Cómo aplicar el modelo Zero Trust usando Entra ID e Intune

Cómo aplicar el modelo Zero Trust usando Entra ID e Intune

08/02/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la implementación del modelo de seguridad Zero Trust utilizando las capacidades de Microsoft Entra ID (anteriormente Azure Active Directory) y Microsoft Intune. El modelo Zero Trust, basado en el principio de "nunca confiar, siempre verificar", es un enfoque de seguridad moderno que supone que no se debe confiar automáticamente en ninguna solicitud de acceso, independientemente de dónde se origine o a qué recurso intente acceder [1].

Introducción

Con la expansión del trabajo remoto, la proliferación de dispositivos personales y la migración a la nube, el perímetro de seguridad tradicional de las redes corporativas ha quedado obsoleto. El modelo Zero Trust surge como respuesta a este nuevo escenario, exigiendo una verificación explícita para cada intento de acceso, otorgando acceso con mínimos privilegios y siempre asumiendo una violación. Microsoft Entra ID y Microsoft Intune son componentes cruciales para construir una arquitectura Zero Trust sólida, protegiendo identidades y puntos finales, respectivamente [2].

Esta guía práctica cubrirá los principios de Zero Trust y demostrará cómo configurar e integrar Microsoft Entra ID y Microsoft Intune para aplicar estos principios. Se proporcionarán instrucciones paso a paso, ejemplos de configuración y métodos de validación para que el lector pueda implementar y fortalecer la postura de seguridad de su organización con un enfoque de Confianza Cero.

Principios de confianza cero

El modelo Zero Trust se basa en tres principios fundamentales [3]:

  1. Verificar explícitamente: autenticar y autorizar siempre en función de todos los puntos de datos disponibles, incluida la identidad del usuario, la ubicación, el estado del dispositivo, la sensibilidad de los recursos y las anomalías.
  2. Usar acceso con privilegios mínimos: limite el acceso de los usuarios solo a lo necesario. Utilice Just-In-Time (JIT) y Just-Enough Access (JEA), políticas adaptativas basadas en riesgos y protección de datos para proteger los datos y la productividad.
  3. Asumir infracción: Minimizar el radio de explosión y el acceso al segmento. Verifique el cifrado de extremo a extremo y utilice análisis para ganar visibilidad, detectar amenazas y mejorar las defensas.

Requisitos previos

Para implementar el modelo Zero Trust con Microsoft Entra ID e Intune, necesitará los siguientes elementos:

  1. Licencias: Licencias apropiadas para Microsoft Entra ID Premium P1 o P2 (para acceso condicional) y Microsoft Intune (generalmente parte de los paquetes Microsoft 365 E3/E5 o EMS E3/E5) [4].
  2. Acceso administrativo: Cuentas con permisos de Administrador global, Administrador de seguridad o Administrador de Intune en los portales del centro de administración de Microsoft Entra (entra.microsoft.com) y del centro de administración de Microsoft Endpoint Manager (endpoint.microsoft.com).
  3. Dispositivos inscritos en Intune: dispositivos Windows 10/11 ya inscritos y administrados por Microsoft Intune.
  4. Identidades en Microsoft Entra ID: Usuarios y grupos sincronizados o creados en Microsoft Entra ID.

Paso a paso: aplicando el modelo Zero Trust

Nos centraremos en cómo Microsoft Entra ID e Intune trabajan juntos para hacer cumplir los principios de Confianza Cero, especialmente "Verificar explícitamente" y "Usar acceso con privilegios mínimos".

1. Fortalecimiento de la identidad con Microsoft Entra ID

Microsoft Entra ID es la columna vertebral de Zero Trust para identidades, lo que garantiza que solo los usuarios verificados tengan acceso.

1.1. Implementar la autenticación multifactor (MFA)

La AMF es un componente fundamental del principio de "control explícito".

  1. Configurar MFA mediante acceso condicional: como se detalla en el artículo 3, cree una política de acceso condicional para requerir MFA para todos los usuarios, o para grupos específicos, o para el acceso desde fuera de la red corporativa.
    • En el centro de administración de inicio de sesión de Microsoft, vaya a Protección > Acceso condicional.
    • Cree una nueva política con la siguiente configuración:
      • Asignaciones > Identidad de usuarios o cargas de trabajo: seleccione Todos los usuarios (excluidas las cuentas de emergencia).
      • Recursos o acciones en la nube: Todas las aplicaciones en la nube.
      • Conceder: marque Requerir autenticación multifactor.
      • Habilitar política: Habilitado.

1.2. Habilite la protección de identidad de Azure AD

Identity Protection detecta vulnerabilidades que afectan las identidades de su organización, configura políticas automatizadas basadas en riesgos para proteger esas identidades e investiga actividades de riesgo [5].

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Protección > Protección de identidad.
  2. Políticas de riesgo del usuario: configure esta política para requerir MFA o restablecimiento de contraseña para usuarios de riesgo medio o alto.
    • Funciones > Usuarios: seleccione Todos los usuarios.
    • Condiciones > Riesgo de usuario: seleccione Medio y superior.
    • Controles > Acceso: Conceder acceso y Requerir restablecimiento de contraseña o Requerir autenticación multifactor.
    • Habilitar política: Habilitado.
  3. Políticas de riesgo de entrada: configure esta política para bloquear o requerir MFA para entradas riesgosas.
    • Funciones > Usuarios: seleccione Todos los usuarios.
    • Condiciones > Riesgo de entrada: Seleccione Medio y superior.
    • Controles > Acceso: Otorgar acceso y Requerir autenticación multifactor (o Bloquear acceso para alto riesgo).
    • Habilitar política: Habilitado.

2. Garantizar la integridad de los terminales con Microsoft Intune

Intune garantiza que los dispositivos que acceden a los recursos corporativos estén en buen estado y sean compatibles aplicando el principio de "verificación explícita" al dispositivo.

2.1. Crear políticas de cumplimiento de dispositivos

Las políticas de cumplimiento definen los requisitos de seguridad que debe cumplir un dispositivo para ser considerado compatible. Los dispositivos que no cumplan pueden tener acceso bloqueado o restringido mediante Acceso Condicional.

  1. En el centro de administración de Microsoft Endpoint Manager (https://endpoint.microsoft.com), vaya a Endpoint Security > Device Compliance > Políticas.
  2. Haga clic en Crear política.
  3. Plataforma: Windows 10 y posteriores.
  4. Configuración de cumplimiento:
    • Integridad del dispositivo: requiere BitLocker, arranque seguro, etc.
    • Seguridad del dispositivo: Requiere antivirus (por ejemplo, Microsoft Defender Antivirus), firewall, contraseñas complejas, etc.
    • Propiedades del dispositivo: requiere una versión mínima del sistema operativo.
  5. Acciones por incumplimiento: configure acciones como marcar el dispositivo como no conforme inmediatamente o después de un período de gracia.
  6. Asignaciones: asigne la política a los grupos de dispositivos de Windows relevantes.

2.2. Crear perfiles de configuración de dispositivos

Los perfiles de configuración le permiten implementar configuraciones de seguridad específicas, como configuraciones de firewall, configuraciones de seguridad de Microsoft Defender y restricciones de dispositivos.

  1. En el centro de administración de Microsoft Endpoint Manager, vaya a Dispositivos > Windows > Perfiles de configuración.
  2. Haga clic en Crear perfil.
  3. Plataforma: Windows 10 y posteriores.
  4. Tipo de perfil: seleccione plantillas como "Protección de endpoints" para configurar el antivirus y el firewall de Microsoft Defender, o "Restricciones de dispositivos" para deshabilitar funciones específicas.
  5. Configure los ajustes de seguridad de acuerdo con las mejores prácticas de su organización.
  6. Asignaciones: Asigne el perfil a los grupos de dispositivos de Windows relevantes.

3. Integración de Entra ID e Intune con acceso condicional

El acceso condicional es el motor que reúne políticas de identidad (Entra ID) y de dispositivo (Intune) para aplicar Zero Trust.

3.1. Cree una política de acceso condicional para requerir un dispositivo compatible

Esta política garantizará que solo los dispositivos que cumplan con los estándares de cumplimiento de Intune puedan acceder a las aplicaciones en la nube.

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Protección > Acceso condicional.
  2. Haga clic en Nueva política > Crear nueva política.
  3. Nombre: Requerir dispositivo compatible para acceder.
  4. Asignaciones > Identidad de usuarios o cargas de trabajo: seleccione Todos los usuarios (excluidas las cuentas de emergencia).
  5. Recursos o acciones en la nube: Todas las aplicaciones en la nube.
  6. Condiciones (Opcional): Puede agregar condiciones como "Plataformas de dispositivos" para Windows.
  7. Conceder:
    • Seleccione Conceder acceso.
    • Marque Requerir que el dispositivo esté marcado como compatible. Haga clic en Selecciónetc.*.
  8. Habilitar política: Habilitado.
  9. Haga clic en Crear.

Validación y pruebas

Validar la implementación de Zero Trust es crucial para garantizar que las políticas funcionen como se espera.

1. Pruebe el acceso desde un dispositivo compatible

  1. En un dispositivo Windows compatible y administrado con Intune, intente acceder a una aplicación en la nube (por ejemplo, portal.office.com).
  2. Se debe otorgar acceso después de la autenticación del usuario (y MFA, si está configurado).

2. Pruebe el acceso desde un dispositivo no compatible

  1. En un dispositivo Windows que no cumple (por ejemplo, deshabilite el firewall, cambie la versión del sistema operativo a una no permitida por la política de cumplimiento de Intune o use un dispositivo no administrado).
  2. Intente acceder a una aplicación en la nube (por ejemplo, portal.office.com).
  3. Se debe bloquear el acceso y el usuario debe recibir un mensaje indicando que el dispositivo no cumple y no puede acceder al recurso.

3. Supervisar informes de acceso condicional

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Protección > Acceso condicional > Informes.
  2. Revise los registros de entrada para ver qué políticas de acceso condicional se aplicaron y el resultado (éxito, error, solo informe).

Consejos de seguridad y mejores prácticas

  • Comience poco a poco, expanda gradualmente: implemente políticas de confianza cero en grupos de prueba antes de expandirse a toda la organización para minimizar las interrupciones.
  • Educación y comunicación: comunique claramente los cambios a los usuarios y brinde capacitación sobre cómo mantener sus dispositivos compatibles y cómo usar MFA.
  • Monitoreo continuo: supervise periódicamente los informes de cumplimiento de Intune y los registros de acceso condicional y protección de identidad para identificar lagunas o anomalías.
  • Acceso con privilegios mínimos: combine políticas de acceso condicional con PIM (Administración de identidad privilegiada) para garantizar que el acceso privilegiado sea justo a tiempo y suficiente.
  • Asume una infracción: configure Microsoft Defender para endpoints para la detección avanzada de amenazas en los endpoints y Microsoft Sentinel para la orquestación de la seguridad y la respuesta automatizada.
  • Revisión periódica: revise y ajuste sus políticas de confianza cero periódicamente para adaptarse a los cambios en el entorno de amenazas y los requisitos comerciales.

Solución de problemas comunes

  • Acceso bloqueado inesperadamente: consulte los registros de inicio de sesión de acceso condicional para identificar qué política está bloqueando el acceso. Verifique las políticas de cumplimiento de Intune para el dispositivo afectado.
  • Dispositivo no compatible: verifique el estado de cumplimiento de su dispositivo en Intune. Puede ser que el dispositivo no haya recibido las políticas o que alguna configuración impida el cumplimiento (por ejemplo, antivirus deshabilitado, versión antigua del sistema operativo).
  • Conflictos de políticas: revise todas las políticas de cumplimiento y acceso condicional para asegurarse de que no haya exclusiones o inclusiones conflictivas que puedan provocar un comportamiento inesperado.
  • Problemas de sincronización: asegúrese de que los dispositivos y los usuarios se sincronicen correctamente con Intune y Azure AD, respectivamente.

Conclusión

Aplicar el modelo Zero Trust es una estrategia de seguridad esencial para proteger a las organizaciones en el panorama digital actual. Al aprovechar Microsoft Entra ID para administrar identidades y Microsoft Intune para garantizar la integridad de los terminales, las empresas pueden implementar un enfoque de seguridad sólido que verifica explícitamente cada solicitud de acceso y opera según el principio de privilegio mínimo. La integración de estas herramientas a través del acceso condicional crea una defensa poderosa y adaptable, que garantiza que solo los usuarios y dispositivos confiables puedan acceder a los recursos corporativos, independientemente de su ubicación. El camino hacia Zero Trust es continuo y requiere monitoreo y perfeccionamiento constantes, pero los beneficios en términos de reducción de riesgos y fortalecimiento de la seguridad son invaluables.

Referencias:

[1] Microsoft aprende. ¿Qué es Confianza Cero?. Disponible en: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft aprende. Confianza cero con Microsoft Intune. Disponible en: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft aprende. Principios rectores de confianza cero. Disponible en: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft aprende. Licencia para Microsoft Enter ID. Disponible en: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft aprende. ¿Qué es la protección de identidad?. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection