Configuración de Microsoft Cloud App Security para control de acceso y sesión

Configuración de Microsoft Cloud App Security para control de acceso y sesión

14/11/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración y el uso de Microsoft Defender para aplicaciones en la nube (MDCA), anteriormente conocido como Microsoft Cloud App Security (MCAS), para implementar el control de acceso y sesión en aplicaciones en la nube. MDCA es una solución Cloud Access Security Broker (CASB) que ofrece visibilidad, control sobre el tráfico de datos y análisis sofisticados para identificar y combatir ciberamenazas en entornos de nube, siendo un componente crítico para la estrategia Zero Trust [1].

Introducción

La creciente adopción de aplicaciones SaaS (Software as a Service) ha traído numerosos beneficios en términos de productividad y flexibilidad, pero también ha introducido nuevos desafíos de seguridad. Las organizaciones deben garantizar que el acceso a estas aplicaciones sea seguro, que no se filtren datos confidenciales y que se detecte y mitigue la actividad maliciosa. Microsoft Defender para aplicaciones en la nube actúa como un punto de control entre los usuarios y las aplicaciones en la nube, lo que permite a las organizaciones monitorear y controlar el acceso y las sesiones en tiempo real, incluso para aplicaciones no administradas o en dispositivos no compatibles [2].

Esta guía práctica cubrirá los requisitos previos, la integración de MDCA con el acceso condicional de Azure AD, la configuración de políticas de sesión y acceso, la actividad de monitoreo y las mejores prácticas para garantizar una postura de seguridad sólida para sus aplicaciones en la nube. Se brindarán instrucciones paso a paso, ejemplos prácticos para que el lector pueda implementar y validar el control de acceso y sesiones con MDCA, fortaleciendo la seguridad de sus datos y aplicaciones en la nube de forma autónoma, profesional y confiable.

¿Por qué es crucial Microsoft Cloud App Security para el control de acceso y sesión?

  • Visibilidad y control: proporciona una visibilidad profunda del uso de las aplicaciones en la nube y permite un control granular sobre las acciones del usuario en tiempo real.
  • Protección de datos: ayuda a prevenir fugas de datos, descargas no autorizadas y cargas de archivos confidenciales a aplicaciones en la nube.
  • Detección de amenazas: identifica anomalías de comportamiento y actividades sospechosas que pueden indicar cuentas comprometidas o amenazas internas.
  • Cumplimiento: ayuda a las organizaciones a cumplir con las normas de privacidad y seguridad, garantizando que los datos se traten de acuerdo con las políticas corporativas.
  • Integración con el acceso condicional de Azure AD: amplía las capacidades del acceso condicional de Azure AD, permitiendo el acceso en tiempo real y las políticas de sesión.
  • Soporte para aplicaciones no administradas: Le permite extender el control y la protección a aplicaciones en la nube que no son administradas directamente por la organización.

Requisitos previos

Para implementar el control de acceso y sesión con Microsoft Cloud App Security, necesitará los siguientes elementos:

  1. Licencias: licencias independientes de Microsoft 365 E5, Enterprise Mobility + Security E5 o Microsoft Defender para aplicaciones en la nube [3].
  2. Acceso administrativo: una cuenta con la función de Administrador global o Administrador de seguridad en el portal Microsoft Defender XDR (https://security.microsoft.com) y en el portal Azure (https://portal.azure.com).
  3. Acceso condicional de Azure AD: Políticas de acceso condicional de Azure AD configuradas y en uso a medida que MDCA se integra con ellas para aplicar controles de sesión y acceso [4].
  4. Aplicaciones en la nube: aplicaciones en la nube (SaaS) que desea proteger. MDCA funciona con cualquier aplicación, pero la integración con el acceso condicional de Azure AD requiere la implementación de la aplicación de proxy inverso.

Paso a paso: configuración de Microsoft Defender para aplicaciones en la nube para control de acceso y sesión

Configuremos MDCA para controlar el acceso y las sesiones a las aplicaciones en la nube.

1. Habilitación de la integración de seguridad de aplicaciones en la nube

Primero, asegúrese de que MDCA esté habilitado e integrado en su entorno.

  1. Abra su navegador y navegue hasta el portal de Microsoft Defender XDR: https://security.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el panel de navegación izquierdo, seleccione Conf.guraciones > Puntos finales.
  4. Desplácese hacia abajo y seleccione Funciones avanzadas.
  5. Asegúrese de que la función Microsoft Defender para aplicaciones en la nube esté activada.

2. Configuración de una política de acceso condicional de Azure AD para el control de sesiones

Antes de que MDCA pueda aplicar controles de sesión, el tráfico debe enrutarse a través del proxy de acceso condicional de MDCA. Esto se hace configurando una política de acceso condicional de Azure AD.

  1. Abra su navegador y navegue hasta el portal de Azure: https://portal.azure.com.
  2. En el campo de búsqueda superior, escriba "Azure Active Directory" y selecciónelo de los resultados.
  3. En el panel de navegación izquierdo, seleccione Seguridad > Acceso condicional.
  4. Haga clic en +Nueva política.
  5. Nombre: asigne a la política un nombre significativo (por ejemplo, "Control de sesión MDCA para SharePoint Online").

  6. Usuarios de identidad o cargas de trabajo:

    • En "Incluir", seleccione "Todos los usuarios" o grupos específicos a los que desee dirigirse.
    • En "Excluir", agregue los usuarios o grupos que deberían estar exentos de esta política (por ejemplo, cuentas de servicio, administradores de emergencia).

  7. Aplicaciones o acciones en la nube:

    • En "Incluir", seleccione "Seleccionar aplicaciones" y busque la aplicación en la nube que desea proteger (por ejemplo, "SharePoint Online").

  8. Condiciones: Configure las condiciones según sus necesidades (por ejemplo, "Ubicaciones" para requerir que el acceso provenga de IP específicas, "Dispositivos" para requerir que el dispositivo sea compatible).

  9. Controles de sesión:

    • Seleccione Usar control de acceso a aplicaciones condicional.
    • En el menú desplegable, elija "Usar política personalizada".

  10. Habilitar política: configúrelo en "Activado".

  11. Haga clic en Crear.

    • Explicación: Esta política redirigirá el tráfico a SharePoint Online a través del proxy MDCA, lo que permitirá que MDCA aplique políticas de sesión en tiempo real.

3. Configuración de políticas de sesión en Microsoft Cloud App Security

Ahora que se está enrutando el tráfico, puede crear políticas de sesión en MDCA para controlar lo que pueden hacer los usuarios.

  1. Vuelva al portal de Microsoft Defender XDR: https://security.microsoft.com.
  2. En el panel de navegación izquierdo, seleccione Aplicaciones en la nube > Políticas > Administración de políticas.

  3. En la pestaña "Acceso condicional", haga clic en "+ Crear política" > "Política de sesión".

  4. Nombre de la política: asígnele un nombre (por ejemplo: "Bloquear descarga de SharePoint Online").

  5. Descripción: Proporcione una descripción clara del propósito de la póliza.
  6. Tipo de gravedad: Defina la gravedad (por ejemplo, "Alta").
  7. Categoría: seleccione una categoría (por ejemplo: "Prevención de pérdida de datos").

  8. Filtros de actividad:

    • Actividades: Seleccione Descargar.
    • Aplicaciones: Seleccione SharePoint Online.
    • Dispositivo: seleccione Etiqueta de dispositivo y elija No administrado (para bloquear descargas en dispositivos no administrados).
    • Usuarios: Especifique los usuarios o grupos a los que se aplica esta política.

  9. Acciones:

    • Seleccione Bloquear.
    • Opcionalmente, puedes seleccionar Test para monitorear la actividad sin bloquear, o Control con proxy para permitir descargas pero con inspección o etiquetado.

  10. Configure Alertas y Gobierno según sea necesario.

  11. Haga clic en Crear.

    • Explicación: Esta política bloqueará las descargas de SharePoint Online para los usuarios que accedan desde dispositivos no administrados, gracias a la redirección del proxy MDCA mediante la política de acceso condicional de Azure AD.

4. Configuración de políticas de acceso en Microsoft Cloud App Security

Las políticas de acceso en MDCA controlan el acceso a las aplicaciones en la nube en función de varios criterios, como ubicación, dispositivo, IP, etc.

  1. En el portal de Microsoft Defender XDR, seleccione Aplicaciones en la nube > Políticas > Administración de políticas.

  2. En la pestaña "Acceso condicional", haga clic en "+ Crear política" > "Política de acceso".

  3. Nombre de la política: asígnele un nombre (por ejemplo: "Bloquear acceso desde países riesgosos").

  4. Descripción: proporcione una descripción clara.
  5. Tipo de gravedad: establezca la gravedad.
  6. Categoría: seleccione una categoría (por ejemplo: "Control de acceso").

  7. Filtros de actividad:

    • Actividades: Selecciona Acceso.
    • Aplicaciones: Selecciona la aplicaciónaplicación en la nube (por ejemplo, "Todas las aplicaciones en la nube").
    • Ubicaciones: seleccione "Etiqueta de dirección IP" y elija "Países de riesgo" o cree una nueva etiqueta IP para países específicos que desee bloquear.

  8. Acciones:

    • Seleccione Bloquear.

  9. Configure Alertas y Gobierno según sea necesario.

  10. Haga clic en Crear.

    • Explicación: Esta política bloqueará el acceso a todas las aplicaciones en la nube para los usuarios que intenten conectarse desde países considerados en riesgo.

5. Monitoreo de actividades y alertas

MDCA proporciona herramientas sólidas para monitorear e investigar la actividad y las alertas de los usuarios.

  1. En el portal de Microsoft Defender XDR, seleccione Aplicaciones en la nube > Registros de actividad. *Aquí puedes ver todas las actividades detectadas por MDCA, filtrar por usuario, aplicación, tipo de actividad, etc.

  2. En el panel de navegación izquierdo, seleccione Incidentes y alertas > Alertas. *Aquí verás todas las alertas generadas por las políticas que tengas configuradas, así como las alertas de detección de anomalías.

Validación y pruebas

Es fundamental validar las políticas configuradas para garantizar que funcionen como se espera.

1. Prueba de la política de sesión (descarga en bloque)

  1. Utilice un dispositivo que no esté marcado como "Administrado" o "Soportado" (por ejemplo, una computadora personal o un dispositivo móvil sin Intune).
  2. Inicie sesión en su cuenta de Microsoft 365 e intente acceder a SharePoint Online.

  3. Intente descargar un archivo de SharePoint Online.

    • Resultado esperado: la descarga debería bloquearse y debería aparecer un mensaje MDCA personalizado que indique que la acción se bloqueó debido a la política de la organización.

  4. Verifique los "Registros de actividad" y las "Alertas" en el portal MDCA para confirmar que se activó la política de sesión y que se generó una alerta.

2. Prueba de la política de acceso (bloquear el acceso desde países riesgosos)

  1. Utilice una VPN o un proxy para simular una conexión desde un país que haya configurado como "País de riesgo".

  2. Intente acceder a cualquier aplicación en la nube (por ejemplo, Outlook Web Access, SharePoint Online).

    • Resultado esperado: el acceso debe bloquearse y debe aparecer un mensaje MDCA personalizado que indique que el acceso fue denegado debido a la política de la organización.

  3. Verifique los "Registros de actividad" y las "Alertas" en el portal MDCA para confirmar que se activó la política de acceso y que se generó una alerta.

Consejos de seguridad y mejores prácticas

  • Comience con Monitoreo: Al implementar nuevas políticas, comience con la acción "Monitorear" o "Probar" para comprender el impacto antes de aplicar las acciones "Bloquear" o "Controlar con proxy".
  • Educación del usuario: comunique claramente a los usuarios sobre las políticas de seguridad y por qué ciertas acciones están bloqueadas. Esto ayuda a reducir la frustración y aumentar el cumplimiento.
  • Granularidad de políticas: cree políticas de sesión y acceso granulares para diferentes grupos de usuarios, aplicaciones y escenarios de riesgo. Evite políticas demasiado amplias que podrían afectar la productividad.
  • Integración con otras soluciones: aproveche la integración de MDCA con otras soluciones de Microsoft (Defender for Endpoint, Azure AD Identity Protection, Microsoft Sentinel) para obtener una vista de seguridad más completa.
  • Revisión periódica: revise y ajuste sus políticas MDCA periódicamente para adaptarse a las amenazas cambiantes, los requisitos comerciales y la adopción de nuevas aplicaciones en la nube.
  • Configuración de proxy: Comprenda cómo funciona el proxy de acceso condicional MDCA y los impactos en la experiencia del usuario y la compatibilidad de las aplicaciones.
  • Administración de dispositivos: combine MDCA con Microsoft Intune para administrar el cumplimiento de los dispositivos y aplicar políticas más estrictas a los dispositivos no administrados.

Solución de problemas comunes

  • No se están aplicando políticas de sesión/acceso: Verifique que la política de acceso condicional de Azure AD esté configurada correctamente para enrutar el tráfico a través de MDCA ("Usar control de acceso a aplicaciones condicionales"). Asegúrese de que la aplicación en la nube esté incluida en la política.
  • Los usuarios están bloqueados erróneamente: revise los filtros de actividad y las condiciones en la sesión de MDCA y las políticas de acceso. Consulte su política de acceso condicional de Azure AD para conocer las exclusiones requeridas. Consultar registros de actividadcapacidad de entender qué política se está activando.
  • Rendimiento lento o problemas de compatibilidad: el enrutamiento del proxy MDCA puede introducir una pequeña cantidad de latencia. Verifique la conectividad de red y la configuración del proxy. Algunas aplicaciones pueden tener problemas de compatibilidad de proxy. Consulte la documentación de Microsoft para conocer problemas conocidos.
  • Alertas de falsos positivos: ajuste las condiciones y la sensibilidad de la política para reducir las alertas irrelevantes. Utilice el modo "Monitor" o "Prueba" para refinar las políticas antes de aplicarlas en el modo de bloqueo.
  • Las aplicaciones no aparecen en MDCA: asegúrese de que la aplicación en la nube se esté utilizando activamente y que MDCA esté configurada para descubrir aplicaciones. Para aplicaciones de proxy inverso, verifique su configuración de acceso condicional de Azure AD.

Conclusión

Microsoft Defender for Cloud Apps is an indispensable tool for any organization looking to protect its data and users in a cloud-centric world. Al implementar controles de acceso y sesión, MDCA permite a los equipos de seguridad aplicar políticas granulares en tiempo real, mitigando los riesgos de fuga de datos, acceso no autorizado y actividad maliciosa en aplicaciones SaaS. La integración con el acceso condicional de Azure AD crea una poderosa sinergia que extiende la seguridad Zero Trust a la capa de aplicación. Con esta guía práctica, los profesionales de la seguridad estarán bien equipados para configurar, validar y administrar Microsoft Security para aplicaciones en la nube, garantizando un entorno de nube más seguro y compatible para sus organizaciones.

Referencias:

[1] Microsoft aprende. ¿Qué es Microsoft Defender para aplicaciones en la nube?. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft aprende. Control de aplicaciones de acceso condicional de Microsoft Defender para aplicaciones en la nube. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/proxy-intro-aad [3] Microsoft aprende. Licencia de Microsoft Defender para aplicaciones en la nube. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/licensing [4] Microsoft aprende. Configurar políticas de acceso condicional para el control de aplicaciones de acceso condicional. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/conditional-access-app-control-how-to-overview [5] Microsoft aprende. Crear políticas de sesión de Microsoft Defender para aplicaciones en la nube. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/session-policy-aad [6] Microsoft aprende. Crear políticas de acceso a Microsoft Defender para aplicaciones en la nube. Disponible en: https://learn.microsoft.com/pt-br/defender-cloud-apps/access-policy-aad