Mickey Bresman Director General, Semperis

Active Directory (AD) es el principal almacén de identidades de muchas organizaciones. Como tal, AD también se ha convertido en un objetivo importante para los actores maliciosos. Si los atacantes obtienen acceso a AD, obtienen acceso a cualquier recurso de la organización. En un escenario híbrido on-prem/nube, que es común hoy en día, eso incluye el acceso a los recursos en la nube de la organización. Además, muchas de las recomendaciones de seguridad y arquitectura originales de AD son inadecuadas para satisfacer las necesidades de la empresa moderna. Está claro que la modernización de AD es fundamental para una postura de seguridad sólida.

Modernización de AD frente a ideas y configuraciones erróneas

Cuando se introdujo AD por primera vez hace más de dos décadas, el diseño de los dominios de AD estaba muy influenciado por las limitaciones de ancho de banda y los problemas de replicación. Estas restricciones, combinadas con los límites de objetos y los retos de migración de dominios heredados de Windows NT 4, dieron lugar a la adopción de múltiples dominios dentro de un diseño de bosque.

En aquella época, un error común en materia de seguridad era que un dominio debía ser el límite de seguridad para unidades independientes dentro de la organización. Al principio de mi carrera, por ejemplo, trabajé para una institución financiera que se adhería a estas mejores prácticas y tenía más de una docena de dominios de AD en su bosque principal.

Con esta idea errónea surgió una falsa sensación de seguridad, ya que cualquier dominio comprometido en este escenario conduciría a un entorno totalmente comprometido.

Avancemos 20 años. Ahora sabemos que los dominios no son un límite de seguridad. De hecho, los dominios múltiples crean retos de gestión que, a su vez, presentan exposiciones de seguridad innecesarias.

Modernización de AD frente a deuda técnica acumulada

Otro riesgo importante para la seguridad es la gestión de entornos multiforestales. Muchas organizaciones han acumulado este tipo de entornos a lo largo de los años, a menudo mediante fusiones y adquisiciones.

Como ocurre con muchos sistemas, es habitual acumular una deuda técnica. Pero la sensibilidad de AD hace que el riesgo de seguridad asociado sea mucho mayor.

Los entornos multi-bosque crean múltiples retos de gestión y seguridad para los equipos de TI y de gestión de identidades. Por ejemplo, considere las confianzas que se establecen entre varios bosques. Si se vulnera el bosque menos seguro, puede utilizarse como cabeza de puente hacia entornos más sensibles.

Una resolución más segura: Consolidación de AD

La mayor mejora de la seguridad puede lograrse colapsando tantos bosques como sea posible en un único bosque. Esta consolidación no sólo tiene un impacto positivo en la postura de seguridad de la organización, sino que también suele reducir los costes totales de gestión al eliminar el entorno multiforestal distribuido más complejo.

Por supuesto, tal consolidación requiere una planificación cuidadosa, teniendo en cuenta el impacto en las aplicaciones, los principios de seguridad y similares. Las organizaciones también deben tener en cuenta la sensibilidad de los distintos entornos. La mejor práctica consiste en separar los entornos según el nivel de sensibilidad. Por ejemplo, separar el entorno de desarrollo/prueba del de producción.

Los entornos de bosque de AD modernos también deben contraer los dominios en unidades organizativas (OU) si se requiere una gestión independiente o en grupos si no hay necesidad de unidades independientes. Esta configuración permite a la organización reducir el número de dominios que deben gestionarse.

Una vez consolidados los entornos, la organización puede utilizar una única ubicación para aplicar sus políticas de seguridad a través de objetos de directiva de grupo (GPO) de Microsoft, Intune, System Center Configuration Manager (SCCM) u otros medios. También puede consolidar la gestión de permisos y todos los demás aspectos de un entorno de identidad debidamente protegido.

Por dónde empezar la migración segura de AD

A medida que se acerca a la tarea crítica de la modernización de AD, tenga en cuenta la seguridad. Su objetivo es conseguir un entorno más seguro y fácil de gestionar. Pero también debe asegurarse de que el propio proceso de migración sea seguro. La migración es un momento delicado; evitar riesgos de seguridad es fundamental.

Comience por escanear y evaluar la madurez de la seguridad de los entornos que planea combinar. Continúe este proceso como parte de su plan de migración para no introducir nuevos puntos débiles de seguridad al migrar a nuevos dominios.

Puede utilizar herramientas gratuitas de evaluación de la seguridad de AD como Purple Knight y Forest Druid para estas evaluaciones iniciales. Si su entorno requiere una mayor atención, considere la posibilidad de recurrir a un equipo de ciberseguridad externo.

También hay que prestar especial atención a las herramientas de migración, sobre todo en entornos grandes. Dé prioridad a las herramientas fáciles de usar; la complejidad crea posibles riesgos para la seguridad. Busque herramientas que eviten exposiciones adicionales dentro de sus sistemas de identidad (por ejemplo, bases de datos sensibles), de las que se puede abusar. Una herramienta sencilla y segura como Semperis Migrator for AD cumple estos requisitos.

Más información sobre seguridad y migración de AD

Puede obtener más información sobre las herramientas de seguridad y migración de AD mencionadas anteriormente en los siguientes enlaces: