Mantener la sincronización de directorios en sintonía con las mejores prácticas de seguridad
Con Azure AD Connect, la sincronización de datos de directorio desde Active Directory local a Azure AD es fácil y eficaz. Pero, ¿es posible tener demasiado de algo bueno?
Las mejores prácticas de seguridad limitan el uso compartido a una estricta necesidad de conocimiento. Sin embargo, Azure AD Connect sincroniza 151 atributos de forma predeterminada. Has leído bien: 151 atributos.
Por lo tanto, si realiza la instalación "Express Settings" de Azure AD Connect, Azure AD incluirá un total de 151 atributos (excluidos los atributos nulos o no presentes) para cada objeto sincronizado desde su Active Directory local a Azure AD.
Y dependiendo de dónde esté alojado su Azure AD (por ejemplo, fuera de EE.UU.), algunos de estos atributos -incluidos cinco atributos relacionados con el usuario- pueden replicarse aún más en centros de datos de EE.UU.
Es importante tener en cuenta que la versión actual de Azure AD Connect es bastante implacable: una vez que se ha sincronizado un atributo, puede desactivar las actualizaciones, pero el atributo permanece (en un estado obsoleto) en Azure AD. Por lo tanto, es extremadamente importante conseguir Azure AD Connect bien la primera vez.
Limite su exposición
Los ajustes por defecto y las configuraciones exprés pueden ser los mejores amigos de un administrador de TI ocupado, y a menudo los recomiendo. Al fin y al cabo, estos ajustes y configuraciones suelen encarnar las propias recomendaciones del proveedor y las mejores prácticas del producto.
Sin embargo, para muchas organizaciones (o incluso para la mayoría), el nivel predeterminado de sincronización en Azure AD Connect no es necesario desde una perspectiva operativa, ni tampoco es deseable desde una perspectiva de seguridad.
Recuerde que Azure AD no es sólo una extensión de su Active Directory local, sino que Azure AD es su propio almacén de identidades con su propio conjunto de vulnerabilidades. Y cuando se trata de almacenar datos confidenciales en la nube, menos es mejor.
Por lo tanto, le animo a que considere la posibilidad de personalizar su instalación de Azure AD Connect con la funcionalidad de filtrado de aplicaciones y atributos integrada y fácil de usar.
Toma el control
El filtrado de aplicaciones y atributos, junto con el filtrado de dominios y unidades organizativas, ofrece un control considerable sobre lo que se sincroniza desde el Active Directory local a Azure AD. Aunque las reglas de sincronización proporcionan capacidades adicionales, el filtrado es suficiente en la mayoría de los casos y es el mejor punto de partida en cualquier caso.
Y para ayudarle a empezar, Semperis ha publicado un libro blanco que puede descargar aquí.
Le recomiendo encarecidamente que descargue el libro blanco: la sincronización innecesaria de datos socava la seguridad y es difícil de deshacer. El libro blanco ofrece más explicaciones, limitaciones adicionales y valiosos consejos de uso.
Encontrar el equilibrio
Mientras que sincronizar 151 atributos "por si acaso" puede ser una exageración, la sincronización mínima de sólo los atributos necesarios puede ser innecesariamente tacaña y causar problemas operativos. Como muchas otras cosas en la vida, es importante encontrar un equilibrio. Dado que es más fácil añadir atributos a la sincronización que eliminarlos, recomiendo empezar de forma conservadora con un conjunto limitado de atributos, supervisar activamente y añadir atributos según sea necesario.