Proteger el acceso privilegiado con PIM (Gestión de identidad privilegiada)

Proteger el acceso privilegiado con PIM (Gestión de identidad privilegiada)

15/04/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la implementación y administración de Privileged Identity Management (PIM) en Microsoft Entra ID (anteriormente Azure Active Directory). PIM es un servicio que le permite administrar, controlar y monitorear el acceso a recursos importantes de su organización, brindando acceso Just-In-Time (JIT) y Just-Enough Access (JEA) a funciones privilegiadas, minimizando el riesgo de uso indebido de privilegios [1].

Introducción

Las cuentas con privilegios administrativos son objetivos principales de los ciberataques, ya que su compromiso puede llevar a un control total sobre los sistemas y datos de una organización. El modelo de seguridad tradicional, donde las cuentas privilegiadas se asignan permanentemente, aumenta la superficie de ataque y el riesgo de movimiento lateral por parte de los atacantes. PIM aborda este desafío introduciendo el concepto de acceso "justo a tiempo" (JIT) y "acceso suficiente" (JEA), garantizando que los usuarios tengan privilegios elevados sólo cuando sea necesario y durante el tiempo estrictamente requerido [2].

Esta guía práctica cubrirá la configuración de PIM en Microsoft Entra ID, desde la activación del servicio hasta la asignación de elegibilidad para roles, la configuración de políticas de activación y el proceso de activación de un rol privilegiado. Se proporcionarán instrucciones paso a paso, ejemplos prácticos y métodos de validación para que el lector pueda implementar y fortalecer la seguridad del acceso privilegiado en su entorno Microsoft, reduciendo la exposición al riesgo y garantizando el cumplimiento.

¿Por qué es crucial la gestión de identidades privilegiadas?

  • Reducción de la superficie de ataque: Minimiza el tiempo que las cuentas privilegiadas permanecen activas, lo que reduce las oportunidades para los atacantes.
  • Acceso JIT/JEA: Otorga acceso temporal con privilegios mínimos, de acuerdo con los principios de Confianza Cero.
  • Visibilidad y auditoría: proporciona registros detallados de todas las activaciones de funciones privilegiadas, lo que facilita la auditoría y el cumplimiento.
  • Flujo de aprobación: Le permite solicitar aprobación para la activación de funciones críticas, agregando una capa adicional de seguridad.
  • Revisiones de acceso: Facilita revisiones periódicas de acceso para garantizar que los privilegios otorgados sigan siendo apropiados.

Requisitos previos

Para implementar Privileged Identity Management (PIM), necesitará los siguientes elementos:

  1. Licencia: una licencia de Microsoft Enroll ID Premium P2 (anteriormente Azure AD Premium P2). PIM es una característica única de esta licencia [3].
  2. Acceso administrativo: Una cuenta con el rol de "Administrador global" o "Administrador de roles privilegiados" en Microsoft. Ingrese su ID para configurar PIM.
  3. Usuarios y grupos: usuarios y/o grupos de seguridad en Microsoft Entra ID que requerirán acceso privilegiado.

Paso a paso: configuración y uso de PIM

Configuraremos PIM para una función administrativa crítica, como "Administrador global", y demostraremos el proceso de activación.

1. Activación de PIM en Microsoft Entra ID

Si PIM aún no está activo en su inquilino, deberá activarlo.

  1. Acceda al portal del centro de administración de Microsoft Entra: https://entra.microsoft.com.
  2. En el panel de navegación izquierdo, seleccione Gobierno de identidad > Administración de identidad privilegiada.
  3. Si es la primera vez, verá una opción para Habilitar PIM. Haga clic en él.

2. Asignación de elegibilidad para un rol

Primero, hagamos que un usuario sea elegible para el rol de "Administrador global".

  1. En el panel de navegación izquierdo de PIM, seleccione Funciones de Microsoft Entra > Funciones.
  2. En la lista de roles, busque "Administrador global" y haga clic en él.

  3. En la página de detalles de la función "Administrador global", haga clic en Agregar funciones.

  4. En la sección Agregar tareas, haga clic en Seleccionar miembros.

  5. Busque y seleccione los usuarios o grupos que desea que sean elegibles para este rol. Haga clic en Seleccionar.
  6. En Tipo de tarea, seleccione "Elegible".
  7. En Asignación permanente, puede establecer una fecha de inicio y finalización para la elegibilidad, o hacerla permanente. Para roles muy privilegiados, se debe evitar la asignación permanente, pero con el propósitoPara fines de demostración, podemos dejarlo como está.
  8. Haga clic en Asignar.

3. Configuración de los ajustes de roles

Las definiciones de roles controlan cómo los usuarios pueden activar sus privilegios.

  1. En el panel de navegación izquierdo de PIM, seleccione Funciones de Microsoft Entra > Configuración.

  2. En la lista de roles, busque "Administrador global" y haga clic en Editar.

  3. En la sección Activación:

    • Duración máxima de activación: Define el tiempo máximo que un usuario puede tener la función activa (ej: 4 horas). Se recomienda un período corto.
    • Requerir autenticación multifactor al activar: marque esta opción. Muy recomendado para todos los roles privilegiados.
    • Requerir justificación al momento de la activación: Selecciona esta opción. Los usuarios deberán proporcionar un motivo de activación.
    • Requerir aprobación para activar: marque esta opción para agregar un flujo de aprobación. Haga clic en Seleccionar aprobadores y agregue uno o más usuarios/grupos que puedan aprobar solicitudes de activación.
  4. En la sección Tarea:
    • Permitir asignaciones elegibles permanentes: para "Administrador global", considere deshabilitar esta opción para forzar que todas las asignaciones sean temporales.
  5. En la sección Notificación:
    • Configurar quién debe ser notificado sobre la activación de la función.
  6. Haga clic en Actualizar para guardar la configuración.

4. Habilitación de una función privilegiada (experiencia de usuario)

Ahora, demostremos cómo un usuario elegible activa la función de "Administrador global".

  1. El usuario elegible accede al portal del centro de administración de Microsoft Entra: https://entra.microsoft.com.
  2. Vaya a Gobierno de identidad > Gestión de identidad privilegiada.
  3. En el panel de navegación izquierdo, seleccione Mis funciones > Funciones de inicio de sesión de Microsoft.
  4. En la pestaña Funciones elegibles, el usuario verá la función "Administrador global".

  5. Haga clic en Habilitar junto a la función "Administrador global".

  6. En la ventana de activación:

    • Duración: El usuario puede especificar la duración de la activación (limitada por la duración máxima definida en las definiciones de funciones).
    • Motivo: El usuario debe proporcionar una justificación para la activación (por ejemplo, "Realizar mantenimiento en el servidor X").
    • (Si está configurado) Verificación de seguridad: Es posible que se le solicite al usuario que realice una verificación de MFA.

  7. Haga clic en Activar.

  8. Si se requiere aprobación, la solicitud se enviará a los aprobadores. El usuario verá el estado como "Pendiente de aprobación".

5. Aprobación de una solicitud de activación (experiencia del aprobador)

Un aprobador designado recibirá una notificación (por correo electrónico o en el portal PIM) sobre la solicitud de activación.

  1. El aprobador accede al portal del centro de administración de Microsoft Entra: https://entra.microsoft.com.
  2. Vaya a Gobierno de identidad > Gestión de identidad privilegiada.
  3. En el panel de navegación izquierdo, seleccione Aprobar solicitudes.
  4. El aprobador verá la solicitud pendiente. Haga clic en él para ver detalles.

  5. El aprobador puede Aprobar o Rechazar la solicitud, proporcionando una justificación.

  6. Después de la aprobación, el usuario solicitante tendrá el rol activo durante el período especificado.

Validación y pruebas

Validar su implementación de PIM es crucial para garantizar que los controles de acceso privilegiado funcionen como se esperaba.

1. Comprobar el estado de activación

  1. Después de la activación (y aprobación, si corresponde), el usuario puede regresar a la página Mis funciones > Funciones de inicio de sesión de Microsoft en PIM.
  2. En la pestaña Roles Activos, debería aparecer el rol Administrador Global con el estado Activo y el tiempo restante.

2. Prueba del acceso con privilegios elevados

  1. Con la función activada, el usuario debe intentar acceder a recursos o realizar acciones que requieran el rol de "Administrador global" (por ejemplo, crear un nuevo usuario en Microsoft Entra ID).
  2. La acción debe tener éxito.

3. Verificación de los registros de auditoría de PIM

  1. En el panel de navegación izquierdo de PIM, seleccione Auditoría > Auditoría de rol de Microsoft Entra.
  2. Filtre los registros para ver activaciones de roles, aprobaciones y otras actividades relacionadas con PIM. Esto proporciona un registro completo de quién activó qué función, cuándo, durante cuánto tiempo y con qué justificación.

4. Caducidad de la activación de la prueba

Una vez transcurrido el tiempo de activación, el usuario debe perderprivilegios elevados automáticamente. Intente realizar la acción privilegiada nuevamente; ella debe fallar.

Consejos de seguridad y mejores prácticas

  • Principio de privilegio mínimo: Asigne solo los roles necesarios para que un usuario realice sus tareas. Evite asignar un "Administrador global" si un rol con menos privilegios fuera suficiente.
  • Asignación de elegibilidad versus Asignación activa: Siempre que sea posible, utilice asignaciones "Elegibles" en lugar de "Activas" permanentes para roles privilegiados.
  • MFA Obligatorio: Exija siempre que MFA active funciones privilegiadas. Esto agrega una capa crítica de seguridad.
  • Justificación requerida: Requiere que los usuarios proporcionen una justificación para cada activación. Esto ayuda a auditar y comprender el propósito del acceso.
  • Flujos de aprobación: para funciones críticas, configure los flujos de aprobación para garantizar que alguien más revise y autorice las activaciones.
  • Revisiones de acceso: programe revisiones de acceso periódicas en PIM para garantizar que la elegibilidad para roles privilegiados siga siendo apropiada y eliminar asignaciones innecesarias.
  • Notificaciones: configure notificaciones para los administradores cuando se activen roles privilegiados o se produzca una actividad sospechosa.
  • Integración con acceso condicional: utilice el acceso condicional para aplicar políticas adicionales al activar funciones PIM (por ejemplo, requerir que la activación se realice desde un dispositivo compatible o una ubicación de red confiable).

Solución de problemas comunes

  • El usuario no puede activar la función: Verifique si el usuario tiene una licencia Microsoft Entra ID Premium P2. Compruebe si está en la lista de personas elegibles para el puesto. Verifique la configuración de la función (por ejemplo, si se requiere MFA y el usuario no la ha configurado).
  • Error en la activación de la función: verifique los registros de auditoría de PIM para ver si hay mensajes de error. Podría deberse a un fracaso del MFA, falta de justificación o rechazo por parte de un aprobador.
  • Los aprobadores no reciben notificaciones: verifique la configuración de notificaciones en la configuración de roles. Asegúrese de que las direcciones de correo electrónico de los aprobadores sean correctas y que no haya reglas en la bandeja de entrada que bloqueen las notificaciones.
  • La función no se desactiva automáticamente: Verifique la duración máxima de activación en la configuración de la función. Si el problema persiste, puede deberse a un retraso en la sincronización del servicio.
  • Conflictos de permisos: si un usuario tiene el mismo permiso a través de una función PIM y una función normal, prevalecerá la función normal. Es una buena práctica eliminar las asignaciones de funciones privilegiadas permanentes para los usuarios que también son elegibles a través de PIM.

Conclusión

Microsoft Entra Privileged Identity Management (PIM) es una herramienta indispensable para cualquier organización que busque proteger su acceso privilegiado y fortalecer su postura de seguridad. Al adoptar los principios de acceso justo a tiempo y suficiente, PIM ayuda a reducir significativamente la superficie de ataque, proporciona un seguimiento de auditoría detallado e impone controles estrictos sobre las funciones administrativas. La implementación cuidadosa de PIM, combinada con las mejores prácticas de seguridad y la capacitación de los usuarios, permite a los equipos de TI y de seguridad administrar los privilegios de manera efectiva, mitigando los riesgos asociados con las cuentas privilegiadas comprometidas y garantizando un entorno más seguro y compatible.

Referencias:

[1] Microsoft aprende. ¿Qué es la administración de identidades privilegiadas de Microsoft Entra?. Disponible en: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft aprende. Principios rectores de confianza cero. Disponible en: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft aprende. Requisitos de licencia para Microsoft Entra Privileged Identity Management. Disponible en: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements