Evaluando los riesgos de acceso e identificación cuando mueves tus aplicaciones a la nube….datos… privacidad?? Seguridad??
http://www.securityweek.com/evaluating-risks-identity-and-access-when-moving-cloud
Traducción Google:
Estaba conversando con el CSO de una compañía Fortune 500 hace un par de semanas y el tema dio la vuelta a los servicios en la nube. Su compañía es famosa nube de aversión.
«Yo sé que ustedes no lo hace la nube,» empecé «, pero ¿se ha movido a Office 365?»
«Probablemente. Finalmente. Creo que vamos a ser arrastrado allí si queremos ir o no «, respondió ella.
Microsoft Office ha sido durante mucho tiempo la más popular suite de software de productividad de la empresa. Ahora el gigante de Redmond está promoviendo agresivamente su versión basada en la nube, Office 365, a las organizaciones de todos los tamaños. La promesa de la Oficina 365 es una mejor colaboración (lo que realmente necesita enviar por correo electrónico documentos Word 12 Mb alrededor todo el tiempo?), Lo que debería aumentar la productividad del usuario. En teoría, los empleados creativos pueden utilizar para colaborar en cualquier momento y en cualquier lugar, desde cualquier dispositivo.
Para las pequeñas empresas en particular, el atractivo de unos pocos dólares cada mes para la versión de la nube en lugar de cientos de dólares por empleado para la suite de escritorio es una gran tentación y les da la opción, que sólo va a ir con él. Me gustaría, que soy tacaño.
Pero las organizaciones más grandes, como la dirigida a la OEA estaba charlando con, quieren ser más proactivo acerca de su seguridad en la nube.Y tiene razón para pensar de esa manera; la mayoría de las implementaciones de Office 365 como resultado credenciales de usuario (incluyendo nombres de usuario y contraseñas de nivel C) El ir a la nube si quieren decir o no.
No me creen? Veamos los tres modelos de gestión de identidad y acceso utilizados por Office 365.
Nube Identidad Modelo – Todos sus contraseñas pertenecen a Microsoft.
El modelo de identidad Office365 más simple es la identificación del modelo de la nube, donde los nombres de usuario y contraseñas son gestionados exclusivamente en la nube con Office 365 la creación de una identidad de usuario. La identidad del usuario se almacena en y verificado por Azure Active Directory.
Sincronizada Identidad Modelo – Las contraseñas hash en las instalaciones y en la nube.
En el modelo de identidad sincronizada, es una organización en las instalaciones del servidor gestiona la identidad del usuario, mientras que la cuenta de usuario y contraseña hashes se sincronizan con Azure AD. Los usuarios deben introducir la misma contraseña en el mismo recinto como lo harían en la nube, con sus hashes de contraseñas verificadas por Azure Active Directory.
Federated Identity Modelo -El más segura, pero todavía ve contraseñas de los usuarios móviles.
La Identidad Federada Modelo es el método más seguro para tener acceso a Office 365. Es similar al modelo de identidad sincronizada, pero utiliza un proveedor de identidad en las instalaciones para verificar el hash de la contraseña de usuario.Eso significa que el hash de la contraseña no tiene que ser sincronizado con Azure Active Directory.
El modelo de identidad federada adolece de una desventaja contraseña de cliente móvil. Casi todos los clientes de correo electrónico móviles utilizan el protocolo ActiveSync. ActiveSync no es compatible con la federación y transmite la contraseña de usuario para Azure AD. AD azul envía la contraseña de nuevo al gestor de identidad en las instalaciones para la verificación a través de túnel encriptado, pero es lo suficientemente bueno?
¿Cuál es el modelo de amenaza aquí, de todos modos?
He aquí una breve lista de posibles vectores de amenazas que lo consideraría si estuviera haciendo una evaluación del modelo de amenaza para cualquiera de los modelos de gestión de contraseñas en la nube (incluyendo los tres anteriores):
· Incumplimiento de la nube
· Man-in-the-middle
· Rogue empleado nube
· Estado-nación (citación)
· Registro de credencial accidental
· Ataque de suplantación de identidad
Siempre que sea posible, Microsoft ha hecho claramente lo que puede para evitar ver las contraseñas de usuario, pero todavía lo hacen. Y hay un montón de ejemplos de todas las amenazas que anteriormente se dio cuenta son.Sea o no estos vectores de amenazas caen en el modelo de evaluación depende de su organización.
Cerrando la brecha
Muchas organizaciones han decidido que están cómodos con esta brecha. Ningún modelo es 100 por ciento seguro, ¿verdad? Pero unos pocos OSC quiere cerrar la brecha antes de hacer el cambio.En este momento, la manera de hacerlo es interceptar y conexiones proxy de ActiveSync desde el cliente a un proxy en las instalaciones que luego encripta las contraseñas antes de que el tránsito en Azure AD.
El último paso consiste en implementar la autenticación de múltiples factores de adaptación (AMF). Adaptativo AMF es la autenticación basada en riesgos y puede incluir el control de certificados y, contraseñas de un solo uso sensibles al contexto (OTP) a través de correo electrónico.
La mayoría de las organizaciones dicen que apoyan MFA pero cuando se profundiza, sólo están proporcionando a los usuarios seleccionar (C-niveles, con suerte, y de TI, y algunos otros).AMF que cubre sólo algunos usuarios no es lo ideal, pero es mejor que no tener MFA en absoluto.
Nube debe ser más que la computadora de otra persona
Volviendo a la conversación con la OSC. A pesar de que su organización es famoso en la nube adversa, ella sabe que van a terminar de editar documentos de Word y PowerPoint en la nube.Cuando lo hacen, no habrá vuelta atrás. verdadero desafío de su personal será la gestión de los riesgos antes – y cuando – esto sucede.
Latest posts by Jose Miguel (see all)
- Curso Básico de Ciberseguridad. - 11 noviembre, 2024
- Episodio 4. Tendencias actuales en Ciberamenazas y sus Ejemplos. - 8 noviembre, 2024
- Episodio 3: Consejos -muy básicos- para mantener tus datos a salvo. - 3 noviembre, 2024
- Episodio 2: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 1 noviembre, 2024
- Podcast-Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 29 octubre, 2024