Por Ray Mills es Director de Ventas en España para Semperis, proveedor multinacional de soluciones de ciber-resiliencia y mitigación de amenazas basadas en la identidad para entornos híbridos y entre múltiples servicios de nube.

Active Directory (AD) es el almacén de identidades clave de muchas organizaciones. Y, como tal, también se ha convertido en un objetivo muy importante de los agentes malintencionados. Si los atacantes logran acceder a AD, tienen acceso a cualquiera de los recursos de la organización. En un escenario híbrido local/nube, lo cual es bastante habitual hoy en día, eso incluye poder acceder a los recursos en la nube de la organización. Sin embargo, muchas de las recomendaciones originales en cuanto a seguridad y arquitectura de AD no son adecuadas para satisfacer las necesidades de las empresas modernas. Así que está claro que la modernización de AD es fundamental para tener una posición de seguridad sólida.

La modernización de AD frente a las ideas y las configuraciones erróneas

Cuando se presentó AD por primera vez, hace más de dos décadas, el diseño de sus dominios estaba fuertemente influenciado por las limitaciones del ancho de banda y los problemas de replicación. Estos obstáculos, junto con los límites de los objetos y los problemas para migrar desde los antiguos dominios de Windows NT 4, hicieron que se adoptaran múltiples dominios dentro de un diseño de bosque.

Por aquel entonces, se pensaba erróneamente que un dominio tenía que ser el límite de seguridad de las unidades independientes de dentro de la organización. Esta idea errónea generaba una falsa sensación de seguridad, porque, con esta situación, cualquier vulneración de un dominio llevaba a una vulneración completa del entorno.

Han pasado 20 años y ahora sabemos que los dominios no son un límite de seguridad. De hecho, la existencia de múltiples dominios crea problemas de administración, que a su vez generan riesgos innecesarios para la seguridad.

La modernización de AD frente a la deuda técnica acumulada

La gestión de los entornos multi-bosque genera otro grave problema de seguridad: muchas organizaciones han acumulado este tipo de entornos con los años, a menudo debido a las fusiones y las adquisiciones.

Y, como sucede con muchos sistemas, es habitual que se acumule la deuda técnica. Sin embargo, el carácter sensible de AD hace que el riesgo para la seguridad sea mucho mayor.

Los entornos multi-bosque plantean problemas de administración y de seguridad a los equipos que se encargan de gestionar la TI y la identidad. Por ejemplo, pensemos en las confianzas que se establecen entre varios bosques. Si se vulnera el bosque menos seguro, puede usarse como cabeza de puente para llegar a los entornos más sensibles.

Una solución más segura: la consolidación de AD

La mayor mejora de seguridad se logra contrayendo el máximo de bosques posible en uno solo. Esta consolidación tiene un impacto positivo sobre la posición de seguridad de la organización y, además, con frecuencia reduce el coste total de administración, ya que acaba con el entorno multi-bosque distribuido, que es más complejo.

Evidentemente, una consolidación de este tipo exige una planificación cuidadosa, que tenga en cuenta el impacto sobre las aplicaciones, las entidades de seguridad y otros factores similares. Las organizaciones también deben considerar el nivel de sensibilidad de los diferentes entornos. Una buena práctica es separar los entornos en función de su grado de sensibilidad. Por ejemplo, separar el entorno de desarrollo/prueba del de producción.

Los modernos entornos de bosque de AD también deberían contraer los dominios en unidades organizativas (OU), si se necesita una administración independiente, o en grupos, si no hay necesidad de unidades independientes. Esta configuración permite que la organización reduzca el número de dominios que hay que administrar.

Una vez consolidados los entornos, la organización puede usar una ubicación para aplicar sus directivas de seguridad a través de los Objetos de Directiva de Grupo (GPO) de Microsoft, Intune, System Center Configuration Manager (SCCM) u otros medios. También es posible consolidar la gestión de los permisos y todos los demás aspectos de un entorno de identidad correctamente protegido.

Por dónde empezar una migración de AD segura

Si se plantea la importante tarea de modernizar AD, debe tener muy presente la seguridad. El objetivo es disponer de un entorno más seguro y más fácil de administrar, pero también hay que asegurarse de que el proceso de migración en sí sea seguro. La migración es un momento delicado y es fundamental evitar los riesgos para la seguridad.

Se puede empzar por explorar y evaluar el nivel de seguridad de los entornos que planea combinar y luego continuar con ese proceso dentro del plan de migración, para no introducir nuevos puntos débiles en la posición de seguridad a medida que se realice la migración a nuevos dominios.

Nosotros hemos desarrollado herramientas gratuitas de evaluación de la seguridad de AD como Purple Knight y Forest Druid para realizar esas evaluaciones iniciales. Si un entorno necesita una mayor atención, hay que evaluar la posibilidad de contactar con un equipo de ciberseguridad externo para que puedan ayudar.

Es importante también evaluar cuidadosamente las herramientas de migración, sobre todo en los entornos más grandes. La prioridad deber ser el uso de herramientas que sean fáciles de usar, ya que las complejidades generan posibles riesgos para la seguridad. Y aprovechar además de herramientas que impidan que los sistemas de identidad estén expuestos a vulnerabilidades adicionales (por ejemplo, bases de datos sensibles). Nuestra solución Semperis Migrator for AD es un ejemplo de una herramienta sencilla y segura como cumple estos criterios.