Guido Grillenmeier

La identidad es el nuevo perímetro de seguridad. Cualquier brecha en este perímetro puede permitir a usuarios malintencionados acceder a sus aplicaciones, sus datos y sus operaciones empresariales. Para las organizaciones que confían en Azure Active Directory o en un entorno híbrido de Azure AD y Active Directory local para proporcionar servicios de identidad, la protección de la identidad híbrida puede ser una tarea compleja y laboriosa. Sin embargo, es una tarea absolutamente vital.

Los entornos híbridos, especialmente, son propensos a errores y malas configuraciones que dejan la puerta abierta a los ciberataques. Y al comprometer su Active Directory on-prem, los atacantes pueden extender su trabajo sucio a Azure AD o viceversa. El ataque de SolarWinds es un buen ejemplo de este tipo de estrategia.

Los retos que plantea la seguridad de las identidades híbridas son bastante diferentes de los que se encuentran en entornos puramente locales. Si su infraestructura incluye Azure AD (y si su organización utiliza Microsoft Office 365, así es), estos son los principales problemas de los que debe protegerse.

Ataques laterales desde el AD local

Los ciberdelincuentes suelen utilizar ataques de phishing e ingeniería social para atacar a usuarios vulnerables y engañarlos para que revelen información sensible, incluidas credenciales de identidad. Los ataques a SolarWinds y Colonial Pipeline ilustran este riesgo. Los autores de estos ciberataques se hicieron con el control de AD local, comprometieron la federación ADFS para falsificar tokens SAML y obtuvieron acceso a Azure AD.

Qué puede hacer para frustrar a los atacantes al proteger la identidad híbrida

Lo primero y más obvio es aplicar la AMF. Las credenciales de identidad robadas son una de las herramientas más peligrosas de los ciberatacantes, y el uso de esas credenciales puede pasar desapercibido durante largos periodos. No todos los sistemas de supervisión detectan actividades inusuales en las cuentas, por lo que esta capa adicional de protección es importante.

En segundo lugar, hay que entender que la gestión moderna de identidades híbridas exige controles de seguridad adicionales a los disponibles en una implantación tradicional de ADFS. Mantener la infraestructura necesaria para alojar ADFS conlleva sus propios riesgos, como parches no aplicados, hardware obsoleto, etc.

En su lugar, considere la autenticación Pass-through de AD, que permite el uso de la misma contraseña para iniciar sesión tanto en las aplicaciones locales como en la nube. Este enfoque utiliza un modelo de conexión de sólo salida y autenticación basada en certificados para delegar el proceso de autenticación en el Active Directory local, proporcionando una alternativa más segura a ADFS. También puede integrar la autenticación Pass-through de AD con otras medidas de seguridad de Azure AD para protegerse contra infiltraciones y robos de credenciales. Y puede sincronizar hashes de contraseñas de AD con Azure AD.

También puede considerar Azure AD Application Proxy, que utiliza las credenciales de Azure AD para configurar un acceso remoto seguro a las aplicaciones alojadas en las instalaciones y proporciona la misma experiencia de usuario que cualquier aplicación integrada en Azure AD.

Desviación y complejidad de la configuración

La protección de identidades híbridas complica su trabajo, ya sea un administrador de AD, un profesional de identidades o un experto en seguridad. Las amenazas evolucionan continuamente y bloquear el acceso a sus activos de nivel 0, incluidos AD y Azure AD, es una tarea que lleva mucho tiempo. Pero si la descuida, es muy fácil que tenga que dedicar ese tiempo a recuperar AD de un ciberataque.

El uso de Azure AD para la autenticación de aplicaciones de terceros añade complejidad al modelo de seguridad. En algunos casos, estas aplicaciones pueden leer y almacenar datos de Azure AD, lo que amplía el perímetro de riesgo y hace que la seguridad de los datos dependa de la aplicación de terceros con la que se integra Azure AD.

Otro posible punto débil es el nivel de permisos otorgados a las aplicaciones en Azure AD. Si no revisa cuidadosamente la configuración de permisos antes de conceder el acceso, estas aplicaciones podrían terminar con más permisos en Azure AD de los que necesitan. Este posible descuido aumenta el riesgo de que las aplicaciones realicen cambios en el inquilino de AD.

Y las medidas de seguridad como MFA podrían no funcionar para algunas aplicaciones, haciéndolas depender de cualquier control de seguridad que la aplicación pueda proporcionar.

Qué puede hacer para reforzar el acceso

Esta posible brecha de seguridad exige una gobernanza estricta y auditorías periódicas de los permisos de las aplicaciones para saber dónde implementar restricciones adicionales. Ate todos los cabos sueltos y asegúrese de que tiene el conjunto correcto de funciones habilitadas en Azure AD, audite la configuración de permisos de las aplicaciones y refuerce las configuraciones de seguridad de las aplicaciones, y añada barandillas como MFA.

Además, evalúe la forma en que gestiona RBAC. La asignación de roles en Azure AD difiere de la gestión de acceso tradicional de AD, así que considere cuidadosamente cómo se definen los roles y se conceden los permisos.

Seguir el principio de mínimo privilegio es importante a la hora de proteger la identidad híbrida. No añada cuentas que haya sincronizado desde on-prem AD a Azure AD en un rol RBAC privilegiado como Administradores Globales. Reserve esos roles altamente privilegiados para cuentas nativas de Azure AD. También puede crear unidades administrativas en su inquilino de Azure AD. Esta capacidad le permite restringir los objetos que los miembros del equipo de TI pueden gestionar a través de un rol RBAC específico, apoyando aún más los privilegios mínimos.

Desconfiguraciones y otras vulnerabilidades de seguridad

Los errores de configuración y las vulnerabilidades de seguridad asociadas a su solución de gestión de identidades proporcionan puntos de acceso a los ciberatacantes. Azure AD consiste en servicios gestionados; Microsoft gestiona la seguridad de su infraestructura subyacente en la nube. Pero la seguridad de sus datos y de la configuración de Azure AD es su responsabilidad.

Durante un ciberataque, los atacantes pueden alterar o eliminar usuarios, grupos, roles, políticas de acceso condicional, etc. A menos que tenga un plan de recuperación adecuado, podría enfrentarse a un impacto devastador y duradero. Hay pocos controles nativos para proteger los datos o configuraciones en Azure AD de ser sobrescritos durante un ataque.

Qué puede hacer para que la seguridad de la identidad híbrida sea menos complicada

La papelera de reciclaje de Azure AD proporciona una función de eliminación suave que puede ayudarle a restaurar los usuarios eliminados. Sin embargo, esta función tiene capacidades mínimas para restaurar cualquier cosa más allá de una ventana de 30 días.

Otras formas de compromiso pueden ser difíciles de detectar y mitigar, especialmente si los atacantes se mueven lateralmente de AD on-prem a la nube. Además de las medidas de seguridad nativas, los responsables de TI deben explorar herramientas con funciones avanzadas que le ayuden a rastrear ataques que podrían extenderse lateralmente por entornos híbridos. las funciones de seguimiento de cambios y reparación automática pueden proteger frente a credenciales robadas e información privilegiada maliciosa. Y cuente siempre con un plan de recuperación proactivo y probado para Active Directory y Azure AD.

Más información

Para obtener más información sobre la seguridad de la identidad híbrida, consulte estos recursos.