos de datos sospechosos en su entorno de nube. Ayudan a supervisar tendencias, ver amenazas de seguridad y generar alertas e informes personalizados.
Siga estos pasos:
Aplique directivas lista para usar que se han probado en muchas actividades y archivos. Aplique acciones de gobernanza, como revocar permisos y suspender el acceso de usuarios, anular archivos y aplicar etiquetas de confidencialidad.
Cree nuevas directivas que le sugiera Microsoft Defender for Cloud Apps.
Configure directivas para supervisar las aplicaciones de TI en la sombre y proporcionar control:
Cree una directiva de detección de aplicaciones que le permita saber cuándo hay un pico en las descargas o en el tráfico de una aplicación que le preocupa. Habilite el Comportamiento anómalo en usuarios detectados, Comprobación de cumplimiento de la aplicación de almacenamiento en la nube y Nueva aplicación de riesgo.
Continúe actualizando las directivas y usando el panel de Cloud Discovery. Compruebe qué aplicaciones (nuevas) usan los usuarios, además de los patrones de uso y comportamiento.
Determine las aplicaciones que están autorizadas y bloquee las aplicaciones no deseadas mediante esta opción:
- Conexión de aplicaciones mediante la API con fines de supervisión continua.
Proteja las aplicaciones con Control de aplicaciones de acceso condicional y Microsoft Defender for Cloud Apps.
|
Objetivos de implementación adicionales |
IV. Implementar controles de sesión y acceso adaptables para todas las aplicaciones
Una vez que haya logrado los tres objetivos iniciales, puede centrarse en otros objetivos, como asegurarse de que todas las aplicaciones usen el acceso con privilegios mínimos y verificación continua. La adaptación y la restricción dinámicas del acceso a medida que cambia el riesgo de la sesión le permitirá detener las infracciones y la filtración de datos en tiempo real, antes de que los empleados pongan en riesgo los datos de su empresa y su organización.
Siga este paso:
- Habilite la supervisión y el control en tiempo real sobre el acceso a cualquier aplicación web, en función del usuario, la ubicación, el dispositivo y la aplicación. Por ejemplo, puede crear directivas para proteger las descargas de contenido confidencial con etiquetas de confidencialidad cuando se usa cualquier dispositivo no administrado. Como alternativa, los archivos se pueden examinar durante la carga para detectar programas de malware potenciales y bloquearlos para que no accedan al entorno de nube confidencial.
Sugerencia
V. Reforzar la protección contra las ciberamenazas y aplicaciones no autorizadas
Algunas personas con malas intenciones han desarrollado herramientas, técnicas y procedimientos de ataque específicamente dirigidos a la nube para romper las defensas y acceder a información confidencial y crítica para la empresa. Utilizan tácticas como las concesiones ilegales de consentimiento de OAuth, los programas de ransomware en la nube y el compromiso de las credenciales para la identidad en la nube.
Las organizaciones pueden responder a estas amenazas con herramientas disponibles en Defender for Cloud Apps, como el análisis de comportamiento de usuarios y entidades (UEBA) y detección de anomalías, la protección contra el software malicioso, la protección de aplicaciones de OAuth, la investigación de incidentes y la corrección. Defender for Cloud Apps tiene como objetivo numerosas anomalías de seguridad de forma predefinida, como viajes imposibles, reglas sospechosas de bandeja de entrada y ransomware.
Las diversas detecciones se desarrollan teniendo en mente a los equipos de operaciones de seguridad y con el objetivo de que las alertas se centren en verdaderos indicadores de riesgo, al mismo tiempo que se desbloquea la investigación y la corrección basadas en la inteligencia sobre amenazas.
Siga estos pasos:
Aproveche la funcionalidad UEBA y de aprendizaje automático (ML) de Defender for Cloud Apps que se habilita automáticamente de forma predefinida para detectar inmediatamente las amenazas y ejecutar la detección avanzada de amenazas en el entorno de nube.
Ajuste y determine el ámbito de las directivas de detección de anomalías.
VI. Evaluar la posición de seguridad de los entornos de nube
Además de las aplicaciones SaaS, las organizaciones invierten mucho dinero en servicios IaaS y PaaS. Defender for Cloud Apps permite a su organización evaluar y reforzar la posición y la funcionalidad de seguridad para estos servicios al obtener visibilidad de la configuración de seguridad y el estado de cumplimiento con sus plataformas de nube pública. Esto permite llevar a cabo una investigación basada en el riesgo de todo el estado de configuración de la plataforma.
Siga estos pasos:
Use Defender for Cloud Apps para supervisar los recursos, las suscripciones, las recomendaciones y las gravedades correspondientes en los entornos de nube.
Limite el riesgo de una infracción de seguridad al garantizar la conformidad de las plataformas en la nube, como Microsoft Azure, AWS y GCP con la directiva de configuración organizativa y el cumplimiento normativo, de acuerdo con las pruebas comparativas de CIS o los procedimientos recomendados del proveedor para la configuración de seguridad.
Mediante Defender for Cloud Apps, el panel de configuración de seguridad se puede usar para aplicar acciones de corrección y minimizar el riesgo.
Productos incluidos en esta guía
Microsoft Azure
Microsoft 365
Microsoft Defender for Cloud Apps
Microsoft Endpoint Manager (incluye Microsoft Intune y Configuration Manager)
Administración de aplicaciones móviles
Conclusión
Independientemente de dónde resida un recurso o aplicación en la nube, los principios de confianza cero le ayudan a garantizar que los entornos y los datos en la nube estén protegidos. Para obtener más información sobre estos procesos o ayuda con las implementaciones, póngase en contacto con el equipo de éxito del cliente.
La serie de la guía de implementación de Confianza cero