Explore las herramientas y tecnologías que se usan para el control de acceso en Microsoft 365
Microsoft 365 usa diversas herramientas y tecnologías para proteger las cuentas de equipo de servicio. En esta unidad, revisaremos algunas de estas herramientas para establecer las bases para analizar cómo Microsoft aplica zero standing access (ZSA).
Herramienta de administración de identidades (IDM)
Microsoft 365 usa un sistema de administración de cuentas denominado Identity Management Tool (IDM) para realizar un seguimiento de las cuentas de equipo de servicio durante su ciclo de vida. IDM realiza automáticamente un seguimiento del estado de todas las cuentas de equipo de servicio, desde la solicitud de cuenta inicial hasta la comprobación de idoneidad, la aprobación, la creación, la modificación y la inhabilitación cuando la cuenta ya no es necesaria.
Antes de que se pueda crear una nueva cuenta de equipo de servicio, IDM garantiza que se cumplen todos los requisitos de idoneidad. Estos requisitos incluyen el filtrado del personal, la formación de seguridad y privacidad y la aprobación adecuada del administrador. IDM también notifica a los administradores la aprobación siempre que se soliciten modificaciones de cuenta. Cuando un empleado se transfiere, finaliza o no completa el entrenamiento necesario, IDM revoca automáticamente el acceso a su cuenta de equipo de servicio y notifica a su jefe.
La automatización es el núcleo de cómo proporcionamos seguridad a escala. IDM automatiza la mayor parte de la administración de cuentas. IDM deshabilita automáticamente las cuentas de equipo de servicio después de no más de 90 días de inactividad. Además, las cuentas de equipo de servicio que superan el umbral de intentos de inicio de sesión erróneos se bloquean automáticamente. Las cuentas de equipo de servicio se auditan automáticamente a lo largo de su ciclo de vida. Las revisiones de acceso manual son una excepción. En donde se producen, los equipos de servicio de Microsoft 365 los llevan a cabo por lo menos trimestralmente.
Control de acceso basado en roles (RBAC)
Los equipos de servicio de Microsoft 365 usan Role-Based Control de acceso (RBAC) aplicado por Active Directory (AD) y Microsoft Entra ID. El personal del equipo de servicio solicita acceso a los roles necesarios, sujeto a la aprobación de la administración. Si se aprueban, se colocan en grupos de seguridad correspondientes a sus roles para admitir el sistema.
El acceso a la cuenta de equipo de servicio se administra según el principio de privilegios mínimos. RBAC limita las cuentas de equipo de servicio solo al acceso necesario para completar las tareas necesarias en entornos correspondientes a su rol. RBAC también ayuda a aplicar los requisitos de separación de tareas limitando las cuentas de equipo de servicio a los roles adecuados para sus responsabilidades actuales.
Acceso remoto
Los componentes del sistema Microsoft 365 se hospedan en centros de datos separados geográficamente de los equipos de operaciones. El personal del centro de datos tiene acceso físico, pero no tiene acceso lógico al entorno de Microsoft 365. Como alternativa, el personal del equipo de servicio tiene acceso lógico, pero no tiene acceso físico. Como resultado, el personal del equipo de servicio administra el entorno a través del acceso remoto. Todas las actividades aprobadas están autorizadas para su ejecución a través del acceso remoto al entorno de Microsoft 365. Solo se concede acceso remoto al personal del equipo de servicio que requiera acceso remoto para proporcionar soporte a Microsoft 365 después de la aprobación de un administrador autorizado. Todo el acceso remoto usa TLS compatible con FIPS 140-2 para conexiones remotas seguras.
Estaciones de trabajo de acceso seguro (SAW)
Microsoft 365 emite estaciones de trabajo de acceso seguro (SAW) a los ingenieros del equipo de servicio que admiten entornos de Microsoft 365 de producción. Las SAW proporcionan una mayor seguridad al reducir la superficie expuesta a ataques de los ingenieros de dispositivos que usan para realizar acciones administrativas al admitir servicios de Microsoft 365.
Las SAW de Microsoft están especialmente diseñadas y fabricados portátiles con protecciones adicionales contra vulnerabilidades de hardware y software. Microsoft se asocia directamente con proveedores de confianza para crear SAWs, lo que acorta la cadena de suministro para garantizar la seguridad del hardware SAW. Los sistemas operativos protegido con funcionalidad deliberadamente limitada mitigan o eliminan vectores de ataque comunes. Entre las prácticas de protección de SAW se incluyen deshabilitar la escritura en unidades USB, aplicar la lista de permitidos de aplicaciones estrictas, quitar los conjuntos de productividad y el acceso al correo electrónico, limitar la navegación por Internet, forzar el uso de un explorador protegido, enrutar el tráfico a través de un filtro de proxy y aplicar bloqueos de protectores de pantalla de inactividad a través de la directiva de grupo.
Microsoft 365 sistemas de control de acceso comprueban automáticamente el estado de SAW de un ingeniero en el momento del acceso y rechazan las conexiones de las SAW no compatibles. Las comprobaciones de estado del dispositivo complementan otros controles de acceso, incluidas las restricciones de IP, las directivas IPsec y la verificación de identificación de usuarios mediante la autenticación multifactor. El uso de SAW se supervisa y registra estrictamente para detectar y evitar el uso no autorizado. Los dispositivos no compatibles se deshabilitan automáticamente.
Autenticación multifactor (MFA)
Microsoft 365 requiere la autenticación multifactor (MFA) para todas las cuentas de equipo de servicio. El MFA aumenta la seguridad de la cuenta al requerir varias formas de comprobación, o factores, para demostrar la identidad de un ingeniero al iniciar sesión en el sistema. Los tipos de factores que se pueden usar para MFA se dividen en tres categorías:
- Algo que usted sabe: una contraseña, una respuesta a una pregunta de seguridad o un número de identificación personal (PIN)
- Algo que usted tiene: un generador de tokens de seguridad o una aplicación móvil que recibe una notificación
- Algo que usted es: una propiedad biométrica, como una huella digital o un examen facial
Microsoft 365 requiere al menos dos factores para MFA. El uso de MFA aumenta la seguridad de Microsoft 365 limitando el impacto de la exposición de credenciales. En Microsoft 365, un atacante que pone en peligro la contraseña de un usuario también necesitaría la posesión de su generador de tokens de seguridad para autenticarse completamente. La autenticación con un solo factor no es suficiente para el acceso a Microsoft 365, lo que bloquea a posibles atacantes y proporciona tiempo para que el usuario cambie su contraseña en peligro.