El directori actiu, anomenat en el seu original en anglès Active Directory, és un dels pilars fonamentals  del govern de xarxes, administra usuaris, grups d’usuaris, permisos, assignació de recursos, aplicacions i polítiques d’accés. Les empreses cada cop tendeixen més a administrar, totalment o parcialment, aquests serveis des de la tecnologia del núvol, és a dir, situant els sistemes, arxius i servidors fora de la seu física de l’empresa. A Escuda hem estudiat amb profunditat les diferents possibilitats tecnològiques que s’ofereixen en el camp del núvol i els directoris actius, en aquest article comentem les diverses opcions que hi ha en aquest àmbit.

Núvols i directoris actius

És àmpliament conegut que un dels pilars fonamentals on es recolza gran part del disseny, gestió i seguretat de les xarxes informàtiques és en l’estructura de directori, o el que MS va batejar com a Directori Actiu a partir de la introducció de Windows Server 2000 i que abans va tenir com a precursor el molt menys popular Novel Netware eDirectory (ara anomenat NetIQ eDirectory).

Active Directory (AD) o directori actiu són els termes que utilitza Microsoft per referir-se a la seva particular implementació de servei de directori a una xarxa distribuïda de computadors. Utilitza diferents protocols, principalment LDAP, DNS, DHCP i Kerberos. És una eina molt potent que permet gestionar de manera centralitzada permisos d’accés, dominis, carpetes compartides, impressores compartides, servidors proxy i molt més.

Fins fa relativament poc temps per tal de poder disposar de totes les funcionalitats del Directori Actiu de Microsoft Windows Server era necessari disposar d’un servidor instal·lat a la infraestructura local de cada empresa. Sobre aquest servidor també s’implementaven bona part de les eines requerides per tal de que cada negoci pogués desenvolupar la seva activitat. Aquest escenari va començar a canviar en el moment en que el mercat va començar a oferir diferents opcions per tal de disposar de part d’aquestes eines o serveis fora de la infraestructura pròpia. Serveis com el correu electrònic, programes de facturació, ERPs i d’altres ja son accessibles com a programes com a servei (SaaS) allotjats en servidors remots i accessibles a través d’internet. La dependència a una infraestructura local va minvant cada dia i afecta cada cop a més d’aquests serveis o eines. Les funcionalitats que queden residents en infraestructures locals van més relacionades amb la seguretat i control sobre les dades de cada empresa i amb l’automatització i control sobre els dispositius dels usuaris.

En l’actual lenta però incremental adequació i transició de moltes companyies al model més flexible de consum i adquisició sota petició de serveis i funcionalitats informàtiques sorgien dos gran dubtes: com integrem aquests serveis en la nostra arrel de directori actiu? i, sobretot, donat que estem externalitzant tota la infraestructura, com migrem el directori actiu al núvol?

Davant d’aquests reptes i per ajudar als nostres clients a adaptar-se a aquest nou paradigma d’externalització de serveis, identitats i credencials d’aplicacions al núvol, conciliat amb les necessitats de gobernança de xarxa, Microsoft ens proposa 3 escenaris amb les seves diferents implementacions.

Propostes d’implementació

1. Implementació mitjançant Microsoft Active Directori On Premises basat en Windows Server 2019 connectat amb les identitats dels serveis SaaS al núvol.

microsoft active directory

Correspon a la implementació en la infraestructura local de totes les funcionalitats d’Active Directory. És el model “tradicional”. El gran canvi que ha patit es que part de les eines instal·lades sobre aquests servidors i que utilitzaven els diferents serveis de validació i seguretat dels usuaris sobre els serveis o aplicacions ja les trobem com a servei extern. Molt bona part d’aquestes eines disposen de la seva  pròpia seguretat basada en la identitat de l’usuari que es valida a l’hora d’accedir-hi.

Aquesta és la forma més clàssica d’implementar un servei de directori actiu i requereix de un servidor propi a dintre de la LAN informàtica.

2. Implementació mitjançant les opcions SaaS impulsades per Microsoft i basades en el seu “cloud” amb Azure Active Directory Domain Services (ADDS)

Azure ADDS Nube Active Directory

Azure ADDS és un servei SaaS part dels serveis online de Microsoft que engloba tot un seguit de funcionalitats per tal de que les organitzacions disposin d’alternatives per tal d’implementar bona part de les funcionalitats ja conegudes del Directori Actiu de Microsoft Windows Server.

Azure ADDS  és un servei independent a Azure, que habilita un controlador de domini per a màquines virtuals a Azure, sense configurar un servidor independent com a controlador de domini. Bàsicament, crea un controlador de domini com a servei. Azure ADDS sincronitza usuaris / grups i contrasenyes d’Azure AD perquè estiguin disponible per als ordinadors virtuals d’una xarxa Azure.

Per d’assolir les diferents funcionalitats conegudes d’Active Directory, que no totes, Microsoft ens proposa dos modalitats d’implementació diferents:

 2. 1 Amb Azure ADDS per a les organitzacions 100% núvol

Dintre de la plataforma “multitenant” de Microsoft, un inquilí de Azure ADDS 100% núvol (el que sovint es coneix com ‘inquilins administrats’) no té superfície d’identitat en local. Donat això, els comptes d’usuaris, les seves contrasenyes i les pertinences a grups són tots creats i administrats en la consola d’Azure ADDS. L’administrador ha de configurar una xarxa virtual en els serveis d’infraestructura de Azure. Les aplicacions i les càrregues de treball de servidor s’implementen en aquesta xarxa virtual en màquines virtuals de Azure. Donat que la infraestructura és només al núvol, totes les identitats d’usuari, les seves credencials i pertinences a grups es creen i administren en Azure ADDS.

Sobre aquest tipus de implantació s’han de fer varies consideracions importants:

  • L’administrador no necessita administrar ni supervisar aquest domini ni cap controlador de domini d’aquest domini administrat, ni tampoc aplicar-revisions.
  • No cal administrar la replicació d’AD en aquest domini. Els comptes d’usuari, les pertinences a grups i les credencials estan disponibles automàticament dins d’aquest domini administrat.
  • Atès que els serveis de domini de Azure ADDS administren el domini, l’administrador no té privilegis d’administrador de domini o administrador d’organització.

En definitiva, aquesta solució és una solució de directori actiu únicament per entorn d’equips, usuaris i serveis que són a Azure.

2.2 Serveis de domini de Azure ADDS per organitzacions híbrides:

Les organitzacions amb una infraestructura de TI híbrida utilitzen una combinació de recursos de núvol i locals. Tals organitzacions sincronitzen la informació d’identitat del seu directori local amb el seu “tenant” d’Azure ADDS.

Les organitzacions híbrides busquen cada cop més migrar les seves aplicacions locals al núvol, en especial en que el que respecta a les aplicacions heretades que depenen d’un directori actiu local. En aquests casos Azure ADDS també pot resultar-los molt útil amb la implementació d’Azure AD Connect per tal de sincronitzar la informació d’identitat del seu directori actiu local amb el seu inquilí de Azure AD. Aquesta característica permet als usuaris iniciar sessió en el domini amb les seves credencials corporatives. Els administradors poden proporcionar accés als recursos del domini mitjançant la pertinença a grups existents.

Consideracions a tenir en compte sobre aquest escenari:

  • El domini administrat és un domini independent.
  • L’administrador no necessita administrar ni supervisar controladors de domini d’aquest domini administrat, ni tampoc aplicar-revisions.
  • No cal administrar la replicació d’AD en aquest domini. Els comptes d’usuari, les pertinences a grups i les credencials del directori local es sincronitzen amb Azure AD mitjançant Azure AD Connect. Atès que els serveis de domini de Azure AD administren el domini, l’administrador del domini local no té privilegis d’administrador de domini o administrador d’organització.

En definitiva, amb aquesta solució s’integra el directori actiu tradicional local amb els serveis de directori per l’entorn de equips que son a Azure.

3. Implementació mitjançant el servei Azure Active Directory associat amb els serveis Office 365.

Azure Office 365 Active directory nube

Azure Active Directory (Azure AD) és un servei d’administració d’accés i d’identitats basat en el núvol de Microsoft. Azure AD possibilita als usuaris a iniciar sessió i a accedir als recursos externs com Microsoft Office 365, Azure Portal i milers d’altres aplicacions SaaS i a recursos interns. També fa possible l’accés a les aplicacions de la xarxa corporativa i a les eines d’intranet al núvol Azure de Microsoft juntament amb totes les aplicacions en el núvol desenvolupades per la seva pròpia organització.

Azure AD va dirigit a:

  • Administradors de TI que volen utilitzar Azure AD per controlar l’accés a les seves aplicacions i als seus recursos en funció dels requisits de la seva empresa.
  • Desenvolupadors d’aplicacions als que Azure AD els ofereix un enfocament basat en estàndards per afegir l’inici de sessió únic (SSO) a qualsevol aplicació, això els permet treballar amb les credencials existents d’un usuari. Azure AD també proporciona diverses API que poden ajudar a crear experiències d’aplicació personalitzades que treguin profit de les dades existents de l’organització.
  • Subscriptors de Microsoft 365, Office 365, Azure o Dynamics CRM en línia. Cada usuari de Microsoft 365, Office 365, Azure i Dynamics CRM Online és automàticament un inquilí de Azure AD.

El servei d’Azure AD que s’inclou als serveis online de Microsoft no és una implantació LDAP amb gestió centralitzada de recursos, usuaris i polítiques. Certament, Azure AD, més que una funcionalitat de gestió, és una implementació necessària d’una gestió d’identitats mínima que possibiliti l’ús dels serveis online de Microsoft.

Hi ha varies versions segons les funcionalitats que es persegueixen implantar, es pot veure a la següent taula.

Azure active directory office 365

Conclusions sobre les opcions disponibles amb Microsoft

Donades aquestes possibilitats, per gaudir de un LDAP competent en moltes organitzacions encara s’ha de implementar un opció hibrida amb Microsoft Active Directori On Premise (en local) en conjunció amb Azure AD per sincronitzar/integrar les identitats dels serveis online de Microsoft (Office 365) i la federació SSO de tercers amb el servei de directori actiu On Premise mitjançant el connector Azure AD Connect.

Azure AD Connect Nube

Alternatives de governança per organitzacions que creuen 100% en un entorn “cloud”

Del que s’ha comentat anteriorment es desprèn que fer una adequació 100% “cloud” de un directori actiu amb LDAP de Microsoft és, si més no, una tasca molt complexa que requereix de varis serveis online de Microsoft per aconseguir una gestió que s’apropa a la de un directori actiu local.

Afortunadament comencen a aparèixer alternatives SaaS a Microsoft que ofereixen  el “directori com a servei” amb tecnologia 100% “cloud” nativa. Una d’aquestes alternatives és JumpCloud.

Jumpcloud nube active directory

JumpCloud: una moderna interpretació de directori

JumpCloud és una moderna interpretació de directori, que ofereix (ja sigui “On Premise” o en el núvol) un control centralitzat de les identitats dels usuaris en conjunció amb els recursos de TI: sistemes, aplicacions i xarxes.

Aquestes són algunes de les seves característiques principals:

  • Directori com a Servei o sistema Identity-as-a-Service (IDaaS): emmagatzema de forma segura i proporciona accés als actius importants de la teva organització: els usuaris, els sistemes als quals accedeixen, les aplicacions que fan servir, etc.
  • Gestió de grups d’usuaris: permet autoritzar als seus usuaris a accedir als sistemes, dispositius i aplicacions que necessiten. Una interfície fàcil d’utilitzar ajuda a associar usuaris amb els recursos que necessiten per accedir dins d’aquests grups.
  • Gestió d’usuaris: punt centralitzat per administrar usuaris. Inclou configuració de l’usuari, credencials d’usuari, administració de claus d’usuari, gestió simple de claus públiques i entorn d’auto-gestió de l’usuari.
  • Inici de sessió únic (SSO): Proporciona als usuaris accés amb un clic a les aplicacions SaaS que més necessiten. Proporciona configuració simple d’aplicacions líders de SaaS, aprofitant el protocol SAML 2.0, àmpliament adoptat.
  • Gestió de múltiples OS: permet recuperar la seguretat i el control de l’administració independentment del sistema operatiu (Mac, Linux i Windows) o la ubicació.
  • Auditoria i compliment: accés sota demanda a dades estructurades amb JSON per emmagatzemar i analitzar les dades dels empleats, els administradors amb privilegis i els recursos amb què interactuen.

RADIUS-as-a-Service: proporciona servidors RADIUS en el núvol pre construïts, configurats i totalment administrats i mantinguts. Pots afegir tants servidors RADIUS com vulguis per al control dels accessos WiFi, l’autenticació VPN i l’autenticació per la teva xarxa de sistemes, servidors i aplicacions.

jumpcloud active directory nube

Funcionalitats clau de gestió la gestió d’usuaris i polítiques:

  • Pel que veiem, JumpCloud permet gestionar usuaris i sistemes o equips a través d’un agent que cal instal·lar en cadascun dels sistemes que es vol gestionar. L’agent, amb un baix consum de recursos i compatible amb equips Windows, MacOS i Linux, es comunica amb la consola cada minut a través d’un canal segur amb certificat i encriptació TLS.
  • JumpCloud aporta unes funcionalitats de gestió de polítiques amb possibilitats properes a la gestió de GPO un entorn LDAP de Microsoft ON Premise.
  • La consola central permet l’assignació de cada equip a l’usuari que li correspon creant un compte local amb els privilegis desitjats.
  • Un cop s’ha creat i configurat l’entorn amb els usuari i els equips es poden crear grups que permeten automatitzar les accions a implementar.
  • Per poder administrar els sistema cal assignar usuaris administradors als sistemes i l’agent s’encarrega de crear un compte amb privilegis d’administració local en tots els sistemes administrats.
  • JumpCloud permet la integració del Servei de directori amb entorns Office 365, entre d’altres, fent possible la importació d’usuaris existents cap a la consola de JumCloud. Un cop es configura la relació de la plataforma Office 365 amb l’entorn JumpCloud i s’activa l’usuari és necessari que l’usuari actualitzi la contrasenya del compte. A partir d’aquest moment la integració és molt àmplia ja que les accions realitzades a la consola de JumpCloud es sincronitzen amb la consola de l’Office 365. Es poden, entre altres coses, crear nous usuaris o donar-los de baixa per exemple.
  • Les diferents opcions d’integració permeten que, a través de la consola de JumpCloud, es pugui interactuar amb varietat d’aplicacions web unificant els accessos a través d’SSO (Single Sign-On)
  • La plataforma és compatible amb autentificació Multi-Factor.

A més a més, s’ha de tenir en compte una sèrie de consideracions prèvies sobre la seguretat JumpCloud.

  • Encriptació TLS entre agent i servei
  • Auditories mensuals de seguretat (amb revisió de vulnerabilitats)
  • Tenen l’acreditació Type 1 SOC 2 de entorns SaaS
  • Tenen un sistema de recuperació davant desastres en minuts
  • Les dades (cold and hot data) estan encriptades.
  • L’accés a les dades està monitoritzat per detectar usos anòmals.
  • Tenen un IDS en ús amb un SIEM per fer anàlisi d’esdeveniments.

JumpCloud utilitza els serveis web d’Amazon Web Services per a l’allotjament. AWS té el més alt nivell dels estàndards de seguretat de targetes de crèdit PCI DSS, HIPAA, SOC 1 tipus II i està certificat per ISO 27001. La infraestructura de AWS es considera fiable en termes de “compliance” i en termes de seguretat intrínseca al IaaS o en PaaS que fa servir JumpCloud.

Conclusions sobre l’alternativa SaaS de JumpCloud

Per totes aquestes raons creiem que JumpCloud pot ser una bona alternativa per a organitzacions que desitgen implementar un escenari 100% “cloud” de govern de xarxa amb eines similars al directori actiu de Microsoft i sense servidor central.

Si vols aprofundir més en qüestions de govern de xarxa aplicades a entorns “cloud” pots contactar amb nosaltres a través del nostre formulari de contacte o trucant al 931 931 848.