Comprensión de la administración de acceso e identidad de Microsoft: todo lo que necesita saber
Publicado: 2019-11-14¿Sabía que solo en 2018 se perdieron 445 millones de dólares a manos de los ciberdelincuentes?
Según el Informe de investigaciones de violación de datos de Verizon de 2019, el 80 % de los ataques de piratería involucraron credenciales comprometidas o débiles. En general, el 29 % de todas las infracciones se debieron al robo de credenciales.
Las soluciones de administración de acceso e identidad nunca han sido más críticas para las empresas. Pero la mayoría de las empresas no tienen idea de por dónde empezar. Hemos creado este artículo para brindarle un punto de partida y explicarle más acerca de las soluciones de administración de acceso e identidad de Microsoft.
¿Qué hacen los servicios de IAM?
Sus empleados son su mayor riesgo de seguridad. Si no se preocupan por mantener sus contraseñas seguras o usan contraseñas débiles, también podría enviar un aviso que diga "Hackeame". Administrar el acceso es simple cuando administra una pequeña empresa con pocos empleados. Cuantos más empleados tenga, más difícil será administrarlo. Ahí es donde entran en juego los servicios de IAM.
Administrar el acceso de los empleados
Le permiten administrar el acceso de los empleados a sus sistemas de manera más eficiente. Ofrecen una alternativa, opciones de acceso más seguras. Azure Active Directory de Microsoft, por ejemplo, le ofrece un único punto de inicio de sesión junto con un sistema de autorización de múltiples factores.
Entonces, en lugar de simplemente escribir su nombre de usuario y contraseña, tendrá algunos pasos de autenticación diferentes. Es posible que, por ejemplo, tenga que escribir un código de autenticación enviado a su teléfono. O, si necesita aún más seguridad, la identificación biométrica podría entrar en juego.
Con los sistemas IAM, puede ver de un vistazo a qué sistemas puede acceder un empleado. Puede ajustar su acceso solo a los sistemas vitales para su función. También puede programar el sistema para restablecer las contraseñas automáticamente después de un intervalo establecido.
Mejore el viaje del cliente
Estos sistemas pueden mejorar el viaje del cliente al hacer que el proceso de inicio de sesión sea más fácil y seguro.
Administrar el acceso para contratistas externos
Si necesitas trabajar con autónomos, estos sistemas te permiten configurar los perfiles de usuario de forma rápida y sencilla. Puede asignar privilegios de usuario limitados solo a los sistemas a los que necesitan acceder.
Puede, por ejemplo, darles acceso a una sola dirección de correo electrónico de la empresa o acceso básico a su base de datos. También puede programar una fecha de finalización del contrato para asegurarse de que el acceso se cancela automáticamente.
Mejorar la productividad
También pueden ser útiles para mejorar la productividad porque permiten a los empleados trabajar desde diferentes dispositivos de forma segura. Muchos de estos servicios están basados en la nube, por lo que no dependen del dispositivo. En otras palabras, no tiene que descargarlos en el propio dispositivo.
Al limitar el acceso de los empleados a sus sistemas, puede administrar mejor la congestión dentro de esos sistemas. Esto, a su vez, mejora la productividad.
Cumplimiento de soporte
Con las leyes de privacidad cada vez más estrictas, las empresas están bajo una mayor presión para proteger la información del cliente. Los sistemas IAM pueden ayudar con esto.
Permita que el personal de TI se concentre en tareas más importantes
Finalmente, estos sistemas permiten la automatización de tareas esenciales de seguridad. Esto libera a su personal de TI para que pueda trabajar en cosas más importantes. También reduce el potencial de error humano.
¿Cómo encaja Microsoft?
La gama Azure de Microsoft ofrece un conjunto de herramientas sólidas que le brindan los niveles de seguridad que necesita. También se han asociado con varios proveedores externos para mejorar aún más la protección. Entonces, si Microsoft no tiene la tecnología para ofrecer software de reconocimiento facial, por ejemplo, se asociará con una empresa que sí la tenga.
Administración de identidades con privilegios de Azure
Este producto proporciona activaciones basadas en la aprobación y en el tiempo para ayudar a prevenir el abuso de recursos y el acceso no autorizado.
Las características incluyen:
- Acceso privilegiado justo a tiempo : esta característica le permite bloquear el tráfico entrante a su máquina virtual de Azure. Esto lo protege eficazmente contra los ataques al reducir su exposición. Cuando el sistema no está en uso, está bloqueado.
- Privilegios de acceso con límite de tiempo : digamos, por ejemplo, que está empleando a alguien temporalmente. Introduzca las fechas de inicio y finalización del contrato. El sistema cortará el acceso en la fecha de terminación automáticamente.
- Controla quién tiene el control : El sistema requiere la creación y posterior activación de perfiles de usuario. La activación de privilegios especiales solo se puede lograr con la aprobación del administrador del sistema. Puede hacerlo, si prefiere seguir el modelo maker/checker aquí. El profesional de TI 1 crea los perfiles y luego los activa para la aprobación de la activación.
- Utilice la autenticación multifactor para las activaciones de usuarios : la protección se extiende más allá de sus empleados. También puede habilitar la autenticación de dos factores para los usuarios que se registren en su sitio. Si crean un perfil, por ejemplo, tendrán que verificar la dirección de correo electrónico para activarlo.
- Notificación cuando se activa un rol privilegiado : esta es otra forma de autenticación. Si alguien inicia sesión en el sistema o solicita permiso para hacerlo, se envía una notificación.
- Revisión de acceso : ¿Han cambiado los roles de los empleados? ¿Siguen necesitando tanto acceso como antes? Microsoft Identity Access Management simplifica la revisión de roles y el cambio de acceso según sea necesario.
- Historial de auditoría completo : Esto es útil si está siendo auditado. Esto proporciona prueba de las fechas de activación, las fechas de cambio de datos, etc. Esto puede volverse importante si su empresa enfrenta cargos en términos de leyes de privacidad. También hace que las auditorías internas sean mucho más fáciles de realizar.
¿Quién está autorizado a hacer qué?
El sistema asigna diferentes privilegios a los encargados de administrarlo. Así es como funciona.
- Administrador de seguridad
Al primer usuario registrado aquí se le asignan los roles de Administrador Privilegiado y Administrador de Seguridad.
- Administradores privilegiados
Estos son los únicos administradores que pueden asignar funciones a otros administradores. También puede dar acceso a otros administradores a Azure AD. Las personas en los siguientes roles pueden ver las asignaciones, pero no modificarlas. Estas personas incluyen administradores de seguridad, administradores globales, lectores de seguridad y lectores globales.
- Administrador de suscripciones
Las personas con estos roles pueden gestionar las asignaciones de los demás administradores. Pueden cambiar y terminar asignaciones. Otros roles que pueden hacer esto son los administradores de acceso de usuarios y los propietarios de recursos.
Cabe señalar que las personas con los siguientes roles deben tener permisos para ver las asignaciones: administradores de seguridad, administradores de roles privilegiados y lectores de seguridad.
Terminología que necesita saber
La terminología utilizada en Microsoft Privileged Identity Management puede resultar confusa para los no iniciados. Aquí hay un desglose de la terminología básica.
- Elegible
Con esta asignación, los usuarios deben realizar una acción o acciones específicas para activar su función. La diferencia entre este rol y uno permanente es que no todos necesitan acceso en todo momento. El usuario puede activar el rol cuando necesite acceso.
- Activo
Estas son las asignaciones de funciones que el sistema asigna de forma predeterminada. No necesitan ser activados. Por ejemplo, los administradores del sistema pueden crear asignaciones para otros administradores.
- Activar
Esta es la acción o acciones que las personas deben realizar para demostrar que están autorizadas para usar el sistema. Ingresar un nombre de usuario y contraseña es un ejemplo de esto. Aquí se pueden utilizar muchos métodos de autenticación diferentes.
- Asignado
Esto significa que al usuario se le han otorgado ciertos privilegios dentro del sistema.
- Activado
Este es un usuario que puede usar el sistema, activar su rol y lo está usando actualmente. El sistema solicitará al usuario que vuelva a ingresar sus credenciales después de un período determinado de inactividad. Un ejemplo es con la banca por Internet, donde se desconecta después de diez minutos de inactividad.
- Elegible Permanente
Esta es una asignación que le permite al usuario activar su rol cuando lo desee. Tendrán que realizar acciones específicas para acceder a los roles. Digamos, por ejemplo, que un empleado captura un pago a realizar. Es posible que deban ingresar un código asignado al azar para confirmar la transacción.
- Activo Permanente
Esta asignación permite al usuario utilizar un rol sin activación. Estos son roles que el usuario puede tomar sin más acciones.
- Caducar Elegible
Este es un rol basado en el tiempo. Aquí tendrás que asignar fechas de inicio y finalización. Esto se puede hacer para los autónomos. También se puede utilizar para obligar a los empleados a actualizar sus contraseñas periódicamente.
La administración de acceso, especialmente en una organización mediana a grande, puede ser una tarea desafiante. Sin embargo, con el poder de la suite Azure de Microsoft, se vuelve mucho más fácil de lograr. Los servicios de IAM agregan una capa adicional de seguridad para proteger contra infracciones que se derivan de accesos internos y compromisos.
***
Chris Usatenko es un geek informático, escritor y creador de contenido. Está interesado en todos los aspectos de la industria de TI. Freelancer por naturaleza, está dispuesto a adquirir experiencia y conocimientos de todo el mundo e implementarlos en su vida.