Editar

Compartir vía


Microsoft Entra IDaaS en operaciones de seguridad

Microsoft Entra ID
Microsoft Sentinel

Esta arquitectura muestra el modo en que los equipos del centro de operaciones de seguridad (SOC) pueden incorporar funcionalidades de identidad y acceso de Microsoft Entra en una estrategia de seguridad global integrada y con capas de confianza cero.

La seguridad de red domina las operaciones de SOC cuando todos los servicios y dispositivos estaban contenidos en redes administradas en organizaciones. Sin embargo, Gartner predice que, hasta 2022, el tamaño del mercado de los servicios en la nube crecerá a una tasa de casi el triple de los servicios de TI generales. A medida que más empresas adoptan la informática en la nube, hay un cambio para tratar la identidad del usuario como el límite de seguridad principal.

La protección de identidades en la nube es una prioridad alta.

El modelo de seguridad de Confianza cero trata a todos los hosts como si fueran accesibles desde Internet y considera que toda la red podría estar en peligro y hostil. Este enfoque se centra en generar una autenticación (AuthN), autorización y cifrado sólidos, a la vez que proporciona acceso en compartimentos y una mejor agilidad operativa.

Gartner promueve una arquitectura de seguridad adaptativa que reemplace una estrategia basada en la respuesta a incidentes por un modelo evitar-detectar-responder-predecir. La seguridad adaptativa combina el control de acceso, la supervisión del comportamiento, la administración del uso y la detección con supervisión y análisis continuos.

En Arquitectura de referencia de ciberseguridad de Microsoft (MCRA) se describen las funcionalidades de ciberseguridad de Microsoft y cómo se integran en las arquitecturas de seguridad existentes, incluidos los entornos híbridos y de nube, que usan Microsoft Entra ID para identidad como servicio (IDaaS).

En este artículo se aborda el avance del enfoque de seguridad adaptable de confianza cero hacia IDaaS, y se destacan los componentes disponibles en la plataforma de Microsoft Entra.

Posibles casos de uso

  • Diseño de nuevas soluciones de seguridad
  • Mejora o integración en las implementaciones existentes
  • Formación de los equipos del SOC

Arquitectura

Funcionalidades de seguridad relacionadas con Microsoft Entra

Descargue un archivo de Visio de esta arquitectura.

Flujo de trabajo

  1. La administración de credenciales controla la autenticación.
  2. El aprovisionamiento y la administración de derechos definen el paquete de acceso, asignan usuarios a los recursos y envían datos para atestación.
  3. El motor de autorización evalúa la directiva de acceso para determinar el acceso. El motor también evalúa las detecciones de riesgos, incluidos los datos de análisis de comportamiento de usuarios y entidades (UEBA) , y comprueba el cumplimiento de los dispositivos para la administración de puntos de conexión.
  4. Si se autorizan, el usuario o el dispositivo obtienen acceso según las directivas y controles de acceso condicional.
  5. Si no se autorizan, los usuarios pueden aplicar la corrección en tiempo real para desbloquearse.
  6. Todos los datos de sesión se registran para su análisis e informes.
  7. El sistema de Administración de eventos e información de seguridad (SIEM) del equipo del SOC recibe todos los datos de registro, detección de riesgos y UEBA de las identidades locales y en la nube.

Componentes

Los siguientes componentes y procesos de seguridad contribuyen a esta arquitectura IDaaS de Microsoft Entra.

Administración de credenciales

La administración de credenciales incluye servicios, directivas y prácticas que emiten, realizan el seguimiento y actualizan el acceso a los recursos o servicios. La administración de credenciales de Microsoft Entra incluye las siguientes funcionalidades:

  • El autoservicio de restablecimiento de contraseña (SSPR) habilita el autoservicio por parte de los usuarios para permitirles restablecer sus propias contraseñas perdidas, olvidadas o en peligro. SSPR no solo reduce las llamadas al departamento de soporte técnico, sino que proporciona una mayor flexibilidad y seguridad al usuario.

  • La escritura diferida de contraseñas sincroniza las contraseñas cambiadas en la nube con los directorios locales en tiempo real.

  • Las contraseñas prohibidas analizan los datos de telemetría que exponen las contraseñas débiles o en peligro usadas habitualmente, y prohíben su uso global en todo el Microsoft Entra ID. Puede personalizar esta funcionalidad para su entorno e incluir una lista de contraseñas personalizadas que se prohibirán en su propia organización.

  • El bloqueo inteligente compara los intentos de autenticación legítimos con intentos por fuerza bruta para obtener acceso no autorizado. En virtud de la directiva predeterminada de bloqueo inteligente, una cuenta se bloquea durante un minuto después de realizar 10 intentos de inicio de sesión incorrectos. A medida que se produzcan errores adicionales en los intentos de inicio de sesión, aumentará el tiempo de bloqueo de la cuenta. Puede usar directivas para ajustar la configuración para la combinación adecuada de seguridad y facilidad de uso de su organización.

  • La autenticación multifactor requiere varias formas de autenticación cuando los usuarios intentan acceder a los recursos protegidos. La mayoría de los usuarios están familiarizados con el uso de algo que conocen, como una contraseña, al acceder a los recursos. MFA pide a los usuarios que muestren también algo que tienen, como el acceso a un dispositivo de confianza, o algo que son, como un identificador biométrico. MFA puede usar diferentes tipos de métodos de autenticación, como llamadas telefónicas, mensajes de texto o notificaciones a través de la aplicación Authenticator.

  • La autenticación sin contraseñas reemplaza la contraseña en el flujo de trabajo de autenticación por un smartphone o un token de hardware, un identificador biométrico o un PIN. La autenticación sin contraseñas de Microsoft puede funcionar con recursos de Azure, como Windows Hello para empresas y la aplicación Microsoft Authenticator en dispositivos móviles. También puede habilitar la autenticación sin contraseña con claves de seguridad compatibles con FIDO2, que usan WebAuthn y el protocolo Client-to-Authenticator (CTAP) de FIDO Alliance.

Aprovisionamiento de aplicaciones y derecho

Directivas y controles de Acceso condicional

Una directiva de acceso condicional es una instrucción if-then de asignaciones y controles de acceso. Usted define la respuesta ("hacer esto") al motivo por el que se desencadena la directiva ("si se cumple"), lo que permite que el motor de autorización tome decisiones que apliquen las directivas de la organización. Con el acceso condicional de Microsoft Entra, puede controlar el modo en que los usuarios autorizados acceden a las aplicaciones. La herramienta What If de Microsoft Entra ID puede ayudarle a comprender por qué una directiva de Acceso condicional se ha aplicado o no, o bien si una directiva se aplicaría a un usuario en una circunstancia específica.

Los controles de acceso condicional funcionan junto con las directivas de Acceso condicional para ayudar a aplicar la directiva de la organización. Los controles de acceso condicional de Microsoft Entra le permiten implementar la seguridad en función de los factores detectados en el momento de la solicitud de acceso, en lugar de aplicar un enfoque único para todos. Al acoplar los controles de Acceso condicional con condiciones de acceso, se reduce la necesidad de crear controles de seguridad adicionales. Como ejemplo típico, puede permitir que los usuarios de un dispositivo unido a un dominio tengan acceso a los recursos mediante SSO, pero exigir MFA para los usuarios de fuera de la red o que usen sus propios dispositivos.

Microsoft Entra ID puede usar los siguientes controles de Acceso condicional con directivas de Acceso condicional:

Detección de riesgos

Azure Identity Protection incluye varias directivas que pueden ayudar a su organización a administrar las respuestas a las acciones sospechosas de los usuarios. El riesgo de usuario es la probabilidad de que una identidad de usuario esté en peligro. El riesgo de inicio de sesión es la probabilidad de que una solicitud de inicio de sesión no provenga del usuario. Microsoft Entra ID calcula las puntuaciones de riesgo de inicio de sesión en función de la probabilidad de que la solicitud de inicio de sesión se origine en el usuario real, en función del análisis de comportamiento.

  • Las detecciones de riesgo de Microsoft Entra emplean algoritmos y heurística de aprendizaje automático adaptable para detectar acciones sospechosas relacionadas con las cuentas de usuario. Cada acción sospechosa detectada se almacena en un registro llamado detección de riesgos. Microsoft Entra ID calcula la probabilidad de riesgo de usuario y de inicio de sesión con estos datos, que se mejoran con las señales y los orígenes de inteligencia sobre amenazas internos y externos de Microsoft.

  • Puede usar las API de detección de riesgos de Identity Protection en Microsoft Graph para exponer información sobre los usuarios e inicios de sesión de riesgo.

  • La corrección en tiempo real permite a los usuarios desbloquearse a sí mismos mediante SSPR y MFA para corregir algunas detecciones de riesgo.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.

Registro

Los informes de auditoría de Microsoft Entra proporcionan rastreabilidad para las actividades de Azure con registros de auditoría, registros de inicio de sesión, e informes de usuario de riesgo e inicio de sesión de riesgo. Puede filtrar y buscar los datos de registro en función de varios parámetros, incluido el servicio, la categoría, la actividad y el estado.

Puede enrutar los datos de registro de Microsoft Entra ID a puntos de conexión, entre otros :

También puede usar la API de informes de Microsoft Graph para recuperar y consumir datos de registro de Microsoft Entra ID dentro de sus propios scripts.

Consideraciones locales e híbridas

Los métodos de autenticación son fundamentales para proteger las identidades de su organización en un escenario híbrido. Microsoft proporciona guías específicas sobre cómo elegir un método de autenticación híbrida con Microsoft Entra ID.

Microsoft Defender for Identity puede usar las señales de Azure Active Directory local para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones de Insider maliciosas. Defender for Identity usa UEBA para identificar amenazas internas y marcar el riesgo. Incluso si una identidad se pone en riesgo, Defender for Identity puede ayudar a identificar el riesgo en función del comportamiento inusual del usuario.

Defender for Identity se integra con Defender for Cloud Apps para ampliar la protección a las aplicaciones en la nube. Puede usar Defender for Cloud Apps para crear directivas de sesión que protejan los archivos durante la descarga. Por ejemplo, puede establecer automáticamente permisos de solo vista en cualquier archivo descargado por determinados tipos de usuario.

Configure una aplicación local en Microsoft Entra ID para usar Microsoft Defender for Cloud Apps para la supervisión en tiempo real. Defender for Cloud Apps usa Control de aplicaciones de acceso condicional para supervisar y controlar sesiones en tiempo real basadas en directivas de acceso condicional. Puede aplicar estas directivas a las aplicaciones locales que usen Application Proxy en Microsoft Entra ID.

Microsoft Entra Application Proxy permite a los usuarios acceder a aplicaciones web locales desde clientes remotos. Con Application Proxy, puede supervisar todas las actividades de inicio de sesión de las aplicaciones desde un solo lugar.

Puede usar Defender for Identity con Microsoft Entra ID Protection para ayudar a proteger las identidades de usuario que se sincronizan con Azure mediante Microsoft Entra Connect.

Si algunas de las aplicaciones ya usan un controlador de entrega o un controlador de red existente para proporcionar acceso fuera de la red, puede integrarlos en Microsoft Entra ID. Varios partners, entre otros, Akamai, Citrix, F5 Networks y Zscaler, ofrecen soluciones y guías para la integración en Microsoft Entra ID.

Optimización de costos

La optimización de costes trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costes.

Los precios de Microsoft Entra abarcan de Gratis, para características como SSO y MFA, a Premium P2, para características como PIM y administración de derechos. Para obtener información sobre los precios, vea Precios de Microsoft Entra.

Pasos siguientes