La gestión de accesos en Azure es un aspecto crucial para garantizar la seguridad y eficiencia operativa en entornos de nube.
Fue anunciado por Azure que: "Los recursos clásicos y los administradores clásicos serán retirados el 31 de agosto del 2024", de hecho hasta el 26 de Febrero era posible agregar nuevos co-administradores. Se puede verificar la noticia aquí.
Esto, quiere decir que la forma clásica de agregar coadministradores, administradores de servicios y colaboradores sobre la suscripción ya no está mas vigente.
La nueva forma de asignar acceso a recursos es usando Azure RBAC (Role Based Access Control - control de acceso basado en roles), este método está basado en roles, de acuerdo a las funciones/recursos que se van a asignar. Así se puede tener un control más granular (fine-grained) de los privilegios dentro de Azure. Con este cambio se pretende disminuir el alcance de los coadministradores.
La Importancia de la Gestión de Accesos en Azure
La gestión adecuada de accesos en Azure es fundamental para proteger los recursos de su organización. Asegurarse de que los usuarios tengan acceso solo a lo que necesitan minimiza los riesgos de seguridad y optimiza el rendimiento del sistema.
Mejores Prácticas para la Gestión de Accesos en Azure
Aplicar las mejores prácticas en la gestión de accesos garantiza que los permisos se otorguen de manera adecuada, reduciendo el riesgo de accesos no autorizados como una medida de prevención.
- Principio de Menor Privilegio: Asegúrese de que los usuarios tengan solo los permisos necesarios para realizar su trabajo.
- Revisión Periódica de Permisos: Revise regularmente los permisos asignados para asegurarse de que sigan siendo relevantes y necesarios.
- Llevar Bitácora: Es fundamental llevar una bitácora de los accesos, con información para seguir pistas de auditoría que incluya altas y bajas de accesos, quién autorizo, fecha de autorización, fecha de ejecución y el responsable que otorgo el privilegio.
Herramientas y Funcionalidades en Azure para la Gestión de Accesos
Azure ofrece diversas herramientas que facilitan la gestión de accesos, como Azure AD, Roles Basados en Acceso (RBAC) y políticas de acceso condicional.
Aspectos de Seguridad en la Gestión de Accesos
Implementar medidas de seguridad adicionales, como el uso de autenticación multifactor y el monitoreo continuo, es crucial para proteger sus recursos en Azure.
Proceso de cambio de privilegios
A continuación, vamos a realizar el cambio de los privilegios de acceso.
Quitar los accesos actuales
Lo primero que sugiere Azure es quitar los coadministradores que existen actualmente que ya no están vigentes. Para ello accedemos a la cuenta de Azure. Damos clic en la suscripción.
Seleccionamos del menú lateral Access control (IAM), seleccionamos la pestaña Classic administrators.
De acuerdo a la lista que nos muestra iremos eliminando uno a uno, según sea necesario.
Verificar los nuevos roles
Una vez que identificamos cuales son los colaboradores vigentes, revisamos los roles que se pueden asignar para ello seleccionamos la pestaña Roles, a la fecha de hoy existen 545 disponibles a nivel de suscripción.
Debemos hacer un inventario de asignaciones de los colaboradores con cada uno de los roles que le corresponda; es decir, determinar quién necesita acceso a que rol ya sea un usuario, un grupo, una entidad de servicio o una identidad administrada.
Asignar roles
Ya tenemos a quién se va a asignar (entidad de seguridad) y los roles. Ahora necesitamos determinar el ámbito, en Azure se puede especificar 4 niveles: grupo de administración, suscripción, grupo de recursos y recurso.
El proceso es bien sencillo para asignar roles: primero seleccionamos el ámbito (para este ejemplo, he ingresado a un recurso tipo Web App, que tiene 20 roles disponibles), clic en el menú lateral Access control (IAM).
Presionamos el botón en la parte superior Add / Add role assignment. Nos aparece la pantalla "Add role assignment", seleccionamos el rol.
Luego seleccionamos el miembro:
Después, presionamos el botón Review + assign, se habilita la pestaña Review + assign y nuevamente damos clic en el botón Review + assign ... se agregará la entidad de seguridad junto al rol. Cuando es la primera vez que agrega a un usuario determinado, este recibirá un correo electrónico con la invitación.
Y así seguimos con todos los ámbitos, roles y miembros hasta finalizar con todos los permisos para el equipo de trabajo.
Cuando estén actualizados todos los accesos, remover los coadministradores clásicos.
Buscar ayuda
Se recomienda revisar el material disponible de Azure:
- Documentación de Azure RBAC: Esta es la documentación oficial, aquí puede encontrar una gran cantidad de recursos.
- Protección de los recursos de Azure con el control de acceso basado en roles de Azure (Azure RBAC): Este es un curso de 37 minutos de duración, es bastante recomendable tomarlo.
Conclusión
La administración de accesos en Azure ha evolucionado con la introducción del Control de Acceso Basado en Roles (RBAC). Este enfoque ofrece una manera más granular y segura de gestionar permisos, reemplazando el antiguo método de coadministradores. Al seguir los pasos descritos, puede eliminar accesos obsoletos, verificar nuevos roles y asignarlos adecuadamente a su equipo. Esto no solo mejora la seguridad, sino que también optimiza la gestión de recursos en su suscripción de Azure.