Administrar la identidad de los usuarios remotos con Azure Active Directory

Con la pandemia, los administradores se dieron cuenta de que la gestión de identidades era fundamental para garantizar la seguridad de una red. Si su empresa aún no ha puesto las identidades en la parte superior de su agenda, ahora es el momento. Y si sus identidades se administran desde una perspectiva “local” pero brinda soporte al personal remoto, podría ser el momento de reconsiderar su enfoque. Si ha estado en la industria de TI por un tiempo, probablemente haya usado Active Directory (AD) de Microsoft. Introducidos en 1999, los Servicios de dominio de Active Directory (AD DS) son la piedra angular de muchas redes. Almacena información sobre dispositivos y usuarios en un dominio y verifica sus credenciales y derechos de red.

AD DS ha sido el punto de referencia para la configuración de red y la autenticación de usuarios por parte de los administradores. Antes de 2020, los servicios en la nube representaban solo una pequeña parte de las necesidades diarias de redes. Pero la pandemia de Covid-19 lo ha sacudido todo y todos los planes tecnológicos quinquenales destinados a garantizar una mejor integración entre los dominios físicos y las aplicaciones en la nube se comprimieron antes de que fueran necesarios. De repente, las empresas necesitaban una solución que pudiera salir de la red física y que pudiera admitir la autenticación con servicios en la nube. Necesitaban conectar y controlar las computadoras que usaban en casa sus empleados y permitirles acceder a sus redes.

La adopción de Azure Active Directory va en aumento

En este contexto, Azure Active Directory (Azure AD) se ha consolidado como la plataforma esencial para dar soporte a los usuarios y sus necesidades en su nuevo entorno de trabajo desde casa. Sobre todo porque este trabajo en casa debería continuar incluso después del final de la pandemia. En una publicación de blog reciente sobre este desarrollo, Joy Chik, vicepresidente de Microsoft Identity, informa que el uso de Azure AD App Gallery aumentó un 109% con respecto al año pasado, y la mayoría de las aplicaciones dependen del acceso remoto a la red. Y son las aplicaciones proxy, o la entrega de aplicaciones y los controladores de red y VPN, las que han experimentado el mayor crecimiento. El servicio de proxy de aplicación de Azure AD, que permite a las empresas acceder de forma remota a aplicaciones locales críticas, ha experimentado un enorme crecimiento. La Sra. Chik explicó que la seguridad de la identidad es ahora un requisito fundamental para las empresas. Los titulares que explican cómo los piratas informáticos obtuvieron acceso persistente a la red atacando a usuarios, consultores y, especialmente, acceso remoto no dejan lugar a dudas al respecto. Para protegerlos, es imperativo diseñar sus redes con la aceptación de que los atacantes obtendrán acceso a ellas en un momento u otro.

Una puerta de enlace con autenticador

Microsoft califica esta actitud como una "supuesta infracción". Esto significa que cualquier empresa debe asegurarse de verificar la identidad explícitamente. Hoy en día, los atacantes ya no son hackers estrictamente hablando: inician sesión con las credenciales que han recopilado. Para proteger el acceso a su red, la empresa puede comenzar conectando la red y las aplicaciones a Azure AD. Esto puede facilitar la implementación de tecnología segura de inicio de sesión único (SSO) y promover el uso de contraseñas más sólidas y controles obligatorios. También puede agregar autenticación multifactor (MFA) y directivas de acceso condicional a aplicaciones locales heredadas mediante el proxy de aplicación de Azure AD.

Como señala la Sra. Chik en su blog, la empresa debe asegurarse de que la autenticación multifactor esté habilitada. Puede usar la aplicación Authenticator para realizar la autenticación de dos factores y convertirla en su administrador de sincronización de contraseñas de facto. Las contraseñas utilizadas en el navegador Edge se sincronizarán automáticamente en Authenticator. Puede simplificar su vida eligiendo aplicaciones que utilicen el mismo servicio de autenticación y, en este caso, todas sean compatibles con la solución de Microsoft. Por supuesto, la mayoría de las personas siempre tienen un teléfono con ellos, pero pueden olvidarse del token de dos factores. Por lo tanto, no se puede pasar por alto la practicidad de la aplicación Authenticator.

Identidades seguras con el proxy de aplicación de Azure AD

Microsoft lanzó recientemente la versión preliminar pública del proxy de aplicación de Azure AD, que admite la autenticación basada en encabezados. Antes de eso, tenía que confiar en servicios de terceros para publicar aplicaciones de acceso remoto a través de Azure AD. La empresa puede fortalecer su postura de seguridad asegurándose de que cualquier aplicación que proporcione a sus usuarios remotos a través de una VPN se pueda publicar y ofrecer como aplicaciones remotas a través de Azure AD Application Proxy. Esto obliga a una elección más rigurosa de contraseñas y permite que se apliquen políticas de acceso condicional más granulares, incluso a aplicaciones más antiguas. Las empresas todavía están luchando por deshacerse de las contraseñas por técnicas más seguras, ya sea Windows Hello para empresas, Authenticator o herramientas como Yubico YubiKeys. Pero, desde el lanzamiento de Windows 10, los usuarios han recurrido cada vez más a los códigos PIN. Debido a que el hardware adquirido recientemente admite técnicas de autenticación más seguras, el uso de PIN y datos biométricos para iniciar sesión ha aumentado en relación con las contraseñas. Actualmente, pocas organizaciones utilizan técnicas sin contraseña, en parte debido a implementaciones de servidores más antiguas que no pueden admitir procesos de autenticación más sólidos. Iniciar sesión en Azure AD permite a la empresa cerrar esta brecha e introducir procesos de autenticación más sólidos.

La Sra. Chik señala además que a medida que una empresa hace un inventario de sus aplicaciones existentes y migra a versiones más nuevas, debe investigar e implementar aplicaciones más seguras. Al igual que encontrar aplicaciones que admitan Authenticator, las empresas deben buscar aplicaciones que admitan Microsoft Authentication Library (MSAL) o asegurarse de que los desarrolladores de aplicaciones las admitan en su software. interno. Al configurar aplicaciones en la nube, también recomiendo que las empresas utilicen el proceso de consentimiento del administrador para asegurarse de que solo las aplicaciones aprobadas por la empresa se registren en el acceso de sus usuarios. Dada la seguridad actual, ya no es posible configurar aplicaciones en la nube sin estas políticas de consentimiento.