Implementación de acceso condicional en Azure AD para fortalecer la seguridad

Implementación de acceso condicional en Azure AD para fortalecer la seguridad

01/05/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la implementación y optimización del acceso condicional en Microsoft Entra ID (anteriormente Azure Active Directory). El acceso condicional es el mecanismo emblemático de aplicación de políticas Zero Trust de Microsoft, que permite a las organizaciones controlar el acceso a los recursos en función de condiciones en tiempo real, como la identidad del usuario, la ubicación, el estado del dispositivo y el riesgo de la sesión [1].

Introducción

En el panorama de seguridad actual, donde las amenazas cibernéticas son sofisticadas y prevalece el trabajo remoto, la protección tradicional del perímetro de la red ya no es suficiente. El acceso condicional de Azure AD permite a las organizaciones pasar de un enfoque de seguridad estático a un enfoque dinámico y adaptable en el que cada intento de acceso se evalúa antes de otorgarse. Esto garantiza que el acceso se conceda únicamente a usuarios y dispositivos confiables, bajo condiciones específicas, protegiendo los datos y las aplicaciones de la empresa de manera más efectiva [2].

Esta guía práctica cubrirá la creación y configuración de políticas de acceso condicional, incluido el requisito de autenticación multifactor (MFA), dispositivos compatibles, ubicaciones confiables y bloqueo de autenticación heredada. Se proporcionarán instrucciones paso a paso, ejemplos de configuración y métodos de validación para que el lector pueda implementar y fortalecer la postura de seguridad de su organización, garantizando que el acceso a los recursos sea seguro y cumpla con las normas.

¿Por qué es crucial el acceso condicional?

  • Zero Trust: Es el motor de políticas para implementar el modelo Zero Trust, verificando explícitamente cada solicitud de acceso.
  • Control adaptativo: permite que las políticas de acceso se adapten dinámicamente en función de señales de riesgo en tiempo real.
  • Protección integral: protege identidades, dispositivos, datos y aplicaciones en la nube y en las instalaciones.
  • MFA y cumplimiento de dispositivos: facilita la aplicación de MFA y requiere dispositivos compatibles o unidos a Azure AD para acceder.
  • Reducción de riesgos: ayuda a mitigar riesgos como el robo de credenciales, el acceso desde dispositivos no autorizados y el acceso desde ubicaciones sospechosas.

Requisitos previos

Para implementar el acceso condicional en Azure AD, necesitará los siguientes elementos:

  1. Licencia: una licencia de Microsoft Enroll ID Premium P1 o P2 (anteriormente Azure AD Premium P1 o P2). El acceso condicional es una característica única de estas licencias [3].
  2. Acceso administrativo: una cuenta con la función de Administrador de acceso condicional, Administrador de seguridad o Administrador global en el centro de administración de Microsoft Entra (https://entra.microsoft.com).
  3. Usuarios y grupos: usuarios y grupos de seguridad en Microsoft Entra ID para probar políticas.
  4. Autenticación multifactor (MFA) configurada: para políticas que requieren MFA, los usuarios deben tener MFA configurada y registrada.
  5. Dispositivos administrados (opcional): para las políticas que requieren dispositivos compatibles o unidos a Azure AD/Hybrid, los dispositivos deben ser administrados por Microsoft Intune o unidos a Azure AD.

Paso a paso: Configurar políticas de acceso condicional

Creemos algunas políticas esenciales de acceso condicional para fortalecer la seguridad.

1. Accediendo al Portal de Microsoft Ingrese al centro de administración

  1. Abra su navegador y navegue hasta https://entra.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.
  3. En el panel de navegación izquierdo, seleccione Protección > Acceso condicional.

2. Creación de una política para exigir MFA a todos los usuarios (excluidas las cuentas de emergencia)

Esta es una política fundamental para la mayoría de las organizaciones, que garantiza que se requiera MFA para todos los intentos de acceso, excepto para las cuentas de acceso de emergencia o de emergencia.

  1. En la página Acceso condicional, haga clic en Nueva política > Crear nueva política.
  2. Nombre: 01 - Requerir MFA para todos los usuarios.

  3. Asignaciones > Identidad de usuarios o cargas de trabajo:

    • En Incluir, seleccione Todos los usuarios.
    • En Eliminar, seleccione Usuarios y grupos y agregue sus cuentas de acceso a emergencias.agencia/break-glass (cuentas altamente protegidas que se pueden usar para acceder al inquilino en caso de falla de MFA o falta de disponibilidad del directorio).

  4. Recursos o acciones en la nube:

    • En Incluir, seleccione Todas las aplicaciones en la nube.

  5. Conceder:

    • Seleccione Conceder acceso.
    • Marque Requerir autenticación multifactor.
    • Haga clic en Seleccionar.

  6. Habilitar política: seleccione "Solo informar" (para probar el impacto antes de aplicar) o "Habilitado".

    • Consejo: Comience siempre con "Solo informar" para monitorear el impacto de la política sin aplicarla, verificando los registros de entrada para detectar posibles bloqueos no deseados.
  7. Haga clic en Crear.

3. Creación de una política para bloquear la autenticación heredada

La autenticación heredada (como POP, IMAP, SMTP, autenticación básica) no admite MFA y es un vector común de ataques. Es crucial bloquearlo.

  1. En la página Acceso condicional, haga clic en Nueva política > Crear nueva política.
  2. Nombre: 02 - Bloquear autenticación heredada.
  3. Asignaciones > Identidad de usuarios o cargas de trabajo: seleccione Todos los usuarios (excluyendo sus cuentas de emergencia).
  4. Recursos o acciones en la nube: seleccione Todas las aplicaciones en la nube.

  5. Condiciones > Aplicaciones cliente:

    • Establezca "Aplicaciones de cliente" en "Sí".
    • Marque Clientes Exchange ActiveSync y Otros clientes.

  6. Controles de acceso > Conceder:

    • Seleccione Bloquear acceso.
    • Haga clic en Seleccionar.

  7. Habilitar política: seleccione "Solo informar" o "Habilitado".

  8. Haga clic en Crear.

4. Creación de una política para exigir un dispositivo compatible para acceder a aplicaciones críticas

Esta política garantiza que solo los dispositivos que cumplan con los estándares de seguridad (administrados por Intune, por ejemplo) puedan acceder a aplicaciones confidenciales.

  1. En la página Acceso condicional, haga clic en Nueva política > Crear nueva política.
  2. Nombre: 03 - Requerir dispositivo compatible para aplicaciones críticas.
  3. Asignaciones > Identidad de usuarios o cargas de trabajo: seleccione Todos los usuarios (o un grupo específico).

  4. Recursos o acciones en la nube:

    • En Incluir, seleccione Seleccionar aplicaciones y elija aplicaciones críticas (por ejemplo, SharePoint Online, Dynamics 365, aplicaciones de línea de negocio).

  5. Conceder:

    • Seleccione Conceder acceso.
    • Marque Requerir que el dispositivo esté marcado como compatible.
    • Haga clic en Seleccionar.

  6. Habilitar política: seleccione "Solo informar" o "Habilitado".

  7. Haga clic en Crear.

5. Creación de una política para bloquear el acceso desde ubicaciones que no son de confianza

Esta política ayuda a proteger contra el acceso desde regiones geográficas o direcciones IP que se sabe que son fuentes de ataques.

  1. Primero, debe crear Ubicaciones con nombre (Ubicaciones con nombre) en Azure AD para definir ubicaciones confiables (por ejemplo, oficinas de la empresa, VPN).

    • En el centro de administración de inicio de sesión de Microsoft, vaya a Protección > Acceso condicional > Ubicaciones con nombre.
    • Haga clic en Nueva ubicación de países/regiones o Nueva ubicación de rangos de IP para configurar sus ubicaciones de confianza.

  2. En la página Acceso condicional, haga clic en Nueva política > Crear nueva política.

  3. Nombre: 04 - Bloquear acceso desde ubicaciones no confiables.
  4. Asignaciones > Identidad de usuarios o cargas de trabajo: seleccione Todos los usuarios.
  5. Recursos o acciones en la nube: seleccione Todas las aplicaciones en la nube.

  6. Condiciones > Ubicaciones:

    • Establezca "Ubicaciones" en "Sí".
    • En Incluir, seleccione Cualquier ubicación.
    • En Excluir, seleccione Ubicaciones seleccionadas y elija las "Ubicaciones con nombre" que haya definido como confiables.

  7. Controles de acceso > Conceder:

    • Seleccione Bloquear acceso.
    • Haga clic en Seleccionar.
  8. Habilitar política: seleccione "Solo informar" o "Habilitado".
  9. Haga clic en Crear.

Validación y pruebas

Validar las políticas de acceso condicional es fundamental para garantizar que funcionen según lo esperado y no provoquen bloqueos no deseados.

1. Uso de la herramienta "¿Y si?"

La herramienta "¿Qué pasaría si?" le permite simular el impacto de sus políticas de acceso condicional en un usuario o escenario específico.

  1. En la página Acceso condicional, haga clic enY si.
  2. Configure el escenario de prueba (usuario, aplicación, dirección IP, dispositivo, etc.).
  3. Haga clic en ¿Y si? para ver qué políticas se aplicarían y el resultado (otorgar o bloquear el acceso).

2. Comprobación de registros de entrada

Los registros entrantes brindan información detallada sobre cada intento de acceso, incluidas las políticas de acceso condicional que se evaluaron y el resultado.

  1. En el centro de administración de inicio de sesión de Microsoft, vaya a Monitoreo y estado > Registros entrantes.
  2. Filtre los registros por usuario, aplicación o estado (por ejemplo, "Error") para investigar los intentos de acceso.
  3. Haga clic en una entrada de registro para ver los detalles, incluyendo aba Acceso Condicional, que se mostrará según las políticas aplicadas y el resultado.

3. Pruebas reales con usuarios de prueba

Realice pruebas con usuarios de prueba en diferentes escenarios (por ejemplo, acceso desde una ubicación no confiable, con un dispositivo no compatible, sin MFA) para confirmar el comportamiento esperado de las políticas.

Consejos de seguridad y mejores prácticas

  • Planificación cuidadosa: planifique sus políticas de acceso condicional según las necesidades de su organización y los principios de Confianza cero. Comience con un pequeño conjunto de políticas y amplíelo gradualmente.
  • **Modo Solo informe: implemente siempre nuevas políticas en el modo Solo informe primero para evaluar su impacto y ajustarlas antes de aplicarlas en el modo Habilitado.
  • Cuentas de emergencia: excluya siempre las cuentas de acceso de emergencia o de emergencia de todas las políticas de acceso condicional para evitar bloqueos accidentales.
  • Bloquear autenticación heredada: esta es una de las políticas más efectivas para reducir la superficie de ataque.
  • Requerir MFA para todos los usuarios: una política esencial para proteger las identidades.
  • Dispositivos administrados: requiere que los dispositivos sean administrados (unidos a Azure AD o habilitados para Intune) para acceder a recursos confidenciales.
  • Ubicaciones con nombre: utilice ubicaciones con nombre para definir redes confiables y bloquear el acceso desde ubicaciones que no sean de confianza.
  • Revisión y ajuste continuo: revise y ajuste sus políticas de acceso condicional periódicamente para adaptarse a los cambios en el entorno de amenazas y los requisitos comerciales.
  • Documentación: mantenga una documentación clara de sus políticas de acceso condicional, incluido su propósito, alcance y exclusiones.

Solución de problemas comunes

  • Usuarios bloqueados inesperadamente: use la herramienta "Qué pasaría si" y los registros de inicio de sesión para identificar qué política está causando el bloqueo. Consulta las inclusiones y exclusiones de la póliza.
  • Políticas no aplicadas: Verifique que la política esté en modo "Habilitada" y que el usuario y la aplicación estén dentro del alcance de la política. Verifique los registros de entrada para ver si se evaluó la política.
  • Problemas de MFA: asegúrese de que los usuarios hayan registrado métodos de MFA. Verifique si hay problemas de conectividad con los proveedores de MFA.
  • Problemas con dispositivos compatibles: verifique el estado de cumplimiento de su dispositivo en Intune. Asegúrese de que el dispositivo esté unido a Azure AD o registrado en Intune.
  • Conflictos de políticas: el acceso condicional evalúa todas las políticas y aplica la más restrictiva. Si hay políticas contradictorias, ajústelas para garantizar el comportamiento deseado.

Conclusión

Implementar el acceso condicional en Azure AD es un pilar fundamental para construir una arquitectura de seguridad robusta y adaptable basada en el modelo Zero Trust. Al permitir a las organizaciones establecer políticas de acceso granular basadas en una variedad de condiciones, el acceso condicional fortalece significativamente la protección de identidades y recursos contra amenazas cibernéticas. La configuración de políticas estratégicas, combinada con pruebas rigurosas y un ciclo continuo de revisión y optimización, permite a los equipos de seguridad garantizar que el acceso esté siempre verificado, tenga privilegios mínimos y se adapte al contexto de riesgo. Con el acceso condicional, las empresas pueden proteger sus activos más valiosos y, al mismo tiempo, permitir a sus usuarios trabajar de forma segura y productiva desde cualquier lugar y en cualquier dispositivo.

Referencias:

[1] Microsoft aprende. ¿Qué es el Acceso Condicional?. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft aprende. Planificar la implementación del Acceso Condicional. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft aprende. Requisitos de licencia para acceso condicional. Disponible en: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements