Estimados amigos de Inseguros !!!
Después de los artículos que hemos visto con los "hacks" o intentos de phishing al entorno Azure Ad, siempre recordamos en los propios post como debemos defendernos.
En la mayoría de los casos, cuando luchas contra la autenticación, las soluciones son las que son. La primera es el MFA. Hemos visto como el MFA se puede saltar, entonces debemos seguir realizando las tareas de fortificación con el compromiso o la teoría de "Defensa en profundidad". Es decir, no tenemos que poner una barrera, sino poner tantas barreras como sean posibles, porque entendemos que las medidas fueden fallar. Esto va alineado también con el concepto de Zero Trust, pero poco a poco...
El acceso condicional es un MUST en la configuración de Azure AD.
Si hacemos referencia a la matriz de MITRE para Cloud Azure y O365, todos los ataques se basan en la identidad... Es MUY MUY DIFICIL que te hackeen tu Tenant con una sqli xD xD
https://attack.mitre.org/matrices/enterprise/cloud/azuread/ |
Algunos usuarios se quejan de que estas funcionalidades requieren el pago de Azure AD Premium 1 o 2. La respuesta es que si. Al final los servicios de Azure tienen distintos niveles de profundidad, de seguridad, de rendimiento. Todos entendemos que si queremos más gigas de ram en una VM tenemos que pagar más. La apuesta de Microsoft es dotar a sus servicios de esta modalidad.
Hace unos años el MFA era solo para usuarios administradores, ahora es para todos los usuarios. Poco a poco van "relajando" las licencias necesarias, conforme integran nuevas funcionalidades en las licencias superiores.
Azure AD P1 aporta una seria de ventajas, que puedes ver en sus páginas de producto, a valorar por la empresa.
Otra cuestión es la de los usuarios. Si tenemos usuarios administradores y usuarios de negocio, podemos elegir proteger primero a los administradores, ya que el impacto de un acceso a estas cuentas sería mayor que al del resto de usuarios... pero al final... que lean los correos de tus usuarios no es un riesgo bajo...
Lo que está claro es que cuando inicias el camino al cloud, debes tener muy claros los costes, los actuales, y los de la evolución.
Pongo el ejemplo de la virtualización. En los eslóganes prometían ahorro de costes.
Cuando tenías Hardware en hierro, tenias 2 gb de ram dedicados a un server, estuviera apagado...encendido... con poca carga... recuerdas estas cosas?
Bien, y las licencias de los hypervisores? y las licencias especiales para el software de backup? las cabinas de disco? los entornos de recovery? las licencias de antivirus para hypervisores? los complementos de orquestación, administración mejorada?
Que si, que hemos ahorrado mucho dinero... Imagino que depende de quien te haga los números te dirá que si, pero los costes salen, florecen...
No hay que irse al Cloud, vamos a la informática doméstica. Te compras un portátil y necesitas un antivirus, comprar un paquete de ofimática o usar uno gratuito. Necesitas un ratón cómodo, un maletín.
Si eres legal, comprarás el software que necesitas... De los $$$ del portátil tienes que contar con mas gasto... El Cloud no es distinto...
Con el cloud IGUAL. Porque cada cuestión que queramos usar, la pagamos como servicio. Con todas las ventajas que tiene...
Instalar un software de gestión de identidades, con acceso condicional, para una organización de tamaño media podría ser un proyecto GORDO, de licencias, implantació soporte, etc.
Hacerlo ahora con un golpe de Click, por unos euros al mes/usuario, es caro? barato?
Un buen amigo mio linuxero me decía: Microsoft ofrece soluciones a problemas que ellos han creado... bueno, tiene un poco de razón, un script en SSH puede ser una buena arma... pero a veces no...
Espero que hayais entendido un poco el propósito de la reflexión, y no es pro ni contra de nada, es solo que cuando tengais un proyectos sobre la mesa, y mireis el ROI y estas cosas, tengais en cuenta la evolución del servicio, el 3+1+1+1+1+1 y estas cosas.
Por último se me ocurre el ejemplo de un coche. Compra un Bmw Serie 3 pelao de motor y extra, o compra el m3 equipado. Es un x4... con esto pasa lo mismo.
Gracias por leerme !!!