Uno de los mayores retos a la hora de adoptar servicios en la nube es extender las políticas de identidad del entorno local a la nube. En un entorno de Active Directory (AD), puede resultar tentador recurrir a los servicios de federación de Active Directory (ADFS), que han sido durante mucho tiempo la respuesta para proporcionar capacidades de inicio de sesión único que permitan a los usuarios autenticarse y acceder a aplicaciones que de otro modo no estarían disponibles para ellos utilizando solo Active Directory, como Azure y Microsoft 365.
Sin embargo, dado que las amenazas siguen apuntando a los entornos en la nube, es justo examinar si el ADFS es la mejor solución para las organizaciones que adoptan entornos híbridos. Aunque el ADFS no es intrínsecamente inseguro, la complejidad de implementarlo correctamente lo hace susceptible a los atacantes. Como se demostró en el ataque a la cadena de suministro de SolarWinds, una vulnerabilidad en el entorno local puede llevar en última instancia a comprometer el inquilino de Azure AD. Además de ser otro conjunto de servidores físicos que gestionar, los servidores ADFS también amplían la superficie de ataque que las empresas necesitan proteger.
Incluso Microsoft ha recomendado a las organizaciones que consideren la posibilidad de migrar de ADFS, señalando en una entrada de blog de enero : "Si desea ampliar MFA y el acceso condicional a aplicaciones locales heredadas, incluidas las aplicaciones basadas en encabezado, utilice Azure AD Application Proxy o una solución integrada de uno de nuestros socios de acceso híbrido seguro. Con nuestras herramientas de migración, puede modernizar la autenticación de todas las aplicaciones y retirar su implementación de ADFS. Esto ayudará a prevenir ataques que son particularmente difíciles de detectar en los sistemas de identidad locales."
Lecturas relacionadas
Un mundo sin ADFS
Para ayudar a las organizaciones a conectar todas sus aplicaciones a Azure AD, Microsoft introdujo la Sincronización de hash de contraseñas (PHS) y la Autenticación Pass-through (PTA). Con la Sincronización de hash de contraseñas, los administradores de Active Directory pueden sincronizar un hash de la contraseña de AD local de un usuario con Azure AD. En efecto, esto permite a los usuarios aprovechar servicios como Microsoft 365 utilizando la misma contraseña que utilizarían para su cuenta AD local.
El segundo método de autenticación gestionada para Azure AD es la autenticación Pass-through, que valida las contraseñas de los usuarios con el Active Directory local de la organización. Utiliza agentes de autenticación en el entorno local. Estos agentes escuchan las solicitudes de validación de contraseñas enviadas desde Azure AD y no requieren que ningún puerto de entrada esté expuesto a Internet para funcionar. Las contraseñas no tienen que estar presentes en Azure AD de ninguna forma, lo que elimina un posible vector de ataque. Además, se pueden aplicar a las cuentas políticas locales como la caducidad de cuentas o restricciones de horas de inicio de sesión. Como requisito previo para que la autenticación Pass-through funcione, los usuarios deben ser aprovisionados en Azure AD desde el Active Directory local utilizando Azure AD Connect.
Aunque todavía hay casos de uso en los que puede tener sentido mantener un despliegue ADFS -como el uso de ADFS para la autenticación de certificados de usuario- para muchas organizaciones, el caso de alejarse de ADFS es fuerte. Mediante el uso de PHS y PTA, las organizaciones pueden reducir el número de contraseñas que los usuarios tienen que recordar. Sin embargo, ésta es sólo una de las ventajas que puede reportar la migración. ADFS es complejo de implantar y requiere un hardware físico que hay que mantener. Si un servidor ADFS no se mantiene actualizado con los últimos parches, es vulnerable a los ataques. PHS, por su parte, es mantenido por Microsoft, y su uso reduce la infraestructura que las organizaciones necesitan proteger.
Si se encuentra al principio de su viaje híbrido, ADFS no debería ser su primera opción para vincular la autenticación entre las cargas de trabajo locales y en línea. Sin embargo, si has desplegado ADFS, estás ante una migración, que sigue ofreciendo una seguridad mejorada con respecto a ADFS.
Cambiar los métodos de autenticación, sin embargo, no es una tarea trivial y requiere una planificación y pruebas significativas. Cualquier migración de ADFS debe producirse en etapas para permitir suficientes pruebas y tiempo de inactividad potencial. Como mínimo, las organizaciones deben estar ejecutando Azure AD Connect 1.1.819.0 para realizar correctamente los pasos para migrar a la sincronización de hash de contraseñas. El método para cambiar a PHS depende de cómo se configuró ADFS originalmente. Si ADFS se configuró a través de Azure AD Connect, se debe utilizar el asistente de Azure AD Connect. En esta situación, Azure AD Connect ejecuta automáticamente el cmdlet Set-MsolDomainAuthentication y desfederaliza automáticamente todos los dominios federados verificados en el inquilino de Azure AD.
Si una organización no configuró ADFS originalmente mediante Azure AD Connect, puede utilizar Azure AD Connect con PowerShell para migrar a PHS. Sin embargo, el administrador de AD debe cambiar el método de inicio de sesión del usuario a través del asistente de Azure AD Connect. El asistente de AD Connect no ejecutará automáticamente el cmdlet Set-MsolDomainAuthentication, dejando al administrador el control total sobre qué dominios se convierten y en qué orden.
Apoyo a las iniciativas en la nube
Para las empresas con entornos híbridos, conectar todas las aplicaciones a Azure AD reduce la complejidad y ofrece la oportunidad de disminuir la superficie de ataque. Como beneficio secundario, también tiene el potencial de mejorar la experiencia del usuario mediante la implementación del inicio de sesión único, así como estrictos controles de seguridad de cuentas. A medida que las organizaciones adoptan enfoques de identidad híbrida para respaldar sus iniciativas en la nube, deben tomarse el tiempo necesario para examinar si ADFS se adapta mejor a sus necesidades.