Estimados amigos de Inseguros!!!
Desde que hemos empezado a hablar de hacking sobre Azure estamos viendo como aparecen nuevos vectores de ataque, y nuevas medidas de seguridad.
Muchas de ellas recaen sobre los servicios de acceso condicional. Como indica su nombre, un usuario y contraseña no es suficiente. En esta ocasión, vamos a meter en la "cocktelera" la ubicación.
Podemos definir ubicaciones "buenas" y ubicaciones "malas". En esta ocasión, vamos a bloquear el acceso de algún pais oriental así en plan random xD
Empezamos el viaje entrando como siempre en Azure Ad, en seguridad, Acceso Condicional.
Antes de crear la política, vamos a definir "pais". Al final podemos elegir un pais como nos ofrece Azure, o un rango de direcciones ip. Pero tenemos que "habilitar" el origen. El objeto.
Una vez que hemos definido la ubicación... Bueno espera. Ten en cuenta que ahora podremos elegir incluir o excluir ubicaciones, por lo que no estaría de mal crear un objeto que sea "nuestra sede". O el ASN de confianza, o el pais... para luego EXCLUIR ese rango de la regla, o Incluir el acceso SOLO desde ese punto... No se si me explico... Prohibir implícitamente o explícitamente... Y aparte, tener un Break Glass. Imagina por ejemplo que bloqueas CHINA, esto se hace con varios ASN, y por cualquier motivo, tus usuarios de Cáceres usan un proveedor de IP rural que sale por un ASN ubicado en China..., si has excluido un rango concreto... no pasará nada.
No se si debería haber escrito lo de arriba :-) Ahora iniciamos una nueva política de acceso condicional.
Inidicamos un nombre, le indicamos para qué usuarios (todos) y para qué aplicaciones ( todos) queremos recibir esta configuración, y le damos a la condición de UBICACIONES. Indicamos cuales.
Ahora cuando se cumpla esta condición, que queremos CONCEDER? Podríamos requerir que se cumpla una o más condiciones previas, o bloquear, como será nuestro caso. Aquí podríamos tener un segundo breakglass, por ejemplo, imagina que tienes un MFA Azure para todos tus usuarios, y quieres bloquear el inicio de sesión desde China. Podrías añadir un segundo MFA externo, por ejemplo OKTA, para darle servicio a tus dos usuarios de China...
Ahora viene la cuestión. Has hecho todo bien? lo has pensado bien? es Viernes, ayer te fuiste a la cama a las 3 AM y no sabes donde estas... o simplemente eres cauto?
El propio sistema te recomienda, que excluyas al menos el usuario que estás usando de administrador, o el genérico...o que lo pruebs con un grupo... Pero por si acaso, ley de Murphy presente, lo vamos a poner en modo SOLO AUDITORIA !!!
Cuando esté activo, vamos a dejar correr la sangre por el rio, y en unos días vamos a analizar los inicios de sesión que hemos tenido y qué ha pasado. Allí podremos ver si tenemos usuarios que han incumplido la política, y analizar si el escenario de seguridad que habíamos "dibujado" es compatible con los procesos de la empresa.
Una vez validado, cambiamos el modo de Auditoria a Activo y listo...
Espero que os sirva un poco de ayuda para que repenseis vuestras estratégias de ciberseguridad.
Gracias por leerme !!!