Responsabilidad Compartida en Microsoft 365 y Entra (Azure)
Jun 02, 2024
Un error común sería pensar que dado los niveles de servicio que maneja Microsoft, las medidas de seguridad, auditorías, etc, sería suficiente para quedarse “tranquilo” y que no hay nada más por hacer.
Profundicemos un poco en esto ya que la realidad es muy diferente.
En esta imagen obtenida del documento de responsabilidad compartida de cloud computing vemos las responsabilidades asociadas a cada modelo, en color más oscuro lo que le correspondería a Microsoft y en naranja lo que le correspondería al cliente.
Como queda bien claro, si se corre todo on premises la organización sería 100% responsable de cada elemento.
Cuando los servicios pasan a correr en la nube, esta responsabilidad pasa a ser compartida con el proveedor, exactamente qué componente depende del tipo de servicio contratado. De las opciones en la imagen, Infrastructure as a Service (IaaS) es la que implica mayor responsabilidad para el cliente, mientras que Software as a Service (SaaS) es la que menos.
El proveedor de nube (Microsoft), se hace cargo de toda la parte física mientras que dependiendo del modelo de servicio contratado otras responsabilidades son compartidas o en muchos casos completamente responsabilidad del cliente.
En cualquiera de los casos la información, datos, dispositivos identidades y cuentas son 100% responsabilidad del cliente. Por mencionar un ejemplo en este sentido, Microsoft proporciona la posibilidad de usar autenticación Multi-Factor (MFA), si el cliente decide no utilizar esta característica, la responsabilidad no sería de Microsoft, y menciono este caso ya que como vimos en un artículo anterior el nuevo perímetro de seguridad se basa en las identidades y usar algún mecanismo de MFA es de las primeras cosas que debemos considerar en este sentido.
En complemento a esto en el documento de acuerdo de servicio, sección disponibilidad del servicio encontramos la siguiente frase:
“We strive to keep the Services up and running; however, all online services suffer occasional disruptions and outages, and Microsoft is not liable for any disruption or loss you may suffer as a result. In the event of an outage, you may not be able to retrieve Your Content or Data that you’ve stored. We recommend that you regularly backup Your Content and Data that you store on the Services or store using Third-Party Apps and Services.”
En definitiva, lo que dice es que si bien se hace todo lo posible para mantener los servicios funcionando, todos los servicios en línea sufren ocasionales interrupciones y Microsoft no se hace responsable por ninguna de estas incluyendo una eventual pérdida que se sufra como resultado, frente a una falla es posible que no se pueda acceder al contenido o datos almacenados en el servicio, por este motivo la recomendación es respaldar la información lo que en general lleva al uso de aplicaciones de terceros.
Ahora teniendo más en claro lo que le corresponde a cada parte, en el próximo articulo comenzamos con el tema de la protección de identidades en Microsoft 365.
Artículos en la serie
CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE
1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
CAPITULO II - ZERO TRUST
4. Zero Trust con Microsoft 365
CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS
5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune
CAPITULO IV - MICROSOFT DEFENDER XDR
8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud
CAPITULO V - MICROSOFT SENTINEL
14. SIEM y SOAR con Microsoft Sentinel
BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365
15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365
