Es fácil comprender por qué las empresas se inclinan por un modelo híbrido de gestión de identidades que promete lo mejor de ambos mundos: un poco en la nube y un poco en las instalaciones. En un entorno centrado en Active Directory, aprovechar la nube significa integrarse con Microsoft Entra ID (antes conocido como Azure Active Directory).
Entra ID, después de todo, está diseñado pensando en las aplicaciones SaaS, proporcionando inicio de sesión único y control de acceso. A medida que aumenta la adopción de la nube, la capacidad de gestionar tanto el acceso local como el acceso a la nube se está convirtiendo en una necesidad empresarial. Aprovechar Entra ID junto con Active Directory (AD) ayuda a hacer realidad la gestión híbrida de identidades.
Sin embargo, como ocurre con todo lo relacionado con las TI, sigue siendo válido el adagio de "mirar antes de saltar".
Lecturas relacionadas
- Seguridad de Active Directory: Principales riesgos y mejores prácticas
- 4 razones para aumentar la recuperabilidad de los recursos de Entra ID
Monumental cambio con el paso a la nube
Trasladar cualquier parte de una operación de TI a la nube requiere un ajuste. La autenticación de usuarios no es diferente. Desde un punto de vista conceptual, las organizaciones deben tener en cuenta tres cuestiones fundamentales.
1. Un nuevo modelo de autenticación
Después de 20 años gestionando la identidad de una sola manera, añadir Entra ID supondrá un ajuste fundamental. Pasar de utilizar únicamente AD local a ampliarlo a la autenticación en la nube requiere una mentalidad y un enfoque diferentes. En Entra ID no hay unidades organizativas ni bosques, ni objetos de política de grupo. Los conceptos (y las cicatrices de batalla) sobre cómo proteger las identidades en AD ya no se aplican en Entra ID.
Muchos administradores comienzan creyendo que proteger Entra ID es similar a proteger AD, lo cual no es así. Es posible que ya esté utilizando Entra ID sin pensarlo mucho. Si su organización utiliza algún servicio en la nube de Microsoft, como Office 365, entonces Entra ID ya se está utilizando en segundo plano. Entra ID también se utiliza mucho para conectarse a otras aplicaciones SaaS que no son de Microsoft, como Salesforce. Todos estos factores introducen nuevas consideraciones y opciones. Por ejemplo, ¿debería mantener AD y Entra ID por separado o fusionarlos utilizando Microsoft Entra Connect? Es necesario comprender muchos conceptos nuevos para poder tomar estas decisiones y mantener al mismo tiempo la seguridad de los sistemas de información.
2. La extensión del perímetro
Una vez que una organización adopta la nube, la noción de perímetro de red tradicional deja de existir. Para los administradores de TI que han pasado las dos últimas décadas ejecutando AD en las instalaciones, esta noción supone un tremendo ajuste. En un entorno de identidad híbrida, las organizaciones ahora deben estar preparadas para protegerse de un sinfín de posibles puntos de entrada.
3. Cambios radicales en el modelo de permisos
El cambio a Entra ID también cambia drásticamente el modelo de permisos que las organizaciones deben proteger. En las instalaciones locales, es bastante fácil controlar quién tiene acceso físico a los controladores de dominio, y los puntos de entrada de gestión generales están bien definidos y documentados. En un entorno AD híbrido, las identidades también se almacenan ahora en la nube, lo que las hace vulnerables a la explotación por parte de cualquier persona que tenga acceso a Internet. De repente, los administradores se enfrentan a un modelo intrínsecamente abierto para las conexiones de acceso inicial, lo que, junto con el mayor número de servicios, roles y permisos necesarios, tiene un impacto significativo en el riesgo.
Microsoft ha intentado activamente proporcionar materiales educativos para preparar a las empresas para los cambios provocados por la adopción de Entra ID . Sin embargo, muchas organizaciones de TI siguen sin apreciar plenamente las implicaciones de la gestión híbrida de identidades. A medida que más empresas adoptan un enfoque híbrido, los atacantes han ampliado su modus operandi en consecuencia.
En septiembre de 2020, los investigadores de Mandiant (FireEye) señalaron que habían observado un aumento de los incidentes relacionados con Microsoft 365 y Entra ID, en su mayoría vinculados a correos electrónicos de phishing que intentaban engañar a las víctimas para que introdujeran sus credenciales de Office 365 en un sitio de phishing. Los investigadores de Mandiant también observaron que los atacantes utilizaban un módulo de PowerShell llamado AADInternals, que les permitía pasar del entorno local a Entra ID, crear puertas traseras, robar contraseñas y realizar otras acciones maliciosas. Estas amenazas seguirán creciendo con el aumento exponencial del interés por Entra ID y Office 365.
Permisos, permisos, permisos
De lejos, de los tres temas mencionados anteriormente, el mayor riesgo para la seguridad lo suponen los cambios en el modelo de permisos. Hay una gran cantidad de servicios disponibles cuando las organizaciones pasan a un entorno de identidad híbrido. En lugar de un conjunto bien definido de grupos administrativos en Active Directory, ahora se dispone de roles en Entra ID, que resultarán desconocidos. Puede ver esta lista de roles aquí. Cada rol tiene una larga lista de permisos asignados. Es difícil comprender los permisos asignados a cada rol solo a partir de la descripción, pero muchos tienen un alto nivel de acceso que no es evidente.
Además, al vincular cualquier servicio SaaS a Entra ID, que es probablemente la razón por la que se ha añadido Entra ID a la mezcla, añade modelos de permisos que deben gestionarse. Microsoft Teams, por ejemplo, utiliza la integración de SharePoint en el back-end. Con configuraciones incorrectas, añadir un invitado a Teams podría crear una situación en la que este nuevo usuario tenga ahora acceso a los archivos almacenados en SharePoint para Teams. Es posible que los usuarios no sean conscientes de que estos archivos están ahora disponibles para los usuarios invitados que se añadieron a su canal solo para una charla rápida. Además, la posibilidad de añadir aplicaciones en Teams amplía efectivamente el modelo de permisos a estas herramientas de terceros. Este es solo un ejemplo de la matriz de cuestiones complejas que plantea cada servicio gestionado a través de Entra ID.
De hecho, realizar un seguimiento de los permisos de las aplicaciones de terceros es fundamental y es un área que está infragestionada en la mayoría de las implementaciones de Entra ID . Estas solicitudes de permisos activarán una ventana emergente única que enumera los permisos que necesita la aplicación. Estas listas pueden ser largas y deben revisarse cuidadosamente antes de aceptarlas, pero rara vez se hace.
Las organizaciones también mueden enfrentarse a estos dos nuevos escenarios relacionados con los permisos que deben entenderse en un contexto de seguridad:
- Herramientas de terceros que extraen datos de Entra ID y los almacenan en su propia base de datos. Por ejemplo, una aplicación registrada en Entra ID que permite a un sistema CRM leer perfiles de usuario o que tiene otros permisos de lectura tiene, en la práctica, la capacidad de recuperar y almacenar datos por sí misma. Una vez que los datos se extraen de Entra ID, se almacenan en una base de datos externa, lo que hace que la organización dependa del marco de seguridad de la herramienta de terceros.
- Herramientas de terceros con acceso de escritura que pueden realizar cambios dentro de su herramienta. En este caso, la autenticación necesaria para realizar cambios en el inquilino se traslada de Entra ID a los controles que tenga la herramienta de terceros. Es posible que un usuario pueda iniciar sesión en la herramienta sin autenticación multifactor porque no admite el inicio de sesión único (SSO), sino que funciona con la aplicación actuando como proxy de permisos que realiza la acción en su nombre sin algunas de las comprobaciones que normalmente se requerirían.
Las organizaciones de TI deberían considerar seriamente restringir quién puede aprobar aplicaciones o, como mínimo, tenere una orientación clara sobre qué permisos deben considerarse apropiados. Adoptar un enfoque de identidad híbrida requiere tratar con un modelo de permisos mucho más amplio. Para hacerlo de forma eficaz, las organizaciones deben establecer una sólida gobernanza sobre qué aplicaciones se van a activar y qué derechos de acceso van a obtener.
Comprender el riesgo de la gestión de identidades híbridas
Tanto si la autenticación se gestiona en la nube, en las instalaciones o en ambos, la seguridad siempre debe ser lo primero. Aunque la gestión de identidades en un entorno híbrido puede parecer tan sencilla como unir un dispositivo Windows a Entra ID, no tener en cuenta los cambios en el panorama de riesgos abre la puerta a problemas que pueden causar dolores de cabeza en el futuro. El conocimiento es siempre la primera línea de defensa, pero la cantidad de documentación necesaria para comprender plenamente la seguridad en Entra ID es abrumadora. Las herramientas nativas o de terceros que automatizan esa comprensión y reducen la complejidad de la seguridad ayudarán a disminuir el riesgo de seguridad durante y después de la implementación de su entorno híbrido.
