active-directory

Cómo aplicar una buena práctica a la hora de realizar una configuración de Active Directory en Microsoft Azure.

Que es Azure AD, tenemos que conocer que es un servicio que ofrece inicio de sesión único o como lo menciona en sus siglas en ingles SSO (Single Sign-On), también ofrece autenticación multifactor y acceso condicional esto ayuda a proteger contra la mayoría de los ataques de ciberseguridad.

Vamos a ir desglosando las ventajas que nos trae el Azure AD, tales como son:

El inicio de sesión único (SSO), este nos ayuda a simplificar el acceso a las aplicaciones desde cualquier lugar.

El acceso condicional junto con la autenticación multifactor nos ayudaran a proteger los datos.

El control de identidad digital nos ayuda a conceder el control y la visibilidad completa del entorno.

La parte de gobierno nos ayuda a garantizar que las personas adecuadas tengan acceso a los recursos adecuados, y solo cuando lo necesitan.

Con todos estos beneficios que nos ayudan con la parta de ciberseguridad tenemos que entender que no debemos enfocarnos únicamente en las amenazas externas porque hay muchas amenazas que provienen a lo interna, en la mayoría de los casos es por falta de conocimiento o sensibilización del usuario por otro lado, son acciones premeditadas por usuarios descontentos.

Por ese motivo es muy importante poner o tener buenas practicas a la hora de la configuración y administración de Azure Active Directory evitando riesgos o vulnerabilidades relacionadas con la seguridad de la información.

La disposición de las cuentas obsoletas es una muy buena practica para empezar con la tarea de limpieza del AD, ya que cuando un empleado deja de trabajar para la organización lo primero que se debe hacer es retirarles todos los privilegios y accesos para posteriormente eliminar la cuenta, con esta practica estamos cerrando muchas puertas que pueden quedar abiertas para los atacantes, si no se hace pueden utilizar algunas de las cuentas para hacer estragos en las sombras.

Delegar ciertas tareas dentro de los administradores de TI. Es muy importante que a la hora de delegar ciertas tareas hay que restringir las acciones o los permisos, porque puede llegar a ser perjudicial. Se recomienda que se tenga un buen control de los limites de los permisos para que quienes accedan únicamente puedan realizar las tareas que específicamente se le delegaron.

La administración con privilegios mínimo es una buena y excelente práctica, aunque para algunos sea más practico asignarles todos los permisos completos, pero no están en lo correcto, por eso hay que conceder a los administradores exactamente el permiso que necesitan para realizar sus tareas.

Conceder el acceso solo durante un tiempo específico, como lo dice en sus siglas en ingles Just-in-Time, esto se puede hacer por medio de Azure AD Privileged Identity Management (PIM), esto le permite a un usuario convertirse en miembro apto de un rol de Azure AD y así lograr activar el rol durante un tiempo limitado cuando sea necesario y lo mejor de todo que expira el periodo de tiempo, también se puede configurar para que se requiera aprobación o recibir correos electrónicos cuando el administrador active su asignación de roles.

Existen mas practicas que son recomendadas a la hora de configuración como son:

Activar la autenticación multifactor a todas las cuentas administrador, aunque actualmente ya Microsoft de manera forzada lo tiene habilitado.

Revisión de roles periódicamente para revocar accesos innecesarios.

Limitar el acceso o la creación de usuarios administradores que sean menos de 5 para mantener baja la superficie expuesta.

Así hay muchas más prácticas, nosotros en ITCO podemos ayudarlo a que usted pueda tener una buena práctica, puede contactarnos por nuestra web, redes sociales.