Si está leyendo esto, probablemente esté buscando una manera de proteger su identidad de Azure AD (Entra ID) con acceso condicional, autenticación multifactor o autenticación de red y probablemente haya mirado a Duo; sin embargo, ya sea su precio o su experiencia de usuario (consulte cómo un estudiante de Purdue creó una extensión de navegador para moverse por Duo a la mala experiencia del usuario) te hace buscar una alternativa.
¡Afortunadamente, estamos aquí con la alternativa, y la mejor parte es que es (en su mayor parte) gratis (o ya estás pagando por ella sin saberlo)! La respuesta es: Azure AD. Azure AD tiene todas las características de seguridad que ofrecen la mayoría de los proveedores de identidades y la mayoría de ellas las ofrecen de forma gratuita con los planes básicos (el acceso condicional está detrás de una licencia P2, pero la mayoría de las organizaciones compran estas licencias por sí solas o como un paquete con E3 o E5 que son necesarios para la administración de dispositivos con Intune). De hecho, aquí en Keytos protegemos nuestra infraestructura de Azure ejecutando únicamente soluciones de identidad de Microsoft y somos capaces de para cumplir y superar la mayoría de los requisitos de seguridad y cumplimiento para ejecutar PKI para empresas Fortune 500 y organizaciones gubernamentales.
Una de las principales formas de proteger la identidad de su organización es sin contraseña. Estar sin contraseña te permite prevenir ataques de phishing, y también se ha demostrado para ahorrarte dinero a largo plazo. Azure AD le permite no usar contraseña con su aplicación de autenticación de teléfono, así como con métodos de autenticación no phishing como FIDO2 en Entra ID y Entra ID CBA (Certificate Based Authentication). En el vídeo a continuación puede ver cómo habilitar estos tres métodos con la ayuda de EZCMS, la mejor manera de incorporarse a Azure CBA.
La segunda razón por la que escuchamos que las personas quieren usar Duo es para usar la aplicación del teléfono como segundo factor de autenticación. La aplicación Authenticator de Microsoft es una de las aplicaciones de autenticación más populares, lo que significa que sus usuarios ya la han instalado para sus cuentas personales. y están familiarizados con la experiencia. Además, la integración con los servicios de Microsoft (como la autenticación sin contraseña en todos los servicios de Microsoft) y el precio (¡gratis!) la convierten en la mejor opción para la autenticación basada en teléfono.
Tener autenticación multifactor es el primer paso para proteger su identidad, pero lamentablemente ya no es suficiente. Una identidad sólida debe combinarse con un acceso condicional inteligente que verifique que el usuario se autentica desde un dispositivo aprobado, desde una ubicación aprobada, y que el dispositivo cumple con los requisitos de seguridad. Microsoft tiene su propio MDM (Intune) les permite ofrecer acceso condicional que valida que el usuario se está autenticando desde un dispositivo administrado, así como establecer políticas más estrictas basadas en el estado del dispositivo. La gran presencia de Microsoft también les permite detectar ataques antes que otros proveedores de identidad, ya que su IA puede ver patrones en múltiples clientes.
El talón de Aquiles de Microsoft es Linux; Si bien lo han estado admitiendo en Windows y Azure durante un tiempo, Azure AD aún no tiene una forma nativa para que las organizaciones administren el acceso a Linux a través de SSH, lo que obliga a las organizaciones a implementar soluciones como Duo para abordar el agujero de seguridad de Linux. Afortunadamente, EZSSH, la primera solución SSH totalmente sin agentes, le permite autenticarse de forma nativa en sus terminales Linux con su credencial Entra ID sin necesidad de instalar módulos PAM personalizados o agentes de alto privilegio. En su lugar, utiliza su ID de Entra con políticas de acceso condicional para garantizar que tenga acceso al punto final y, si lo tiene, crea un Certificado SSH y le brinda acceso Just In Time a sus recursos. Si bien suena complicado, puedes ver el video a continuación sobre cuán fluida es la experiencia del usuario (y definitivamente más rápida que tener que sacar tu teléfono e ingresar un código cada vez que intentas SSH).
La última forma en que puede mejorar la seguridad de la identidad de su organización es habilitar el SSO para todos los servicios que utilizan sus usuarios. Entra ID es el proveedor de identidad número uno, lo que significa que la mayoría de los servicios habilitan SSO para identidades de Microsoft, lo que lo convierte en la mejor opción para su organización.
Créanme, ejecuto los servicios de identidad para Keytos; sé lo complicado que puede ser administrar AAD, desde comportamientos extraños al configurar hasta documentación no tan excelente, pero incluso con todas esas fallas, tener un Microsoft completamente nativo El sistema de identidad es la mejor manera de proteger su organización. Si aún tiene preguntas, reserve una llamada gratuita con uno de nuestros expertos en identidad y podremos ayudarlo en su viaje hacia una experiencia en línea más segura identidad.
