Protección de todos los inquilinos y sus recursos (Secure Future Initiative)

Nombre del pilar: proteja los inquilinos y aísle los sistemas de producción.
Nombre del patrón: proteger todos los inquilinos y sus recursos

Para reducir los riesgos de seguridad de los inquilinos no rastreados y la falta de visibilidad, Microsoft ha implementado el patrón de seguridad para todos los inquilinos y sus recursos. Esto garantiza una gobernanza y seguridad integrales en todos los inquilinos, en consonancia con los principios de confianza cero.

Contexto y problema

El primer paso en la seguridad del inquilino es la detección. Sin un inventario completo, la seguridad y la gobernanza no se pueden realizar correctamente. Muchas organizaciones carecen de visibilidad de los inquilinos activos, heredados y de sombra, lo que deja entornos sin seguimiento vulnerables a la explotación.

Microsoft ha invertido mucho en identificar y catalogar todos los inquilinos en sus entornos. Esto incluye usuarios de producción, productividad/prueba y efímeros. Sin un sólido descubrimiento y gobernanza del ciclo de vida, incluso los inquilinos aparentemente de bajo riesgo pueden convertirse en infraestructura en la sombra, no supervisada, sin parches y explotable como puntos de pivote para los atacantes.

Entre los riesgos clave se incluyen los siguientes:

Movimiento lateral de entornos de no producción a entornos de producción.
Inquilinos obsoletos o inactivos sin líneas base de seguridad ni controles de ciclo de vida.
Secretos compartidos y configuraciones incorrectas que habilitan la reutilización de credenciales entre inquilinos.

Solución

Como parte de la Secure Future Initiative (SFI), Microsoft implementó el objetivo de securizar a todos los arrendatarios y sus recursos mediante la aplicación de líneas base de arrendatarios, la gestión del ciclo de vida y la estandarización de las protecciones en sus entornos en la nube.

Biblioteca de registro de seguridad estandarizada: garantiza una captura de datos coherente entre servicios, lo que reduce las brechas de observabilidad.
Recopilación centralizada de registros: las cuentas de investigadores especializadas proporcionan acceso unificado a los registros entre servicios, lo que simplifica la correlación y acelera las investigaciones.
Retención extendida de registros: los registros de auditoría se conservan durante hasta dos años en los servicios de Microsoft para habilitar la investigación forense de patrones de ataque a largo plazo.
Análisis avanzado de detección: la integración de modelos con tecnología de inteligencia artificial y aprendizaje automático mejora la detección de técnicas de ataque complejas y reduce los falsos positivos.
Registro de clientes expandido: Microsoft ha aumentado la retención estándar del registro de auditoría para los clientes de Microsoft 365 a 180 días, con opciones para una retención más larga.

El enfoque de Microsoft incluye:

Configuraciones base de seguridad: plantillas de seguridad de clientes preconfiguradas para garantizar la coherencia y acelerar el fortalecimiento.
Clasificación de inquilinos y gobernanza del ciclo de vida: clasificar inquilinos por propósito (producción, productividad, auxiliar, efímero) y aplicar controles predeterminados en consecuencia.
Implementación del acceso condicional: gobernanza de la autenticación y autorización a escala, incluidos los clientes efímeros y las cuentas no gestionadas.
Estaciones de trabajo de administración segura (SAW): dispositivos aislados de hardware que separan los privilegios del acceso a la productividad.
Supervisión y análisis: Datos de seguridad centralizados a través de registros de auditoría, puntuación de seguridad de Microsoft e integración de Defender.
Administración de secretos y aislamiento de credenciales: Prevención de secretos compartidos entre clientes y aplicación de MFA resistente al phishing.
Prevención de movimiento lateral: Se ha evitado el movimiento lateral mediante el aislamiento de los inquilinos de producción frente a los inquilinos que no son de producción.
Inquilinos heredados e inactivos: Desmantelaron inquilinos heredados e inactivos a través de auditorías de ciclo de vida.
Visibilidad de la posición: Mejora de la visibilidad de la posición con puntuación de seguridad en toda la flota de inquilinos.
Proliferación de inquilinos: Reducción de la proliferación de inquilinos y aplicación de controles estrictos para la creación de nuevos inquilinos.

Estos pasos garantizan que todos los inquilinos, independientemente del propósito o el origen, estén visibles, regulados y protegidos en línea con los principios de confianza cero.

Orientación

Las organizaciones pueden adoptar un patrón similar mediante las siguientes prácticas accionables:

Caso de uso	Acción recomendada	Resource
Controles de seguridad de línea base	Aplique los valores predeterminados de seguridad de Microsoft en todos los inquilinos y, a continuación, amplíe con las líneas base de Microsoft 365 Lighthouse para la protección a escala empresarial.	Configurar los valores predeterminados de seguridad para microsoft Entra ID Información general sobre el uso de líneas base de Microsoft 365 Lighthouse para implementar configuraciones de inquilino estándar Estrategias de arquitectura para establecer una línea base de seguridad
Acceso condicional	Implementar directivas de Acceso Condicional (AC) estándar básico: bloquear la autenticación heredada, requerir MFA para todos los usuarios y aplicar el cumplimiento de dispositivos para roles con privilegios. Expanda con políticas basadas en riesgos y en la ubicación.	Plantillas de directivas de acceso condicional – Microsoft Entra ID Planear la implementación del acceso condicional de Microsoft Entra Procedimientos recomendados para proteger con el identificador de Entra de Microsoft
Gestión de acceso privilegiado	Utilice la Administración de Identidades con Privilegios (PIM) para el acceso justo a tiempo (JIT) y el acceso justo suficiente (JEA) para minimizar los privilegios de administrador permanentes.	Planeamiento de una implementación de Privileged Identity Management Activación de roles de Microsoft Entra en PIM: gobernanza de identificadores de Microsoft Entra
Aislamiento de espacios empresariales	Separe los inquilinos de producción y no de producción. Elimine las cuentas de administrador compartidas y los registros de aplicaciones en todos los entornos. Aplique líneas base de acceso condicional distintas por tipo de inquilino.	Aislamiento de recursos con varios inquilinos para proteger con el identificador de Microsoft Entra Restricción del acceso entrante y saliente entre inquilinos: Power Platform
Supervisión y detección de amenazas	Combine Microsoft Defender for Identity (señales de AD locales) con microsoft Entra ID Protection (señales de riesgo basadas en la nube). Centralice la supervisión para detectar el movimiento lateral, el robo de tokens y el comportamiento anómalo de inicio de sesión.	Introducción a la implementación de Microsoft Defender for Identity ¿Qué es Microsoft Entra ID Protection? ¿Qué son las detecciones de riesgo? – Protección de Microsoft Entra ID

Beneficios

Protección estandarizada: Las líneas base de seguridad garantizan que todos los inquilinos cumplan los umbrales de protección mínimos.
Superficie de ataque reducida: Los inquilinos heredados, ocultos y sin usar son retirados sistemáticamente.
Gobernanza mejorada: El inventario central y la clasificación admiten el cumplimiento y la supervisión continuas.
Acceso controlado: El acceso condicional, el control de acceso basado en rol (RBAC) y la autenticación multifactor (MFA) protegen las identidades y limitan los riesgos de uso compartido externo.
Detección y respuesta mejoradas: Los registros y los datos de seguridad integrados proporcionan visibilidad en todos los inquilinos.

Compromisos

La implementación de este enfoque requiere:

Establecimiento de la propiedad centralizada de las directivas de ciclo de vida de los inquilinos.
Inversión en automatización (aplicación de directiva predeterminada, flujos de trabajo de expiración).
Posible nueva arquitectura de los modelos de acceso (por ejemplo, separar prod/non-prod). La adopción de SAW implica complejidad y costo iniciales del dispositivo.
Se necesitan capacitación y cumplimiento para eliminar los usuarios no autorizados y la reutilización de credenciales.

Factores clave de éxito

Para realizar un seguimiento del éxito, mida lo siguiente:

Porcentaje de inquilinos con líneas base de seguridad aplicadas
Número de inquilinos heredados o ocultos desactivados
Cobertura de informes de cumplimiento y inventario centralizados
Porcentaje de identidades con la autenticación multifactor habilitada
Mejora de la puntuación de seguridad en las métricas de puntuación de seguridad de Microsoft
Volumen de intentos bloqueados de autenticación heredada o de eventos de compartición no autorizada

Resumen

Proteger todos los inquilinos y sus recursos es fundamental para los pilares de SFI de Microsoft: Seguro por diseño, Seguro de forma predeterminada y Operaciones seguras.

Con las directivas de línea base, la gobernanza del ciclo de vida y la supervisión continua, las organizaciones pueden reducir el riesgo, aplicar protecciones coherentes y evitar que la infraestructura de sombras reduzca la seguridad. A escala, esto garantiza que todas las identidades, el punto de acceso y el inquilino estén protegidos por diseño.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-10-06