Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El estándar de seguridad de Azure más up-toactualizado está disponible aquí.
El acceso con privilegios cubre los controles para proteger el acceso con privilegios al inquilino y los recursos de Azure. Esto incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios.
Para ver la directiva integrada de Azure Policy aplicable, consulte Detalles de la iniciativa integrada de cumplimiento normativo de Azure Security Benchmark: Acceso con privilegios
PA-1: Proteger y limitar usuarios con privilegios elevados
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Limite el número de cuentas de usuario con privilegios elevados y proteja estas cuentas a un nivel elevado. Los roles integrados más críticos de Azure AD son Administrador global y Administrador de roles con privilegios, ya que los usuarios asignados a estos dos roles pueden delegar roles de administrador. Con estos privilegios, los usuarios pueden leer y modificar directa o indirectamente todos los recursos de su entorno de Azure:
Administrador global: los usuarios con este rol tienen acceso a todas las características administrativas de Azure AD, así como a los servicios que usan identidades de Azure AD.
Administrador de roles con privilegios: los usuarios con este rol pueden administrar las asignaciones de roles en Azure AD, así como en Azure AD Privileged Identity Management (PIM). Además, este rol permite la administración de todos los aspectos de PIM y unidades administrativas.
Nota: Es posible que tenga otras funciones críticas que deban controlarse si utiliza funciones personalizadas con determinados permisos privilegiados asignados. Y es posible que también desee aplicar controles similares a la cuenta de administrador de los activos empresariales críticos.
Puede habilitar el acceso con privilegios Just-In-Time (JIT) a los recursos de Azure y Azure AD mediante Azure AD Privileged Identity Management (PIM). JIT concede permisos temporales para realizar tareas con privilegios solo cuando los usuarios lo necesiten. PIM también puede generar alertas de seguridad cuando hay actividad sospechosa o no segura en la organización de Azure AD.
Uso de alertas de seguridad de Azure Privileged Identity Management
Protección del acceso con privilegios para implementaciones híbridas y en la nube en Azure AD
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PA-2: Restringir el acceso administrativo a los sistemas críticos para el negocio
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Aísle el acceso a los sistemas críticos para la empresa restringiendo las cuentas a las que se concede acceso privilegiado a las suscripciones y los grupos de administración en los que se encuentran. Asegúrese de que también restrinja el acceso a los sistemas de administración, identidad y seguridad que tienen acceso administrativo a los activos críticos para la empresa, como los controladores de dominio (DC) de Active Directory, las herramientas de seguridad y las herramientas de administración del sistema con agentes instalados en sistemas críticos para la empresa. Los atacantes que ponen en peligro estos sistemas de administración y seguridad pueden armarlos inmediatamente para poner en peligro los recursos críticos para la empresa.
Todos los tipos de controles de acceso deben estar alineados con la estrategia de segmentación de su empresa para garantizar un control de acceso coherente.
Asegúrese de asignar cuentas con privilegios independientes que sean distintas de las cuentas de usuario estándar que se usan para las tareas de correo electrónico, navegación y productividad.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PA-3: Revisar y conciliar el acceso de los usuarios con regularidad
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Revise las cuentas de usuario y la asignación de acceso con regularidad para asegurarse de que las cuentas y su nivel de acceso sean válidos. Puede usar las revisiones de acceso de Azure AD para revisar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Los informes de Azure AD pueden proporcionar registros para ayudar a detectar cuentas obsoletas. También puede usar Azure AD Privileged Identity Management para crear un flujo de trabajo de informes de revisión de acceso que facilite el proceso de revisión. Además, Azure Privileged Identity Management se puede configurar para que avise cuando se cree un número excesivo de cuentas de administrador y para identificar las cuentas de administrador que están obsoletas o mal configuradas.
Nota: Algunos servicios de Azure admiten usuarios y roles locales que no se administran a través de Azure AD. Debe administrar estos usuarios por separado.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PA-4: Configuración del acceso de emergencia en Azure AD
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Para evitar que se bloquee accidentalmente el acceso a la organización de Azure AD, configure una cuenta de acceso de emergencia para el acceso cuando no se puedan usar las cuentas administrativas normales. Las cuentas de acceso de emergencia suelen tener privilegios elevados y no deben asignarse a individuos específicos. Las cuentas para acceso de emergencia están limitadas a escenarios de emergencia o de última instancia donde no se pueden usar cuentas administrativas normales. Debe asegurarse de que las credenciales (como la contraseña, el certificado o la tarjeta inteligente) para las cuentas de acceso de emergencia se mantienen seguras y solo se conocen para las personas que tienen autorización para usarlas solo en una emergencia.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PA-5: Automatizar la gestión de derechos
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Use las características de administración de derechos de Azure AD para automatizar los flujos de trabajo de solicitudes de acceso, incluidas las asignaciones de acceso, las revisiones y la expiración. También se admite la aprobación de doble o varias etapas.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PA-6: Uso de estaciones de trabajo con privilegios de acceso
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Las estaciones de trabajo seguras y aisladas son de vital importancia para la seguridad de roles confidenciales como administrador, desarrollador y operador de servicios críticos. Use estaciones de trabajo de usuario altamente seguras o Azure Bastion para las tareas administrativas. Use Azure Active Directory, Microsoft Defender for Identity o Microsoft Intune para implementar una estación de trabajo de usuario segura y administrada para tareas administrativas. Las estaciones de trabajo seguras se pueden administrar de forma centralizada para aplicar una configuración segura, incluida la autenticación sólida, las líneas de base de software y hardware, y el acceso lógico y de red restringido.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PA-7: Siga la administración suficiente (principio de privilegio mínimo)
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
El control de acceso basado en roles de Azure (RBAC de Azure) permite administrar el acceso a los recursos de Azure a través de asignaciones de roles. Puede asignar estos roles a usuarios, entidades de servicio de grupo e identidades administradas. Hay roles integrados predefinidos para determinados recursos y estos roles se pueden inventariar o consultar mediante herramientas como la CLI de Azure, Azure PowerShell y Azure Portal. Los privilegios que asigne a los recursos a través de Azure RBAC siempre deben limitarse a lo que requieren los roles. Los privilegios limitados complementan el enfoque Just-In-Time (JIT) de Azure AD Privileged Identity Management (PIM) y esos privilegios deben revisarse periódicamente.
Utilice las funciones integradas para asignar permisos y cree funciones personalizadas solo cuando sea necesario.
¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)
Cómo utilizar las revisiones de identidad y acceso de Azure AD
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):
PA-8: Elegir el proceso de aprobación para el soporte técnico de Microsoft
| Identificador de Azure | Identificadores de CIS Controls v7.1 | IDENTIFICADORES DEL NIST SP 800-53 r4 |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
En escenarios de soporte técnico en los que Microsoft necesita acceder a los datos del cliente, la Caja de seguridad del cliente proporciona una capacidad para revisar y aprobar o rechazar explícitamente cada solicitud de acceso a los datos del cliente.
Responsabilidad: Cliente
Partes interesadas de la seguridad del cliente (más información):