Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La transferencia entre asociados (P2P) es un punto de transición crítico en el ciclo de vida del cliente. Los cambios en quién administra un inquilino, quién puede realizar transacciones y quién tiene visibilidad sobre el patrimonio digital del cliente pueden crear oportunidades para el fraude, el uso indebido de privilegios y la interrupción operativa. Esta guía ayuda a Proveedor de soluciones en la nube asociados (CSP) a identificar las áreas de riesgo más comunes y a aplicar controles prácticos para reducir la exposición, al incorporar a un cliente como resultado de un transfer de otro asociado.
Hitos de la transferencia
Desde una perspectiva de riesgo, las transferencias P2P se pueden ver como dos hitos importantes. Cada hito tiene la posibilidad de introducir diferentes amenazas y prioridades de control.
- Incorporación segura: establezca una relación con el nuevo cliente: el asociado entrante confirma la relación del cliente, se alinea con las expectativas de seguridad y reduce la incertidumbre sobre quién debe tener acceso y autoridad.
- Transición segura: transferir activos del socio saliente al socio entrante: la transferencia se ejecuta y se elimina el acceso residual, al tiempo que se garantiza que los activos y las operaciones del cliente permanezcan protegidos.
Después de la migración segura, el cliente pasa a la administración continua como parte del ciclo de vida del cliente estándar.
Incorporación segura: establecimiento de una relación con el nuevo cliente
Este hito de incorporación consiste principalmente en reducir la incertidumbre. Como asociado que recibe la transferencia, debe tratarlo como un evento de incorporación controlado: confirme la legitimidad de la relación con el cliente y establezca una base de referencia de seguridad mínima antes de que cambie la responsabilidad administrativa.
El riesgo puede aumentar cuando la identidad o autorización del cliente no se valida claramente, cuando las expectativas de seguridad no se acuerdan por adelantado o cuando la posición de seguridad actual del inquilino no está clara.
Escenarios de riesgo comunes y controles recomendados:
| Escenario de riesgo | Description | Control |
|---|---|---|
| La identidad o la autoridad del cliente no se validan | El socio entrante se incorpora basándose en contactos no verificados o en una autorización incompleta. | Valide la relación y autorización del cliente. Confirme que las personas que solicitan la transferencia están autorizadas por el cliente para iniciar y aprobar los cambios administrativos. |
| Línea base de seguridad poco clara | Las prácticas de autenticación débiles, los controles de acceso con privilegios incoherentes o las identidades heredadas crean una exposición evitable. | Establezca una línea de base de seguridad mínima antes. Asegúrese de que se han implementado prácticas de autenticación sólidas (como la autenticación multifactor) para las rutas de acceso de asociados y clientes que se usan durante la transición. |
| Comprensión limitada del patrimonio digital | La falta de contexto sobre suscripciones, tenants y rutas de acceso de administrador aumenta la posibilidad de puntos ciegos tras la transferencia. | • Realizar una revisión de seguridad basada en riesgos. Identifique situaciones de alto riesgo (por ejemplo, cuentas con privilegios excesivos, identidades heredadas, mecanismos de recuperación deficientes o una cuota alta de Azure) y acuerde con el cliente la responsabilidad de la remediación. • Establecer un inventario inicial de activos y de administración. Mantenga una vista accionable de las suscripciones, los administradores y las dependencias críticas de soporte técnico, por lo que las responsabilidades son claras después de la transferencia. |
| Diligencia debida insuficiente para el riesgo de transacción | La exposición financiera puede aumentar si el asociado entrante no alinea los términos comerciales y la preparación del cliente | Aplique la debida diligencia comercial adecuada. Use comprobaciones basadas en riesgos para reducir la posibilidad de exposición financiera o una interrupción del servicio evitable. |
Comprobaciones de validación mínimas antes de pasar a Hito 2
- Se documentan las aprobaciones del cliente y los contactos autorizados.
- El asociado entrante entiende las suscripciones críticas del cliente y el modelo administrativo en un nivel alto.
- Se confirma una línea de base de seguridad para las identidades usadas durante la transferencia (por ejemplo, MFA, si procede).
Migración segura: transferencia de recursos del asociado saliente al asociado entrante
Este hito consiste principalmente en la eliminación y comprobación del acceso. Como asociado que recibe la transferencia, debe tratar la transición como un evento de cambio sensible a la seguridad. Por lo tanto, el estado posterior a la transferencia coincide con lo que usted y el cliente esperan:
- Compruebe que los privilegios del socio saliente se hayan eliminado por completo y ajuste los roles al principio de mínimo privilegio
- Y conciliar la propiedad de los activos y las responsabilidades administrativas
Escenarios de riesgo comunes y controles recomendados
| Escenario de riesgo | Description | Control |
|---|---|---|
| El acceso residual se mantiene | Las cuentas de asociados salientes, los privilegios de administrador delegado o los grupos de seguridad heredados siguen concediendo alcance administrativo. | Compruebe la eliminación del acceso de asociado saliente. Confirme que las relaciones de administración delegada y otras rutas de acceso privilegiado asociadas al socio saliente se eliminan y no pueden reutilizarse. |
| El privilegio se vuelve a establecer involuntariamente. | El acceso se elimina en un lugar, pero persiste a través de vías alternativas (por ejemplo, cuentas de acceso de emergencia, identidades de automatización o asignaciones de roles heredadas). | Aplique privilegios mínimos para el asociado entrante. Limite los roles a lo que se necesita para el soporte al cliente y evite asignaciones persistentes de privilegios elevados en las que existen alternativas. |
| Transacciones no autorizadas durante la ventana de transición | Los cambios en las suscripciones, las licencias o la facturación se producen sin la aprobación del cliente y la auditabilidad claras. | Mantener la auditabilidad de las aprobaciones y los cambios. Para satisfacer las necesidades de las investigaciones y los requisitos de cumplimiento, mantenga registros de las aprobaciones de los clientes y de los cambios administrativos realizados durante la transición. |
| Falta de coincidencia de inventario después de la transferencia | El asociado entrante carece de una vista completa de los recursos y las dependencias, lo que conduce a brechas y desfase de configuración. | Conciliación de activos y propiedad administrativa. Valide que las suscripciones, las licencias y las responsabilidades de soporte técnico coincidan con el estado esperado posterior a la transferencia y se documenten. |
| Brechas de supervisión posteriores a la transferencia | No se detecta una actividad inusual temprana, lo que retrasa la respuesta al riesgo o el uso incorrecto. | Supervisar la actividad anómala. Aumente la supervisión de acciones de alto riesgo durante y inmediatamente después de la ventana de transferencia y asegúrese de que las rutas de escalación están en vigor. |
Comprobaciones de validación mínimas para cerrar la transferencia
- Se verifica que las rutas de acceso de socios salientes se han eliminado
- El inventario de activos y suscripciones se reconcilia con el estado posterior a la transferencia
- Una revisión posterior a la transferencia confirma los privilegios mínimos y un plan de supervisión acordado
- La cuota de Azure está alineada con las necesidades empresariales del cliente
Recursos adicionales
- Para obtener información sobre los procedimientos recomendados que se deben seguir después de una transferencia de clientes, consulte: Administrar cuentas de cliente y facturación.