Descripción del modelo de responsabilidad compartida

Completado 100 XP

 3 minutos

En organizaciones que solo ejecutan hardware y software local, la

organización es un 100 % responsable de la implementación de la
seguridad y el cumplimiento. Con los servicios basados en la nube, esa
responsabilidad se comparte entre el cliente y el proveedor de la nube.

El modelo de responsabilidad compartida identifica qué tareas de

seguridad administra el proveedor de la nube y qué tareas de seguridad
administra usted como cliente. Igualmente, las responsabilidades varían
en función de dónde se hospede la carga de trabajo:

 Software como servicio (SaaS)

  Plataforma como servicio (PaaS)

 Infraestructura como servicio (IaaS)

 Centro de datos local

El modelo de responsabilidad compartida hace que las responsabilidades

resulten claras. Cuando las organizaciones realizan migraciones a la
nube, algunas responsabilidades se transfieren al proveedor de la nube y
otras a la organización del cliente.

En el diagrama siguiente se muestran las áreas de responsabilidad entre

el cliente y el proveedor de la nube, en función de dónde se encuentran
los datos.

 Centros de datos locales. En un centro de datos local, usted es

el responsable de todo, desde la seguridad física hasta el cifrado
de la información confidencial.

 Infraestructura como servicio (IaaS). De todos los servicios en

la nube, IaaS requiere que el cliente en la nube se encargue de la
mayor parte de la administración. Con IaaS, se usa la
infraestructura informática del proveedor de la nube. El cliente en
la nube no es responsable de los componentes físicos, como los
equipos y la red, ni de la seguridad física del centro de datos. Sin
 embargo, el cliente en la nube sigue siendo responsable de los
componentes de software que se ejecutan en esa infraestructura
informática, como los sistemas operativos, los controles de red, las
aplicaciones y la protección de datos.

 Plataforma como servicio (PaaS). PaaS proporciona un entorno

para compilar, probar e implementar aplicaciones de software. El
objetivo de PaaS es ayudarle a crear una aplicación rápidamente
sin tener que administrar la infraestructura subyacente. Con PaaS,
el proveedor de la nube administra el hardware y los sistemas
operativos, y el cliente es responsable de las aplicaciones y los
datos.

 Software como servicio (SaaS). El proveedor en la nube se

encarga de hospedar y administrar SaaS para el cliente.
Normalmente, esto se licencia a través de una suscripción
mensual o anual. Microsoft 365, Skype y Dynamics CRM Online son
ejemplos del software de SaaS. El cliente en la nube solo debe
administrar el mínimo de SaaS. Asimismo, el proveedor de la nube
es responsable de administrar todo, excepto los datos, los
dispositivos, las cuentas y las identidades.

En cuanto a todos los tipos de implementación en la nube, usted es el

propietario de sus datos e identidades como cliente de la nube. Usted es
responsable de proteger la seguridad de los datos y las identidades, así
como de los recursos locales, incluidos los dispositivos móviles, los
equipos, las impresoras, etc.

En resumen, las responsabilidades que siempre retiene la organización

del cliente incluyen:

 La información y los datos.

 Los dispositivos (móviles y equipos).

 Las cuentas e identidades.

La ventaja del modelo de responsabilidad compartida es que las

organizaciones tienen claras sus responsabilidades y las del proveedor
de la nube.
Descripción de la defensa en profundidad

Completado 100 XP

 4 minutos

La defensa en profundidad usa un enfoque por capas para la seguridad,

en lugar de depender de un solo perímetro. Una estrategia de defensa
en profundidad usa una serie de mecanismos para ralentizar el avance
de un ataque. Cada capa proporciona protección de modo que, si se
infringe una de ellas, una capa posterior impedirá que un atacante
obtenga acceso no autorizado a los datos.

Los niveles de seguridad de ejemplo pueden incluir:

 La seguridad física, como limitar el acceso a un centro de datos

solo al personal autorizado.

 Controles de seguridad de identidad y acceso, como la

autenticación multifactor o el acceso basado en condiciones, para
controlar el acceso a la infraestructura y el control de cambios.

 La seguridad perimetral de la red corporativa incluye la

protección frente a ataques de denegación de servicio distribuido
(DDoS) para filtrar los ataques a gran escala antes de que puedan
causar una denegación de servicio para los usuarios.

 Seguridad de red, como la segmentación de red y los controles

de acceso a la red, para limitar la comunicación entre los recursos.

 Seguridad de capa de proceso, como la protección del acceso a

las máquinas virtuales, ya sea de forma local o en la nube,
cerrando determinados puertos.
  Seguridad de capa de aplicación, que garantiza que las
aplicaciones sean seguras y estén libres de vulnerabilidades de
seguridad.

 Seguridad de capa de datos que incluye controles para

administrar el acceso a los datos empresariales y de clientes, y el
cifrado para proteger los datos.

Confidencialidad, integridad, disponibilidad (CIA)

Como se ha descrito anteriormente, una estrategia de defensa en

profundidad usa una serie de mecanismos para ralentizar el avance de
un ataque. Todos los distintos mecanismos (tecnologías, procesos y
formación) son elementos de una estrategia de ciberseguridad, cuyos
objetivos incluyen garantizar la confidencialidad, la integridad y la
disponibilidad, a los que se suele hacer referencia como CIA, por sus
siglas en inglés.
 La confidencialidad se refiere a la necesidad de conservar datos
confidenciales, como información de clientes, contraseñas o datos
financieros. Puede cifrar los datos para mantener la
confidencialidad, pero también debe mantener la confidencialidad
de las claves de cifrado. La confidencialidad es la parte más visible
de la seguridad; gracias a ella, podemos ver claramente la
necesidad de mantener la confidencialidad de los datos privados,
las claves, las contraseñas y otros secretos.

 La integridad indica la necesidad de mantener los datos o

mensajes correctos. Cuando envíe un mensaje de correo
electrónico, probablemente quiera asegurarse de que el mensaje
recibido sea el mismo que el mensaje enviado. Al almacenar datos
en una base de datos, quiere asegurarse también de que los datos
que recupera son los mismos que los datos almacenados. El
cifrado de datos hace que este proceso sea confidencial, pero
debe ser capaz de descifrarlo para obtener el mismo contenido
que antes del cifrado. La integridad consiste en tener la confianza
de que los datos no se han alterado ni modificado.

 La disponibilidad se refiere a poner los datos a disposición de los

usuarios cuando los necesiten. Es importante para la organización
mantener seguros los datos de los clientes, pero al mismo tiempo
también debe estar disponible para los empleados que trabajan
con los clientes. Aunque puede ser más seguro almacenar los
datos en un formato cifrado, los empleados necesitan obtener
acceso a los datos descifrados.
Aunque los objetivos de una estrategia de ciberseguridad son preservar
la confidencialidad, la integridad y la disponibilidad de sistemas, redes,
aplicaciones y datos, los ciberdelincuentes pretenden interrumpir estos
objetivos. La cartera de Microsoft incluye las soluciones y tecnologías
para permitir a las organizaciones cumplir el triple objetivo CIA.

Descripción del cifrado y el código hash

Completado 100 XP

 4 minutos

Una manera de mitigar las amenazas de ciberseguridad más comunes

es cifrar datos confidenciales o valiosos. El cifrado es el proceso para
hacer que los datos aparezcan ilegibles e inútiles para visores no
autorizados. Para usar o leer los datos cifrados, es necesario descifrarlos,
lo que exige el uso de una clave secreta.

Hay dos tipos de cifrado de nivel superior: simétrico y asimétrico. El

cifrado simétrico usa la misma clave para cifrar y descifrar los datos.
Elcifrado asimétrico usa una clave pública y un par de claves privadas.
Cualquiera de las claves puede cifrar los datos, pero no se puede usar la
clave usada para el cifrado para descifrar los datos previamente
cifrados. Para descifrarlos se necesita la otra clave emparejada. Por
ejemplo, si la clave pública se usa para el cifrado, solo se puede usar la
clave privada correspondiente para el descifrado. El cifrado asimétrico
se usa para cosas como el acceso a sitios en Internet mediante el
protocolo HTTPS y las soluciones de firma de datos electrónicas. El
cifrado puede proteger los datos en reposo o en tránsito. Para obtener
información adicional sobre los conceptos de criptografía, consulte
Descripción de conceptos de criptografía
Cifrado de datos en reposo

Los datos en reposo son los datos que se almacenan en un dispositivo

físico, como un servidor. Pueden estar almacenados en una base de
datos o en una cuenta de almacenamiento, pero, independientemente
de dónde estén almacenados, el cifrado de datos en reposo garantiza
que los datos no se puedan leer sin las claves y los secretos necesarios
para descifrarlos.

Si un atacante obtuviera una unidad de disco duro con datos cifrados,

pero no tuviera acceso a las claves de cifrado, no podría leer los datos.

Cifrado de datos en tránsito

Los datos en tránsito son los que se están moviendo de una ubicación a
otra, por ejemplo, por Internet o a través de una red privada. La
transferencia segura se puede controlar mediante varias capas
diferentes. Esto se puede hacer mediante el cifrado de los datos en el
nivel de aplicación antes de enviarlos a través de una red. HTTPS es un
ejemplo de cifrado en tránsito.
El cifrado de datos en tránsito protege los datos de observadores
externos y proporciona un mecanismo para transmitirlos que limita el
riesgo de exposición.

Cifrado de datos en uso

Un caso de uso común para el cifrado de datos en uso conlleva proteger

los datos en un almacenamiento no persistente, como la RAM o la
memoria caché de CPU. Esto se puede lograr mediante tecnologías que
crean un enclave (como si fuera una caja fuerte con llave) que protege
los datos y los mantiene cifrados mientras la CPU los procesa.

Aplicación de algoritmo hash

El hash utiliza un algoritmo para convertir el texto en un valor hash de

longitud fija único denominado hash. Cada vez que se aplica un
algoritmo hash al mismo texto mediante el mismo algoritmo, se genera
el mismo valor hash. Ese hash se puede usar como identificador único
de los datos asociados.

El hash es diferente del cifrado, ya que no usa claves, y el valor al que

se aplica el algoritmo hash no se descifra posteriormente en el original.

El código hash se utiliza a menudo para almacenar contraseñas. Cuando

un usuario escribe su contraseña, el mismo algoritmo que creó el hash
almacenado crea un hash de la contraseña escrita. A continuación, se
compara con la versión hash almacenada de la contraseña. Si coinciden,
es que el usuario ha escrito correctamente la contraseña. Esto es más
seguro que el almacenamiento de contraseñas de texto sin formato,
pero los hackers también conocen los algoritmos hash. Dado que las
funciones hash son deterministas (esto es, la misma entrada produce el
mismo resultado), los hackers pueden usar los ataques de diccionario
por fuerza bruta mediante el hash de las contraseñas. Por cada hash
coincidente, obtienen la contraseña real. Para reducir este riesgo, a
menudo las contraseñas se "cifran con sal". Esto hace referencia a que
se agrega un valor aleatorio de longitud fija a la entrada de las funciones
hash para crear valores hash únicos para la misma entrada.
Describir los conceptos de gobernanza, riesgo y cumplimiento
(GRC)

Completado 100 XP

 4 minutos

Las organizaciones se enfrentan a una complejidad y un cambio

crecientes en los entornos normativos, lo que exige un enfoque más
estructurado para gestionar la gobernanza, el riesgo y el cumplimiento
(GRC).
A medida que las organizaciones establecen la competencia GRC,
pueden establecer un marco que incluya la implementación de
directivas y procesos operativos específicos, así como tecnologías. Un
enfoque estructurado para administrar GRC ayuda a las organizaciones a
reducir el riesgo y mejorar la eficacia del cumplimiento.

Un requisito previo importante para establecer la competencia GRC es

comprender los términos clave.

Gobernanza

La gobernanza es el sistema de reglas, prácticas y procesos que usa una

organización para dirigir y controlar sus actividades. Muchas actividades
de gobernanza surgen de expectativas, obligaciones y estándares
externos. Por ejemplo, las organizaciones establecen reglas y procesos
que definen quién, qué, dónde y cuándo los usuarios y las aplicaciones
pueden acceder a los recursos corporativos, y quién tiene privilegios
administrativos, y durante cuánto tiempo.

Riesgo

La administración de riesgos es el proceso de identificación, evaluación

y respuesta a amenazas o eventos que pueden afectar a los objetivos de
la empresa o del cliente. Las organizaciones se enfrentan al riesgo tanto
de orígenes externos como internos. Los riesgos externos pueden
provenir de las fuerzas políticas y económicas de los eventos
relacionados con el clima, las pandemias y las infracciones de seguridad
(por nombrar solo algunos orígenes). Los riesgos internos son riesgos
que proceden de la propia organización. Entre los ejemplos, se incluyen
filtraciones de datos confidenciales, robo de propiedad intelectual e
industrial, fraude y tráfico de información privilegiada.

Cumplimiento normativo

El cumplimiento se refiere al acatamiento de las leyes estatales o

federales del país o región, o incluso a las regulaciones multinacionales
que debe seguir una organización. Estas regulaciones definen qué tipos
de datos deben protegerse, qué procesos son necesarios en virtud de la
legislación y qué sanciones se emiten a las organizaciones que no
cumplen.

Es importante tener en cuenta que el cumplimiento no es lo mismo que

la seguridad. Sin embargo, la seguridad debe tenerse en cuenta al crear
un plan de cumplimiento, ya que la seguridad eficaz suele ser un
requisito de cumplimiento. El cumplimiento solo requiere que se
cumplan los estándares mínimos legalmente obligatorios, mientras que
la seguridad de los datos abarca todos los procesos, procedimientos y
tecnologías que definen cómo se cuidan los datos confidenciales y
protegen contra las infracciones.

Algunos conceptos relacionados con el cumplimiento incluyen:

 Residencia de datos: cuando se trata de cumplimiento, los

reglamentos de residencia de datos rigen las ubicaciones físicas
donde se pueden almacenar los datos y cómo y cuándo se pueden
transferir, procesar o acceder a escala internacional. Estos
reglamentos pueden variar significativamente en función de la
jurisdicción.

 Soberanía de datos: otra consideración importante es la

soberanía de los datos, el concepto de que los datos,
especialmente los datos personales, están sujetos a las leyes y los
reglamentos del país o la región donde se recopilan, conservan o
procesan físicamente. Esto puede agregar una capa de
complejidad cuando se trata de cumplimiento porque se puede
recopilar el mismo fragmento de datos en una ubicación,
almacenarse en otra y procesarse en otra, por lo que estaría sujeto
a las leyes de diferentes regiones o países.

 Privacidad de los datos: proporcionar avisos y ser transparentes

sobre la recopilación, el procesamiento, el uso y el uso compartido
de los datos personales constituyen los principios fundamentales
de las leyes y los reglamentos sobre privacidad. "Datos
personales" hace referencia a cualquier información relativa a una
persona física identificada o identificable. Las leyes de privacidad
abarcan todos los datos directamente vinculados o indirectamente
vinculables a una persona. Las organizaciones están sujetas a una
multitud de leyes, reglamentos, códigos de conducta, estándares
específicos del sector y estándares de cumplimiento que rigen la
privacidad de los datos y, por tanto, deben operar conforme a
ellos.

Todas las organizaciones administran datos, por lo que es importante

comprender la terminología y los conceptos relacionados con el
cumplimiento de la normativa, ya que su labor consiste en cumplir las
leyes o normativas mínimas y obligatorias.
Introducción

Completado 100 XP

 1 minuto

Todos los usuarios y todos los dispositivos tienen una identidad que se
puede usar para tener acceso a los recursos. La identidad es la forma en
que se identifican las personas y las cosas en la red corporativa y en la
nube. Tener la seguridad de quién o qué está accediendo a los datos de
la organización y otros recursos es una parte fundamental de la
protección del entorno.

En este módulo, conocerá los conceptos clave de autenticación y

autorización, y por qué la identidad es importante para proteger los
recursos corporativos. También obtendrá información sobre algunos
servicios relacionados con la identidad.

Después de completar este módulo, podrá:

 Entienda la diferencia entre autenticación y autorización.

 Describir el concepto de identidad como perímetro de seguridad.

 Describir los servicios relacionados con la identidad.

Definición de autenticación y autorización

Completado 100 XP

 2 minutos

Autenticación

La autenticación es el proceso de demostrar que una persona es quien

dice ser. Cuando alguien compra un artículo con una tarjeta de crédito,
es posible que tenga que mostrar una forma adicional de identificación.
De esta manera, demuestra que es la persona cuyo nombre aparece en
la tarjeta. En este ejemplo, el usuario puede mostrar el DNI, que sirve
como forma de autenticación y verifica su identidad.

Si desea acceder a un equipo o un dispositivo, se encontrará con un tipo

de autenticación similar. Es posible que se le pida que escriba un
nombre de usuario y una contraseña. El nombre de usuario indica quién
es, pero no es suficiente por sí solo para concederle acceso. Cuando lo
combina con la contraseña, que solo usted debe conocer, obtiene acceso
a los sistemas. El nombre de usuario y la contraseña, juntos, son una
forma de autenticación. A veces, la autenticación se abrevia como
AuthN.

Authorization

Cuando autentique a un usuario, tendrá que decidir adónde puede ir y

qué se le permite ver y tocar. Este proceso se denomina autorización.

Supongamos que quiere pasar la noche en un hotel. Lo primero que hará

es ir a la recepción para iniciar el "proceso de autenticación". Una vez
que el recepcionista haya comprobado quién es, le dará una tarjeta-llave
y ya podrá dirigirse a su habitación. Piense en la tarjeta-llave como el
proceso de autorización. La tarjeta-llave solo le permitirá abrir las
puertas y los ascensores a los que puede acceder, como la puerta de su
habitación.

En términos de ciberseguridad, la autorización determina el nivel de

acceso o los permisos de una persona autenticada a los datos y los
recursos. A veces, la autorización se abrevia como AuthZ.

Definición de identidad como perímetro de seguridad principal

Completado 100 XP

 3 minutos

La colaboración digital ha cambiado. Los empleados y asociados ahora

necesitan colaborar y acceder a los recursos de la organización desde
cualquier lugar, en cualquier dispositivo y sin que ello afecte a su
productividad. También se ha producido una aceleración en el número
de personas que trabajan desde casa.
La seguridad de la empresa debe adaptarse a esta nueva realidad. El
perímetro de seguridad ya no se puede ver como la red local. Ahora se
extiende a:

 Aplicaciones SaaS para cargas de trabajo críticas para la empresa

que se pueden hospedar fuera de la red corporativa.

 Los dispositivos personales que los empleados usan para tener

acceso a los recursos corporativos (BYOD o Bring Your Own Device)
mientras trabajan desde casa.

 Los dispositivos no administrados que usan los asociados o

clientes al interactuar con los datos corporativos o colaborar con
los empleados

 Internet de las cosas, conocido como dispositivos IoT, instalado en

la red corporativa y dentro de las ubicaciones de los clientes.

El modelo de seguridad tradicional basado en el perímetro ya no es

suficiente. La identidad se ha convertido en el nuevo perímetro de
seguridad que permite a las organizaciones proteger sus recursos.

Pero ¿qué significa una identidad? Una identidad es el conjunto de

aspectos que definen o caracterizan a alguien o algo. Por ejemplo, la
identidad de una persona incluye la información que usa para
autenticarse, como su nombre de usuario y contraseña, y su nivel de
autorización.

Una identidad puede estar asociada a un usuario, una aplicación, un

dispositivo o cualquier otra cosa.
Cuatro pilares de una infraestructura de identidad

La identidad es un concepto que abarca todo un entorno, por lo que las

organizaciones deben pensar en ello en general. Hay una colección de
procesos, tecnologías y directivas para administrar identidades digitales
y controlar cómo se usan para tener acceso a los recursos. Pueden
organizarse en cuatro pilares fundamentales que las organizaciones
deben tener en cuenta al crear una infraestructura de identidad.

 Administración. La administración consiste en la creación y la

administración o gobernanza de identidades para los usuarios,
dispositivos y servicios. Como administrador, puede administrar
cómo y en qué circunstancias pueden cambiar las características
de las identidades (se pueden crear, actualizar y eliminar).

 Autenticación. El pilar de autenticación indica cuánto necesita

saber un sistema de TI sobre una identidad para tener pruebas
suficientes de que realmente son quienes dicen ser. Implica el acto
de solicitar a un usuario credenciales legítimas.

 Autorización. El pilar de autorización trata sobre el

procesamiento de los datos de identidad entrante para determinar
 el nivel de acceso de una persona o servicio autenticado dentro de
la aplicación o servicio al que quiere obtener acceso.

 Auditoría. El pilar de auditoría consiste en realizar un seguimiento

de quién realiza qué, cuándo, dónde y cómo. La auditoría incluye
la creación de informes, alertas y gobernanza de identidades en
profundidad.

Direccionar cada uno de estos cuatro pilares es clave para una solución
completa y sólida de identidad y control de acceso.

Descripción del rol del proveedor de identidades

Completado 100 XP

 7 minutos

Autenticación moderna es un término genérico para los métodos de

autenticación y autorización entre un cliente, como un portátil o un
teléfono, y un servidor, como un sitio web o una aplicación. En el centro
de la autenticación moderna está el rol del proveedor de identidades. Un
proveedor de identidades crea, mantiene y administra la información de
identidad al tiempo que proporciona servicios de autenticación,
autorización y auditoría.

Con la autenticación moderna, quien proporciona todos los servicios,

incluidos todos los servicios de autenticación, es un proveedor de
identidades central. El proveedor de identidades almacena y administra
de forma centralizada la información que se usa para autenticar el
usuario en el servidor.

Con un proveedor de identidades central, las organizaciones pueden

establecer directivas de autenticación y autorización, supervisar el
comportamiento de los usuarios, identificar actividades sospechosas y
reducir los ataques malintencionados.

Vea este vídeo para obtener más información sobre la autenticación

moderna y cómo funciona con un proveedor de identidades central.

Como se ve en el vídeo, gracias a la autenticación moderna, el cliente se

comunica con el proveedor de identidades mediante la asignación de
una identidad que se puede autenticar. Cuando se ha comprobado la
identidad (que puede ser un usuario o una aplicación), el proveedor de
identidades emite un token de seguridad que el cliente envía al servidor.
El servidor valida el token de seguridad a través de su relación de
confianza con el proveedor de identidades. Mediante el uso del token de
seguridad y la información que contiene, el usuario o la aplicación
accede a los recursos necesarios en el servidor. En este escenario, el
proveedor de identidades almacena y administra el token y la
información que contiene. El proveedor de identidades centralizado
proporciona el servicio de autenticación.

Microsoft Entra ID es un ejemplo de un proveedor de identidades basado

en la nube. Otros ejemplos son Google, Amazon, LinkedIn y GitHub.

Inicio de sesión único

Otra funcionalidad fundamental de un proveedor de identidades y

"autenticación moderna" es la compatibilidad con el inicio de sesión
único (SSO). Con el SSO, el usuario inicia sesión una vez y esa credencial
se usa para tener acceso a varias aplicaciones o recursos. A la acción de
configurar el SSO para que funcione entre varios proveedores de
identidades se le conoce como federación.

Descripción del concepto de servicios de directorio y

Active Directory

Completado 100 XP

 2 minutos

En el contexto de una red de equipos, un directorio es una estructura

jerárquica que almacena información acerca de los objetos de la red. Un
servicio de directorio almacena los datos del directorio y los pone a
disposición de los usuarios de red, los administradores, los servicios y las
aplicaciones.

Active Directory (AD) es un conjunto de servicios de directorio

desarrollados por Microsoft como parte de Windows 2000 para redes
locales basadas en dominio. El servicio más conocido de este tipo es
Active Directory Domain Services (AD DS). Almacena información sobre
los miembros del dominio, incluidos los dispositivos y los usuarios,
comprueba sus credenciales y define sus derechos de acceso. Un
servidor que ejecuta AD DS es un controlador de dominio.

AD DS es un componente central de las organizaciones con una

infraestructura de TI local. AD DS ofrece a las organizaciones la
capacidad de administrar varios sistemas y componentes de la
infraestructura local mediante una única identidad por usuario. Sin
embargo, AD DS no es compatible de forma nativa con los dispositivos
móviles, las aplicaciones SaaS o las aplicaciones de línea de negocio que
requieren métodos de autenticación moderna.

El crecimiento de Cloud Services, las aplicaciones SaaS y los dispositivos

personales que se usan en el trabajo, ha dado como resultado la
necesidad de la autenticación moderna y una evolución de las
soluciones de identidad basadas en Active Directory.

Microsoft Entra ID (que anteriormente se denominaba Azure Active

Directory) forma parte de la familia de soluciones de administración de
identidades multinube denominada Microsoft Entra, es un ejemplo de
dicha evolución y proporciona a las organizaciones una solución de
Identidad como servicio (IDaaS) para todas sus aplicaciones tanto en la
nube como locales.

Para obtener más información sobre las diferencias entre los conceptos
de Active Directory y Microsoft Entra ID, consulte la sección Más
información de la unidad de resumen y recursos que redirige a la
documentación.

Descripción del concepto de federación

Completado 100 XP

 2 minutos

La federación permite el acceso a los servicios a través de los límites de

la organización o del dominio mediante el establecimiento de relaciones
de confianza entre el proveedor de identidades del dominio
correspondiente. Con la federación, no es necesario que un usuario
mantenga un nombre de usuario y una contraseña diferentes al acceder
a los recursos de otros dominios.
La manera simplificada de considerar este escenario de federación es la
siguiente:

 El sitio web, en el dominio A, usa los servicios de autenticación del

proveedor de identidades A (IdP-A).

 El usuario, en el dominio B, se autentica con el proveedor de

identidades B (IdP-B).

 IdP-A tiene una relación de confianza configurada con IdP-B.

 Cuando el usuario, que desea acceder al sitio web, proporciona sus

credenciales, el sitio web confía en el usuario y permite el acceso.
Este acceso se permite debido a la confianza que ya se ha
establecido entre los dos proveedores de identidades.

Con la federación, la confianza no siempre es bidireccional. Aunque IdP-A

puede confiar en IdP-B y permitir que el usuario del dominio B tenga
acceso al sitio web del dominio A, lo contrario no es cierto, a menos que
se configure la relación de confianza.

Un ejemplo común de federación en la práctica es cuando un usuario

inicia sesión en un sitio de terceros con su cuenta de redes sociales,
como X. En este escenario, X es un proveedor de identidades y el sitio
de terceros podría estar usando un proveedor de identidades diferente,
como Microsoft Entra ID. Hay una relación de confianza entre
Microsoft Entra ID y X.

Describir Microsoft Entra ID

Completado 100 XP

 5 minutos

Microsoft Entra ID, anteriormente Azure Active Directory, es un servicio

de administración de acceso y de identidades basado en la nube de
Microsoft. Las organizaciones usan Microsoft Entra ID para permitir que
sus empleados, invitados y otros usuarios inicien sesión y tengan acceso
a los recursos que necesitan, incluidos:

 Recursos internos, como las aplicaciones de la red corporativa y la

intranet, junto con todas las aplicaciones en la nube que haya
desarrollado su propia organización.

 Servicios externos, como Microsoft Office 365, Azure Portal y

cualquier aplicación SaaS que use su organización.

Microsoft Entra simplifica la forma en que las organizaciones administran

la autorización y el acceso, ya que proporciona un sistema de identidad
único para sus aplicaciones locales y en la nube. Igualmente, Microsoft
Entra ID se puede sincronizar con la instancia de Active Directory local
existente, con otros servicios de directorio o se puede usar como un
servicio independiente.

Microsoft Entra ID también permite a las organizaciones habilitar de

manera segura el uso de dispositivos personales, como dispositivos
móviles y tabletas, y permitir la colaboración con clientes y asociados
comerciales.
Puntuación de seguridad de la identidad

Microsoft Entra ID incluye una puntuación de seguridad de la identidad,

que es un porcentaje que funciona como indicador del grado de
cumplimiento de las recomendaciones del procedimiento de Microsoft
relativo a la seguridad. Cada acción de mejora de la puntuación segura
de identidad se adapta a la configuración específica.

La puntuación de seguridad de la identidad, que está disponible en

todas las ediciones de Microsoft Entra ID, le ayuda a medir
objetivamente la posición de seguridad de identidad, planear las
mejoras de seguridad de identidad y revisar el éxito de las mejoras.
Terminología básica

Al hablar de Microsoft Entra ID, hay cierta terminología básica que es

importante comprender.

 Inquilino: Un inquilino de Microsoft Entra es una instancia de

Microsoft Entra ID donde reside la información sobre una sola
organización, incluidos los objetos de la organización, como
usuarios, grupos y dispositivos, y los registros de aplicaciones. Un
inquilino también contiene directivas de acceso y cumplimiento
para los recursos, como las aplicaciones registradas en el
directorio. Cada inquilino de Microsoft Entra tiene un identificador
único (id. de inquilino) y un nombre de dominio (por ejemplo,
contoso.onmicrosoft.com) y actúa como límite de seguridad y
administrativo, lo que permite a la organización administrar y
controlar el acceso a recursos, aplicaciones, dispositivos y
servicios.
  Directorio: los términos directorio e inquilino de Microsoft Entra
se usan a menudo indistintamente. El directorio es un contenedor
lógico dentro de un inquilino de Microsoft Entra que contiene y
organiza los distintos recursos y objetos relacionados con la
administración de identidades y acceso, incluidos usuarios,
grupos, aplicaciones, dispositivos y otros objetos de directorio.
Básicamente, el directorio es como una base de datos o un
catálogo de identidades y recursos asociados al inquilino de una
organización. Un inquilino de Microsoft Entra consta de un único
directorio.

 Multiinquilino: Una organización multiinquilino es una

organización que tiene más de una instancia de Microsoft Entra ID.
Las razones por las que una organización puede tener varios
inquilinos incluyen organizaciones con varias subsidiarias o
unidades de negocio que operan de forma independiente,
organizaciones que combinan o adquieren empresas, varios límites
geográficos con varias regulaciones de residencia, etc.

¿Quién usa Microsoft Entra ID?

Los administradores de TI usan Microsoft Entra ID para controlar el

acceso a los recursos y a las aplicaciones corporativas, en función de los
requisitos empresariales. Por ejemplo, Microsoft Entra ID también puede
configurarse para requerir la autenticación multifactor cuando el usuario
intenta acceder a recursos importantes de la organización. Proporciona
herramientas eficaces que le ayudarán a proteger automáticamente las
identidades y credenciales de los usuarios y a cumplir los requisitos de
gobernanza de acceso de la empresa.

Los desarrolladores usan Microsoft Entra ID como un enfoque basado en

estándares para agregar el inicio de sesión único (SSO) a sus
aplicaciones, de modo que los usuarios puedan iniciar sesión con
credenciales ya existentes. Microsoft Entra ID también proporciona
interfaces de programación de aplicaciones (API) que permiten a los
desarrolladores crear experiencias de aplicaciones personalizadas
mediante datos de la organización existentes.

Los suscriptores de servicios de Azure, Microsoft 365 o Dynamics 365

tienen acceso automático a Microsoft Entra ID. Los usuarios de estos
servicios pueden aprovechar los servicios incluidos y también pueden
mejorar su implementación de Microsoft Entra mediante la actualización
a licencias premium.
Descripción del modelo de Confianza cero

Completado 100 XP

 5 minutos

La confianza cero presupone que todo está en una red abierta y que no
es de confianza, incluso los recursos detrás de los firewalls de la red
corporativa. El modelo de confianza cero funciona con el principio de "no
confiar en nadie y comprobarlo todo".

La capacidad de los atacantes para eludir los controles de acceso

convencionales está acabando con cualquier ilusión de que las
estrategias de seguridad tradicionales son suficientes. Por lo tanto, al no
confiar en la integridad de la red corporativa, se refuerza la seguridad.

En la práctica, esto significa que ya no asumimos que una contraseña es

suficiente para validar a un usuario, sino que agregamos la
autenticación multifactor para proporcionar comprobaciones adicionales.
En lugar de conceder acceso a todos los dispositivos de la red
corporativa, solo se permite el acceso de los usuarios a las aplicaciones
o a los datos específicos que necesiten.

En este vídeo se muestra la metodología de confianza cero:

Principios de GUID de confianza cero

El modelo de confianza cero tiene tres principios que guían y respaldan

el modo de implementar la seguridad. Son los siguientes: la
comprobación de forma explícita, el acceso con privilegios mínimos y la
asunción de una infracción de seguridad.

 Comprobación de forma explícita. Autentique y autorice

siempre el contenido en función de los puntos de datos
disponibles, como la identidad del usuario, la ubicación, el
dispositivo, el servicio o la carga de trabajo, la clasificación de los
datos y las anomalías.
  Acceso con privilegios mínimos. Limite el acceso de los
usuarios con acceso Just-in-Time y Just-Enough Access (JIT/JEA),
LAS directivas de adaptación basadas en riesgos y LA protección
de datos para proteger los datos y la productividad.

 Asunción de infracciones de seguridad. Acceda al segmento

mediante la red, el usuario, los dispositivos y la aplicación. Use el
cifrado para proteger los datos y el análisis para obtener
visibilidad, detectar amenazas y mejorar la seguridad.

Seis pilares básicos

En el modelo de confianza cero, todos los elementos funcionan juntos

para proporcionar seguridad de un extremo a otro. Estos seis elementos
son los pilares básicos del modelo de confianza cero:

 Las identidades pueden ser usuarios, servicios o dispositivos.

Cuando una identidad intenta obtener acceso a un recurso, debe
comprobarse mediante la autenticación sólida y seguir los
principios de acceso con privilegios mínimos.

 Los dispositivos crean una superficie de ataque de gran tamaño

a medida que los datos fluyen desde los dispositivos hasta las
cargas de trabajo locales y en la nube. La supervisión del estado y
el cumplimiento de los dispositivos es un aspecto importante de la
seguridad.

 Las aplicaciones son la manera en que se consumen los datos.

Esto incluye la detección de todas las aplicaciones que se usan, lo
que a veces se denomina Shadow IT, ya que no todas las
aplicaciones se administran de forma centralizada. Este pilar
también incluye la administración de permisos y acceso.

 Los datos se deben clasificar, etiquetar y cifrar en función de sus

atributos. En última instancia, los esfuerzos de seguridad están
relacionados con la protección de los datos y garantizan que
permanecen seguros cuando salen de los dispositivos, las
aplicaciones, la infraestructura y las redes que controla la
organización.

 La infraestructura, ya sea local o en la nube, representa un

vector de amenazas. Para mejorar la seguridad, debe evaluar la
versión, la configuración y el acceso JIT, y usar la telemetría para
detectar ataques y anomalías. Esto le permite bloquear o marcar
 automáticamente el comportamiento de riesgo y tomar medidas
de protección.

 Las redes deben segmentarse, incluida la microsegmentación en

la red más profunda. Asimismo, es necesario emplear la protección
contra amenazas en tiempo real, el cifrado, la supervisión y el
análisis de un extremo a otro.

Una estrategia de seguridad que emplea los tres principios del modelo
de Confianza cero en los seis pilares fundamentales ayuda a las
empresas a ofrecer y aplicar la seguridad en toda su organización.