Alineación del acceso condicional y la Confianza cero
Comenzaremos con algunos principios de diseño.
Acceso condicional como motor de las directivas de Confianza cero
El enfoque Confianza cero de Microsoft incluye el acceso condicional como motor principal de las directivas. A continuación explicamos un resumen de ese enfoque:
Descargue un archivo SVG de esta arquitectura.
El acceso condicional se usa como motor de las directivas en una arquitectura de Confianza cero que abarca tanto la definición como el cumplimiento de las directivas. En función de varias señales o condiciones, el acceso condicional puede bloquear o dar acceso limitado a los recursos, como se muestra aquí:
Esta es una vista más detallada de los elementos del acceso condicional y de lo que trata:
En este diagrama se muestra el acceso condicional y los elementos relacionados que pueden ayudar a proteger el acceso de los usuarios a los recursos, en lugar del acceso no interactivo o no humano. En el diagrama siguiente se describen ambos tipos de identidades:
También se debe proteger el acceso no humano a los recursos. Actualmente, no se puede usar el acceso condicional para proteger el acceso no humano a los recursos en la nube. Debe usar otro método, como conceder controles para el acceso basado en OAuth.
Principios de acceso condicional frente a principios de Confianza cero
En función de la información anterior, este es un resumen de los principios sugeridos. Microsoft recomienda crear un modelo de acceso basado en el acceso condicional que se alinee con los tres principios principales de Confianza cero de Microsoft:
Principio de Confianza cero | Principio de acceso condicional |
---|---|
Comprobación explícita | - Traslade el plano de control a la nube. Integre aplicaciones con Microsoft Entra ID y protéjalas mediante el acceso condicional. - Considere que todos los clientes son externos. |
Uso del acceso con privilegios mínimos | - Evalúe el acceso en función del cumplimiento y el riesgo, incluidos el riesgo de usuario, el riesgo de inicio de sesión y el riesgo del dispositivo. - Use estas prioridades de acceso: - Acceda directamente al recurso, usando el acceso condicional para la protección. - Publique el acceso al recurso mediante Application Proxy de Microsoft Entra, usando el acceso condicional para la protección. - Use una VPN basada en el acceso condicional para acceder al recurso. Restrinja el acceso al nivel de la aplicación o el nombre DNS. |
Asunción de que hay brechas | - Infraestructura de red de segmentos. - Minimice el uso de PKI empresarial. - Migre el inicio de sesión único (SSO) de AD FS a la sincronización de hash de contraseñas (PHS). - Minimice las dependencias en los controladores de dominio mediante el KDC de Kerberos en Microsoft Entra ID. - Mueva el plano de administración a la nube. Administre dispositivos mediante Microsoft Endpoint Manager. |
Estos son algunos principios más detallados y procedimientos recomendados para el acceso condicional:
- Aplique los principios de Confianza cero al acceso condicional.
- Use el modo de solo informe antes de poner una directiva en producción.
- Pruebe escenarios positivos y negativos.
- Use el control de cambios y revisiones en las directivas de acceso condicional.
- Automatice la administración de directivas de acceso condicional mediante herramientas como Azure DevOps/GitHub o Azure Logic Apps.
- Use el modo de bloqueo para el acceso general solo si es necesario y donde sea necesario.
- Asegúrese de que todas las aplicaciones y la plataforma están protegidas. El acceso condicional no tiene ninguna acción "Denegar todo" implícita.
- Proteja a los usuarios con privilegios en todos los sistemas de control de acceso basado en rol (RBAC) de Microsoft 365.
- Requiera cambio de contraseña y autenticación multifactor para usuarios e inicios de sesión de alto riesgo (aplicados por la frecuencia de inicio de sesión).
- Restrinja el acceso desde dispositivos de alto riesgo. Utilice una política de cumplimiento de Intune con una comprobación de cumplimiento en el acceso condicional.
- Proteja sistemas con privilegios, como el acceso a los portales de administrador para Office 365, Azure, AWS y Google Cloud.
- Evitar sesiones persistentes del explorador para administradores y en dispositivos que no son de confianza.
- Bloque la autenticación heredada.
- Restrinja el acceso desde plataformas de dispositivo desconocidas o no admitidas.
- Requiera un dispositivo compatible para el acceso a los recursos, siempre que sea posible.
- Restrinja el registro de credenciales seguras.
- Considere la posibilidad de usar la directiva de sesión predeterminada que permite que las sesiones continúen si se produce una interrupción, siempre que se cumplan las condiciones adecuadas antes de la interrupción.