Descripción del Acceso global seguro en Microsoft Entra

  • 9 minutos

Microsoft Entra ahora proporciona un nuevo conjunto de productos bajo el título Microsoft Global Secure Access. Acceso global seguro es el término unificante que se usa para Microsoft Entra Internet Access y Microsoft Entra Private Access.

El acceso a Internet de Microsoft Entra protege el acceso a aplicaciones de software como servicio (SaaS), incluidos los servicios de Microsoft y las aplicaciones de Internet públicas, al mismo tiempo que protege a los usuarios, dispositivos y datos frente a amenazas de Internet.

El acceso privado de Microsoft Entra proporciona a los usuarios, ya sea en una oficina o trabajando de forma remota, acceso seguro a los recursos privados y corporativos.

El acceso a Internet de Microsoft Entra y el Acceso privado de Microsoft Entra se unen como una solución que converge en controles de acceso de red, identidad y punto de conexión de Confianza cero para que pueda proteger el acceso a cualquier aplicación o recurso, desde cualquier ubicación, dispositivo o identidad. Este tipo de solución representa una nueva categoría de seguridad de red denominada Perímetro de servicio de seguridad (SSE).

SSE ayuda a abordar los desafíos de seguridad, como:

  • La necesidad de reducir el riesgo de desplazamiento lateral a través de un túnel VPN en peligro.
  • La necesidad de colocar un perímetro alrededor de los recursos basados en Internet.
  • La necesidad de mejorar el servicio en ubicaciones remotas de oficinas, tales sucursales.

La solución Microsoft Security Service Edge, Acceso global seguro, proporciona protecciones avanzadas para los recursos y recursos basados en Internet que se ejecutan en la nube privada o en la infraestructura local, para ayudar a abordar los desafíos de seguridad.

La solución emplea un cliente de acceso seguro global que proporciona a las organizaciones control sobre el tráfico de red en el dispositivo informático del usuario final. Las organizaciones obtienen la capacidad de enrutar perfiles de tráfico específicos a través del Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra. El enrutamiento del tráfico en este método permite más controles habilitados mediante una integración profunda con directivas de acceso condicional y riesgos evaluados en tiempo real, en la identidad, el dispositivo, la ubicación y las aplicaciones para proteger cualquier aplicación o recurso.

Captura de pantalla que muestra los componentes que componen el A seguro global.

Acceso privado de Microsoft Entra

Las soluciones VPN se suelen usar como método principal para controlar el acceso a la red corporativa. Una vez establecida la conectividad de red privada, la puerta frontal a la red se desbloquea y, además, es habitual que los usuarios y los dispositivos tengan permisos excesivos. Esto aumenta significativamente la superficie expuesta a ataques de la organización.

El acceso privado de Microsoft Entra se puede implementar para bloquear el movimiento lateral de ataques, reducir el acceso excesivo y reemplazar las VPN heredadas. El servicio proporciona a los usuarios ( ya sea en una oficina o trabajando de forma remota) acceso seguro a los recursos privados corporativos.

Conceptualmente, la forma en que funciona el acceso privado es que para un conjunto determinado de recursos privados que desea proteger, configure una nueva aplicación empresarial que actúe como contenedor para esos recursos privados. La nueva aplicación tiene un conector de red que actúa como agente entre el servicio acceso privado y el recurso al que un usuario quiere acceder. Ahora claramente, las empresas tienen requisitos diferentes para acceder a distintos recursos privados, por lo cual el acceso privado de Microsoft Entra proporciona dos maneras en las que puede configurar los recursos privados a los que desea acceder a través del servicio.

  • Acceso rápido: como se ha descrito anteriormente, el acceso privado funciona mediante la creación de una nueva aplicación empresarial que actúa como contenedor para los recursos privados que desea proteger. Con el acceso rápido, se determinan los recursos privados que se van a agregar a la aplicación "contenedor" o empresarial; que llamaremos a la aplicación de acceso rápido. Los recursos privados que agregue a la aplicación de acceso rápido se definen mediante el FQDN, la dirección IP, el intervalo de direcciones IP o direcciones, y los puertos usados para acceder al recurso. Esta información se conoce como segmento de aplicación de acceso rápido. Puede agregar muchos segmentos de aplicación a la aplicación de acceso rápido. Después, puede vincular directivas de acceso condicional a la aplicación de acceso rápido.

    Diagrama de Acceso privado de Microsoft Entra con la visualización de los componentes de Acceso rápido.

  • Aplicación de Acceso seguro global: la aplicación de acceso seguro global, también conocida como Acceso por aplicación, proporciona un enfoque más granular. Con la aplicación Acceso global seguro, puede crear varios "contenedores" o una aplicación empresarial. Para cada una de estas nuevas aplicaciones empresariales, se definen las propiedades del recurso privado y se asignan usuarios y grupos y se asignan directivas de acceso condicional específicas. Por ejemplo, puede tener un grupo de recursos privados que necesita proteger, pero para los que desea establecer diferentes directivas de acceso en función de cómo acceden al recurso o para un período de tiempo específico.

    Diagrama de Acceso privado de Microsoft Entra con el que se muestran los componentes de la aplicación Acceso global seguro, también conocido como acceso por aplicación.

Acceso a Internet de Microsoft Entra

Una puerta de enlace web segura (SWG) es una solución de ciberseguridad que protege a los usuarios frente a amenazas basadas en web filtrando el tráfico de Internet y aplicando directivas de seguridad.

El acceso a Internet de Microsoft Entra proporciona una solución de puerta de enlace web segura (SWG) centrada en la identidad para aplicaciones de software como servicio (SaaS), incluidos los servicios de Microsoft y otro tráfico de Internet. Protege a los usuarios, dispositivos y datos del amplio panorama de amenazas de Internet con los mejores controles de seguridad y visibilidad a través de los registros de tráfico.

Algunas de las características clave incluyen:

  • Protección contra la identidad de usuario o el robo de tokens mediante directivas de acceso condicional para realizar una comprobación de red compatible para el acceso a los recursos.
    • El cumplimiento de la red compatible se produce en el plano de autenticación y en el plano de datos. El cumplimiento del plano de autenticación lo realiza Microsoft Entra ID en el momento de la autenticación del usuario. El cumplimiento del plano de datos funciona con servicios que admiten la evaluación continua del acceso (CAE)
    • La evaluación continua del acceso (CAE) es una característica de seguridad en la que las aplicaciones y Microsoft Entra se comunican constantemente para asegurarse de que el acceso de los usuarios está actualizado y seguro. Si se produce algún cambio, como una ubicación del usuario un problema de seguridad, el sistema puede ajustar o bloquear rápidamente el acceso casi en tiempo real, lo que garantiza que las directivas siempre se aplican.
  • Restricciones de inquilinos para evitar la filtración de datos a otros inquilinos o cuentas personales, incluido el acceso anónimo.
  • Acceso a Internet directivas de perfil de reenvío de tráfico para controlar a qué sitios de Internet se puede acceder para garantizar que los trabajadores remotos se conecten a Internet de forma controlada y segura.
  • Filtrado de contenido web para regular el acceso a sitios web en función de sus categorías de contenido y nombres de dominio.
  • y muchas más...

Panel de Global Secure Access

El Acceso global seguro incluye un panel que proporciona visualizaciones del tráfico de red adquirido por los servicios Acceso privado de Microsoft Entra y Acceso a Internet de Microsoft Entra. El panel compila los datos de las configuraciones de red, incluidos los dispositivos, los usuarios y los inquilinos en varios widgets. Esos widgets, a su vez, proporcionan información que puede usar para supervisar y mejorar las configuraciones de red. Algunos de los widgets disponibles incluyen:

  • Instantánea de Acceso seguro global
  • Alertas y notificaciones (versión preliminar)
  • Generación de perfiles de uso (versión preliminar)
  • Acceso entre inquilinos
  • Filtrado de categorías web
  • Estado del dispositivo

Instantánea de Acceso seguro global

El widget de instantánea de acceso seguro global proporciona un resumen de cuántos usuarios y dispositivos usan el servicio y cuántas aplicaciones se han protegido a través del servicio. El widget tiene como valor predeterminado mostrar todos los tipos de tráfico, pero puede cambiar el filtro para mostrar el acceso a Internet, el acceso privado o el tráfico de Microsoft.

Captura de pantalla del widget de instantánea de Global Secure Access.

Generación de perfiles de uso (versión preliminar)

El widget de generación de perfiles de utilización muestra patrones de uso para Acceso a Internet, Acceso privado o Microsoft 365 durante un período de tiempo seleccionado y por categoría.

Captura de pantalla del widget de generación de perfiles de uso.

Alertas y notificaciones (versión preliminar)

El widget Alertas y notificaciones muestra lo que sucede en la red y ayuda a identificar actividades sospechosas o tendencias identificadas por los datos de red.

Este widget proporciona las siguientes alertas:

  • Red remota incorrecta: una red remota incorrecta tiene uno o varios vínculos de dispositivo desconectados.
  • Mayor actividad de inquilinos externos: el número de usuarios que acceden a inquilinos externos ha aumentado.
  • Incoherencia entre tokens y dispositivos: el token original se usa en un dispositivo diferente.
  • Contenido web bloqueado: se ha bloqueado el acceso al sitio web.

Captura de pantalla del widget de notificaciones de alertas del panel.

Acceso entre inquilinos acceso seguro global proporciona visibilidad sobre el número de usuarios y dispositivos que acceden a otros inquilinos. Este widget muestra la siguiente información:

  • Inicios de sesión: número de inicios de sesión mediante Microsoft Entra ID en servicios Microsoft en las últimas 24 horas. Este widget le proporciona información sobre la actividad en el inquilino.
  • Total de inquilinos distintos: el número de identificadores de inquilino distintos vistos en las últimas 24 horas.
  • Inquilinos no vistos: número de identificadores de inquilino distintos que se vieron en las últimas 24 horas, pero no en los siete días anteriores.
  • Usuarios: número de inicios de sesión de usuario distintos en otros inquilinos en las últimas 24 horas.
  • Dispositivos: número de dispositivos distintos que han iniciado sesión en otros inquilinos en las últimas 24 horas.

Captura de pantalla del widget de acceso entre inquilinos.

Filtrado de categorías web

El widget Filtrado de categorías web muestra las principales categorías de contenidos web bloqueados o permitidos por el servicio. Estas categorías se pueden usar para determinar qué sitios o categorías de sitios puede bloquear.

Estado del dispositivo Los widgets Estado del dispositivo muestran los dispositivos activos e inactivos que ha implementado.

Captura de pantalla del widget de estado del dispositivo.