Entra ID ofrece varias funciones de protección de identidad, incluido el acceso condicional y el monitoreo de inicios de sesión riesgosos; sin embargo, la verdadera seguridad se logra cuando no hay contraseñas que puedan verse comprometidas. Para protegernos contra el robo de identidad, hemos adoptado un enfoque totalmente sin contraseña para las identidades de usuario y máquina. Este objetivo puede parecer desafiante, pero con las herramientas adecuadas, no solo mejora la seguridad sino que también aumenta la productividad.
Para lograr una autenticación de usuario sin contraseña, debe emplear una tarjeta inteligente y/o una autenticación FIDO2. FIDO2 es un estándar industrial de larga data, sin embargo, hay casos (incluido Entra ID) en los que no es un método de autenticación aceptado. Para solucionar esto, combinamos FIDO2 con Entra CBA. Podemos utilizar fácilmente estos dos métodos haciendo que los usuarios se incorporen automáticamente a su identidad sin contraseña con EZCMS, el mejor CMS FIDO2 y Smartcard para Entra.
Las contraseñas no se limitan a las identidades de los usuarios; también prevalecen en las máquinas, al acceder a Entra ID, bases de datos y más. Para eliminarlos, utilizamos principalmente MSI de Azure, que no tienen contraseña y están administrados por el Buena gente de Microsoft, simplificando la autenticación con otros servicios de Microsoft.
En los casos en los que las MSI no son aplicables, como la autenticación entre inquilinos o cuando las aplicaciones se alojan externamente (como en los servidores locales de los clientes), utilizamos Principales de servicio de Azure con CBA. Este método difiere de los MSI o de la autenticación de certificados estándar, ya que cada certificado nuevo debe registrarse en Entra. Para evitar problemas relacionados con la caducidad de los certificados, utilizamos la rotación automática de certificados de EZCA para aplicaciones de Azure AD.
Es de suma importancia aislar su identidad de Entra ID para reforzar la seguridad de su identidad de Entra ID. Por ejemplo, aquí en Keytos gestionamos servicios esenciales para numerosas organizaciones grandes, lo que requiere medidas de seguridad de primer nivel. Si bien nuestro enfoque avanzado sin contraseña minimiza significativamente nuestra vulnerabilidad, mejoramos aún más nuestra seguridad al adherirnos a las mejores prácticas de identidad de Microsoft. Esto incluye establecer un inquilino de producción independiente, completamente separado y en el que nuestro inquilino corporativo no confíe. En consecuencia, si se viola una cuenta corporativa, el intruso no puede acceder a nuestros recursos de producción. Este aislamiento nos permite implementar medidas estrictas como políticas inteligentes de acceso condicional. Estas políticas otorgan permisos basados en evaluaciones de riesgos, considerando factores como puntuaciones de inicio de sesión inteligentes y el estado del dispositivo.
Créelo: aislar su identidad de Entra es fundamental para mejorar la postura de ciberseguridad de su organización.
Aunque aislar identidades aumenta significativamente la seguridad de los recursos, principalmente protege contra el robo de identidad. Hoy en día, los piratas informáticos se están volviendo cada vez más sofisticados y lanzan ataques de malware que pueden robar credenciales o explotar su computadora para acceder a recursos. Para contrarrestar esta amenaza, recomendamos adoptar una versión contemporánea del modelo PAW (Estación de Trabajo de Acceso Privilegiado) de Microsoft. En lugar de depender de tecnologías locales obsoletas, como controladores de dominio, es más eficaz utilizar Intune para la administración de dispositivos y el acceso condicional de Entra para verificar el estado del dispositivo antes de cada sesión de inicio de sesión.
Tenemos una gran confianza en nuestro enfoque seguro de gestión de identidades y dispositivos, pero también creemos que el acceso humano a la producción debe restringirse únicamente a instancias esenciales. Esta política no sólo mejora la seguridad sino que también fomenta prácticas de ingeniería sólidas. Al hacer que el acceso a la producción sea más desafiante, se incentiva el desarrollo de procesos de implementación automatizados y funciones de autorreparación que, a su vez, aumentan la confiabilidad y eficiencia de nuestro sistema. Para mantener este estándar, hemos adoptado una política de no acceso permanente a la producción y recomendamos encarecidamente que su organización haga lo mismo. Los ingenieros que requieran acceso a recursos de producción deben solicitarlo formalmente, ya sea a través de Microsoft PIM para fines generales. recursos o a través de EZSSH para puntos finales de Linux.
Al adoptar el enfoque de “asumir una infracción” de Microsoft, reconocemos que depender únicamente de los protocolos de seguridad no es suficiente para salvaguardar la infraestructura de ninguna manera; el monitoreo activo y la detección de anomalías también son cruciales. Más allá de usar Sentinel y Azure Defender para la Nube, recomendamos usar CloudWatcher. Esta solución gratuita y de código abierto fue desarrollada por los ex ingenieros de Microsoft en Keytos y observa de cerca cualquier alteración menor en nuestro entorno Entra, alertando a nuestro ingeniero de guardia sobre cualquier cambio detectado. Como empresa centrada en la seguridad, también sugerimos seguir la recomendación de Google para monitorear los registros de Certificados de Transparencia (CT) usando EZMonitor. Esta práctica no solo protegerá a su organización de posibles ataques MITM basados en certificados SSL, sino también de otras amenazas, como adquisiciones de subdominios.
Aquí en Keytos practicamos lo que predicamos. Seguimos al pie de la letra cada una de las mejores prácticas enumeradas en este blog, y hacerlo nos ha permitido cumplir y superar algunos de los requisitos de cumplimiento más respetados en el espacio de la ciberseguridad, como SOC 2 tipo 2 y PCI nivel 4. Como tal, podemos decir con confianza que somos los expertos cuando se trata de ayudar a su organización a proteger su infraestructura. ¿No nos crees? No dude en programar una consulta GRATUITA con uno de nuestros expertos en seguridad hoy para ver cómo puede ¡Comience su viaje para reforzar su postura de ciberseguridad con Keytos hoy!
