El directorio activo, llamado en su original en inglés Active Directory, es uno de los pilares fundamentales del gobierno de redes, administra usuarios, grupos de usuarios, permisos, asignación de recursos, aplicaciones y políticas de acceso. Las empresas cada vez tienden más a administrar, total o parcialmente, estos servicios desde la tecnología de la nube, lo que se refiere a situar sistemas, archivos y servidores fuera de la sede física de la empresa. En Escuda hemos estudiado a fondo las diferentes posibilidades tecnológicas que se ofrecen en el campo de la nube y los directorios activos, en este artículo comentamos las diversas opciones que hay en este ámbito.

Nubes y directorios activos

Es ampliamente conocido que uno de los pilares fundamentales donde se apoya gran parte del diseño, gestión y seguridad de las redes informáticas es en la estructura de directorio, o el que MS bautizó como Directorio Activo a partir de la introducción de Windows Server 2000 y que antes tuvo como precursor el mucho menos popular Novel Netware eDirectory (ahora denominado NetIQ eDirectory).

Active Directory (AD) o directorio activo son los términos que utiliza Microsoft para referirse a su particular implementación de servicio de directorio a una red distribuida de computadores. Utiliza diferentes protocolos, principalmente LDAP, DNS, DHCP y Kerberos. Es una herramienta muy potente que permite gestionar de manera centralizada permisos de acceso, dominios, carpetas compartidas, impresoras compartidas, servidores proxy y mucho más.

Hasta hace relativamente poco tiempo para poder disponer de todas las funcionalidades del Directorio Activo de Microsoft Windows Server era necesario disponer de un servidor instalado a la infraestructura local de cada empresa. Sobre este servidor también se implementaban buena parte de las herramientas requeridas para que cada negocio pudiera desarrollar su actividad. Este escenario empezó a cambiar en el momento en que el mercado empezó a ofrecer diferentes opciones para disponer de parte de estas herramientas o servicios fuera de la infraestructura propia. Servicios como el correo electrónico, programas de facturación, ERPs y otros que ya son accesibles como programas como servicio (SaaS) alojados en servidores remotos y accesibles a través de internet. La dependencia a una infraestructura local va menguando cada día y afecta cada vez además de estos servicios o herramientas. Las funcionalidades que quedan residentes en infraestructuras locales van más relacionadas con la seguridad y control sobre los datos de cada empresa y con la automatización y control sobre los dispositivos de los usuarios.

En el actual lenta pero incremental adecuación y transición de muchas compañías al modelo más flexible de consumo y adquisición bajo petición de servicios y funcionalidades informáticas surgían dos grandes dudas: ¿cómo integramos estos servicios en nuestra raíz de directorio activo? y, sobre todo, ¿dado que estamos externalizando toda la infraestructura, como migramos el directorio activo a la nube?

Ante estos retos y para ayudar a nuestros clientes a adaptarse a este nuevo paradigma de externalización de servicios, identidades y credenciales de aplicaciones a la nube, conciliado con las necesidades de gobierno de red, Microsoft nos propone 3 escenarios con sus diferentes implementaciones.

Propuestas de implementación

1. Implementación mediante Microsoft Activo Directorio On Premises (en local) basado en Windows Server 2019 conectado con las identidades de los servicios SaaS a la nube.

microsoft active directory

Corresponde a la implementación en la infraestructura local de todas las funcionalidades de Activo Directory. Es el modelo “tradicional”. El gran cambio que han sufrido parte de las herramientas instaladas sobre estos servidores y que utilizaban los diferentes servicios de validación y seguridad de los usuarios sobre los servicios o aplicaciones ya las encontramos como servicio externo. Muy buena parte de estas herramientas disponen de su propia seguridad basada en la identidad del usuario que se valida a la hora de acceder.

Esta es la forma más clásica de implementar un servicio de directorio activo y requiere de un servidor propio adentro de la LAN informática.

2. Implementación mediante las opciones SaaS impulsadas por Microsoft y basadas en su “cloud” con Azure Active Directory Domain Services (Adds)

Azure ADDS Nube Active Directory

Azure ADDS es un servicio SaaS parte de los servicios online de Microsoft que engloba toda una serie de funcionalidades para que las organizaciones dispongan de alternativas para implementar buena parte de las funcionalidades ya conocidas del Directorio Activo de Microsoft Windows Server.

Azure ADDS es un servicio independiente a Azure, que habilita un controlador de dominio para máquinas virtuales a Azure, sin configurar un servidor independiente como controlador de dominio. Básicamente, crea un controlador de dominio como servicio. Azure ADDS sincroniza usuarios / grupos y contraseñas de Azure AD porque estén disponible para los ordenadores virtuales de una red Azure.

Para lograr las diferentes funcionalidades conocidas de Activo Directory, que no todas, Microsoft nos propone dos modalidades de implementación diferentes:

 2. 1 Con Azure ADDS para las organizaciones 100% nube

Dentro de la plataforma “multitenant” de Microsoft, un inquilino de Azure ADDS 100% nube (el que a menudo se conoce como ‘inquilinos administrados’) no tiene superficie de identidad en local. Dado esto, las cuentas de usuarios, sus contraseñas y las pertenencias a grupos son todos creadas y administradas en la consola de Azure ADDS. El administrador tiene que configurar una red virtual en los servicios de infraestructura de Azure. Las aplicaciones y las cargas de trabajo de servidor se implementan en esta red virtual en máquinas virtuales de Azure. Dado que la infraestructura es solo a la nube, todas las identidades de usuario, sus credenciales y pertenencias a grupos se crean y administran en Azure ADDS.

Sobre este tipo de implantación se tienen que hacer varias consideraciones importantes:

  • El administrador no necesita administrar ni supervisar este dominio ni ningún controlador de dominio de este dominio administrado, ni tampoco aplicar-revisiones.
  • No hay que administrar la replicación de AD en este dominio. Las cuentas de usuario, las pertenencias a grupos y las credenciales están disponibles automáticamente dentro de este dominio administrado.
  • Dado que los servicios de dominio de Azure ADDS administran el dominio, el administrador no tiene privilegios de administrador de dominio o administrador de organización.

En definitiva, esta solución es una solución de directorio activo únicamente por entorno de equipos, usuarios y servicios que estan en Azure.

2.2 Servicios de dominio de Azure ADDS por organizaciones híbridas:

Las organizaciones con una infraestructura de TI híbrida utilizan una combinación de recursos de nube y locales. Tales organizaciones sincronizan la información de identidad de su directorio local con su “tenant” de Azure ADDS.

Las organizaciones híbridas buscan cada vez más migrar sus aplicaciones locales en la nube, en especial en lo relacionado con las aplicaciones heredadas que dependen de un directorio activo local. En estos casos Azure ADDS también puede resultar muy útil con  la implementación de Azure AD Connect para sincronizar la información de identidad de su directorio activo local con su inquilino de Azure AD. Esta característica permite a los usuarios iniciar sesión en el dominio con sus credenciales corporativas. Los administradores pueden proporcionar acceso a los recursos del dominio mediante la pertenencia a grupos existentes.

Consideraciones a tener en cuenta sobre este escenario:

  • El dominio administrado es un dominio independiente.
  • El administrador no necesita administrar ni supervisar controladores de dominio de este dominio administrado, ni tampoco aplicar revisiones.
  • No hay que administrar la replicación de AD en este dominio. Las cuentas de usuario, las pertenencias a grupos y las credenciales del directorio local se sincronizan con Azure AD utilizando Azure AD Connect. Dado que los servicios de dominio de Azure AD administran el dominio, el administrador del dominio local no tiene privilegios de administrador de dominio o administrador de organización.

En definitiva, con esta solución se integra el directorio activo tradicional local con los servicios de directorio por el entorno a equipos que sueño a Azure.

3. Implementación mediante el servicio Azure Activo Directory asociado con los servicios Office 365

Azure Office 365 Active directory nube

Azure Activo Directory (Azure AD) es un servicio de administración de acceso y de identidades basado en la nube de Microsoft. Azure AD posibilita a los usuarios iniciar sesión y acceder a los recursos externos como Microsoft Office 365, Azure Portal, miles de otras aplicaciones SaaS y recursos internos. También posibilita el acceso a las aplicaciones de la red corporativa y a las herramientas de intranet a la nube Azure de Microsoft junto con todas las aplicaciones en la nube desarrolladas por su propia organización.

Azure AD va dirigido a:

  • Administradores de TI que quieren utilizar Azure AD para controlar el acceso a sus aplicaciones y a sus recursos en función de los requisitos de su empresa.
  • Desarrolladores de aplicaciones a los que Azure AD les ofrece un enfoque basado en estándares para añadir el inicio de sesión único (SSO) a cualquier aplicación, que les permite trabajar con las credenciales existentes de un usuario. Azure AD también proporciona diversas APIO que pueden ayudar a crear experiencias de aplicación personalizadas que saquen provecho de los datos existentes de la organización.
  • Suscriptores de Microsoft 365, Office 365, Azure o Dynamics CRM on line. Cada usuario de Microsoft 365, Office 365, Azure y Dynamics CRM Online es automáticamente un inquilino de Azure AD.

El servicio de Azure AD que se incluye en los servicios online de Microsoft no es una implantación LDAP con gestión centralizada de recursos, usuarios y políticas. Ciertamente, Azure AD, más que una funcionalidad de gestión, es una implementación necesaria de una gestión de identidades mínima que posibilite el uso de los servicios online de Microsoft.

Hay varias versiones según las funcionalidades que se quieren implantar, tal como se puede ver a la siguiente tabla.

Azure active directory office 365

Conclusiones sobre las opciones disponibles con Microsoft

Dadas estas posibilidades, para disfrutar de un LDAP competente, en muchas organizaciones todavía se debe implementar una opción hibrida con Microsoft Active Directori On Premise (en local) en conjunción con Azure AD para sincronizar/integrar las identidades de los servicios online de Microsoft (Office 365) y la federación SSO de terceros con el servicio de directorio activo “On Premise” utilizando el conector Azure AD Connect.

Azure AD Connect Nube

Alternativas de gobierno de red para organizaciones que creen 100% en un entorno 100% “cloud”

De lo que se ha comentado anteriormente se desprende que hacer una adecuación 100% “cloud” de un directorio activo con LDAP de Microsoft es, cuando menos, una tarea muy compleja que requiere de varios servicios online de Microsoft para conseguir una gestión que se acerca a la de un directorio activo local.

Afortunadamente empiezan a aparecer alternativas SaaS a Microsoft que ofrecen el “directorio como servicio” con tecnología 100% “cloud” nativa. Una de estas alternativas es JumpCloud.

Jumpcloud nube active directory

JumpCloud: una moderna interpretación de directorio

JumpCloud es una moderna interpretación de directorio que ofrece, ya sea “On Premise” (local) o en la nube, un control centralizado de las identidades de los usuarios en conjunción con los recursos de TI: sistemas, aplicaciones y redes.

Estas son algunas de sus características principales:

    • Directorio como Servicio o sistema Identity-as-a-Service (IDaaS): almacena de forma segura y proporciona acceso a los activos importantes de tu organización: los usuarios, los sistemas a los cuales acceden, las aplicaciones que usan, etc.
    • Gestión de grupos de usuarios: permite autorizar a sus usuarios a acceder a los sistemas, dispositivos y aplicaciones que necesitan. Una interfaz fácil de utilizar que ayuda a asociar usuarios con los recursos que necesitan para acceder dentro de estos grupos.
    • Gestión de usuarios: punto centralizado para administrar usuarios. Incluye configuración del usuario, credenciales de usuario, administración de claves de usuario, gestión simple de claves públicas y entorno de autogestión del usuario.
    • Inicio de sesión único (SSO): Proporciona a los usuarios acceso con un clic a las aplicaciones SaaS que más necesitan. Proporciona configuración simple de aplicaciones líderes de SaaS, aprovechando el protocolo SAML 2.0 ampliamente adoptado.
    • Gestión de múltiples HUESO: permite recuperar la seguridad y el control de la administración independientemente del sistema operativo (Mac, Linux y Windows) o la ubicación.
    • Auditoría y cumplimiento: acceso bajo demanda a datos estructurados con JSON para almacenar y analizar los datos de los empleados, los administradores con privilegios y los recursos con que interactúan.

    RADIUS-as-a-Service: proporciona servidores RADIUS en la nube pre construidos, configurados y totalmente administrados y mantenidos. Puedes añadir tantos servidores RADIUS como quieras para el control de accesos Wifi, la autenticación VPN y la autenticación por tu red de sistemas, servidores y aplicaciones.

jumpcloud active directory nube

Funcionalidades clave de gestión la gestión de usuarios y políticas:

  • Por lo que vemos, JumpCloud permite gestionar usuarios y sistemas o equipos a través de un agente que hay que instalar en cada uno de los sistemas que se quiere gestionar. El agente, con un bajo consumo de recursos y compatible con equipos Windows, MacOS y Linux, se comunica con la consola cada minuto a través de un canal seguro con certificado y encriptación TLS.
  • JumpCloud aporta unas funcionalidades de gestión de políticas con posibilidades próximas a la gestión de GPO un entorno LDAP de Microsoft On Premise (local).
  • La consola central permite la asignación de cada equipo al usuario que le corresponde creando una cuenta local con los privilegios deseados.
  • Una vez se ha creado y configurado el entorno con los usuarios y los equipos se pueden crear grupos que permiten automatizar las acciones a implementar.
  • Para poder administrar los sistemas hay que asignar usuarios administradores a los sistemas y el agente se encarga de crear una cuenta con privilegios de administración local en todos los sistemas administrados.
  • JumpCloud permite la integración del Servicio de directorio con entornos Office 365, entre otros, haciendo posible la importación de usuarios existentes hacia la consola de “Jumpcloud”. Una vez se configura la relación de la plataforma Office 365 con el entorno JumpCloud y se activa el usuario es necesario que el usuario actualice la contraseña de la cuenta. A partir de este momento la integración es muy amplia puesto que las acciones realizadas a la consola de JumpCloud se sincronizan con la consola de la Office 365. Se podrá, entre otras cosas, crear nuevos usuarios o darlos de baja, por ejemplo.
  • Las diferentes opciones de integración permiten que, a través de la consola de JumpCloud, se pueda interactuar con variedad de aplicaciones web unificando los accesos a través de SSO (Single Sign-On)
  • La plataforma es compatible con autenticación Multe-Factor.

Además, se tiene que tener en cuenta una serie de consideraciones previas sobre la seguridad JumpCloud.

  • Encriptación TLS entre agente y servicio.
  • Auditorías mensuales de seguridad (con revisión de vulnerabilidades).
  • Tienen la acreditación Type 1 ZOCO 2 de entornos SaaS
  • Tienen un sistema de recuperación ante desastres en minutos
  • Los datos (calientes o de archivo) están encriptados.
  • El acceso a los datos esta monitorizado para detectar usos anómalos.
  • Tienen un IDS en uso con un SIEM para hacer análisis de acontecimientos.

JumpCloud utiliza los servicios web de Amazon Web Services para el alojamiento. AWS tiene el más alto nivel de los estándares de seguridad de tarjetas de crédito PCI DSS, HIPAA, ZOCO 1 tipo II y está certificado por ISO 27001. La infraestructura de AWS se considera fiable en términos de “compliance” y en términos de seguridad intrínseca al IaaS o PaaS que usa JumpCloud.

Conclusiones sobre la alternativa SaaS de JumpCloud

Por todas estas razones creemos que JumpCloud puede ser una buena alternativa para organizaciones que desean implementar un escenario 100% “cloud” de gobierno de red con herramientas similares al directorio activo de Microsoft y sin servidor central.

Si quieres profundizar más en cuestiones de gobierno de red aplicadas a entornos “cloud” puedes contactar con nosotros a rellenando nuestro formulario de contacto o llamando al 931 931 848.