TECH Talk: Acceso condicional en Azure la EA

Autor: Goce Argirov, Microsoft Entrenador Certificado | Consultor | Arquitecto de Soluciones | Azure Infraestructura y Seguridad en Semos Education

 

Azure La EA en el corazón de su estrategia de Cero Confianza

Atrás quedaron los días en que la seguridad se centraba en una fuerte defensa del perímetro para mantener fuera a los hackers maliciosos. Cualquier cosa fuera del perímetro era tratada como hostil, mientras que dentro del muro, los sistemas de una organización eran confiables.

La postura actual en materia de seguridad consiste en asumir la violación, una mentalidad que guía las inversiones en seguridad, las decisiones de diseño y las prácticas de seguridad operacional. En su esencia, la asunción de una violación te guía a pensar de forma diferente, a cambiar tu forma de pensar: ya estás violado, o lo estarás, no hay otro resultado.

En 2012, durante una entrevista, el ex director de la CIA y de la Agencia de Seguridad Nacional declaró: "Fundamentalmente, si alguien quiere entrar, está entrando. De acuerdo, bien. Acepta eso".

Durante ese tiempo, mucha gente no entendió lo que realmente quería decir, pero esta frase es el núcleo del enfoque de la suposición de violación.

Las violaciones de los datos pueden causar pérdidas financieras devastadoras y afectar la reputación de una organización durante años. Desde la pérdida de negocios hasta las multas reglamentarias y los costos de reparación, las violaciones de los datos tienen consecuencias de gran alcance. El estudio sobre la violación de datos de 2019, realizado por el Ponemon Institute patrocinado por IBM, encontró que el costo promedio global de una violación de datos para el estudio de 2019 es de 3,92 millones de dólares, un aumento del 1,5 por ciento con respecto al estudio de 2018.

Estudio de la brecha de datos de 2019

Teniendo todo esto en mente, probablemente digas: ok, ¿ahora qué? Desde mi punto de vista, la implementación de la Arquitectura de Confianza Cero es lo siguiente a lo que aspirar!

Independientemente del experto en seguridad al que pregunte sobre el "modelo de confianza cero", todos estarán de acuerdo en que es la mejor manera de detener las violaciones de datos y agilizar el camino hacia el cumplimiento en su organización. "Nunca confíe, siempre verifique" Zero Trust ayuda a asegurar los recursos corporativos eliminando los dispositivos desconocidos y no administrados y limitando el movimiento lateral.

En 2010 John Kindervag, analista principal de Forrester Research, creó el modelo Zero Trust. Este modelo establece que nunca debes asumir la confianza, sino que debes validarla continuamente. Cuando los usuarios, los dispositivos y los datos residían dentro del cortafuegos de la organización, se asumía que eran de confianza. Esta confianza asumida permitía un fácil movimiento lateral después de que un hacker malicioso comprometiera un dispositivo de punto final.

La implementación de un verdadero modelo de Cero Confianza o Arquitectura de Cero Confianza requiere que todos los componentes -identidad de usuario, dispositivo, red y aplicaciones- sean validados y se demuestre su confiabilidad. Zero Trust verifica la identidad y la salud del dispositivo antes de conceder el acceso a los recursos corporativos. Cuando se concede el acceso, la aplicación del principio del menor privilegio limita el acceso de los usuarios a sólo aquellos recursos que están explícitamente autorizados para cada usuario, reduciendo así el riesgo de movimientos laterales dentro del entorno. En un entorno ideal de confianza cero, son necesarios los cuatro elementos siguientes:

  • Autenticación de identidad fuerte en todas partes (verificación de usuario mediante autenticación)
  • Los dispositivos se inscriben en la gestión de dispositivos y se valida su salud
  • Derechos de usuario con menos privilegios (el acceso se limita sólo a lo que se necesita)
  • Se verifica la salud de los servicios (objetivo futuro)

Implementación de un modelo de seguridad de confianza cero

Migrar a un modelo de seguridad de confianza cero proporciona una mejora simultánea de la seguridad con respecto a los enfoques convencionales basados en la red, y permite a los usuarios tener mejor acceso donde lo necesitan. Un modelo de Cero Confianza requiere señales para informar las decisiones, políticas para tomar decisiones de acceso y capacidades de aplicación para implementar esas decisiones de manera efectiva.

Modelo de seguridad de confianza cero

Acceso condicional en Azure la EA en el corazón de la estrategia

En el entorno laboral actual, hemos visto que los usuarios pueden trabajar en cualquier dispositivo, ya sea utilizando una computadora portátil proporcionada por la organización o utilizando un teléfono inteligente personal y desde cualquier lugar, trabajando desde casa, en la oficina o en movimiento. Los empleados esperan tener un acceso perfecto a lo que necesitan para hacer su trabajo. Si bien la necesidad de productividad no cambia con las circunstancias de acceso, el nivel de riesgo de cada conexión sí evoluciona. No todos los dispositivos, aplicaciones o redes son seguros, y es probable que los atacantes se aprovechen de cualquier vulnerabilidad que les permita acceder a sus usuarios y/o recursos. Por lo tanto, es esencial proteger las identidades, pero no es suficiente. La gestión y la verificación de las identidades es el primer paso para proteger su entorno. El aprovisionamiento de las identidades de los usuarios a través de Azure AD y la conexión de su servicio de Directorio Activo en las instalaciones si es necesario, le permite centralizar las identidades de cada usuario para poder establecer políticas basadas en dispositivos, grupos y aplicaciones.

Como ya se ha señalado, el enfoque de "confianza cero" requiere políticas de seguridad flexibles que cumplan los requisitos de acceso de los usuarios a los datos y recursos. Además, uno de los aspectos esenciales de una "buena" seguridad es que debe ser casi invisible para los usuarios legítimos. La fricción excesiva inhibe la productividad, y los usuarios legítimos encontrarán formas de eludir las disposiciones que bloquean su productividad, creando así riesgos (adicionales). Aunque se puede aplicar la autenticación multifactorial (MFA) a cada usuario, lo ideal sería que la maximización de la productividad permitiera a los usuarios legítimos hacer su trabajo con un mínimo de interrupciones, bloqueando al mismo tiempo a las personas malintencionadas. Azure AD le permite establecer políticas de acceso condicional para los usuarios de su organización para ayudar a asegurar su entorno híbrido o de nube. El acceso condicional es la herramienta que utiliza Azure Active Directory para reunir señales, tomar decisiones y hacer cumplir las políticas de la organización.

Configuración de las políticas de acceso condicional en Azure AD

Configuración de las políticas de acceso condicional en Azure AD

Se recomienda que aplique las políticas apropiadas a su organización para las siguientes condiciones:

  • Usuarios y grupos de usuarios: a fin de reducir el riesgo de fuga de datos confidenciales, definir qué usuarios o grupos de usuarios pueden acceder a las aplicaciones o los recursos, prestando especial atención a las fuentes de información sumamente delicadas, como los datos de recursos humanos o financieros.
Usuarios y grupos de usuarios
  • Riesgo de conexión: Los algoritmos de aprendizaje automático en Azure la EA evalúan cada conexión y le dan una puntuación de riesgo bajo, medio o alto basado en la probabilidad de que alguien que no sea el propietario legítimo de la cuenta intente conectarse. Cualquier persona con un riesgo medio debe ser desafiada con la autenticación de múltiples factores (MFA) al conectarse. Si la conexión es de alto riesgo, el acceso debe ser bloqueado. Esta condición requiere Azure AD Identity Protection.
Riesgo de conexión
  • Plataforma de dispositivos: para esta condición, se puede definir una política para cada plataforma de dispositivos que bloquee el acceso, que requiera por ejemplo el cumplimiento de Microsoft Intune, o que requiera que el dispositivo esté unido al dominio.
La plataforma del dispositivo
  • Ubicación: una ubicación puede ser arriesgada si se trata de un país con políticas de seguridad limitadas o si la red inalámbrica no es segura. También puede ser arriesgado simplemente porque no es un lugar donde la organización suele tener sus actividades. Puede cambiar los requisitos de acceso para las conexiones desde ubicaciones que no están en una lista de direcciones IP seguras o que son arriesgadas por otras razones. Los usuarios que acceden a un servicio cuando están fuera de la red de la empresa deben ser obligados a utilizar una autenticación multifactorial.
Ubicación
  • Estado del dispositivo: puede utilizar esta condición para establecer políticas para los dispositivos que no son administrados por su organización.
Estado del dispositivo
  • Aplicaciones cliente: los usuarios pueden acceder a muchas aplicaciones utilizando diferentes tipos de aplicaciones cliente, como aplicaciones web, aplicaciones para móviles o aplicaciones de productividad de oficina. Puede aplicar las políticas de seguridad si se realiza un intento de acceso mediante el uso de un tipo de aplicación cliente que cause problemas conocidos, o puede exigir que sólo los dispositivos administrados accedan a determinados tipos de aplicaciones.
Aplicaciones para clientes
  • Aplicaciones en la nube: esta condición especifica políticas únicas para aplicaciones sensibles. Por ejemplo, puede exigir que las aplicaciones de RR.HH., como Workday, se bloqueen si Azure AD detecta una conexión de riesgo o si un usuario intenta acceder a ella con un dispositivo no gestionado.
Aplicaciones en la nube

Cuando se cumple una condición, puede elegir la política que Azure la EA hará cumplir en términos de control:

  • Requiere una autenticación de múltiples factores para probar la identidad;
  • Modificar las acciones que el usuario puede realizar en las aplicaciones de la nube;
  • Restringir el acceso a datos sensibles, como limitar las descargas o las funciones de intercambio;
  • Requiere el restablecimiento de la contraseña;
  • Bloquea el acceso.
Azure Política de AD

El acceso condicional en Azure la EA le permite hacer cumplir sus "reglas de enfrentamiento" mediante la definición de un conjunto de políticas que especifican condiciones y controles. Puede establecer niveles de acceso por empleado, por dispositivo o por grupo. El acceso condicional en Azure AD es un núcleo de políticas de seguridad basadas en la identidad. Anteriormente, debería haber especificado: "ningún acceso fuera de la red corporativa" o "ningún acceso desde un dispositivo personal"; hoy en día, la capacidad de bloquear o autorizar el acceso se ofrece bajo condiciones.

La implementación de un enfoque de Cero Confianza con Azure el acceso condicional de Directorio Activo en Azure AD permite hacer cumplir las políticas de seguridad que se activan automáticamente cuando se cumplen ciertas condiciones. Se puede bloquear el acceso si los datos de contexto sugieren que el usuario ha sido comprometido, o si es muy improbable que el usuario se registre en estas condiciones. Puede aplicar requisitos de autenticación adicionales cuando el sistema detecte un riesgo medio basado en las condiciones de conexión.

Tengan en cuenta que el acceso condicional en Azure AD es una Azure característica de AD Premium (P1 o P2). Todos los usuarios que accedan a una aplicación o recurso limitado por las políticas de acceso condicional deben tener una Azure licencia AD Premium.

ACCESO CONDICIONAL EN EL DIRECTORIO ACTIVO DE AZURE: https://docs.microsoft.com/en-us/Azure/directorio-activo/actividad-acceso condicional

"Nunca confíes, siempre verifica"

Gestión de dispositivos con Azure
Menú