Cuando se trata de servicios en la nube como Microsoft Entra ID (anteriormente Azure Active Directory), muchos asumen que Microsoft se encarga de todo, desde la seguridad hasta el backup de datos. En realidad, las organizaciones todavía tienen sus propias responsabilidades. El modelo de responsabilidad compartida de Microsoft es un marco fundamental que explica qué roles recaen en Microsoft y cuáles pertenecen a una organización.
En este blog, analizaremos en profundidad todo lo que necesita saber sobre el modelo de responsabilidad compartida, desglosando las divisiones de roles entre su organización y Microsoft para los componentes clave. También hablaremos de las prácticas fundamentales para explorar este modelo en la estrategia de protección de datos de Microsoft Entra ID, y cómo puede Veeam ayudar a solucionar las brechas.
El modelo de responsabilidad compartida
A medida que la industria adopta soluciones de Software como servicio (SaaS) basadas en la nube en sus negocios, el concepto de responsabilidad compartida se ha vuelto más importante que nunca. Saber dónde termina el papel de Microsoft y dónde comienza el suyo es la base para proteger a su tenant de Entra ID. Repasemos esa división de responsabilidades.
Responsabilidad principal
Responsabilidad de Microsoft
El papel principal de Microsoft en el entorno de Entra ID se centra en mantener la disponibilidad y la integridad operativa de la plataforma. Esto significa asegurarse de que la infraestructura permanezca operativa a nivel mundial, autenticar correctamente a los usuarios y habilitar el acceso entre aplicaciones. Como proveedor de la nube, Microsoft administra hosts físicos, redes y centros de datos en el back-end.
Su responsabilidad
Opcionalmente, la responsabilidad principal de su organización es administrar los ciclos de vida de identidad, las políticas de acceso y el gobierno. Incluso en una plataforma basada en la nube, usted sigue siendo responsable de la configuración y administración de identidades dentro de su entorno.
¿Y sus datos? Un concepto erróneo común con las aplicaciones SaaS es que “basadas en la nube” significa automáticamente que están completamente seguras y protegidas. Pero ese no es realmente el caso. Aunque Microsoft administra la plataforma que procesa sus datos, la responsabilidad de la disponibilidad, la integridad y el uso adecuado de los datos recae en su organización. Mantener la resiliencia de los datos de Entra ID es crucial para respaldar completamente la administración y configuración adecuadas de las identidades y permanecer protegido contra incidentes de datos.
Aunque Microsoft administra la plataforma que procesa sus datos, la responsabilidad de la disponibilidad, la integridad y el uso adecuado de los datos recae en su organización.
Tecnología de apoyo
Responsabilidad de Microsoft
Microsoft ha dotado a la plataforma Entra ID de características para garantizar la disponibilidad de la plataforma con infraestructura de redundancia y failover. Sin embargo, estas tecnologías de soporte de la plataforma no abarcan los datos de Entra ID. Por ejemplo: Con redundancia, los cambios de usuario se duplican en todas las réplicas. Esto significa que si se comete un error en una versión, se aplica a todas.
Microsoft también invierte considerablemente en la resiliencia de la plataforma Entra ID con el mantenimiento de un sólido sistema de autenticación de backups para garantizar la continuidad del servicio. Estas tecnologías funcionan muy bien para mantener la plataforma y hacer que las cosas funcionen sin problemas. Pero cuando se trata de proteger su tenant de Entra ID, es fundamental implementar medidas de seguridad que permitan la continuidad del negocio incluso cuando las cosas salen mal.
Su responsabilidad
Aunque Microsoft proporciona una plataforma disponible de forma continua para Entra ID, su organización está dirigiendo el barco a partir de ahí. Las directivas de acceso condicional, las asignaciones de roles y otras configuraciones de identidad solo son realmente eficaces cuando se adaptan a los requisitos de seguridad de la organización.
Aun así, las configuraciones mejor elaboradas siguen siendo vulnerables si no se pueden recuperar. Un borrado accidental o una configuración errónea pueden suponer una enorme interrupción en la continuidad del negocio.
“¿Pero qué pasa con la papelera de reciclaje? Con ella, puedo recuperar mis datos de Entra ID”.
Aquí está el truco: La papelera de reciclaje nativa de Entra ID solo permite la recuperación de elementos eliminados temporalmente durante 30 días. Aunque puede parecer tiempo suficiente, el Informe de Defensa 2024 de Microsoft afirma que puede tardar una media de 207 días en detectar y resolver un incidente de datos. Con el período de retención limitado de la papelera de reciclaje nativa, es muy probable que para el momento en que identifique un posible incidente, descubra que los datos ya no se pueden recuperar. Ahora, todos los datos críticos deben reconfigurarse manualmente, lo que provoca importantes contratiempos. Es un error común (y arriesgado) pensar que la papelera de reciclaje es un plan de recuperación, en lugar de una salvaguarda básica. Y cuando se trata de errores de configuración, no existe una restauración nativa point-in-time, lo que significa que cualquier error de configuración detectado debe reconfigurarse manualmente para volver a su estado correcto. Sin una copia de seguridad de Entra ID, las eliminaciones y los errores de configuración pueden ser a menudo un proceso lento y propenso a errores.
De la misma forma que Microsoft realiza copias de seguridad de su infraestructura para cumplir con su parte del modelo de responsabilidad compartida, su organización debería hacer lo mismo. Microsoft promueve las mejores prácticas de capacidad de recuperación, que recomiendan que las organizaciones sean proactivas a la hora de crear procesos para restaurar su tenant a un estado funcional. Este nivel óptimo de recuperabilidad de datos de Entra ID solo se puede lograr a través de una solución de backup adecuada.
Seguridad
Responsabilidad de Microsoft
Cuando se trata de seguridad, Microsoft es responsable de proteger sus centros de datos, redes y la plataforma Entra ID. Aprovechan varias protecciones para evitar ataques como la denegación de servicio distribuida (DDoS) a los servidores. Tenga en cuenta que Microsoft proporciona un cifrado limitado a los datos de Entra ID, pero solo cuando esos datos están en reposo dentro de los centros de datos de Azure.
Su responsabilidad
En su organización, la solución de las brechas de seguridad y la protección de la identidad de sus usuarios dependen de su estrategia de IAM. Esto incluye un mayor cifrado de los datos en tránsito y la administración de las claves de cifrado en reposo proporcionadas por Microsoft. Además, su organización es responsable de mantener seguras las identidades almacenadas y la configuración de identidad asociada. Para alcanzar el mejor nivel de protección de datos de Entra ID, su organización debe buscar una solución de backup integral para llenar la brecha de seguridad.
Normativo
Responsabilidad de Microsoft
El papel de Microsoft en la gestión del cumplimiento de Entra ID radica en el mantenimiento normativo de la plataforma. Garantiza que la aplicación siga cumpliendo la normativa en el backend, pero no tiene ninguna responsabilidad en cuanto al cumplimiento de los datos por parte de su organización.
Su responsabilidad
En Entra ID, donde Microsoft actúa como procesador de datos, su organización es el controlador de datos. Usted es responsable del cumplimiento de las regulaciones específicas de la industria y las políticas internas que dictan cómo se recopilan, utilizan, almacenan y protegen sus datos de identidad. También es directamente responsable de administrar las políticas de retención y la exportación de registros con fines de auditoría. Con los backups de Entra ID, la facilidad de recuperación de los registros de Entra ID hace que la preparación para las auditorías sea un proceso simplificado. Elimina las prisas de última hora para recopilar los datos necesarios antes de que llegue el momento de la auditoría.
Ejemplos de responsabilidad compartida de Entra ID
Conocer el papel de su organización como propietario de sus datos de Entra ID es esencial para evitar malentendidos, cerrar brechas de seguridad y alinear ambos lados del modelo de responsabilidad compartida. Si bien Microsoft proporciona herramientas útiles dentro de Entra ID, no funcionan como soluciones completas de backup y recuperación. Para comprender mejor cómo es esta responsabilidad compartida en la práctica, exploraremos algunos escenarios en los que pueden surgir vulnerabilidades en su estrategia de protección de datos de identidad. En los ejemplos siguientes se resaltan las brechas en la protección nativa de Microsoft Entra ID y por qué es imprescindible dar pasos adicionales para la continuidad del negocio y el cumplimiento.
Eliminaciones: cuando los objetos de Microsoft Entra ID se eliminan por accidente o por parte de un actor malintencionado pueden detenerse algunas funciones empresariales.
Imagine esto: un grupo de Microsoft 365 se elimina accidentalmente y los usuarios dentro del grupo pierden el acceso a los buzones compartidos, Teams y sitios de SharePoint. Para el momento en el que el administrador de TI localice el incidente, el objeto del grupo habrá superado el período de eliminación temporal de 30 días y se perderá para siempre. Sin un backup en su lugar, será un proceso largo para restaurar el grupo y todas las demás políticas asociadas.
Incluso en el caso de una detección y restauración oportunas del grupo, algunas dependencias asociadas, como las asignaciones de roles, no se conservan en la papelera de reciclaje y se vuelven irrecuperables de inmediato, lo que requiere una reconfiguración manual para cerrar esas brechas en la funcionalidad.
Configuraciones incorrectas: al realizar nuevas configuraciones en su entorno de Entra ID, Microsoft afirma que es su responsabilidad supervisar y registrar los cambios a medida que se realizan. Lo ideal es implementar estas prácticas para mitigar la posibilidad de que se produzcan percances de configuración, pero aún así: Pueden ocurrir accidentes o amenazas externas.
Imagínate esto: Un ciberataque le da a un actor malintencionado acceso al entorno de Entra ID de su organización. Una vez dentro, vuelve a configurar las políticas de acceso condicional para bloquear a todos los usuarios excepto él mismo. Los usuarios y administradores legítimos no pueden acceder al entorno de su organización durante un periodo de tiempo incalculado. Esto se está convirtiendo en una amenaza muy real para las organizaciones, ya que cada día se producen más de 600 millones de ataques basados en la identidad.
Dado que no hay un control de versiones nativo real o capacidades de reversión para las configuraciones, la configuración anterior debe reconfigurarse o reasignarse manualmente. Este proceso puede dar lugar a diferentes tiempos de inactividad en función de la escala del incidente. En un caso como el anterior, puede paralizar una organización durante más tiempo, ya que el tiempo para recuperar el acceso puede variar. Y si su organización no tiene una cuenta de emergencia, lo normal es que tarde días en acceder a su entorno de Entra ID para que la reconfiguración sea posible. ¿Desea obtener más información sobre por qué Microsoft Entra ID necesita protección más allá de las herramientas nativas? Explore 6 razones para realizar el backup de Entra ID.
Mejores prácticas de responsabilidad compartida de Entra ID
Para que pueda cumplir sus responsabilidades relacionadas con Entra ID, Microsoft describe las mejores prácticas que debería tener en cuenta en su estrategia de datos de Entra ID:
- Cree regularmente instantáneas de su entorno de Entra ID: Esto es fundamental para mantener la documentación del tenant en un “estado correcto conocido” al que volver en caso de un desastre originado en los datos.
- Supervise de cerca los cambios y las reconfiguraciones: exporte y supervise los registros de auditoría para detectar cambios no autorizados e involuntarios. Si bien la monitorización es el primer paso, sin un backup de Entra ID a menudo es imposible revertir un cambio no deseado.
- Pruebe regularmente sus restauraciones: Microsoft recomienda que pruebe sus procesos de restauración para comprender mejor el tiempo de resolución y cualquier posible desafío. Esto, por supuesto, supone que ha estado almacenando los datos de Entra ID en un lugar seguro, como una solución de backup de terceros.
Cómo Veeam garantiza que su organización responda a su parte de responsabilidad
Hemos hablado de cómo funciona el modelo de responsabilidad compartida para Microsoft Entra ID y por qué confiar solo en herramientas nativas puede generar brechas críticas en su estrategia de Identity and Access Management.
Ahí es donde entra en escena Veeam Data Cloud for Microsoft Entra ID . La solución de backup de Entra ID basada en la nube de Veeam ofrece capacidades de backup y recuperación diseñadas especialmente para simplificar la protección de sus datos de Entra ID. Ante incidentes de datos o problemas de cumplimiento, Veeam puede ayudar a su organización a mantener la continuidad del negocio con facilidad. También puede proteger sus datos de Microsoft 365 con Veeam usando la misma solución.
¿Quién es responsable de qué?
- Microsoft: Garantiza la disponibilidad de la plataforma, asegura la infraestructura de backend y algunas características de seguridad y recuperación integradas.
- Su organización: Configura políticas de acceso, administra identidades, monitorea posibles amenazas y protege contra cambios no deseados.
- Veeam Data Cloud for Microsoft Entra ID: Potencia su estrategia de datos de identidad al proporcionar un backup completo, recuperación granular de objetos y retención a largo plazo para configuraciones y objetos.
Veeam Data Cloud for Microsoft Entra ID se creó sobre la base de una asociación de eficacia demostrada. Veeam y Microsoft han trabajado juntos durante años para proporcionar resiliencia de datos a los entornos de Microsoft, y esa asociación se ha ampliado recientemente.
La protección de Entra ID es solo el comienzo. Veeam Data Cloud ofrece una protección integral para toda su empresa, que ofrece protección para otras cargas de trabajo críticas como las de Microsoft 365 y Salesforce, con el fin de desbloquear un enfoque unificado para su estrategia de resiliencia de datos.
Para obtener más información sobre lo que ofrece Veeam Data Cloud para Entra ID, haga clic aquí.
Lea también el blog del modelo de responsabilidad compartida de Microsoft 365.
Fuente info
Autor: Kendall Gray
[su_divider]