Seguridad

Día 2: Revisa la configuración de Azure

  Estimados amigos de Inseguros !!!

Seguimos con la serie configuraciones y aspectos a revisar en la configuración de Azure. Viste el Día 1?

Muchos de vosotros que me seguís y venís a los cursos, os gusta la teoría, os gusta el planteamiento de conocer en profundidad cómo funcionan las cosas, pero muchos se que queréis ir al grano, queréis el click rápido… Aunque no es mi visión, con esta serie voy a intentar daros algunos consejos, o pautas, o simplemente sitios donde pinchar a loco 🙂 para mejorar la seguridad de vuestros tenant Azure.

Espero que os gusten los recursos que os voy dando, pero valorar la posibilidad de ir más allá y adentraros en conocer este mundo del cloud de Microsoft que sin duda es el presente de muchas organizaciones. 

Consejo 2

En esta ocasión vamos a comprobar varias configuraciones relativas a los usuarios en plan genérico, no en distintos tipos de usuarios o roles.

Es importante que los usuarios no puedan registrar aplicaciones, ya que estamos dejando que ellos «deleguen» sus permisos sobre el tenant y los recusos a aplicaciones que pueden que no sean las correctas, las de las empresa. Podeís ver el funcionamiento de la herramienta O365 Stealer y como aprvechamos esta característica para registrar una aplicación externa, con los permisos sobre el tenant de la víctima.

La segunda opción,   Impedir que los usuarios que no sean administradores creen inquilinos  , prohibe que un usuario de tu organización registre un nuevo tenant con su cuenta. Imagina que tienes un @empresa.com y tu usuario registra un tenenat nuevo empressa.com en el que es global admin. Estaría abriendo el camino a poder engañar a los usuarios legítimos. En alguna ocasión me he encontrado alumnos que querían usar su cuenta empresarial para crear un tenant desde cero para el curso y no les dejaba… 

Otra opción a controlar, Los usuarios pueden crear grupos de seguridad , simplemente no le encuentro la necesidad de que un usuario deba hacerlo,  y puede ser un vector descontrolado a la hora de tener usuarios con más permisos de la cuenta sobre algún recurso de manera descontrolada.

Usuarios Invitados: Debemos establecer cual es el comportamiento que queremos para estos usuarios por defecto. Soy partidario de ser lo más restrictivo por defecto para estos usuarios, y luego jugar con los roles concretos en casos puntuales para colaboradores que así lo requieran. Si quieres ampliar un poco más sobre qué pueden hacer en cada uno de los niveles, este es tu enlace.

Restringir el acceso al Centro de administración de Microsoft Entra marcado a si. Lo que tenemos que tener en cuenta es que con esta medida, estamos controlando que los usuarios no administradores no puedan entrar a portal.azure.com , pero si que pueden entrar a administrar Microsoft Entra mediante Powershell, Azure cli, Ms Graph, etc. La manera correcta de bloquear este acceso es mediante Acceso Condicional a la aplicación: Windows Azure Service Management Api

Permitir a los usuarios conectar su cuenta profesional o educativa con LinkedIn  No me gusta esta opción, ya que prefiero usar el correo corporativo para mis usuarios y así tenerlos controlados.

Mostrar mantener el usuario con la sesión iniciada  Aunque no tiene nada que ver con los tokens, si con la cookie. Mejor hacer que cuando hace login un usuario no le pregunte si quiere permanecer conectado.

Mañana seguimos con más…
Lo has revisado? qué configuración tenías? Ánimate y sigue la serie. Este consejo es muy sencillo, pero iremos avanzando con otros quickwins más interesantes.
Y en paralelo, ya sabes que tenemos dos cursos relacionados con Azure en la academia. Uno grabado, donde tu puedes hacerlo a tu aire, y otro Online en donde tienes 3 días en los que obligarte a atender a las clases, aunque en ambos cursos deberás hacer muchas prácticas, yo calculo que unos 10 días a raticos.
Como novedad para este año, si haces los ejercicios propuestos para la certificación y son correctos ( se revisan) obtendrás un certificado real, en papel. De esta manera distinguimos entre diploma de asistencia y diploma de certificación.
Como siempre, gracias por leerme !!!

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.