Por Nuno Antunes Ferreira, director para España y Portugal de Semperis
La capacidad para revertir errores probablemente ha ahorrado a todos los administradores de Active Directory del mundo algún que otro dolor de cabeza durante su carrera.
En las implementaciones locales de AD, la Papelera de reciclaje de Active Directory permite a los administradores restaurar objetos eliminados accidentalmente sin necesidad de usar una copia de seguridad. Todo lo que se coloca en la Papelera de Reciclaje está accesible durante 180 días. Si se comete un error, la Papelera puede ser una bendición, y los equipos de TI que contemplen la posibilidad de utilizar Azure Active Directory se alegrarán de saber que el servicio de nube también tiene su propia función de Papelera de Reciclaje.
Sin embargo, lo que puede que les sorprenda es que existen diferencias entre la Papelera de Reciclaje de AD local y la que está disponible en la nube. Por muy útil que sea la Papelera de reciclaje, no es la panacea para cumplir con las necesidades de copia de seguridad y recuperación de los recursos de Azure AD. Para entender por qué, me gustaría abordar la funcionalidad de esta característica.
Resolver accidentes
Antes de cambiar a Azure AD, las organizaciones deben evaluar el impacto del cambio en su seguridad, copia de seguridad de datos y cumplimiento. Si bien la función de Papelera de reciclaje puede parecer un asunto menor, la realidad es que, sin ella, recuperar objetos eliminados sería un proceso manual que requeriría mucho tiempo. Ya sea localmente o en la nube, activar la Papelera de reciclaje simplifica las cosas.
Aun así, al evaluar el cambio a la nube y la funcionalidad de Azure AD, es importante comprender lo que hace y lo que no hace la Papelera de reciclaje.
- Recuperar objetos eliminados accidentalmente. Todos cometemos errores. Al igual que en su entorno de AD local, la Papelera de reciclaje de Azure AD permite a los administradores restaurar objetos de usuario en caso de eliminación accidental.
- Sin embargo, no todos los objetos están protegidos. La función de Papelera de reciclaje de Azure AD solo permite la recuperación de objetos de usuarios, objetos de aplicaciones y grupos de Office 365. Si eliminamos una configuración, la Papelera de reciclaje de Azure AD no podrá ayudarnos. Si utiliza la sincronización de Azure AD y elimina accidentalmente un objeto de usuario de AD local, el objeto de usuario correspondiente en Azure AD también se eliminará durante el siguiente ciclo de sincronización.
- Los objetos de usuario no permanecen en el estado de eliminación provisional durante 180 días. Este plazo supone una diferencia significativa entre Azure AD y AD local. En Azure, los objetos eliminados solo se conservan durante 30 días. Este límite de tiempo no puede ampliarse. A los 30 días, los objetos se eliminan definitivamente.
- Los atributos de objetos modificados no pueden recuperarse. Si bien un objeto de usuario puede recuperarse tras su eliminación accidental a través de la función de Papelera de reciclaje, hay atributos específicos que no pueden recuperarse. La única forma de restaurar atributos modificados es a través de copias de seguridad, lo que nos lleva al siguiente punto.
Solución parcial
La Papelera de reciclaje no puede sustituir a las copias de seguridad, ya que es tan solo un punto de partida. Aunque su funcionalidad pueda bastar para revertir errores de eliminación de objetos, sus limitaciones le impiden ser una solución para las necesidades de copia de seguridad y recuperación. Activar la función de Papelera de reciclaje en Azure AD ofrece protección para un escenario concreto. Sin embargo, si necesitas restaurar información como, por ejemplo, atributos modificados, o recuperar determinados tipos de objetos, no bastará con la Papelera de reciclaje.
En el caso de un ataque de ransomware, por ejemplo, la Papelera de reciclaje resulta inútil si las cuentas de los usuarios han quedado expuestas. En ese caso, la Papelera de reciclaje no permitirá recuperar esas cuentas. Además, el hecho de que solo pueda utilizarse para recuperar un tipo específico de objeto que haya sido eliminado en los últimos 30 días hace que no sea viable como solución para tus necesidades de copia de seguridad y recuperación a largo plazo.
Desde el punto de vista de un atacante, si una de sus actividades es la eliminación de usuarios, lo más probable es que vaya a la Papelera de reciclaje para rematar el trabajo. Esta eliminación final hará imposible la recuperación del objeto de usuario sin utilizar una copia de seguridad. Pero lo más probable es que un atacante cambie configuraciones como, por ejemplo, las asignaciones de roles, que desactive la autenticación multifactor y que altere las políticas de acceso condicional.
Si los administradores no disponen de un punto único al que acudir para evaluar cada configuración modificada, el único recurso que les quedará será recordar y reparar manualmente todas las configuraciones modificadas. Ante esta realidad, no supervisar la actividad entre los entornos de AD local y de nube y no implementar una estrategia eficaz de copia de seguridad y recuperación puede llevar al desastre.
Para que las organizaciones puedan operar con confianza en la nube, necesitan poder restaurar su entorno en cualquier momento en el que se realicen cambios no deseados. Si bien la Papelera de reciclaje ofrece una solución parcial a esta necesidad, no es más que una pieza del puzle de la seguridad de Azure AD.
