Desde hace bastante tiempo, la autenticación basada en certificados ha sido una de las formas más seguras de garantizar que sus credenciales no sean susceptibles de phishing. Como probablemente ya sabrá, los problemas autenticación basada en contraseñas, y presenta una multitud de riesgos para empresas que todavía optan por aprovechar este medio de autenticación obsoleto. Una de las preguntas principales que tiene la gente es: “¿Cómo puedo dejar de tener contraseña e implementar una autenticación resistente al phishing en Entra?” En la siguiente publicación, lo guiaremos a través del proceso de implementación de credenciales resistentes al phishing con Entra CBA utilizando nuestras herramientas PKI patentadas, EZCA y EZCMS.
Cualquier ingeniero de seguridad que se precie siempre investigará a fondo y especificará un proyecto antes de lanzarse con ambos pies. Primero, definamos qué métodos sin contraseña son resistentes al phishing, (cuya respuesta es FIDO2 y Entra CBA) estos dos métodos se consideran resistentes al phishing porque el usuario no puede revelar la privacidad si es engañado en un sitio de phishing.
Si bien ambos métodos son excelentes y dependen de tecnología similar, recomendamos utilizar ambos para implementar credenciales resistentes al phishing en Entra ID. La razón de esto es que, si bien FIDO2 es más cómodo de usar (ya que no es necesario ingresar su nombre de usuario), FIDO2 no es compatible con dispositivos iOS, y es complicado configurar la autenticación FIDO2 local. Tener FIDO2 y Entra CBA en la misma clave le brinda lo mejor de ambos mundos, y el uso de herramientas como EZCMS y EZCA lo hace fácil para usted y sus usuarios.
Entonces, ¿qué necesitamos saber antes de empezar? Simple. CBA se basa en certificados X.509. Estos certificados deben ser proporcionados por una Autoridad certificadora (CA) reconocida por Entra … dato curioso, EZCA por Keytos está en la lista. Quizás esté pensando: “¡Oye! ¿Por qué necesito herramientas PKI de terceros para esto?” Bueno, desafortunadamente (y al estilo típico de Microsoft), Entra no ofrece una CA nativa integrada. Además, Incluso he llegado a decir que la emisión y la gestión están fuera del alcance Debido a esto, hay básicamente dos maneras en que podemos hacer las cosas…
Intune SCEP: sugerimos tomarse un tiempo para obtener más información sobre Intune y cómo obtener certificados SCEP. Pero tenga en cuenta que solo se consideran de 1 factor.
Tarjetas inteligentes o claves de hardware: para lograr una autenticación completa resistente al phishing, debes usar tarjetas inteligentes o YubiKeys (antes de que me grites que Hello For Business también es resistente al phishing, te preguntaré: ¿cómo puedes incorporarte a Hello for Business sin ¿Tiene una identidad existente? Si esto lo confunde, consulte nuestro blog sobre el problema del huevo y la gallina con la autenticación sin contraseña para una explicación más detallada).
La elección del proveedor de tarjetas inteligentes es una decisión fundamental. Influye en gran medida en aspectos como la experiencia del usuario, la solidez de la seguridad y la rentabilidad general. Entre las opciones disponibles, YubiKeys destaca como una de las principales recomendaciones. Son REALMENTE fáciles de usar, relativamente económicos, son compatibles con FIDO2 y mejorado protocolos de seguridad desarrollados en colaboración con Yubico y Keytos, garantiza un nivel de seguridad incomparable. Sin embargo, es posible que YubiKeys no se ajuste a las necesidades o al presupuesto de todos. En tales casos, los sistemas heredados como las tarjetas inteligentes PIVKey son la alternativa clara o la siguiente mejor solución. Una vez que haya seleccionado su proveedor de tarjetas inteligentes y haya solicitado algunas para probar, podemos configurar el resto de la infraestructura.
Para configurar EZCMS, primero debe registrar la aplicación en su inquilino. Una vez registrada la aplicación, puede ir al Portal de Azure y crear su instancia. Por último, querrás administrar la suscripción para asegurarte de que la configuración de tu organización esté configurada a tu gusto.
Si no tiene una CA existente o desea trasladar su infraestructura a la nube, le recomendamos utilizar EZCA, nuestra autoridad certificadora basada en la nube que le permite crear Autoridades de certificación respaldadas por HSM seguras y compatibles en Entra. La CA de tarjeta inteligente EZCA debe encadenarse a una CA raíz. Puede crear uno en EZCA o cadena hasta su CA raíz existente.
Consejo profesional: si ya tiene una autoridad de certificación ADCS de Windows configurada para emitir certificados de tarjetas inteligentes, puede conectar EZCMS a ADCS y comience a emitir certificados desde su CA ADCS.
Una vez que haya creado sus CA, debe cargar los certificados de CA en Azure como CA confiables haciendo lo siguiente:
1) Ingresar al portal de Azure como Administrador Global.
2) Elija Entra ID y haga clic en Seguridad en el panel de la izquierda.
3) Elija Autoridades de certificación.
4) Cargue el certificado para cada raíz y CA emisora en su infraestructura. Asegúrese de agregar una URL CRL de acceso público para que Azure pueda verificarla. los certificados no han sido revocados.
Al crear las CA en las que Azure necesita confiar para la autenticación de usuarios, debe permitir que Azure acepte CBA como método de autenticación haciendo lo siguiente:
1) Vaya a Métodos de autenticación (dentro de la sección Seguridad).
2) Elija Políticas en el panel de la izquierda.
3) Elija Autenticación basada en certificados.
4) Elija la pestaña Configurar.
5) Elija su nivel de protección preferido (Azure tiene como valor predeterminado Single Factor, por lo que si utiliza tarjetas inteligentes asegúrese de cambiarlo a Multi-Factor).
6) Vaya a la sección Reglas y cambie la configuración para que las CA puedan emitir certificados de usuario.
7) Establezca el orden de vinculación del nombre de usuario (cómo se escribe el nombre de usuario en el certificado).
8) Haga clic en Guardar.
Después de configurar las autoridades de certificación en las que Entra debe confiar para la autenticación de usuarios, debemos configurar Entra para que acepte la autenticación basada en certificados como método de autenticación.
1) Navegue hasta Métodos de autenticación dentro de la sección de seguridad.
2) Seleccione Políticas en el lado izquierdo.
3) Haga clic en autenticación basada en certificados.
4) Haga clic en la pestaña Configurar.
5) Seleccione el nivel de protección (Entra tiene como valor predeterminado el factor único, ya que no sabe si solo va a usar un certificado sin una tarjeta inteligente o si va a proteger ese certificado, por lo que si va a usar tarjetas inteligentes, cambiar a autenticación multifactor).
6) En la sección de reglas, establezca las CA que pueden emitir certificados de usuario. Nota: También puede establecer un ID de política si está utilizando esa CA para otros tipos de certificados, pero las mejores prácticas de PKI recomiendan usar una CA dedicada para la autenticación con tarjeta inteligente
7) Seleccione el orden de vinculación del nombre de usuario (así es como se agrega el nombre de usuario en el certificado). En este ejemplo, usaremos la asignación de PrincipalName al nombre principal del usuario, que es el valor predeterminado de EZCMS.
8) Haga clic en Guardar
EZCMS está diseñado para poder incorporar usuarios de múltiples inquilinos, por lo que puede usarlo para incorporar usuarios a todos sus diferentes inquilinos, por ejemplo, en Keytos, seguimos [las mejores prácticas de seguridad de Azure] (https://www.keytos.io/blog/cloud-security/azure-ad-identity-security-best-practices) y realizar un aislamiento completo de inquilinos para empresas (keytos.io), identidades de prueba e identidades de producción y usar EZCMS para incorporarlas todas. Siga la documentación de EZCMS para registrar su dominio.
Es hora de agregar un usuario de prueba a EZCMS. A continuación, podemos asignar una tarjeta inteligente a ese usuario. ¡Ahora estamos listos para emitir nuestra primera tarjeta inteligente!
Una vez que EZCMS esté configurado y haya creado su tarjeta inteligente de prueba, puede probar el flujo de autenticación de la siguiente manera:
1) Ir al portal de Azure en una pestaña de incógnito.
2) Ingresando su nombre de usuario.
3) Seleccione “Usar un certificado o tarjeta inteligente”
4) Seleccione su certificado de tarjeta inteligente
5) Ingrese su PIN.
6) Si usa una YubiKey, tóquela para completar la autenticación.
7) Ha iniciado sesión correctamente con su tarjeta inteligente.
¡Bien hecho! Ahora que ha configurado correctamente la autenticación con tarjeta inteligente con Entra CBA, puede comenzar a implementarla para todos sus usuarios.
¿Aún no estás seguro de estar preparado para afrontar este proyecto? ¡No hay problema! Utilice este enlace para programar algo de tiempo para hablar con nuestros expertos en identidad cuando le convenga. ¡El equipo de Keytos se enorgullece de hacer que la autenticación sin contraseña sea posible para cualquiera! ¡Estamos seguros de que una conversación rápida con el equipo le ayudará a sentirse cómodo a la hora de dar el siguiente paso en el camino de su organización hacia la confianza cero! Mientras tanto, eche un vistazo a algunas de nuestras lecturas recomendadas a continuación.
