Diseño de estrategias de acceso en entornos de nube, híbridos y multinube (incluido Microsoft Entra ID)

Completado

En esta unidad se resumen las recomendaciones de diseño relacionadas con la administración de identidades y acceso en un entorno en la nube, en función del área de diseño de administración de identidades y acceso de Azure. Para obtener una explicación más detallada de todos los aspectos de diseño relacionados, consulte los siguientes artículos:

Comparación de soluciones de identidad

Active Directory frente a Microsoft Entra ID: administración de usuarios

Concepto Active Directory (AD) Microsoft Entra ID
Usuarios
Aprovisionamiento: usuarios Las organizaciones crean usuarios internos manualmente o utilizan un sistema de aprovisionamiento interno o automatizado, como Microsoft Identity Manager, para integrarse en un sistema de recursos humanos. Las organizaciones de AD existentes usan Microsoft Entra Connect para sincronizar identidades en la nube.
Microsoft Entra ID agrega compatibilidad para crear usuarios de forma automática a partir de sistemas de recursos humanos en la nube.
Microsoft Entra ID puede aprovisionar identidades de aplicaciones SaaS con SCIM habilitado para proporcionar automáticamente a las aplicaciones los detalles necesarios que permitan acceder a los usuarios.
Aprovisionamiento: identidades externas Las organizaciones crean usuarios externos manualmente como usuarios normales en un bosque de AD externo dedicado, lo que da lugar a una sobrecarga de administración para administrar el ciclo de vida de las identidades externas (usuarios invitados). Microsoft Entra ID proporciona una clase especial de identidad para admitir identidades externas. Microsoft Entra B2B administrará el enlace a la identidad del usuario externo para asegurarse de que sea válido.
Administración de derechos y grupos Los administradores nombran a los usuarios como miembros de grupos. Los propietarios de los recursos y las aplicaciones proporcionan a los grupos acceso a aplicaciones o recursos. Los grupos también están disponibles en Microsoft Entra y los administradores pueden igualmente utilizar grupos para conceder permisos a recursos. En Microsoft Entra, los administradores pueden asignar la pertenencia a grupos de modo manual o usar una consulta para incluir a los usuarios de forma dinámica en un grupo.
Los administradores pueden utilizar Administración de derechos en Microsoft Entra ID para proporcionar a los usuarios acceso a una colección de aplicaciones y recursos mediante flujos de trabajo y, si es necesario, criterios con duración definida.
Administración de administradores Las organizaciones usarán una combinación de dominios, unidades organizativas y grupos en AD para delegar derechos administrativos con el fin de administrar el directorio y los recursos que controlan. Microsoft Entra ID proporciona roles integrados con su sistema de control de acceso basado en roles de Microsoft Entra (Microsoft Entra RBAC), con compatibilidad limitada para crear roles personalizados para delegar el acceso con privilegios al sistema de identidad, las aplicaciones y los recursos que controla.
La administración de roles se puede mejorar con Privileged Identity Management (PIM) para proporcionar acceso cuando es necesario, con tiempo restringido o basado en flujos de trabajo a roles con privilegios.
Administración de credenciales Las credenciales de Active Directory se basan en contraseñas, autenticación de certificados y autenticación de tarjetas inteligentes. Las contraseñas se administran mediante directivas de contraseñas que se basan en la longitud, la expiración y la complejidad de las contraseñas. Microsoft Entra usa la protección con contraseña inteligente para la nube y el entorno local. La protección incluye el bloqueo inteligente, además del bloqueo de frases y sustituciones de contraseñas comunes y personalizadas.
Microsoft Entra ID aumenta significativamente la seguridad mediante autenticación multifactor y las tecnologías sin contraseñas, como FIDO2.
Microsoft Entra ID reduce los costos de soporte técnico al proporcionar a los usuarios un sistema de autoservicio de restablecimiento de contraseña.

Servicios basados en Active Directory en Azure: AD DS, Microsoft Entra ID y Microsoft Entra Domain Services

Para proporcionar a las aplicaciones, los servicios o los dispositivos acceso a una identidad central, existen tres formas comunes de usar los servicios basados en Active Directory en Azure. Esta variedad de soluciones de identidad permite usar el directorio más adecuado para las necesidades de su organización. Por ejemplo, si administra principalmente usuarios solo en la nube que ejecutan dispositivos móviles, puede que no tenga sentido que compile y ejecute su propia solución de identidad de Active Directory Domain Services (AD DS). En su lugar, simplemente podría usar Microsoft Entra ID.

Aunque las tres soluciones de identidad basadas en Active Directory comparten un nombre y una tecnología comunes, se han diseñado para proporcionar servicios que satisfagan diferentes exigencias de los clientes. De forma general, estas son las soluciones de identidad y los conjuntos de características:

  • Active Directory Domain Services (AD DS) : servidor LDAP (protocolo ligero de acceso a directorios) preparado para la empresa que proporciona características clave como la identidad y la autenticación, la administración de objetos de equipo, la directiva de grupo y confianzas.
    • AD DS es un componente central de muchas organizaciones con un entorno de TI local y proporciona características básicas de administración de equipos y autenticación de cuentas de usuario.
  • Microsoft Entra ID: Administración de identidades basadas en la nube y de dispositivos móviles que proporciona servicios de cuentas de usuario y autenticación para recursos como Microsoft 365, Azure Portal o las aplicaciones SaaS.
    • Microsoft Entra ID se puede sincronizar con un entorno de AD DS local para proporcionar una identidad única a los usuarios que funcionan de forma nativa en la nube.
  • Microsoft Entra Domain Services (Microsoft Entra Domain Services): proporciona servicios de dominio administrados con un subconjunto de características de AD DS tradicionales totalmente compatibles como, por ejemplo, unión a un dominio, directiva de grupo, LDAP y autenticación Kerberos o NTLM.
    • Microsoft Entra Domain Services se integra con Microsoft Entra ID, que puede sincronizarse con un entorno de AD DS local. Esta capacidad amplía los casos de uso de identidad central a las aplicaciones web tradicionales que se ejecutan en Azure como parte de una estrategia de migración mediante lift-and-shift.

Para obtener un análisis más exhaustivo de la comparación de estas tres opciones, consulte Comparación de Active Directory Domain Services autoadministrado, Microsoft Entra ID y Microsoft Entra Domain Services administrado.

Recomendaciones de diseño transversal

  • Use las responsabilidades centralizadas y delegadas para administrar los recursos incluidos en la zona de aterrizaje en función de los requisitos de roles y seguridad.
  • Los siguientes tipos de operaciones con privilegios requieren permisos especiales. Tenga en cuenta qué usuarios van a controlar estas solicitudes y cómo va a proteger y supervisar adecuadamente sus cuentas.
    • Creación de objetos de entidad de servicio.
    • Registro de aplicaciones en Microsoft Entra ID.
    • Obtención y control de certificados o certificados comodín.
    • Para acceder a las aplicaciones que usan la autenticación local de forma remota a través de Microsoft Entra ID, use el proxy de aplicación de Microsoft Entra.
  • Evalúe la compatibilidad de las cargas de trabajo para Microsoft Entra Domain Services y AD DS en Windows Server.
  • Asegúrese de diseñar la red para que los recursos que requieran AD DS en Windows Server para la autenticación y administración locales puedan acceder a sus controladores de dominio. En el caso de AD DS en Windows Server, considere la posibilidad de usar entornos de servicios compartidos que ofrezcan autenticación local y administración de host en un contexto de red más amplio para toda la empresa.
  • Al implementar Microsoft Entra Domain Services o integrar entornos locales en Azure, use ubicaciones con Availability Zones para aumentar la disponibilidad.
  • Implemente Microsoft Entra Domain Services en la región primaria, ya que solo puede proyectar este servicio en una suscripción. Puede expandir Microsoft Entra Domain Services a otras regiones con conjuntos de réplicas.
  • Use identidades administradas en lugar de entidades de servicio para realizar la autenticación en los servicios de Azure. Este enfoque reduce la posibilidad de que le roben las credenciales.

Identidad híbrida local y de Azure: Recomendaciones de diseño

Para hospedar soluciones IaaS (infraestructura como servicio) de identidad híbrida, evalúe las siguientes recomendaciones:

  • En el caso de las aplicaciones hospedadas en parte en el entorno local y en parte en Azure, compruebe qué integración tiene sentido en función de su escenario. Para más información, consulte Implementación de AD DS en una red virtual de Azure.
  • Si tiene AD FS, vaya a la nube para centralizar la identidad y reducir el esfuerzo operativo. Si AD FS sigue formando parte de la solución de identidad, instale y use Microsoft Entra Connect.

Identidad de los recursos de la plataforma Azure: recomendaciones de diseño

Una identidad centralizada usa una única ubicación en la nube y la integración del servicio de Active Directory, el control de acceso, la autenticación y las aplicaciones. Este enfoque mejora la labor de administración del equipo de TI. En el caso de los servicios de directorio centralizados, el procedimiento recomendado es tener solo un inquilino de Microsoft Entra.

Al conceder acceso a los recursos, use grupos solo de Microsoft Entra para los recursos del plano de control de Microsoft Entra Privileged Identity Management. Agregue grupos locales al grupo que solo sea de Microsoft Entra, si ya existe un sistema de administración de grupos. Tenga en cuenta que solo Microsoft Entra hace referencia a solo en la nube.

Mediante grupos que solo sean de Microsoft Entra, puede agregar usuarios y grupos sincronizados desde el entorno local mediante Microsoft Entra Connect. También puede agregar usuarios y grupos solo Microsoft Entra a un único grupo solo Microsoft Entra, incluidos los usuarios invitados.

Los grupos sincronizados desde el entorno local solo se pueden administrar y actualizar desde un origen de identidad de confianza, que es Active Directory local. Estos grupos solo pueden contener miembros del mismo origen de identidad, lo que no proporciona la flexibilidad que ofrecen los grupos solo Microsoft Entra.

Integre los registros de Microsoft Entra con el elemento central área de trabajo de Log Analytics de la plataforma. Este enfoque permite un origen único de confianza en torno a los datos de registro y supervisión de Azure. Este origen proporciona a las organizaciones opciones nativas de la nube para cumplir los requisitos de recopilación y retención de registros.

Las directivas de usuario personalizadas pueden aplicar cualquier requisito de soberanía de datos para la organización.

Si la protección de identidades se usa como parte de la solución de identidad, asegúrese de excluir la cuenta de administrador de emergencia.

Recomendaciones de diseño: Identidad y acceso de Azure para zonas de aterrizaje

Implemente las directivas de acceso condicional de Microsoft Entra para los usuarios con derechos en los entornos de Azure. El acceso condicional ofrece otro mecanismo para proteger un entorno de Azure controlado frente a accesos no autorizados.

Exija la autenticación multifactor (MFA) para los usuarios que tengan derechos en los entornos de Azure. Muchos marcos de cumplimiento requieren la aplicación de la autenticación multifactor. La autenticación multifactor reduce en gran medida el riesgo de robo de credenciales y el acceso no autorizado.

Considere la posibilidad de usar entidades de servicio para inicios de sesión de recursos no interactivos, de tal forma que las actualizaciones de tokens y la autenticación multifactor no afectarán a las operaciones.

Use las identidades administradas de Microsoft Entra para recursos de Azure a fin de evitar la autenticación basada en credenciales. Muchas infracciones de seguridad de los recursos de la nube pública se originan con el robo de credenciales insertado en código u otro texto. La aplicación de identidades administradas para el acceso mediante programación reduce considerablemente el riesgo de robo de credenciales.

Use Microsoft Defender for Cloud para el acceso Just-In-Time a todos los recursos de infraestructura como servicio (IaaS). Defender for Cloud le permite habilitar la protección de nivel de red para el acceso de usuario efímero a las máquinas virtuales IaaS.

Privileged Identity Management (PIM)

Use Microsoft Entra Privileged Identity Management (PIM) para establecer un acceso de Confianza cero con privilegios mínimos. Asigne los roles de la organización a los niveles mínimos de acceso necesarios. Microsoft Entra PIM puede usar herramientas nativas de Azure, ampliar las herramientas y los procesos actuales o usar las herramientas actuales y nativas según sea necesario.

Use las revisiones de acceso de Microsoft Entra PIM para validar periódicamente los derechos de los recursos. Las revisiones de acceso forman parte de muchos marcos de cumplimiento, por lo que muchas organizaciones ya tienen un proceso de revisión de acceso.

Use identidades con privilegios para los runbooks de Automation que requieran permisos de acceso elevados. Use las mismas herramientas y directivas para controlar los flujos de trabajo automatizados que acceden a los límites de seguridad críticos que se usan para controlar a los usuarios con privilegios equivalentes.

Recomendaciones sobre RBAC

Use RBAC de Azure para administrar el acceso del plano de datos a los recursos, si es posible. Algunos ejemplos de puntos de conexión del plano de datos son Azure Key Vault, una cuenta de almacenamiento o una instancia de SQL Database.

No agregue usuarios directamente a los ámbitos de recursos de Azure. Las asignaciones de usuarios directas eluden la administración centralizada, lo que hace más difícil evitar el acceso no autorizado a los datos restringidos. En su lugar, agregue usuarios a los roles definidos y asigne los roles a ámbitos de recursos.

Use los roles integrados de Microsoft Entra para administrar la siguiente configuración de identidad:

Role Uso Nota:
Administrador global No asigne más de cinco personas a este rol.
Entorno híbrido Administrador de identidades híbridas
Authentication Administrador de seguridad
Aplicación empresarial o Application Proxy Administrador de aplicaciones Ningún administrador global de consentimiento.

Si los roles integrados de Azure no cumplen las necesidades específicas de su organización, puede crear sus propios roles personalizados.