Controladores de dominio en Azure: por qué tu empresa necesita al menos dos servidores en la nube

PorSebastian

Cuando evaluamos la postura de seguridad y resiliencia de una organización, hay un hallazgo que se repite con frecuencia preocupante: los controladores de dominio y los servidores de Entra Connect Sync existen únicamente en el centro de datos local.

Esto significa que si un incidente — un ransomware, un desastre natural o una falla crítica de hardware — afecta las instalaciones físicas, la empresa pierde acceso a su sistema de identidades. Y sin identidades, no hay acceso a nada: ni a la red, ni a Microsoft 365, ni a las aplicaciones de negocio.

La solución no es compleja ni costosa, pero requiere actuar antes de que ocurra el incidente. En este artículo explicamos qué son estos servidores, por qué son tan críticos y cómo protegerlos llevando al menos dos de ellos a la nube de Azure.

¿Qué son los controladores de dominio y por qué son el objetivo número uno de los atacantes?

En toda red empresarial basada en tecnología Microsoft, los controladores de dominio son los servidores que alojan la base de datos del Directorio Activo (Active Directory). Esta base de datos contiene las identidades y credenciales de cada persona, equipo y sistema de la organización.

Pensemos en ellos como la bóveda central de una empresa: si un atacante toma control de un controlador de dominio, obtiene acceso a todas las cuentas, puede moverse lateralmente por toda la red, escalar privilegios y, en el peor escenario, cifrar la organización completa con ransomware.

Precisamente por esto, la mayoría de las empresas mantienen al menos dos controladores de dominio — para tener redundancia. El problema es que, en muchos casos, ambos están en el mismo centro de datos físico. Si ese centro de datos se ve comprometido, la redundancia no sirvió de nada.

El rol crítico de Entra Connect Sync

Las organizaciones que utilizan Microsoft 365 dependen de un componente adicional: el servidor de Entra Connect Sync (anteriormente conocido como Azure AD Connect). Este servidor es el puente entre el Directorio Activo local y Microsoft Entra ID en la nube.

Gracias a Entra Connect Sync, los usuarios pueden utilizar las mismas credenciales para acceder tanto a recursos internos como a servicios de Microsoft 365: Exchange Online, Microsoft Teams, SharePoint, Copilot y cualquier aplicación integrada.

Sin este servidor funcionando, la sincronización se detiene. Los cambios de contraseña no se replican, las nuevas cuentas no se crean en la nube y, en un escenario de desastre, la recuperación del entorno de Microsoft 365 se vuelve significativamente más compleja.

El problema que encontramos una y otra vez

En nuestros servicios de pruebas de penetración y evaluaciones de resiliencia, identificamos con frecuencia que tanto los controladores de dominio como los servidores de Entra Connect Sync están:

  • Ubicados exclusivamente en el centro de datos en las instalaciones de la empresa (on-premises)
  • Respaldados, pero con copias que también residen en la misma ubicación física
  • Sin un plan de recuperación que contemple la pérdida total del sitio principal

El resultado: cuando ocurre un incidente que afecta el centro de datos local, la empresa enfrenta un tiempo de recuperación extenso y, en algunos casos, la incapacidad de restablecer operaciones durante días o semanas.

La solución: llevar al menos dos servidores a Azure

Nuestra recomendación es directa: toda empresa que opere con Directorio Activo y Microsoft 365 debería mantener al menos dos máquinas virtuales en Azure como infraestructura como servicio (IaaS):

  1. Un controlador de dominio adicional — que replique la base de datos del Directorio Activo en la nube, proporcionando una copia completamente funcional que puede operar de forma independiente si el sitio principal falla.
  2. Un servidor de Entra Connect Sync en modo activo — que mantenga la sincronización con Microsoft 365 de forma continua y pueda asumir la carga completa si el servidor primario queda inoperante.

Beneficios de esta arquitectura en Azure

  • Redundancia geográfica real: Azure permite distribuir estos servidores en diferentes zonas de disponibilidad o incluso diferentes regiones, eliminando el punto único de falla del centro de datos local.
  • Respaldos inmutables: Azure Backup ofrece opciones de respaldo que no pueden ser eliminadas ni cifradas por un atacante, incluso si compromete cuentas administrativas.
  • Seguridad reforzada: Las máquinas virtuales en Azure se benefician de controles de seguridad adicionales como Microsoft Defender for Cloud, acceso Just-in-Time y redes segmentadas.
  • Recuperación acelerada: En un escenario de desastre, estos servidores en Azure pueden convertirse en la infraestructura principal de identidades en cuestión de minutos, no días.

¿Cuánto cuesta? Menos de lo que piensas

Una de las objeciones más comunes es el costo. Sin embargo, mantener estos dos servidores en Azure con configuraciones de alta resiliencia representa una inversión mensual de entre $250 y $400 USD, dependiendo del tamaño de la organización y sus requisitos específicos.

Este monto no incluye la implementación inicial, pero sí cubre los recursos de cómputo, almacenamiento y los servicios de redundancia de Azure.

Para ponerlo en perspectiva: según el informe Cost of a Data Breach 2024 de IBM, el costo promedio de una filtración de datos en Latinoamérica alcanzó los $2.76 millones de dólares en 2024. Incluso si el impacto en tu empresa fuera una fracción de esa cifra, una inversión de $250 a $400 mensuales en resiliencia es, sencillamente, una decisión inteligente de negocio.

Recomendación final

Si tu organización depende de Directorio Activo y Microsoft 365 — y la mayoría de las empresas en Panamá y la región lo hacen — vale la pena evaluar dónde residen hoy tus controladores de dominio y tu servidor de Entra Connect Sync.

La pregunta clave es simple: si mañana tu centro de datos principal queda completamente inoperante, ¿cuánto tiempo tardaría tu empresa en volver a operar?

Si la respuesta no te satisface, es momento de actuar.

¿Cómo puede ayudarte GFS InfoSec?

En GFS InfoSec, ayudamos a organizaciones a evaluar su postura de resiliencia, diseñar arquitecturas híbridas seguras e implementar controladores de dominio y servidores de Entra Connect Sync en Azure con las mejores prácticas de seguridad.

Si quieres saber cómo fortalecer la resiliencia de tu empresa, contáctanos para una evaluación inicial.