La protección de la identidad híbrida

Resource type
Buenas practicas

por Ray Mills, Director Regional de Ventas en España para Semperis

La identidad es el nuevo perímetro de seguridad. Cualquier brecha en este perímetro significa que los usuarios malintencionados consigan acceder a las aplicaciones, a los datos y a procesos operativas de una empresa. En las organizaciones que confían en el Azure Active Directory, o en un entorno híbrido que combina Azure AD con el Directorio Activo local para proporcionar servicios de identidad, la protección de la identidad híbrida puede ser una tarea larga y compleja, aunque de vital importancia.

Foto: Cottonbro (Pexels.com)

Foto: Cottonbro @ pexels.com

Los entornos híbridos, en particular, son propensos a los errores y a las configuraciones incorrectas que abren la puerta de par en par a los ciberataques. Al vulnerar un Active Directory local, los atacantes pueden obtener acceso a Azure AD y viceversa. 

La dificultad de proteger las identidades híbridas es muy distinta a la que se encuentra en entornos totalmente locales. Si su infraestructura incluye Azure AD —y si una organización utiliza Microsoft Office 365— hay una serie de riesgos que no se encuentran en entornos exclusivamente locales y que requieren medidas particulares.

Ataques laterales desde dentro del AD local

Los ciberdelincuentes suelen recurrir a los ataques de phishing y de ingeniería social para llegar a los usuarios vulnerables y engañarlos con el fin de que revelen información confidencial, como por ejemplo sus credenciales de identidad. Así se hacen con el control del AD local, vulneran los servicios de federación de AD (ADFS) para falsificar los tokens de SAML y lograr acceder a Azure AD.

Qué hacer para proteger la identidad híbrida y parar los pies a los atacantes

Lo primero y más evidente es aplicar la Autenticación Multi-Factor (MFA). Las credenciales de identidad robadas son una de las herramientas más peligrosas de las que disponen los ciberatacantes y el uso de esas credenciales puede pasar desapercibido durante mucho tiempo. No todos los sistemas de monitorización advierten de actividad sospechosa en una cuenta, por lo que esta capa de protección adicional es importante.

En segundo lugar, es importante entender que la gestión de la identidad híbrida moderna exige unos controles de seguridad adicionales, más allá de los que están disponibles en una implementación de ADFS tradicional. El mantenimiento de la infraestructura necesaria para hospedar ADFS conlleva sus propios riesgos, como parches omitidos, hardware obsoleto, etc.

En lugar de ello, conviene recurrir a la autenticación de paso a través de AD, que permite usar la misma contraseña para iniciar sesión localmente y en las aplicaciones de la nube. Este enfoque utiliza un modelo de conexión solo de salida y una autenticación basada en certificados para delegar el proceso de autenticación en el Active Directory local, con lo que proporciona una alternativa más segura a ADFS. También es posible incorporar la autenticación de paso a través de AD a las otras medidas de seguridad de Azure AD, para protegerse de las infiltraciones y de los robos de credenciales. Y se puede sincronizar los hashes de las contraseñas de AD en Azure AD.

También se puede usar el Azure AD Application Proxy, que utiliza las credenciales de Azure AD para configurar el acceso remoto seguro a las aplicaciones alojadas localmente y que proporciona la misma experiencia de usuario que cualquier aplicación integrada en Azure AD.

La lentitud y la complejidad de la configuración

La protección de la identidad híbrida es complicada —tanto para un administrador de AD como un profesional de la identidad o un experto en seguridad. Las amenazas evolucionan constantemente y garantizar el acceso a los activos de Nivel 0 —incluidos AD y Azure AD— es una tarea larga y pesada. No obstante, si se queda desatendida, es muy posible que será necesario invertir ese tiempo y más a tratar de recuperar AD de un ciberataque.

El uso de Azure AD para la autenticación de las aplicaciones de terceros complica aún más el modelo de seguridad. En algunos casos, estas aplicaciones pueden leer y almacenar datos de Azure AD, lo que amplía el perímetro de riesgo y hace que la seguridad de los datos quede en manos de las aplicaciones de terceros con las que Azure AD se integra.

Otro posible punto débil es el nivel de los permisos otorgados a las aplicaciones en Azure AD. Si no revisa cuidadosamente la configuración de los permisos antes de otorgar el acceso, estas aplicaciones pueden acabar teniendo más permisos en Azure AD de los que necesitan. Este posible descuido aumenta el riesgo de que las aplicaciones realicen cambios en el inquilino de AD.

Además, algunas medidas de seguridad como la MFA pueden no funcionar en determinadas aplicaciones, lo que hace que estas dependan de los controles de seguridad que la propia aplicación pueda proporcionar.

Qué hacer para reforzar el acceso

Estas posibles brechas en la seguridad exigen una gobernanza estricta y la realización de auditorías periódicas de los permisos de las aplicaciones, para saber dónde implementar las restricciones adicionales. Es importante Atar todos los cabos sueltos que puedan existir y asegurarse de que el conjunto de roles adecuado en Azure AD esté habilitado, además de auditar la configuración de los permisos de las aplicaciones, reforzar los ajustes de seguridad y añadir protecciones adicionales como la MFA.

Hay que evaluar también el modo de gestionar el RBAC. La asignación de roles en Azure AD es distinta de la administración del acceso de AD tradicional, por lo que es necesario examinar cuidadosamente cómo se definen los roles y se otorgan los permisos.

Es importante seguir el principio del mínimo privilegio al proteger la identidad híbrida, evitando la adición de cuentas que haya sincronizado del AD local a Azure AD en un rol RBAC con privilegios, como el de los administradores globales. Esos roles con privilegios elevados deben ser reservados para las cuentas nativas de Azure AD. También se puede crear unidades administrativas en el inquilino de Azure AD. Esta funcionalidad permite restringir los objetos que los miembros del equipo de TI pueden gestionar a través de un rol RBAC específico, con lo que refuerza aún más el principio del mínimo privilegio.

Errores de configuración y otras vulnerabilidades de seguridad

Las configuraciones erróneas y las vulnerabilidades de seguridad asociadas a cualquier sistema de administración de identidades proporcionan puntos de acceso a los ciberatacantes. Azure AD está compuesto de servicios administrados; Microsoft gestiona la seguridad de su infraestructura subyacente en la nube. Pero la seguridad de los datos de una empresa usuaria y de la configuración de Azure AD es responsabilidad suya.

Durante un ciberataque, los atacantes pueden modificar o borrar usuarios, grupos, roles, directivas de acceso condicional, etc. Sin un plan de recuperación adecuado, los efectos pueden ser devastadores y duraderos. Hay pocos controles nativos capaces proteger los datos o las configuraciones en Azure AD e impedir que se sobrescriban durante un ataque.

Qué hacer para que la protección de la identidad híbrida sea menos complicada

La papelera de reciclaje de Azure AD proporciona una función de eliminación temporal que puede ayudar al administrador a restaurar los usuarios borrados. Sin embargo, esta funcionalidad tiene una capacidad mínima para restaurar cualquier cosa más allá de un periodo de 30 días.

Los otros tipos de riesgos pueden ser difíciles de detectar y mitigar, sobre todo si los atacantes se mueven lateralmente desde el AD local hasta la nube. Además de las medidas de seguridad nativas, los responsables de la TI deberían plantearse el uso de herramientas con capacidades avanzadas para ayudarle a detectar los ataques que pueden extenderse lateralmente por los entornos híbridos. Las funciones de seguimiento de los cambios y de corrección automática pueden proteger del robo de credenciales y de los intrusos malintencionados. Y siempre debe tener un plan de recuperación proactivo y probado para Active Directory y Azure AD.