Xtormin GithubLinkedIn

🔷Azure

Entra ID

Azure AD = Entra ID

Microsoft Entra ID es el servicio de gestión de acceso e identidades basado en la nube de Microsoft. Equivalente al Active Directory on-prem, pero basado en la nube. Por lo que, es uno de los muchos servicios dentro de Azure.

En este servicio se:

  • Almacena identidades de usuarios, dispositivos, grupos y aplicaciones.

  • Implementa políticas de acceso condicional y MFA.

  • Gestiona aplicaciones mediante Enterprise Applications y App Registrations.

  • Utiliza protocolos OAuth2, OpenID Connect y SAML para autenticación y autorización.

  • Expone una API llamada Microsoft Graph para interactuar con los recursos de identidades y Office 365.

https://www.microsoft.com/es-es/security/business/identity-access/microsoft-entra-id
Término
Definición

Tenant

Instancia de Azure que representa a una organización. Es el contenedor principal que agrupa usuarios, políticas y servicios.

Microsoft Entra ID

Cada Tenant tiene un directorio dedicado (Azure Active Directory) que se usa para gestionar identidades, accesos, grupos y políticas de seguridad para los recursos asociados.

Subscriptions (Suscripciones)

Se utilizan para pagar por los servicios consumidos en Azure. Una suscripción agrupa recursos bajo un modelo de facturación común y puede tener asignadas políticas de acceso y control independientes.

Core domain (Dominio principal)

Es el dominio principal asociado al Tenant. Puede ser personalizado (como empresa.com) o usar el formato por defecto .onmicrosoft.com. Es usado para identificar usuarios y servicios.

Resources Groups (Grupos de recursos)

Contenedor lógico que agrupa múltiples recursos relacionados para facilitar su administración, implementación y control de acceso. Todos los recursos de un grupo comparten el mismo ciclo de vida.

Resources (Recursos)

Son las instancias específicas de servicios desplegados en Azure, como máquinas virtuales, bases de datos, redes virtuales o cuentas de almacenamiento. Cada recurso pertenece a un grupo de recursos.

Azure Resource Manager (ARM)

API centralizada para gestionar recursos (máquinas virtuales, almacenamiento, etc.).

Tokens de acceso

Permiten interactuar con APIs de Azure para enumerar usuarios, recursos, roles, etc.

Conditional Access

Políticas que controlan el acceso a los recursos según condiciones como ubicación, plataforma, app cliente, etc.

Managed Identity

Es una identidad gestionada automáticamente por Azure que se puede asignar a recursos como:

  • Azure VMs

  • App Services

  • Function Apps

  • Logic Apps

  • Containers (AKS, ACI)

Estas identidades permiten que los recursos se autenticquen con otros servicios de Azure (como Key Vault, Azure SQL, Storage, etc.) sin almacenar credenciales en código.

¿Cómo funciona?

  • Al crear una Managed Identity, Azure genera automáticamente un objeto en Entra ID (Azure AD) de tipo service principal.

  • Este service principal puede recibir roles y permisos RBAC, exactamente igual que un usuario humano o una app registrada.

  • Cuando el recurso necesita acceder a otro servicio, Azure le proporciona un token de acceso Entra ID.

Tipos de Managed Identity

Tipo
Descripción

System-assigned

Ligada a un recurso concreto (por ejemplo, una VM o app). Se destruye con el recurso. No se puede reutilizar.

User-assigned

Identidad independiente que se puede asignar a múltiples recursos. Se gestiona por separado.

Azure Resource Manager (ARM)

Es el backend de gestión de infraestructura como servicio.

  • Se accede a través de la API de management.azure.com.

  • Permite controlar máquinas virtuales, redes, almacenamiento, Key Vaults, etc.

  • El acceso se realiza mediante tokens ARM, que se obtienen tras autenticación con Entra ID.

Aplicaciones y Recursos

Los recursos de Azure se dividen en 4 niveles:

Grupos de administración > Suscripciones > Grupos de recursos > Recursos

Esquema de recursos

Estos recursos están agrupados bajo "Resource Groups" y organizados en suscripciones:

  • Máquinas virtuales (VMs): Infraestructura clave en ataques para pivoteo.

  • App Services / Function Apps: Entornos de ejecución de código web o serverless.

  • Storage Accounts: Incluyen blobs, tablas, colas (objetivo común de exfiltración).

  • Key Vaults: Contienen secretos, claves y certificados.

Recursos comunes

  • Virtual Machines (VMs)

  • Storage Accounts

  • Key Vaults

  • App Services y Function Apps

  • Enterprise Applications

  • Microsoft Graph API: Permite enumerar y gestionar recursos de Microsoft 365 y Entra ID.

Roles y Accesos

Control de acceso basado en rol (RBAC)

https://learn.microsoft.com/es-es/azure/role-based-access-control/overview

El control de acceso basado en rol (Azure RBAC) ayuda a administrar quién tiene acceso a los recursos de Azure, qué pueden hacer con esos recursos y a qué áreas puede acceder.

Consta de 3 elementos: Entidad de seguridad, definición de rol y ámbito

Una entidad de seguridad (usuario, grupo, servicio principal, identidad administrada) de azure puede tener un (https://azure.permissions.cloud/builtinroles) en determinados ámbitos (grupos de administración, suscripciones, grupos de recursos y recursos).

Esquema de asignación de roles en Azure

Azure usa el modelo RBAC (Role-Based Access Control) en combinación con Entra ID:

  • Roles como Owner, Contributor, Reader, o personalizados.

  • Pueden aplicarse a nivel de recurso, grupo de recursos o suscripción.

  • Los roles se visualizan mediante Get-AzRoleAssignment o Get-MgDirectoryRole.

Control de acceso basado en atributos (ABAC)

https://learn.microsoft.com/es-es/azure/role-based-access-control/conditions-overview

El control de acceso basado en atributos (ABAC) es un sistema de autorización que define el acceso en función de los atributos asociados a las entidades de seguridad, los recursos y el entorno de una solicitud de acceso.

Permisos por defecto de un usuario normal

  • Leer todos los usuarios, aplicaciones, dispositivos, roles, suscripciones o propiedades públicas.

  • Invitar invitados.

  • Crear grupos de seguridad.

  • Leer membresía de grupos no ocultos.

  • Añadir invitados a grupos propios.

  • Crear nuevas aplicaciones.

  • Añadir hasta 50 dispositivos en Azure.

Autenticación y Tokens

Azure opera mediante el intercambio de tokens de acceso:

  • Graph API Token: Para consultar datos de usuarios, grupos, apps.

  • ARM Token: Para administrar recursos de infraestructura.

  • Se obtienen mediante autenticación estándar o Device Code Flow para evadir MFA.

Aplicaciones Registradas y Consents

Una aplicación puede obtener permisos para actuar en nombre del usuario u organización:

  • App Registrations: Registradas por usuarios/administradores.

  • Enterprise Applications: Aplicaciones configuradas para uso organizacional.

  • Los consentimientos (consent grants) pueden ser a nivel usuario o tenant (admin consent).

Conditional Access

Políticas que restringen el acceso según:

  • Ubicación geográfica.

  • Tipo de dispositivo.

  • Aplicación cliente (navegador, PowerShell, etc.).

  • Estado del dispositivo (compliant / joined).

Estas políticas se pueden evadir mediante técnicas como:

  • Abuso del Device Authorization Flow.

  • Uso de apps no bloqueadas (como MyApps).

  • Manipulación del user-agent o ubicación con proxies y FoxyProxy.

AnteriorCloudSiguienteHerramientas

Última actualización

¿Te fue útil?