Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El punto de referencia de seguridad de Azure más up-toestá disponible aquí.
Identity Management cubre los controles para establecer una identidad segura y controles de acceso mediante Azure Active Directory. Esto incluye el uso del inicio de sesión único, autenticaciones seguras, identidades administradas (y entidades de servicio) para aplicaciones, acceso condicional y supervisión de anomalías de cuentas.
Para ver la directiva integrada aplicable de Azure Policy, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Identity Management.
IM-1: Estandarización de Azure Active Directory como sistema central de identidad y autenticación
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IM-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD) es el servicio de administración de identidades y acceso predeterminado de Azure. Debe estandarizar en Azure AD para controlar la administración de identidades y acceso de la organización en:
Recursos en la nube de Microsoft, como Azure Portal, Azure Storage, Azure Virtual Machines (Linux y Windows), Azure Key Vault, PaaS y aplicaciones SaaS.
Los recursos de la organización, como las aplicaciones en Azure o los recursos de red corporativa.
La protección de Azure AD debe ser una prioridad alta en la práctica de seguridad en la nube de la organización. Azure AD proporciona una puntuación segura de identidad para ayudarle a evaluar su posición de seguridad de identidad en relación con las recomendaciones de procedimientos recomendados de Microsoft. Use la puntuación para medir el nivel de coincidencia de la configuración con las recomendaciones de procedimientos recomendados y para realizar mejoras en la posición de seguridad.
Nota: Azure AD admite proveedores de identidades externos, que permiten a los usuarios sin una cuenta microsoft iniciar sesión en sus aplicaciones y recursos con su identidad externa.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IM-2: Administrar identidades de aplicación de forma segura y automática
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IM-2 | No disponible | AC-2, AC-3, IA-2, IA-4, IA-9 |
En el caso de cuentas no humanas, como servicios o automatización, use identidades administradas de Azure, en lugar de crear una cuenta humana más eficaz para acceder a los recursos o ejecutar código. Las identidades administradas de Azure se pueden autenticar en servicios y recursos de Azure que admiten la autenticación de Azure AD. La autenticación se habilita mediante reglas de concesión de acceso predefinidas, lo que evita las credenciales codificadas de forma rígida en el código fuente o los archivos de configuración.
En el caso de los servicios que no admiten identidades administradas, use Azure AD para crear una entidad de servicio con permisos restringidos en el nivel de recurso en su lugar. Se recomienda configurar entidades de servicio con credenciales de certificado y revertir a secretos de cliente. En ambos casos, Azure Key Vault se puede usar junto con identidades administradas de Azure, de modo que el entorno en tiempo de ejecución (como una función de Azure) pueda recuperar la credencial del almacén de claves.
Uso de Azure Key Vault para el registro de la entidad de seguridad: autenticación#autorizar-un-principal-de-seguridad-para-acceder-a-key-vault
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IM-3: Uso del inicio de sesión único (SSO) de Azure AD para el acceso a aplicaciones
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IM-3 | 4.4. | IA-2, IA-4 |
Azure AD proporciona administración de identidades y acceso a recursos de Azure, aplicaciones en la nube y aplicaciones locales. La administración de identidades y acceso se aplica a identidades empresariales, como empleados, así como a identidades externas, como asociados, proveedores y proveedores.
Use el inicio de sesión único (SSO) de Azure AD para administrar y proteger el acceso a los datos y recursos de la organización en el entorno local y en la nube. Conecte todos los usuarios, aplicaciones y dispositivos a Azure AD para obtener acceso seguro y sin problemas, así como una mayor visibilidad y control.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IM-4: Uso de controles de autenticación seguros para todo el acceso basado en Azure Active Directory
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IM-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD admite controles de autenticación seguros a través de la autenticación multifactor (MFA) y métodos seguros sin contraseña.
Autenticación multifactor: habilite Azure AD MFA y siga las recomendaciones del control de seguridad "Habilitar MFA" de Azure Security Center. MFA se puede aplicar en todos los usuarios, seleccionar usuarios o en el nivel por usuario en función de las condiciones de inicio de sesión y los factores de riesgo.
Autenticación sin contraseña: hay tres opciones de autenticación sin contraseña disponibles: Windows Hello para empresas, aplicación Microsoft Authenticator y métodos de autenticación locales, como tarjetas inteligentes.
Para los usuarios con privilegios y administradores, asegúrese de que se usa el nivel más alto del método de autenticación segura, seguido de la implementación de la directiva de autenticación segura adecuada para otros usuarios.
Si la autenticación basada en contraseña heredada todavía se usa para la autenticación de Azure AD, tenga en cuenta que las cuentas solo en la nube (cuentas de usuario creadas directamente en Azure) tienen una directiva de contraseña de línea base predeterminada. Y las cuentas híbridas (cuentas de usuario que proceden de Active Directory local) siguen las directivas de contraseñas locales. Al usar la autenticación basada en contraseña, Azure AD proporciona una funcionalidad de protección con contraseña que impide que los usuarios establezcan contraseñas fáciles de adivinar. Microsoft proporciona una lista global de contraseñas prohibidas que se actualizan en función de la telemetría, y los clientes pueden aumentar la lista en función de sus necesidades (como la personalización de marca, las referencias culturales, etc.). Esta protección con contraseña se puede usar para cuentas híbridas y solo en la nube.
Nota: La autenticación basada solo en credenciales de contraseña es susceptible a los métodos de ataque populares. Para una mayor seguridad, use una autenticación segura, como MFA y una directiva de contraseña segura. En el caso de aplicaciones de terceros y servicios de Marketplace que pueden tener contraseñas predeterminadas, debe cambiarlas durante la configuración inicial del servicio.
Introducción a las opciones de autenticación sin contraseña para Azure Active Directory
Eliminación de contraseñas incorrectas mediante la protección con contraseña de Azure AD
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IM-5: Supervisión y alerta de anomalías de cuentas
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IM-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD proporciona los siguientes orígenes de datos:
Inicios de sesión: el informe de inicios de sesión proporciona información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.
Registros de auditoría: proporciona rastreabilidad a través de registros para todos los cambios realizados a través de varias características de Azure AD. Algunos ejemplos de registros de auditoría de cambios incluyen agregar o quitar usuarios, aplicaciones, grupos, roles y políticas.
Inicios de sesión de riesgo: un inicio de sesión arriesgado es un indicador de un intento de inicio de sesión que podría haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.
Usuarios marcados por riesgo: un usuario de riesgo es un indicador de una cuenta de usuario que podría haberse puesto en peligro.
Estos orígenes de datos se pueden integrar con Azure Monitor, Azure Sentinel o sistemas SIEM de terceros.
Azure Security Center también puede alertar sobre determinadas actividades sospechosas, como un número excesivo de intentos de autenticación con errores y cuentas en desuso en la suscripción.
Microsoft Defender for Identity es una solución de seguridad que puede usar señales locales de Active Directory para identificar, detectar e investigar amenazas avanzadas, identidades en peligro y acciones internas malintencionadas.
Identificación de usuarios de Azure AD marcados para actividades de riesgo
Supervisión de la actividad de identidad y acceso de los usuarios en Azure Security Center
Alertas en los planes de Azure Security Center y Azure Defender
Integración de registros de actividad de Azure en Azure Monitor
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IM-6: Restricción del acceso a recursos de Azure en función de las condiciones
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IM-6 | No disponible | AC-2, AC-3 |
Use el acceso condicional de Azure AD para un control de acceso más granular basado en condiciones definidas por el usuario, como requerir inicios de sesión de usuario de determinados intervalos IP para usar MFA. También se puede usar una administración de sesiones de autenticación pormenorizadas a través de la directiva de acceso condicional de Azure AD para distintos casos de uso.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IM-7: Eliminar la exposición de credenciales no deseada
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IM-7 | 18.1, 18.7 | IA-5 |
Implemente El analizador de credenciales de Azure DevOps para identificar las credenciales en el código. Credential Scanner también recomienda mover las credenciales detectadas a ubicaciones más seguras, como Azure Key Vault.
Para GitHub, puede usar la característica de análisis de secretos nativo para identificar credenciales u otra forma de secretos dentro del código.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
IM-8: Protección del acceso de usuario a aplicaciones heredadas
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| IM-8 | 14.6 | AC-2, AC-3, SC-11 |
Asegúrese de que tiene controles de acceso modernos y supervisión de sesión para aplicaciones heredadas y los datos que almacenan y procesan. Aunque las VPN se usan normalmente para acceder a las aplicaciones heredadas, a menudo solo tienen un control de acceso básico y una supervisión de sesión limitada.
El proxy de aplicación de Azure AD permite publicar aplicaciones locales heredadas en usuarios remotos con inicio de sesión único (SSO) al tiempo que valida explícitamente la confiabilidad de los usuarios remotos y los dispositivos con acceso condicional de Azure AD.
Como alternativa, Microsoft Defender for Cloud Apps es un servicio de agente de seguridad de acceso a la nube (CASB) que puede proporcionar controles para supervisar las sesiones de aplicación de un usuario y las acciones de bloqueo (para aplicaciones locales heredadas y aplicaciones de software como servicio (SaaS) heredadas).
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):