Home Blog Productos Autor Contacto

Zero Trust con Microsoft 365

azure ciberseguridad defender xdr entra microsoft 365 seguridad Jun 02, 2024
Zero Trust con Microsoft 365

En un entorno donde las amenazas a la ciberseguridad están en constante evolución, con ataques cada vez más complejos, es necesario contar con un enfoque de seguridad robusto y flexible.

Acá es donde entra en juego el concepto de Zero Trust.

Qué es Zero Trust?

Zero Trust no es un producto, sino una estrategia de seguridad que parte de la base de que no se debe confiar en ningún usuario, dispositivo o aplicación de forma automática, siempre se debe verificar. Si lo pensamos en términos tradicionales, en lugar de asumir que todo lo que está detrás del firewall de la organización es seguro, Zero Trust requeriría la verificación explícita de cada solicitud de acceso independientemente de su ubicación u origen.

La implementación de este modelo incluye múltiples áreas, destacando:

  • Identidades y Dispositivos. Se enfoca en la protección y gestión de identidades de usuario y dispositivos.
  • Acceso Condicional. Usa políticas de acceso condicional para evaluar el riesgo antes de permitir acceso entre otros factores.
  • Protección contra Amenazas. Monitorea y responde a amenazas en tiempo real.
  • Protección y Gobernanza de Información. Aplica controles avanzados para proteger datos sensibles y cumplir con normativas de privacidad.

Principios de Zero Trust

  • Verificar explícitamente.
    Autenticar y autorizar basándose en todos los datos disponibles, como la identidad del usuario, la ubicación y el dispositivo.
  • Usar el menor privilegio posible.
    Limitar el acceso de los usuarios y aplicaciones solo a lo necesario para realizar sus tareas y por el tiempo mínimo requerido, lo que incluye conceptos como Just-In-Time (JIT) y Just-Enough-Access (JEA).
  • Asumir la brecha.
    Diseñar la seguridad teniendo en cuenta que un incidente en este sentido es inevitable o ya ha ocurrido, minimizando el impacto y detectando amenazas rápidamente.

Implementación de Zero Trust en Microsoft 365

En términos generales aplicaría del siguiente modo:

Identidades

  • Entra ID (Azure AD). Entre otros, provee autenticación multifactor (MFA) y acceso condicional para proteger los distintos tipos de identidades, asegurando que solo cuentas autenticadas y autorizadas puedan acceder a los recursos.

Dispositivos

  • Microsoft Intune. Permite administrar y asegurar los dispositivos que acceden a los recursos corporativos, aplicando políticas de cumplimiento y protegiendo datos sensibles.
  • Microsoft Defender for Endpoint. Ofrece protección avanzada para dispositivos, detectando y respondiendo a actividades sospechosas en tiempo real.

Aplicaciones y Datos

  • Microsoft Defender for Cloud Apps. Controla y monitorea el uso de aplicaciones y datos, detectando y gestionando aplicaciones no autorizadas (Shadow IT) y aplicando políticas de seguridad en tiempo real.
  • Microsoft Defender for Office 365. Protege enlaces y documentos tanto en el correo electrónico como en herramientas colaborativas como Teams, Onedrive y Sharepoint.

  • Microsoft Purview Information Protection. Permite la clasificación, etiquetado y protección de datos sensibles, asegurando que solo los usuarios autorizados puedan acceder a la información crítica.

Infraestructura

  • Microsoft Defender for Cloud. Protege infraestructuras híbridas, redes y entornos multicloud, detectando comportamientos anómalos y amenazas avanzadas. Supervisa continuamente la seguridad, aplica configuraciones seguras y utiliza acceso just-in-time (JIT) para reducir el tiempo de exposición. Permite el envío de alertas, respuestas automatizadas, recomendaciones de seguridad e informes detallados orientados a mejorar la postura de seguridad de la organización.

Visibilidad y Análisis

  • Microsoft Sentinel. Solución de SIEM (Security Information and Event Management) y SOAR (Security Orchestration, Automation, and Response), proporciona visibilidad continua y en tiempo real de los incidentes de seguridad de toda la organización. Sentinel permite análisis avanzado y automatiza la respuesta a incidentes, integrando telemetría de todos los componentes para brindar una visión completa de la seguridad. En complemento utiliza machine learning para detectar amenazas y tomar decisiones rápidamente.
  • Microsoft Defender XDR. Proporciona detección y respuesta extendida, integrando capacidades de múltiples soluciones de seguridad de Microsoft para ofrecer una defensa coordinada y completa contra amenazas avanzadas. Combina datos de diversas fuentes, como endpoints, identidades, correos electrónicos y aplicaciones, mejorando la capacidad de detección y la respuesta a incidentes.

En la siguiente imagen se detalla el trabajo que implicaría esta implementación comenzando de abajo hacia arriba:

 

A un nivel macro la implementación implica los siguientes pasos

Paso 1: Configurar la seguridad de identidades y protección de acceso de dispositivos

La protección de identidades y dispositivos es el primer paso en la implementación de Zero Trust. A continuación algunas recomendaciones:

  • Autenticación Multifactor (MFA). Habilitar MFA para todos los usuarios. Esto reduce significativamente el riesgo de compromisos de cuentas.
  • Acceso Condicional. Configurar políticas que requieran dispositivos saludables y en cumplimiento con las normas de la organización.
  • Bloqueo de Clientes que no soportan Autenticación Moderna. Asegurar que todos los clientes utilicen métodos de autenticación modernos para evitar evasión de políticas de acceso condicional. 

 

Paso 2: Administrar dispositivos con Intune

Una vez configuradas las identidades y el acceso condicional, el siguiente paso es la administración de dispositivos con Intune:

  • Registro de Dispositivos. Registrar dispositivos en Entra ID e Intune para aplicar políticas de seguridad. Esto incluye dispositivos Windows, macOS, iOS, y Android.
  • Políticas de Cumplimiento y Protección de aplicaciones. Definir y aplicar políticas que aseguren que los dispositivos cumplen con los requisitos mínimos de seguridad antes de acceder a datos sensibles.

Paso 3: Generar políticas de protección

Ya con una gestión básica de dispositivos e identidades se avanza con políticas más avanzadas para una mayor seguridad:

  • Políticas de Cumplimiento en Intune. Definir políticas de cumplimiento para asegurar que todos los dispositivos cumplan con los estándares de seguridad.
  • Políticas de Protección de aplicaciones en Intune. Aplicar políticas avanzadas de protección de datos para aplicaciones específicas.

Paso 4: Piloto de Microsoft Defender XDR

Microsoft Defender XDR (Extended Detection and Response) proporciona una solución integral para la detección y respuesta ante amenazas. Integra varios componentes que trabajan en conjunto para proteger el entorno como por ejemplo:

  • Defender for Endpoint. Proporciona protección avanzada contra amenazas en dispositivos.
  • Defender for Office 365. Protege el entorno de correo y colaboración contra amenazas.
  • Defender for Identity. Monitorea actividades sospechosas en identidades y proporciona alertas en tiempo real.
  • Defender for Cloud Apps. Protege el uso de aplicaciones SaaS y monitorea actividades sospechosas.

En el artículo dedicado a Microsoft Defender XDR vemos el orden de implementación recomendado por Microsoft para cada solución.

Paso 5: Proteger y Gestionar Datos Sensibles

La protección de datos sensibles es otro pilar fundamental en la estrategia de Zero Trust. Microsoft Purview Information Protection ofrece herramientas para descubrir, clasificar y proteger información sensible:

  • Etiquetas de Sensibilidad. Crear y aplicar etiquetas que clasifiquen datos según su sensibilidad. Esto facilita la aplicación de políticas de protección.
  • Reglas de Autoetiquetado. Configurar reglas que apliquen automáticamente etiquetas de sensibilidad basadas en el contenido del documento.
  • Políticas de Prevención de Pérdida de Datos (DLP). Implementar políticas de DLP para prevenir la pérdida de datos críticos. Estas políticas pueden aplicarse a documentos en SharePoint, Teams, y Exchange entre otros.

Conclusión

Implementar una estrategia de Zero Trust con Microsoft 365 implica una serie de pasos bien definidos que incluyen la protección de identidades, la gestión de dispositivos, la defensa contra amenazas y la protección de datos. El enfoque Zero Trust permite a las organizaciones proteger sus recursos de manera efectiva, asegurando que solo los usuarios y dispositivos autorizados tengan acceso, lo que es fundamental para cualquier organización que busque mejorar su postura de seguridad.

En el próximo artículo entramos en el tema de la protección de identidades en Entra ID (Azure AD), comprender cómo funciona esto es crítico para asegurar que solo los usuarios autenticados y autorizados puedan acceder a los recursos, fortaleciendo así la seguridad de la organización en un entorno Zero Trust.

 

Artículos en la serie

 

CAPITULO I - CONCEPTOS DE SEGURIDAD Y DESAFIOS EN LA NUBE

1. Microsoft 365: El problema de seguridad
2. Desafíos de seguridad en Microsoft 365
3. Responsabilidad Compartida en Microsoft 365 y Azure
 

 

CAPITULO II - ZERO TRUST

 4. Zero Trust con Microsoft 365

 

 

CAPITULO III - IDENTIDADES Y MANEJO DE DISPOSITIVOS

5. Protección de identidades en Microsoft 365 y Azure
6. Tipos de Identidades en Entra ID (Azure AD)
7. Manejo de dispositivos con Microsoft Intune

 

 

CAPITULO IV - MICROSOFT DEFENDER XDR

8. Microsoft Defender XDR
9. Microsoft Defender for Identity
10. Antispam y Phishing con Defender for Office 365
11. Protección de dispositivos con Microsoft Defender for Endpoint
12. Shadow IT y visibilidad con Microsoft Defender for Cloud Apps
13. Microsoft Defender for Cloud

 

 

CAPITULO V - MICROSOFT SENTINEL

14. SIEM y SOAR con Microsoft Sentinel

 

 

BONUS - TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

15. TALLER DE FUNDAMENTOS DE CIBERSEGURIDAD CON MICROSOFT 365

 

 

Daniel Núñez Banega

Autor del sitio

Hola! Bienvenido a Black Phoenix Cybersecurity, soy Daniel Núñez Banega, autor del sitio y trabajo en IT hace más de 20 años, especializado en tecnologías Microsoft y con particular foco en el área de Ciberseguridad. Mi misión con Black Phoenix Cybersecurity es ayudarte a transformar tu carrera en IT aprovechando las oportunidades que surgen en el área de la ciberseguridad.