¿Cómo facilitar el acceso manteniendo la seguridad con Azure Conditional Access?
En la actualidad, el perímetro de seguridad moderno se extiende más allá de la red de una organización, ésta incluye tanto la identidad del usuario como la del dispositivo, ya que el acceso a la organización se puede producir desde muchos lugares diferentes y de diferentes maneras.
Por ello, hoy vamos a hablar de Azure Conditional Access, la herramienta que permite gestionar los accesos según las directivas de la organización.
¿Qué es el acceso condicional?
Podríamos definir el acceso condicional, como la herramienta que reúne las señales necesarias para tomar decisiones y aplicar las directivas establecidas por la organización. Y éste acceso condicional de Azure AD, se encuentra en el centro del nuevo plano de control basado en identidades.
Explicado de la forma más simple, las directivas de acceso condicional son instrucciones if-then; esto quiere decir, que, si un usuario desea tener acceso a un recurso, deben completar una acción.
Por ejemplo, si un responsable de nóminas desea acceder a la aplicación de nóminas de nuestra organización, es necesario que use la autenticación multifactor para acceder. Otro ejemplo, uno de nuestros trabajadores desea acceder al sistema desde una IP de confianza, como la IP de las oficinas de la empresa, en este caso, el acceso condicional puede permitir no usar la autenticación multifactor, ya que el dispositivo/usuario se está conectando desde una IP registrada y de confianza.
A la hora de configurar Conditional Access, los administradores se enfrentan a dos objetivos principales:
- Capacitar a los usuarios para ser productivos donde sea y cuando sea
- Proteger los recursos de la organización
Es decir, los administradores de nuestra organización usando Conditional Access, pueden facilitar el acceso en ciertas condiciones o limitarlo en otras, adaptándonos a la seguridad necesaria de cada situación, para que nuestros trabajadores y usuarios tengan el acceso requerido con un balance entre comodidad y seguridad.
A continuación, podemos ver el esquema de funcionamiento de Conditional Access:
¿Cuáles son las Condiciones de acceso más habituales?
Si hablamos de las condiciones más habituales que se pueden tener en cuenta al tomar una decisión sobre un acceso de un usuario o dispositivo en nuestra organización, podríamos incluir las siguientes:
Pertenencia a un usuario o grupo
Las directivas pueden dirigirse a usuarios y grupos concretos, proporcionando a los administradores de nuestra organización un mayor control sobre el acceso a aplicaciones y datos.
Información de la ubicación de la IP
Los administradores de las organizaciones pueden crear intervalos de direcciones IP de confianza que se pueden usar al tomar decisiones sobre directivas.
Tambien pueden especificar que se bloquee o se permita el tráfico de intervalos de direcciones IP de países o regiones completos.
Dispositivos
Los usuarios de nuestra organización con dispositivos de plataformas concretas o marcados con un estado concreto, pueden usarlos al aplicar directivas de acceso condicional.
Se pueden usar filtros para los distintos dispositivos, con la finalidad de destinar directivas a dispositivos específicos, como dispositivos de acceso con privilegios.
Aplicaciones
Aquellos usuarios que traten de acceder a aplicaciones específicas pueden desencadenar distintas directivas de acceso condicional.
Detección de riesgo calculado y en tiempo real
La integración de señales con Azure AD Identity Protection permite que las directivas de acceso condicional identifiquen un comportamiento de inicio de sesión peligroso.
Ante un problema de este tipo, las directivas establecidas pueden obligar a los usuarios a cambiar su contraseña, usar la autenticación multifactor para reducir su nivel de riesgo o a bloquear el acceso hasta que algún administrador lleve a cabo una acción manual, asegurándose que no existe ningún riesgo para la organización.
Microsoft Defender for Cloud Apps
Microsoft Defender permite a nuestros administradores mantener el control y la supervisión en tiempo real de las sesiones y el acceso a las aplicaciones de usuario, lo que aumenta la visibilidad y el control sobre el acceso y las actividades realizadas dentro del entorno Cloud de nuestra organización.
¿Cuáles son las decisiones comunes de Conditional Access?
Bloquear acceso
La decisión más restrictiva, se bloquea el acceso del usuario o dispositivo a las aplicaciones o datos de nuestra organización.
Conceder acceso
La decisión menos restrictiva a aplicar, pero esta decisión puede requerir una o varias de las opciones siguientes:
- Requerir autenticación multifactor (MFA)
- Requerir que el dispositivo esté marcado como compatible
- Requerir un dispositivo unido a Azure AD híbrido
- Requerir aplicación cliente aprobada
- Requerir una directiva de protección de aplicaciones (Actualmente en versión preliminar)
¿Cómo funciona una directiva de Acceso Condicional?
Veamos ahora cómo funciona una directiva de acceso condicional en Azure AD.
Todas las directivas de acceso condicional se aplican en dos fases:
Fase 1: Recopilación de detalles de la sesión
Durante la primera fase de la directiva se recopila los detalles de la sesión, como la ubicación de red y la identidad del dispositivo, que serán necesarios para la evaluación de la directiva.
Esta fase 1 de la evaluación de la directiva se produce para todas las directivas habilitadas, así como para las directivas que sólo sean informativas.
Fase 2: Cumplimiento
Durante esta fase 2, se usan los detalles de la sesión recopilados en la fase 1 para identificar los requisitos que no se han cumplido.
Si hay una directiva que está configurada para bloquear el acceso, la aplicación se detendrá aquí y se bloqueará al usuario.
Si no hay directiva de bloqueo, pero no se han cumplido aún todos los requisitos para el acceso, se pedirá al usuario que complete más requisitos de control en el siguiente orden, hasta que se satisfaga la directiva:
- Autenticación multifactor
- Dispositivo marcado como compatible
- Dispositivo unido a Azure AD híbrido
- Aplicaciones cliente aprobadas
- Directiva de protección de aplicaciones
- Cambio de contraseña
- Condiciones de uso
- Controles personalizados
Una vez el usuario o dispositivo haya pasado todos los controles, se aplican controles de sesión (los exigidos por la aplicación, exigidos por Microsoft Defender for Cloud Apps y el control de la duración del token).
Al igual que la fase 1, esta fase 2 de la evaluación de directivas, se realiza para todas las directivas habilitadas.
Algunos ejemplos de directivas que se aplican habitualmente
Muchas de las organizaciones de hoy en día, tienen problemas de acceso comunes que podrían resolverse facilmente con la utilización de Conditional Access.
A continuación, pondremos algunos ejemplos en los que el uso del Acceso Condicional resultará útil para nuestra organización:
- Requerir la autenticación multifactor a los usuarios con roles administrativos
- Requerir la autenticación multifactor para las tareas de administración de Azure
- Bloquear los inicios de sesión a los usuarios que intenten usar protocolos de autenticación anticuados.
- Requerir ubicaciones de confianza para el registro de Azure AD Multi-Factor Authentication
- Bloquear o conceder el acceso desde ubicaciones concretas
- Bloquear comportamientos de inicio de sesión peligrosos
- Requerir dispositivos administrados por la organización para aplicaciones concretas
Si quieres conocer más sobre la creación de directivas de acceso condicional y sus posibilidades, puedes seguir leyendo sobre el proceso paso a paso aquí.