Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se presenta una solución de un extremo a otro para implementar una arquitectura de acceso con privilegios. Está dirigido a planificadores e implementadores de seguridad e identidades.
En el modelo de adopción de la seguridad de Microsoft:
- Las soluciones de implementación proporcionan instrucciones de implementación prescriptivas.
- Las soluciones se alinean con escenarios empresariales que definen resultados de seguridad de alta prioridad.
Antes de comenzar la implementación, obtenga información sobre cómo una arquitectura de acceso con privilegios seguro desempeña un papel fundamental en el escenario empresarial: proteger los recursos empresariales críticos , ya que reduce este riesgo y refuerza el control sobre los sistemas confidenciales.
Objetivos de la solución
El acceso con privilegios representa uno de los riesgos de mayor impacto en cualquier organización, ya que proporciona control directo sobre los sistemas de identidad, los planos de control en la nube y los recursos empresariales críticos.
En esta guía se define un enfoque de Confianza cero para el acceso con privilegios al tratarlo como una ruta de acceso de un extremo a otro, que abarca la identidad, el dispositivo, la interfaz, el recurso de destino y la supervisión. En lugar de proteger los componentes individuales de forma aislada, este modelo garantiza que toda la ruta de acceso se rige y se valida continuamente.
El objetivo es reducir el riesgo por:
- Limitar quién puede realizar acciones con privilegios.
- Controlar dónde y cómo se pueden producir esas acciones.
- Supervisión continua y respuesta a la actividad con privilegios.
Implemente esta arquitectura mediante Microsoft Entra ID, Microsoft Intune y Microsoft Defender para punto de conexión.
Implemente la solución en fases. Empiece por establecer una base segura (plano de control de identidad y dispositivos de confianza), aplique controles de directiva y, a continuación, configure operaciones de supervisión y respuesta.
Riesgo de acceso con privilegios
Las identidades con privilegios (humanas y no humanas) controlan los recursos de alto valor y los mecanismos de cumplimiento de seguridad. Cuando se pone en peligro, el impacto empresarial resultante es grave. Los atacantes con acceso privilegiado pueden:
- Filtra, cifra o destruye datos.
- Cierre o interrumpa las operaciones empresariales.
- Deshabilite los controles de detección y cumplimiento.
- Subvertir sistemas de identidades y crear acceso persistente.
Ataques comunes
Los ataques siguen dos patrones comunes:
- Robo de datos dirigido: Cyberattackers localiza y filtra la propiedad intelectual confidencial, los datos financieros o los planes estratégicos. Los datos robados se venden, filtran o se usan para una ventaja competitiva.
- Ransomware operado por humanos: Cyberattackers aprovecha el acceso con privilegios para cifrar sistemas, detener operaciones y extortar a la organización, lo que obliga a tomar decisiones ejecutivas bajo una presión de tiempo extrema.
¿Por qué el acceso con privilegios es arriesgado?
El riesgo de acceso con privilegios es único y sistémico por varias razones.
| Riesgo | Detalles |
|---|---|
| Opera en el plano de control | Las cuentas con privilegios funcionan en el plano de control, no solo en el plano de carga de trabajo. Las identidades con privilegios pueden modificar las configuraciones de identidad, cambiar las configuraciones de seguridad, deshabilitar o omitir los controles de cumplimiento y alterar los datos críticos para la empresa. Una vez que los atacantes obtienen acceso con privilegios, pueden perjudicar los mecanismos muy diseñados para detectarlos y detenerlos. Esto hace que las estrategias de contención tradicionales sean mucho menos eficaces y permiten que el riesgo persista sin detectar. |
| Alto impacto empresarial por diseño | El acceso con privilegios existe para administrar sistemas críticos, por lo que el abuso de ese acceso tiene consecuencias inmediatas y graves. Con el acceso con privilegios, los atacantes pueden: - Filtración o destrucción de datos confidenciales - Apagar o manipular operaciones empresariales - Cifrar entornos completos para la extorsión (ransomware operado por humanos) - Subvertir sistemas de maneras que pueden causar daños en el mundo real. Estos resultados no son teóricos. Se observan repetidamente en todos los sectores, lo que hace que el acceso con privilegios sea una de las formas más confiables para que los atacantes logren el máximo impacto. |
| Ruidos y interrupciones | A diferencia del robo de datos sigiloso, muchos ataques de acceso con privilegios (especialmente ransomware operado por humanos) son intencionadamente perjudiciales. Detiene las operaciones, interrumpe los servicios orientados al cliente y fuerza la toma de decisiones de nivel ejecutivo bajo una presión de tiempo extrema. Dado que todas las organizaciones están motivados financiera y operativamente para restaurar el servicio rápidamente, estos ataques son universalmente aplicables y muy eficaces, independientemente del sector o tamaño. |
| Aumento del riesgo, no reducción | Los atacantes son independientes de la tecnología y flexibles. No tienen como destino un único producto o control, pero aprovechan cualquier ruta de acceso con privilegios más débil en este momento. La superficie expuesta a ataques de acceso con privilegios es amplia e interconectada, abarcando: - Cuentas y sistemas de identidad - Estaciones de trabajo y dispositivos - Sistemas intermedios, como herramientas de acceso remoto y soluciones PAM/PIM. - Interfaces de administración, portales, API y rutas de elevación de privilegios. La vulneración de cualquiera de estos elementos puede abrir una vía hacia el control total de la empresa, y surgen continuamente nuevas vías de acceso a medida que evolucionan los entornos. |
| Se produce un error en los enfoques de una sola solución | La implementación de solo una clase de control, como PAM/PIM, restricciones de red o herramientas de detección, no reduce lo suficiente el riesgo. Estos controles abordan partes del problema, no el sistema. Si el acceso privilegiado no está protegido de extremo a extremo, los atacantes simplemente eluden las defensas aisladas y explotan un eslabón sin protección en la ruta de acceso. Este es el motivo por el que el acceso con privilegios debe tratarse como un sistema completo, desde la confianza de identidad y dispositivo, a través de la elevación y la ejecución, a la supervisión y la respuesta, en lugar de como una colección de herramientas independientes. |
Principios y resultados de la arquitectura
El enfoque recomendado de Microsoft es crear un sistema de acceso con privilegios de circuito cerrado que:
- Ofrece una reducción inmediata del riesgo
- Admite el progreso incremental y sostenible
- Evita la complejidad innecesaria.
- Habilita resultados claros y criterios de éxito
Resultados arquitectónicos
La implementación de la estrategia basada en estos principios crea una serie de resultados claros y criterios de éxito.
| Resultado | Arquitectura | Criterios de éxito |
|---|---|---|
| El acceso con privilegios se aplica como un sistema de un extremo a otro | El riesgo con privilegios se controla en toda la ruta de acceso: identidad, asignación de roles, dispositivo, entorno de ejecución, flujo de trabajo de elevación, sistemas intermedios, interfaces de administración, supervisión y respuesta. El trabajo privilegiado solo se realiza a través de rutas de elevación explícitas y autorizadas con validación de Confianza Cero (verificación de identidad, confianza del dispositivo y contexto de sesión). | Cada sesión valida que la cuenta de usuario y el dispositivo son de confianza en un nivel suficiente antes de permitir el acceso. Ejemplos de métricas: % de inicios de sesión privilegiados que cumplen requisitos como MFA y la confianza de dispositivo requerida, % de acciones con privilegios realizadas a través del flujo de trabajo de elevación de aprobación frente a privilegios permanentes. |
| Protección y supervisión de sistemas de identidad | Proteja los sistemas de identidad que hospedan o conceden privilegios (directorios, administración de identidades, cuentas de administrador, etc.). La gobernanza, la aplicación de directivas, el registro y el análisis están centralizados para reducir el desfase y mejorar la visibilidad. |
Cada uno de estos sistemas está protegido en un nivel adecuado para el posible impacto empresarial de las cuentas hospedadas en él. Ejemplos de medida: % de identidades con privilegios cubiertos por la revisión de acceso regular Tasa de finalización de revisiones periódicas de acceso con privilegios (que revisaron, quién revocó). |
| Mitigación del recorrido lateral | Aísle el trabajo con privilegios de entornos de alta exposición. Proteja las credenciales de administrador local, los secretos de las cuentas de servicio y los mecanismos de elevación para que la puesta en peligro de un solo dispositivo, cuenta o credencial no permita un control administrativo de mayor alcance. | Poner en peligro un único dispositivo no conduce inmediatamente al control de muchos o todos los demás dispositivos del entorno. Ejemplo de medida: % de acciones privilegiadas realizadas únicamente desde estaciones de trabajo de administración. |
| Responder rápidamente a las amenazas | La actividad con privilegios es una señal de prioridad para la detección y la respuesta. Diseñe la monitorización y la respuesta ante incidentes para interrumpir ataques multifase y limitar el tiempo de permanencia del adversario dirigidos al acceso privilegiado. | La respuesta a incidentes puede detener de forma fiable los ataques multietapa antes de que alcancen el acceso privilegiado y contener rápidamente el uso indebido de privilegios cuando se produzca. Ejemplo de medida: el tiempo medio para corregir los incidentes con privilegios (MTTR) se reduce a minutos en lugar de horas o días. Las rutas de acceso privilegiado inesperadas o nuevas se identifican y cierran rápidamente. |
Realice un seguimiento de estas medidas mensualmente para el progreso y revise trimestralmente como parte de la gobernanza del acceso con privilegios.
Descripción de las rutas de acceso con privilegios
Las rutas de acceso con privilegios son rutas de acceso que forman una cadena completa de identidad a ejecución, como se muestra en el diagrama siguiente.
Si algún vínculo de la cadena es débil, toda la ruta de acceso es vulnerable.
| Path | Componentes | Riesgo |
|---|---|---|
|
Rutas de acceso de usuario Las rutas de acceso de usuario admiten operaciones empresariales y productividad estándar, como correo electrónico, colaboración, exploración web y aplicaciones de línea de negocio. |
Normalmente, una ruta de acceso de usuario implica: - Identidad: una cuenta de usuario estándar - Dispositivo: una estación de trabajo de uso general - Intermediario: intermediarios opcionales, como una VPN o acceso remoto. - Interfaz: interacción con aplicaciones y servicios empresariales. |
Aunque una vía de acceso de un usuario comprometida puede causar daños, el impacto potencial es limitado en comparación con el acceso privilegiado. |
|
Rutas de acceso con privilegios Las rutas de acceso con privilegios administran identidades, infraestructura, controles de seguridad y sistemas críticos para la empresa. |
Las rutas de acceso con privilegios normalmente constan de: - Identidad: una cuenta que realiza un trabajo con privilegios. - Dispositivo: La estación de trabajo terminal o el dispositivo utilizado en la sesión privilegiada. - Intermediario: Cualquier sistema o servicio que intermedie en o aloje la sesión privilegiada, como las herramientas de acceso remoto o administración. - Interfaz: la superficie de administración en la que se ejerce el control con privilegios. Por ejemplo, portales, API, herramientas de línea de comandos o automatización. |
Aunque los componentes técnicos parecen similares a una vía de acceso de un usuario, el daño potencial derivado de una vulneración es mucho mayor. Por lo tanto, las rutas de acceso con privilegios deben ser: - Menos números - Definido explícitamente - Aislado de las rutas de acceso de usuario - Protegido con los controles más fuertes disponibles. |
Ruta de acceso de ejemplo
En una ruta de acceso con privilegios típica:
- Una identidad de administrador dedicada inicia sesión.
- El inicio de sesión se realiza desde una estación de trabajo segura para acceso con privilegios (PAW).
- El inicio de sesión activa un rol a través de Privileged Identity Management (PIM).
- El inicio de sesión usa una interfaz administrativa específica, como un portal, una API o una CLI.
- La identidad de inicio de sesión realiza una acción con privilegios.
Componentes de la solución
La solución de acceso privilegiado se basa en tres elementos estrechamente vinculados que garantizan que las acciones privilegiadas sean realizadas por las identidades adecuadas, desde dispositivos de confianza y bajo condiciones impuestas.
Identidades con privilegios
- Cuentas de administrador dedicadas que pueden realizar acciones con privilegios.
- Identidades protegidas con autenticación segura y, siempre que sea posible, autenticación sin contraseña.
- Asignación de roles con privilegios limitados.
- Elevación puntual de privilegios con aprobación.
Estaciones de trabajo de acceso con privilegios (PAW)
- Dispositivos reforzados y con restricciones.
- Superficie de ataque reducida en los dispositivos.
- Protección contra amenazas de credenciales y malware.
- Aislado de las actividades de usuarios de alto riesgo.
Cumplimiento y supervisión de directivas
- El acceso condicional valida el contexto de identidad, dispositivo y sesión.
- Las rutas de elevación con privilegios se definen explícitamente.
- Toda la actividad con privilegios se registra, supervisa y revisa.
Sistemas de identidad y rutas de elevación
Los sistemas de identidad y las rutas de elevación son componentes fundamentales de cada ruta de acceso con privilegios. Definen dónde se crean las identidades con privilegios, cómo se asignan los roles administrativos y cómo los usuarios pasan de un estado sin privilegios a realizar acciones con privilegios.
Esta guía de implementación trata los sistemas de identidad y las rutas de elevación como parte de la superficie expuesta a ataques con privilegios y el plano de control de identidad.
| Area | Detalles | Mitigación de riesgos |
|---|---|---|
| Sistemas de identidad | Donde se definen y administran identidades, roles y permisos administrativos con privilegios. Esta definición incluye directorios, asignaciones de roles, grupos administrativos y configuración de nivel de inquilino. |
Las identidades con privilegios funcionan en el plano de control. Si los sistemas de identidad están en peligro, los atacantes pueden crear, modificar o conservar el acceso con privilegios, pasando los controles de dispositivo, las condiciones de acceso y la supervisión. Proteger el plano de control de identidad es la prioridad de implementación más alta. |
| Rutas de elevación autorizadas | Cómo un usuario realiza la transición de un estado sin privilegios para realizar acciones con privilegios. Por ejemplo, activación de roles de duración limitada, flujos de trabajo de aprobación y sesiones administrativas de ámbito restringido. |
Garantiza que la elevación requiere una autenticación sólida y que la elevación con privilegios sea intencionada, temporal, supervisada y solo se produzca desde dispositivos e interfaces aprobados. Al forzar la elevación a través de flujos de trabajo, dispositivos e interfaces aprobados, se evita el privilegio permanente y se reduce el abuso, el movimiento lateral y la persistencia silenciosa. |
Fases de la solución
Implemente la arquitectura de acceso con privilegios mediante un modelo de adopción por fases alineado con Microsoft procedimientos recomendados.
- Inicie la adopción mediante el modelo de adopción estructurado. La guía de adopción ayuda a los líderes empresariales a identificar los resultados críticos de nivel empresarial para una identidad segura y a comprender la materia de acceso e identidad, incluidos los equipos y los esfuerzos necesarios para impulsar iniciativas de identidad como el acceso con privilegios.
- Planee la solución. Planear le ayuda a identificar objetivos de diseño, asignar niveles de seguridad para determinar la estrategia de acceso con privilegios y planear la implementación.
- Siga las fases de implementación resumidas en la tabla siguiente. Cada fase tiene un objetivo específico y se implementa mediante pasos de configuración concretos en los artículos correspondientes.
Fases de implementación
| Fase | Mitigación del riesgo | Aplique principios de Confianza cero |
|---|---|---|
| Fase 1. Protección del plano de control de identidad Crear: - Identidades de administrador dedicadas. Grupos de seguridad para la asignación de roles. - Cuentas de acceso de emergencia si aún no las tiene. |
Reduce el riesgo de robo de credenciales, uso incorrecto de privilegios y elevación no autorizada. |
Comprobación explícita Use la autenticación segura. Uso de privilegios mínimos Restrinja los roles de administrador/habilite el privilegio Just-In-Time. Asumir una brecha. Use cuentas de emergencia para la recuperación. |
| Fase 2. Implementación y protección de dispositivos de acceso con privilegios Aprovisione estaciones de trabajo de acceso con privilegios dedicadas (PAW). Aplique el fortalecimiento del sistema operativo y las configuraciones de referencia de seguridad. Imponga la aplicación de revisiones, la protección de endpoints y el cifrado de disco. Minimice las instalaciones de aplicaciones y servicios. |
Reduce el riesgo de poner en peligro las credenciales y los ataques basados en dispositivos. |
Comprobación explícita Asegúrese de que los dispositivos estén inscritos, de confianza y conformes antes de conceder acceso. Asumir que hay una brecha Minimice las posibles rutas de acceso de peligro al proteger los dispositivos y aislar las credenciales administrativas. Utilizar acceso con privilegios mínimos. Restrinja lo que los administradores pueden hacer en estos dispositivos dedicados. |
| Fase 3. Aplicación de directivas de acceso con privilegios Configure el acceso condicional para roles con privilegios. Requerir dispositivos compatibles y autenticación segura. Aplicar condiciones de acceso compatibles con el contexto. Restringir el acceso a las interfaces aprobadas. |
Impide el acceso no autorizado y la reutilización de credenciales. |
Asumir una brecha. Evite el uso incorrecto de las credenciales si se roban las cuentas mediante la restricción de dónde y cómo se concede el acceso. Usar el privilegio mínimo. Imponer permisos basados en roles y en el contexto. |
| Fase 4. Supervisión y validación continua Investigue los incidentes y corrija rápidamente. Reevalúe continuamente la confianza y la cobertura. |
Detecte, investigue y responda a amenazas con privilegios. Supervise las activaciones y sesiones de roles con privilegios. Detectar anomalías y patrones sospechosos. Reduzca el impacto de una intrusión no detectada y el tiempo prolongado de permanencia del atacante. |
Supongamos la vulneración. Supervise continuamente la actividad del atacante y el comportamiento anómalo. Compruebe explícitamente. Evalúe la confianza continuamente e investigue patrones de acceso sospechosos. |
Pasos siguientes
Ahora, empiece a planear una estrategia de implementación.