La respuesta de OptimumTIC a la COVID-19. Más información

Blog

Identidad y control de accesos en Microsoft Azure

Publicado 24 de mayo de 2022
Identidad y control de accesos en Microsoft Azure

Identidad y control de accesos en Microsoft Azure

Azure es la plataforma de Microsoft la cual ofrece más de 200 productos y servicios en la nube. Permite crear, administrar y ejecutar aplicaciones en la nube.

¿Qué es la gestión de identidades y control de acceso?

Cuando nos referimos a la gestión de identidades y control de accesos o IAM (Identity and Access Management), hablamos del control sobre los accesos a los diferentes servicios por los distintos actores de la infraestructura, como pueden ser usuarios nominales, grupos e incluso aplicativos o servicios con permisos delegados.


Es importante definir un buen sistema de gestión de identidades, ya que se reduce de forma considerable el acceso no autorizado a sistemas restringidos, es útil para evitar robo de datos empresariales al impedir el acceso no autorizado a recursos y añadir así una capa mas de securización sobre los recursos corporativos.

Gestión de identidades en cloud

Aunque la gestión de identidades abarca un ámbito muy grande y existen herramientas excelentes en el control de acceso y privilegio (PAM) como CyberARK, de la cual, desde OptimumTIC somos partners y contamos con un equipo certificado, nos centraremos en el ámbito cloud, concretamente en la gestión de identidad en Microsoft Azure.

En un entorno empresarial en el que este implementado en Cloud, es importante contar con un sistema bien estructurado en el principio raiz, con los permisos bien definidos para evitar posibles intentos de ataque e intentos de escaladas de privilegio o movimientos laterales.

Es importante comentar que los permisos asignados en un recurso superior -al menos por defecto- constan de herencia, es decir, que se propagarán hacia niveles inferiores, por este motivo es importante  intentar asignar los permisos en niveles inferiores de la infraestructura, como podrían ser recurso finales como un disco administrado, una maquina virtual o una red virtual, que no asignarlos en niveles superiores, como suscripciones o grupos de administración raiz, ya que estos permisos se heredaran y se propagara los permisos, posibilitando disponer de grupos o usuarios con permisos sobre demasiados recursos de la infraestructura.

Por ello, se tiene que realizar un estudio exhaustivo sobre donde tienen que acceder e intentar limitar en la medida de lo posible los permisos y el acceso a recursos. 


En el ejemplo de infraestructura podemos ver como los permisos asignados al grupo A, se propagan por herencia y acaba teniendo los permisos en todos los niveles hasta el más bajo recurso, por otro lado los permisos asignados al Usuario B se asignan únicamente al grupo de recursos y por ello, solo se propagan a ese grupo de recursos, el Usuario B no podría ver ni acceder los recursos que no tenga permisos asignados.

Es de vital importancia tener control sobre que permisos se asignan una vez decidido y quien y donde se tiene que acceder.

En Azure la gestión de roles e identidad se puede definir de múltiples formas, ya sea aprovechando los diferentes roles predefinidos por Azure, como por ejemplo:
Lector: Permite ver todos los recursos, pero no realizar ningún cambio.
Colaborador de máquina virtual: Permite administrar las máquinas virtuales, pero no acceder a ellas, ni tampoco a la red virtual ni la cuenta de almacenamiento a las que están conectadas.

Estos solo serian algunos ejemplos predefinidos de los que dispone Microsoft Azure, también existe la posibilidad de crear tus propios roles personalizados, es función de los permisos que requiera cada usuario, grupo o identidad.

En resumen, como hemos comentado, es muy importante contar con un diseño y estrategia de control de identidades para cualquier organización.

En OptimumTIC contamos con un equipo certificado en Microsoft Azure, el cual esta especializado en diseño y soporte en materia de ciberseguridad, tanto del área cloud como infraestructuras on premise.

Si desea más información sobre nuestros servicios  o  productos,  puede  contactar  con nosotros  sin  compromiso  a  través  de  nuestra  página  web: www.optimumtic.com o escribiéndonos a info@optimumtic.com


OptimumTIC

OptimumTIC, Auditoria y Ciberseguridad al más alto nivel.

Siempre a la altura de nuestros clientes.

Contacta con nosotros

Plaça de Francesc Macià, 7
Barcelona 08029
Teléfono: 932 527 467
Email: info@optimumtic.com

Certificados en el Esquema Nacional de Seguridad

Certificados en el Esquema Nacional de Seguridad

Certificados en la ISO 27001

ISO 27001

Certificados en protocolo contra el covid-19

Protocolo contra el covid-19

Gestión Excelencia Empresarial

Gestión Excelencia Einforma

Empresa registrada en el INCIBE

Registrada en el INCIBE