jueves, 4 de enero de 2024

Día 3: Revisa la configuración de Azure

  Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1, Día 2?

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido... Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco :-) para mejorar la seguridad de vuestros tenant Azure.



Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 3

Como sabemos, Microsoft Entra, el antiguo Azure AD, es el corazón de la autenticación de los entornos Azure y las aplicaciones conectadas, como es el caso de Office 365. Un componente básico es el de las relaciones con terceros, con usuarios externos. Puedes invitar a un técnico y darle un usuario en tu tenant, o puedes invitar a tu tenant a un usuario externo y darle permisos en tu organización. Respecto a esto, lo más básico, la primera opción, se configuró en el día 2, es decir, que los usuarios invitados tengan restricciones, así en plan genérico.

La segunda opción nos indica como comportarnos ante qué usuarios pueden invitar a externos. Podemos delegarlo a los administrados, a nadie, a los grupos global admin, user admin, guest admin. Aquí es importante que pienses en el negocio. Por ejemplo, imagina el caso de un jefe de departamento que tiene que dejar a un partner acceder a una aplicacíon, pues puedes montar un flujo de proceso en el que te lo diga, o darle el role de gestor de guest admin a los mandos que lo necesiten... Pero como siempre digo, alinea el negocio con la seguridad, y establece la directiva más restrictiva que puedas, e incopora en la política de empresa este concepto. Así no habrá sopresas cuando un jefe con más poder que tu te llame a rendir cuentas :-)

En ese mismo settting tenemos la opción de habilitar los flujos de usuarios. Te aconsejo que le eches una vuelta. al final es configurar una seria de comportamientos, como quien va a ser el proveedor de identidades ( imagina que tu partner no usar Azure) o qué datos mínimos necesitas... mandarle un mail de confirmación, etc. Hay varios comportamientos a analizar.

Hay otra opción que nos indica si queremos que un usuario abandone la organización, un externo...Aquí vuelvo a los procesos de empresa. Si estás en un compliance muy restricitivo y necesitas firmar un documento de "baja" o cese... pero esta opción es más de proceso que técnica, no le veo mucha recomendación que dar.

Y por último, podemos "relajar" la configuración, indicando qué dominios puede recibir invitaciones. Podemos dejar que nuestros usuarios inviten, sin importar si son admins, y dejarles un puñado de dominios. O podemos dejarles todos los dominios, pero solo a un puñado de admins... al final, es un nivel más de granularidad, que como te indico, es importante justifiques con la operativa de la empresa.

Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.

Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.

Como siempre, gracias por leerme !!!

Recuerda, hacemos los mejores cursos de ciberseguridad y ofrecemos servicios de auditoría experta en entornos Microsoft.