Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La seguridad de la cuenta es un componente fundamental de la protección del acceso con privilegios. La seguridad de Confianza Cero de extremo a extremo para las sesiones requiere establecer de manera contundente que la cuenta utilizada en la sesión está realmente bajo el control del propietario humano y no de un atacante que se hace pasar por el propietario.
La sólida seguridad de las cuentas empieza con un aprovisionamiento seguro y una gestión completa de todo su ciclo de vida, hasta su desaprovisionamiento, y cada sesión debe proporcionar fuertes garantías de que la cuenta no está comprometida en el momento actual, basándose en todos los datos disponibles, incluidos los patrones históricos de comportamiento, la inteligencia de amenazas disponible y el uso durante la sesión actual.
Seguridad de la cuenta
En esta guía se definen tres niveles de seguridad para la seguridad de la cuenta que puede usar para los recursos con distintos niveles de confidencialidad:
Estos niveles establecen perfiles de seguridad claros e implementables adecuados para cada nivel de sensibilidad a los que puede asignar roles y escalar rápidamente horizontalmente. Todos estos niveles de seguridad de cuenta están diseñados para mantener o mejorar la productividad de las personas limitando o eliminando la interrupción de los flujos de trabajo de usuario y administrador.
Planeación de la seguridad de la cuenta
En esta guía se describen los controles técnicos necesarios para cumplir cada nivel. La guía de implementación está en la hoja de ruta de acceso con privilegios.
Controles de seguridad de cuentas
Lograr la seguridad de las interfaces requiere una combinación de controles técnicos que protegen las cuentas y proporcionan señales que se utilizarán en una decisión de política de Confianza Cero (consulte Securing Interfaces para obtener la referencia de configuración de políticas).
Los controles usados en estos perfiles incluyen:
- Autenticación multifactor: proporciona diversas fuentes de prueba que están diseñadas para ser lo más fácil posible para los usuarios, pero difíciles de imitar por un adversario.
- Riesgo de cuenta: Supervisión de amenazas y anomalías: uso de UEBA e inteligencia sobre amenazas para identificar escenarios de riesgo
- Supervisión personalizada: para cuentas más confidenciales, definir explícitamente comportamientos o patrones permitidos o aceptados permite la detección temprana de actividades anómalas. Este control no es adecuado para las cuentas de uso general de la empresa, ya que estas cuentas necesitan flexibilidad para sus roles.
La combinación de controles también le permite mejorar tanto la seguridad como la facilidad de uso; por ejemplo, un usuario que permanece dentro de su patrón normal (usando el mismo dispositivo en la misma ubicación día tras día) no necesita que se le solicite MFA externo cada vez que se autentica.
Cuentas de seguridad de empresa
Los controles de seguridad de las cuentas empresariales están diseñados para crear una línea base segura para todos los usuarios y proporcionar una base segura para la seguridad especializada y con privilegios:
Exigir autenticación multifactor segura (MFA): asegúrese de que el usuario se autentique con MFA seguro proporcionado por un sistema de identidades administradas por la empresa (detallado en el diagrama siguiente). Para más información sobre la autenticación multifactor, consulte El procedimiento recomendado de seguridad de Azure 6.
Nota:
Aunque su organización puede optar por usar una forma más débil de MFA existente durante un período de transición, los atacantes están evadiendo cada vez más las protecciones de MFA más débiles, por lo que todas las nuevas inversiones en MFA deben estar en las formas más fuertes.
Exigir el riesgo de cuenta o sesión: asegúrese de que la cuenta no puede autenticarse a menos que esté en un nivel de riesgo bajo (o medio). Consulte Niveles de seguridad de la interfaz para obtener más información sobre la seguridad de la cuenta de empresa condicional.
Supervisión y respuesta a alertas: las operaciones de seguridad deben integrar alertas de seguridad de cuentas y obtener suficiente entrenamiento sobre cómo funcionan estos protocolos y sistemas para asegurarse de que son capaces de comprender rápidamente qué significa una alerta y reaccionar en consecuencia.
En el diagrama siguiente se proporciona una comparación con diferentes formas de autenticación sin contraseña y MFA. Cada opción de la caja Mejor es de alta seguridad y alta facilidad de uso. Cada uno tiene diferentes requisitos de hardware, por lo que puede que desee combinar los que se aplican a distintos roles o individuos. El acceso condicional reconoce todas las soluciones sin contraseña de Microsoft como autenticación multifactor porque requieren combinar algo que tenga con biometría, algo que sepa o ambos.
Nota:
Para obtener más información sobre por qué la autenticación basada en SMS y métodos telefónicos es limitada, consulte la entrada de blog Es hora de dejar de usar transportes telefónicos para la autenticación.
Cuentas especializadas
Las cuentas especializadas proporcionan un nivel de protección más alto que es adecuado para los usuarios confidenciales. Debido a su mayor impacto empresarial, las cuentas especializadas garantizan una supervisión y priorización adicionales durante las alertas de seguridad, las investigaciones de incidentes y la búsqueda de amenazas.
La seguridad especializada se basa en la sólida MFA en la seguridad empresarial mediante la identificación de las cuentas más confidenciales y la garantía de que se priorizan las alertas y los procesos de respuesta:
- Identificar cuentas confidenciales: consulte la guía de nivel de seguridad especializada para identificar estas cuentas.
- Etiquetar cuentas especializadas: asegúrese de que cada cuenta confidencial está etiquetada
- Configurar listas de seguimiento de Microsoft Sentinel para identificar estas cuentas confidenciales
- Configurar la protección de cuentas de prioridad en Microsoft Defender para Office 365 y designar cuentas especializadas y con privilegios como cuentas prioritarias:
- Actualizar los procesos de operaciones de seguridad para proporcionar a estas alertas la prioridad más alta
- Configuración de gobernanza: actualización o creación de un proceso de gobernanza para asegurarse de que
- Todos los nuevos roles se evalúan para clasificaciones especializadas o privilegiadas a medida que se crean o cambian.
- Todas las cuentas nuevas se etiquetan a medida que se crean
- Comprobaciones continuas o periódicas fuera de banda para asegurarse de que los roles y las cuentas no se pasen por alto en los procesos de gobernanza normales.
Cuentas con privilegios
Las cuentas con privilegios tienen el mayor nivel de protección porque representan un impacto significativo o material potencial en las operaciones de la organización si están en peligro.
Las cuentas con privilegios siempre incluyen administradores de TI con acceso a la mayoría o a todos los sistemas empresariales, incluidos la mayoría o todos los sistemas críticos para la empresa. Otras cuentas con un alto impacto empresarial también pueden garantizar este nivel adicional de protección. Para obtener más información sobre qué roles y cuentas se deben proteger en qué nivel, consulte el artículo Seguridad con privilegios.
Además de la seguridad especializada, la seguridad de cuentas privilegiadas aumenta ambas cosas:
- Prevención: agregue controles para restringir el uso de estas cuentas a los dispositivos, estaciones de trabajo e intermediarios designados.
- Respuesta: supervise detenidamente estas cuentas para detectar actividades anómalas e investigue y corrija rápidamente el riesgo.
Configuración de la seguridad de la cuenta con privilegios
Siga las instrucciones del plan de modernización rápida de seguridad para aumentar la seguridad de sus cuentas con privilegios y reducir el costo para administrar.