Hardening de Azure Active Directory
Inicio de la guía
En esta guía compuesta de dos artículos, conocerás las diez soluciones más recomendadas para proteger nuestro directorio activo en Azure.
En un directorio activo, ya sea on-premise o en Azure, se almacena mucha información sobre los usuarios. Por ejemplo, direcciones de correo electrónico, números de teléfono, membresías de grupo, etc.
En este post, te aporto 5 soluciones básicas que pueden ayudar a que tu directorio activo sea más seguro.
1. Restringir el acceso al portal de administración de Azure.
Si dentro de la configuración «user settings» de Azure Active Directory, tenemos marcada como «yes» esta opción, evitará que cualquier persona que no cuente con un rol administrativo, pueda acceder a Azure AD.
2. Bloquea ubicaciones y rangos IP de los cuales desconfíes.
Habilitando esta opción conseguimos bloquear rangos de direcciones que estén en diccionarios de listas negras o simplemente bloquear cualquier acceso desde un país o región de la cual no confío.
3. Restringir el acceso al portal de Azure a través de un conditional access
Puedes restringir el acceso al portal de Azure a usuarios o grupos de usuarios o permitir que solamente se puedan acceder a las cloud apps desde la red corporativa.
4. Implementar Privileged Identity Management.
Si cuentas con una licencia Azure Premium P2, puedes tener a administradores globales sin derechos de administradores globales hasta que lo soliciten. Puedes solicitar estos derechos durante un tiempo determinado, realizar la función que necesitas y que tras esa hora, pierdas los derechos.
Es recomendable juntar PIM con MFA Multi-Factor Authentication.
5. Habilita Multi-Factor Authentication.
Hay dos maneras de proteger los de inicio de sesión de un usuario mediante MFA en Azure AD.
La primera opción (y preferida) consiste en configurar una directiva de acceso condicional que requiere la autenticación multifactor en determinadas condiciones. La segunda opción consiste en habilitar a cada usuario para Azure Multi-factor Authentication. Cuando los usuarios se habilitan de forma individual, realizan la autenticación multifactor cada vez que inician sesión (con algunas excepciones, como cuando inician sesión desde direcciones IP de confianza o si se activa la característica de dispositivos recordados).
Espero que estas soluciones te hayan sido útiles y que no olvides ver las próximas 5 recomendaciones.
Nos vemos en la nube!