1.

Crear una cuenta de Azure

 4 minutos

Puede comprar Azure directamente de Microsoft registrándose en el sitio web de

Azure oa través de un representante de Microsoft. También puede comprar Azure a
través de un socio de Microsoft. Los socios proveedores de soluciones en la nube
ofrecen una gama de soluciones completas de nube administrada para Azure.

Si es nuevo en Azure, puede registrarse para obtener una cuenta gratuita en el sitio
web de Azure para comenzar a explorar sin costo alguno. Una vez que esté listo,
puede elegir actualizar y comenzar a pagar los servicios de Azure que usa por
encima de los montos gratuitos.

¿Qué es la cuenta gratuita de Azure?

La cuenta gratuita de Azure incluye acceso gratuito a productos populares de
Azure durante 12 meses, crédito de $ 200 USD para gastar durante los primeros 30
días y acceso a más de 25 productos que siempre son gratuitos. Esta es una
excelente manera para que los nuevos usuarios comiencen y exploren. Para
registrarse, necesita un número de teléfono, una tarjeta de crédito y una cuenta de
Microsoft o GitHub. La información de la tarjeta de crédito se usa solo para la
verificación de identidad. No se le cobrará por ningún servicio hasta que actualice.

Opciones de compra de Azure

Con opciones de compra flexibles, puede elegir la opción que mejor funcione para
usted. Use una de las siguientes tres formas de comprar Azure:

 Azure.com : comprar directamente a través de Azure.com es la forma más

rápida y fácil para que las organizaciones de todos los tamaños comiencen
con Azure. Puede administrar sus implementaciones y uso de Azure usted
mismo y obtener una factura mensual de Microsoft por los servicios
utilizados.
 Representante de Microsoft : comprar Azure a través de un representante
de Microsoft está destinado a grandes organizaciones o clientes que ya
trabajan con uno. También administrará sus implementaciones y uso de Azure
usted mismo y recibirá una factura mensual de Microsoft por los servicios
utilizados.
  Socio de Microsoft : si compra Azure como un servicio administrado a
través de su socio, su socio le proporcionará acceso a Azure, administrará su
facturación y brindará soporte.

2. Comprender la facturación de
Azure
 8 minutos

Con Azure, solo paga por lo que usa. Recibirá una factura mensual con las
instrucciones de pago proporcionadas. Puede organizar su factura en líneas de
pedido que tengan sentido para usted y satisfagan sus necesidades de
seguimiento de presupuesto y costos. También puede configurarlo para varias
facturas. Echemos un vistazo a cómo funciona esto.

Suscripción de Azure
Cuando se registra, se crea una suscripción de Azure de forma
predeterminada. Una suscripción de Azure es un contenedor lógico que se usa
para aprovisionar recursos en Azure. Contiene los detalles de todos sus recursos,
como máquinas virtuales (VM), bases de datos y más. Cuando crea un recurso de
Azure como una VM, identifica la suscripción a la que pertenece. A medida que usa
la VM, el uso de la VM se agrega y factura mensualmente.

Crear suscripciones de Azure adicionales

Es posible que desee crear suscripciones adicionales para fines de gestión de
recursos o facturación. Por ejemplo, puede optar por crear suscripciones
adicionales para separar:

 Entornos : al administrar sus recursos, puede optar por crear suscripciones para
configurar entornos separados para desarrollo y pruebas, seguridad o para aislar
datos por razones de cumplimiento. Esto es particularmente útil porque el control de
acceso a los recursos ocurre en el nivel de suscripción.
 Estructuras organizativas : puede crear suscripciones para reflejar diferentes
estructuras organizativas. Por ejemplo, podría limitar un equipo a recursos de menor
 costo, mientras le permite al departamento de TI una gama completa. Este diseño le
permite administrar y controlar el acceso a los recursos que los usuarios
proporcionan dentro de cada suscripción.
 Facturación : es posible que también desee crear suscripciones adicionales para
fines de facturación. Debido a que los costos se agregan primero en el nivel de
suscripción, es posible que desee crear suscripciones para administrar y realizar un
seguimiento de los costos en función de sus necesidades. Por ejemplo, es posible
que desee crear una suscripción para sus cargas de trabajo de producción y otra
suscripción para sus cargas de trabajo de desarrollo y prueba.

Es posible que también necesite suscripciones adicionales debido a:

 Límites de suscripción : las suscripciones están sujetas a algunas limitaciones

estrictas. Por ejemplo, el número máximo de circuitos de ruta rápida por suscripción
es 10. Esos límites deben considerarse al crear suscripciones en su cuenta. Si es
necesario superar esos límites en escenarios particulares, es posible que necesite
suscripciones adicionales.

Personalice la facturación para satisfacer sus

necesidades.
Si tiene varias suscripciones, puede organizarlas en secciones de factura. Cada
sección de la factura es una partida en la factura que muestra los cargos incurridos
ese mes. Por ejemplo, es posible que necesite una sola factura para su
organización, pero desea organizar los cargos por departamento, equipo o
proyecto.

Dependiendo de sus necesidades, puede configurar múltiples facturas dentro de la

misma cuenta de facturación. Para hacer esto, cree perfiles de facturación
adicionales. Cada perfil de facturación tiene su propia factura mensual y método de
pago.

El siguiente diagrama muestra una descripción general de cómo se estructura la

facturación. Si se ha registrado previamente en Azure o si su organización tiene un
Enterprise Agreement, su facturación puede configurarse de manera diferente.
 3. Opciones de soporte de Azure
 8 minutos

Si tiene preguntas sobre los servicios de Azure o tiene curiosidad sobre sus capacidades,
tenemos una variedad de recursos para ayudarlo a encontrar respuestas a sus
preguntas. Veamos estos recursos de apoyo.

Recursos de soporte gratuito de Azure

Tiene acceso las 24 horas, los 7 días de la semana, a la documentación en línea, el soporte
de la comunidad y los nuevos videos de demostración de capacidades de Azure en el canal
de YouTube. Creado por ingenieros de Azure, estos videos de demostración están
disponibles en las listas de reproducción de videos instructivos de Azure Friday, Microsoft
Mechanics y Azure Portal. Como cliente de Azure, los siguientes recursos de soporte
gratuitos también están disponibles para usted.

 Soporte de gestión de facturación y suscripción.

 Centro de inicio rápido de Azure, una experiencia guiada en el portal de Azure disponible
para cualquier persona que quiera mejorar su conocimiento de Azure
 Azure Service Health le brinda información sobre problemas relacionados con sus servicios
de Azure
  Azure Advisor le brinda recomendaciones personalizadas sobre cómo optimizar su costo y
rendimiento

Planes de soporte de Azure

Azure ofrece a los clientes soporte técnico reactivo y proactivo. Elija el plan de soporte que
mejor satisfaga sus necesidades. Puede comprar el plan de soporte en el sitio web de Azure
o en el portal de Azure. Si está trabajando con un representante o socio de Microsoft, puede
comprarles un plan de soporte. Microsoft también proporciona planes de soporte que
cubren Azure, Office 365 y Dynamics 365. Hable con su representante o socio de Microsoft
para obtener más detalles.

Desarrollador Estándar Directo profesional

Mejor para Cargas de trabajo no Cargas de trabajo de producción Cargas de trabajo críticas para
críticas

Soporte técnico 1 día hábil de respuesta Respuesta de 1 hora para casos Respuesta de 1 hora + seguimi
reactivo críticos críticos

Soporte técnico No aplica No aplica Acceso a un grupo de expertos

proactivo

Soporte comunitario de Azure

Haga preguntas, obtenga respuestas y conéctese con ingenieros de Microsoft y expertos de
la comunidad.

Canal Descripción

Centro de conocimiento de El Centro de conocimiento de Azure es una base de datos de búsqueda que contiene
Azure de soporte comunes.

Comunidad tecnológica de Obtenga soporte leyendo las respuestas a las preguntas técnicas de Azure de los des
Microsoft evaluadores de Microsoft.

Desbordamiento de pila Puede revisar las respuestas a las preguntas de la comunidad de desarrollo.

Falla del servidor Revise las respuestas de la comunidad a las preguntas sobre Administración de siste

Foros de comentarios de Azure Lea ideas y sugerencias para mejorar Azure hechas por usuarios de Azure.

Gorjeo Tuitea @AzureSupportpara obtener respuestas y soporte del canal oficial de Twitter d

Siguiente unidad: Verificación de conocimiento
Seguir

100 XP

¿Necesitas ayuda? Consulte nuestra guía de solución de problemas o proporcione

comentarios específicos al informar un problema .

1. Introducción
 3 minutos

Cada sistema, arquitectura y aplicación debe diseñarse teniendo en cuenta la

seguridad. Hay demasiado en riesgo. Por ejemplo, un ataque de denegación de
servicio podría evitar que su cliente llegue a su sitio web o servicios y le impida
hacer negocios. La desfiguración de su sitio web daña su reputación. Y una
violación de datos podría ser aún peor, ya que puede arruinar la confianza ganada
con tanto esfuerzo, al tiempo que causa un daño personal y financiero
significativo. Como administradores, desarrolladores y gestión de TI, todos
debemos trabajar para garantizar la seguridad de nuestros sistemas.

Supongamos que trabaja en una empresa llamada Contoso Shipping, y lidera el

desarrollo de entregas de drones en áreas rurales, mientras que los conductores de
camiones aprovechan las aplicaciones móviles para entregar en áreas urbanas. Está
en el proceso de trasladar gran parte de la infraestructura de Contoso Shipping a la
nube para maximizar la eficiencia, así como trasladar varios servidores físicos del
centro de datos de la compañía a máquinas virtuales de Azure. Su equipo planea
crear una solución híbrida, con algunos de los servidores que permanecen en las
instalaciones, por lo que necesitará una conexión segura y de alta calidad entre las
nuevas máquinas virtuales y la red existente.
Además, Contoso Shipping tiene algunos dispositivos fuera de la red que forman
parte de sus operaciones. Está utilizando sensores habilitados para la red en sus
drones que envían datos a Azure Event Hubs, mientras que los conductores de
entrega usan aplicaciones móviles para obtener mapas de rutas y registrar firmas
para recibir los envíos. Estos dispositivos y aplicaciones deben autenticarse de
forma segura antes de que se puedan enviar datos desde o hacia ellos.

Entonces, ¿cómo mantiene seguros sus datos?

 Nota

Azure Event Hubs le permite recibir y procesar millones de eventos de datos en

tiempo real cada segundo a través de canalizaciones de datos dinámicos. Event
Hubs también se integra a la perfección con otros servicios de Azure.

Objetivos de aprendizaje
En este módulo, aprenderá cómo:

 La responsabilidad de seguridad se comparte con Azure

 La gestión de identidad proporciona protección, incluso fuera de su red.
 Las capacidades de cifrado integradas en Azure pueden proteger sus datos
 Para proteger su red y redes virtuales

2. La seguridad en la nube es una

responsabilidad compartida

11 minutos
Las organizaciones enfrentan muchos desafíos con la seguridad de sus centros de datos,
incluido el reclutamiento y mantenimiento de expertos en seguridad, el uso de muchas
herramientas de seguridad y el ritmo con el volumen y la complejidad de las amenazas.

A medida que los entornos informáticos pasan de los centros de datos controlados por el
cliente a la nube, la responsabilidad de la seguridad también cambia. La seguridad del
entorno operativo es ahora una preocupación compartida tanto por los proveedores de
nube como por los clientes. Al trasladar estas responsabilidades a un servicio en la nube
como Azure, las organizaciones pueden reducir el enfoque en actividades que no son
competencias empresariales centrales. Dependiendo de las opciones tecnológicas
específicas, algunas protecciones de seguridad se incorporarán al servicio en particular,
mientras que abordar otras seguirá siendo responsabilidad del cliente. Para garantizar que
se proporcionen los controles de seguridad adecuados, es necesaria una evaluación
cuidadosa de los servicios y las opciones tecnológicas.

Comprender las amenazas de seguridad

La seguridad es una responsabilidad compartida.

El primer cambio que hará es de centros de datos locales a infraestructura como servicio
(IaaS). Con IaaS, aprovecha el servicio de nivel más bajo y le pide a Azure que cree
máquinas virtuales (VM) y redes virtuales. En este nivel, todavía es su responsabilidad
parchear y proteger sus sistemas operativos y software, así como configurar su red para
que sea segura. En Contoso Shipping, está aprovechando IaaS cuando comienza a usar
máquinas virtuales de Azure en lugar de sus servidores físicos locales. Además de las
ventajas operativas, recibirá la ventaja de seguridad de tener una preocupación externa
sobre la protección de las partes físicas de la red.

Pasar a la plataforma como servicio (PaaS) externaliza varias preocupaciones de seguridad.

En este nivel, Azure se ocupa del sistema operativo y de la mayoría del software
fundamental, como los sistemas de administración de bases de datos. Todo se actualiza
con los últimos parches de seguridad y se puede integrar con Azure Active Directory para
los controles de acceso. PaaS también viene con muchas ventajas operativas. En lugar de
construir a mano infraestructuras y subredes completas para sus entornos, puede "apuntar
y hacer clic" en Azure Portal o ejecutar scripts automatizados para subir y bajar sistemas
complejos y seguros, y escalarlos según sea necesario. Contoso Shipping utiliza Azure
Event Hubs para ingerir datos de telemetría de drones y camiones, así como una aplicación
web con un back end de Azure Cosmos DB con sus aplicaciones móviles, que son todos
ejemplos de PaaS.

Con el software como servicio (SaaS), subcontratas casi todo. SaaS es un software que se
ejecuta con una infraestructura de internet. El proveedor controla el código, pero está
configurado para ser utilizado por el cliente. Al igual que muchas empresas, Contoso
Shipping utiliza Office 365, que es un gran ejemplo de SaaS.

Para todos los tipos de implementación en la nube, usted es el propietario de sus datos e
identidades. Usted es responsable de ayudar a proteger sus datos e identidades, sus
recursos locales y los componentes de la nube que controla (que varían según el tipo de
servicio).

Independientemente del tipo de implementación, siempre conserva la responsabilidad de

los siguientes elementos:

Datos
Puntos finales
Cuentas
Gestión de Acceso
Seguridad de Azure: usted versus la nube

Un enfoque de seguridad en capas

La defensa en profundidad es una estrategia que emplea una serie de mecanismos para
frenar el avance de un ataque destinado a obtener acceso no autorizado a la información.
Cada capa proporciona protección, de modo que si se rompe una capa, ya existe una capa
posterior para evitar una mayor exposición. Microsoft aplica un enfoque por capas a la
seguridad, tanto en los centros de datos físicos como en los servicios de Azure. El objetivo
de la defensa en profundidad es proteger y evitar el robo de información por parte de
personas que no están autorizadas para acceder a ella.

La defensa en profundidad se puede visualizar como un conjunto de anillos concéntricos,

con los datos que se deben asegurar en el centro. Cada anillo agrega una capa adicional
de seguridad alrededor de los datos. Este enfoque elimina la dependencia de cualquier
capa de protección y actúa para ralentizar un ataque y proporcionar telemetría de alerta
sobre la que se puede actuar, ya sea de forma automática o manual. Echemos un vistazo a
cada una de las capas.

Datos

En casi todos los casos, los atacantes buscan datos:

Almacenado en una base de datos

Almacenado en disco dentro de máquinas virtuales
Almacenado en una aplicación SaaS como Office 365
Almacenado en el almacenamiento en la nube
Es responsabilidad de quienes almacenan y controlan el acceso a los datos asegurarse de
que estén debidamente protegidos. A menudo, existen requisitos reglamentarios que
dictan los controles y procesos que deben implementarse para garantizar la
confidencialidad, integridad y disponibilidad de los datos.

Solicitud

Asegúrese de que las aplicaciones sean seguras y libres de vulnerabilidades.

Almacene secretos confidenciales de aplicaciones en un medio de almacenamiento seguro.
Haga de la seguridad un requisito de diseño para todo el desarrollo de aplicaciones.
La integración de la seguridad en el ciclo de vida del desarrollo de la aplicación ayudará a
reducir la cantidad de vulnerabilidades introducidas en el código. Alentamos a todos los
equipos de desarrollo a garantizar que sus aplicaciones sean seguras de forma
predeterminada y que hagan que los requisitos de seguridad no sean negociables.

Calcular

Acceso seguro a máquinas virtuales.

Implemente protección de punto final y mantenga los sistemas parcheados y actualizados.
El malware, los sistemas sin parches y los sistemas incorrectamente protegidos abren su
entorno a los ataques. El enfoque en esta capa es asegurarse de que sus recursos de
cómputo sean seguros y que tenga los controles adecuados para minimizar los problemas
de seguridad.

Redes

Limitar la comunicación entre recursos.

Denegar por defecto.
Restrinja el acceso entrante a Internet y limite el saliente, cuando corresponda.
Implemente conectividad segura a redes locales.
En esta capa, el objetivo es limitar la conectividad de la red en todos sus recursos para
permitir solo lo que se requiere. Al limitar esta comunicación, reduce el riesgo de
movimiento lateral en toda su red.
Perímetro

Utilice la protección de denegación de servicio distribuida (DDoS) para filtrar ataques a

gran escala antes de que puedan causar una denegación de servicio para los usuarios
finales.
Use firewalls perimetrales para identificar y alertar sobre ataques maliciosos contra su red.
En el perímetro de la red, se trata de proteger contra ataques basados en la red contra sus
recursos. Identificar estos ataques, eliminar su impacto y alertarlo cuando ocurren son
formas importantes de mantener segura su red.

Identidad y acceso

Controlar el acceso a la infraestructura y el control de cambios.

Utilice el inicio de sesión único y la autenticación multifactor.
Auditoría de eventos y cambios.
La capa de identidad y acceso se trata de garantizar que las identidades sean seguras, el
acceso otorgado es solo lo que se necesita y los cambios se registran.

Seguridad física

La seguridad física del edificio y el control del acceso al hardware informático dentro del
centro de datos es la primera línea de defensa.
Con la seguridad física, la intención es proporcionar garantías físicas contra el acceso a los
activos. Estas salvaguardas aseguran que otras capas no se puedan pasar por alto y que la
pérdida o el robo se manejen adecuadamente.

Azure ayuda a aliviar sus preocupaciones de seguridad. Pero la seguridad sigue siendo una
responsabilidad compartida . La cantidad de responsabilidad que nos corresponde
depende del modelo que usemos con Azure. Utilizamos los anillos de defensa en
profundidad como una guía para considerar qué protecciones son adecuadas para
nuestros datos y entornos.

3. Obtenga consejos del Centro de

seguridad de Azure
 10 minutos
Un excelente lugar para comenzar al examinar la seguridad de sus soluciones
basadas en Azure es Azure Security Center . Security Center es un servicio de
monitoreo que brinda protección contra amenazas en todos sus servicios, tanto en
Azure como en las instalaciones. El Centro de seguridad puede:

 Proporcione recomendaciones de seguridad basadas en sus configuraciones, recursos y

redes.
 Monitoree la configuración de seguridad en las cargas de trabajo locales y en la nube, y
aplique automáticamente la seguridad requerida a los nuevos servicios a medida que estén
en línea.
 Monitoree continuamente todos sus servicios y realice evaluaciones de seguridad
automáticas para identificar posibles vulnerabilidades antes de que puedan ser explotadas.
 Utilice el aprendizaje automático para detectar y bloquear la instalación de malware en
sus máquinas y servicios virtuales. También puede definir una lista de aplicaciones
permitidas para asegurarse de que solo las aplicaciones que valide puedan ejecutarse.
 Analice e identifique posibles ataques entrantes y ayude a investigar las amenazas y
cualquier actividad posterior a la violación que pueda haber ocurrido.
 Proporcione un control de acceso justo a tiempo para los puertos, reduciendo su
superficie de ataque al garantizar que la red solo permita el tráfico que necesita.

El Centro de seguridad de Azure forma parte de las recomendaciones del Centro de

seguridad de Internet (CIS) .

Niveles disponibles
Azure Security Center está disponible en dos niveles:

1. Gratuito . Disponible como parte de su suscripción de Azure, este nivel está

limitado a evaluaciones y recomendaciones de recursos de Azure únicamente.
2. Estándar . Este nivel proporciona un conjunto completo de servicios relacionados
con la seguridad que incluyen monitoreo continuo, detección de amenazas, control
de acceso justo a tiempo para puertos y más.
Para acceder al conjunto completo de servicios de Azure Security Center, deberá
actualizar a una suscripción de nivel Estándar. Puede acceder a la prueba gratuita
de 30 días desde el panel de Azure Security Center en el portal de Azure. Una vez
finalizado el período de prueba de 30 días, Azure Security Center cuesta $ 15 por
nodo por mes.

Escenarios de uso
Puede integrar Security Center en sus flujos de trabajo y usarlo de muchas
maneras. Aquí hay dos ejemplos.

1. Use el Centro de seguridad para responder a incidentes.

Muchas organizaciones aprenden cómo responder a incidentes de seguridad

solo después de sufrir un ataque. Para reducir los costos y los daños, es
importante contar con un plan de respuesta ante incidentes antes de que
ocurra un ataque. Puede usar Azure Security Center en diferentes etapas de
una respuesta a incidentes.

Puede usar Security Center durante las etapas de detección, evaluación y

diagnóstico. Estos son ejemplos de cómo Security Center puede ser útil
durante las tres etapas iniciales de respuesta a incidentes:

o Detectar . Revise la primera indicación de una investigación de evento. Por

ejemplo, puede usar el panel del Centro de seguridad para revisar la
verificación inicial de que se generó una alerta de seguridad de alta prioridad.
o Evaluar . Realice la evaluación inicial para obtener más información sobre la
actividad sospechosa. Por ejemplo, obtenga más información sobre la alerta de
seguridad.
 o Diagnosticar . Realice una investigación técnica e identifique las estrategias
de contención, mitigación y solución alternativa. Por ejemplo, siga los pasos de
corrección descritos por Security Center en esa alerta de seguridad en
particular.

2. Utilice las recomendaciones del Centro de seguridad para mejorar la

seguridad.

Puede reducir las posibilidades de un evento de seguridad significativo

configurando una política de seguridad y luego implementando las
recomendaciones proporcionadas por Azure Security Center.

o Una política de seguridad define el conjunto de controles que se

recomiendan para los recursos dentro de esa suscripción o grupo de recursos
especificado. En el Centro de seguridad, usted define políticas de acuerdo con
los requisitos de seguridad de su empresa.
o Security Center analiza el estado de seguridad de sus recursos de
Azure. Cuando Security Center identifica posibles vulnerabilidades de
seguridad, crea recomendaciones basadas en los controles establecidos en la
política de seguridad. Las recomendaciones lo guían a través del proceso de
configuración de los controles de seguridad necesarios. Por ejemplo, si tiene
cargas de trabajo que no requieren la política de cifrado de datos
transparente (TDE) de la base de datos Azure SQL , desactive la política en el
nivel de suscripción y actívela solo en los grupos de recursos donde se requiere
SQL TDE.

4. Identidad y acceso
 10 minutos

Los perímetros de red, los firewalls y los controles de acceso físico solían ser la
protección principal para los datos corporativos. Pero los perímetros de red se han
vuelto cada vez más porosos con la explosión de traer su propio dispositivo
(BYOD), aplicaciones móviles y aplicaciones en la nube.

La identidad se ha convertido en el nuevo límite de seguridad primario. Por lo

tanto, la autenticación adecuada y la asignación de privilegios es fundamental para
mantener el control de sus datos.

Su empresa, Contoso Shipping, se centra en abordar estas inquietudes de

inmediato. La nueva solución de nube híbrida de su equipo debe tener en cuenta
las aplicaciones móviles que tienen acceso a datos secretos cuando un usuario
autorizado inicia sesión, además de que los vehículos de envío envíen
constantemente un flujo de datos de telemetría que es fundamental para optimizar
el negocio de la empresa.

Autenticacion y autorizacion
Dos conceptos fundamentales que deben entenderse cuando se habla de
identidad y control de acceso son la autenticación y la autorización. Respaldan
todo lo que sucede y ocurren secuencialmente en cualquier proceso de identidad y
acceso:

 La autenticación es el proceso de establecer la identidad de una persona o

servicio que busca acceder a un recurso. Involucra el acto de desafiar a una
parte por credenciales legítimas y proporciona la base para crear un principio
de seguridad para el uso de identidad y control de acceso. Establece si son
quienes dicen ser.

 La autorización es el proceso de establecer qué nivel de acceso tiene una

persona o servicio autenticado. Especifica a qué datos se les permite acceder
y qué pueden hacer con ellos.

 Nota

La autenticación a veces se acorta a AuthN , y la autorización a veces se acorta

a AuthZ .

Azure proporciona servicios para administrar la autenticación y la autorización a

través de Azure Active Directory (Azure AD).

¿Qué es Azure Active Directory?

Azure AD es un servicio de identidad basado en la nube. Tiene soporte incorporado
para la sincronización con su Active Directory local existente o se puede usar de
forma independiente. Esto significa que todas sus aplicaciones, ya sean locales, en
la nube (incluido Office 365) o incluso móviles, pueden compartir las mismas
credenciales. Los administradores y desarrolladores pueden controlar el acceso a
datos y aplicaciones internas y externas mediante reglas y políticas centralizadas
configuradas en Azure AD.

Azure AD proporciona servicios como:

  Autenticación. Esto incluye verificar la identidad para acceder a aplicaciones y
recursos, y proporcionar funcionalidades como restablecimiento de contraseña de
autoservicio, autenticación multifactor (MFA), una lista personalizada de contraseñas
prohibidas y servicios de bloqueo inteligente.
 Inicio de sesión único (SSO). SSO


 permite a los usuarios recordar solo un ID y una contraseña para acceder a
múltiples aplicaciones. Una identidad única está vinculada a un usuario, lo que
simplifica el modelo de seguridad. A medida que los usuarios cambian roles o
abandonan una organización, las modificaciones de acceso están vinculadas a esa
identidad, lo que reduce en gran medida el esfuerzo necesario para cambiar o
deshabilitar cuentas.
 Gestión de aplicaciones. Puede administrar sus aplicaciones locales y en la nube
con el Proxy de aplicación de Azure AD, SSO, el portal Mis aplicaciones (también
denominado Panel de acceso) y las aplicaciones SaaS.
 Servicios de identidad de empresa a empresa (B2B). Administre sus usuarios
invitados y socios externos mientras mantiene el control sobre sus propios datos
corporativos.
 Servicios de identidad de empresa a cliente (B2C). Personalice y controle cómo
los usuarios se registran, inician sesión y administran sus perfiles cuando usan sus
aplicaciones con servicios.
 Gestión de dispositivos. Administre cómo sus dispositivos en la nube o locales
acceden a sus datos corporativos.

Exploremos algunos de estos con más detalle.

Inicio de sesión único

Cuantas más identidades tenga que gestionar un usuario, mayor será el riesgo de
un incidente de seguridad relacionado con las credenciales. Más identidades
significan más contraseñas para recordar y cambiar. Las políticas de contraseña
pueden variar entre las aplicaciones y, a medida que aumentan los requisitos de
complejidad, los usuarios se vuelven cada vez más difíciles de recordar.

Ahora, considere la logística de administrar todas esas identidades. Se ejerce una

presión adicional sobre las mesas de ayuda, ya que se ocupan de los bloqueos de
cuentas y solicitudes de restablecimiento de contraseña. Si un usuario deja una
organización, rastrear todas esas identidades y asegurarse de que estén
deshabilitadas puede ser un desafío. Si se pasa por alto una identidad, esto podría
permitir el acceso cuando debería haberse eliminado.
Con el inicio de sesión único (SSO), los usuarios deben recordar solo un ID y una
contraseña. El acceso a través de las aplicaciones se otorga a una identidad única
vinculada a un usuario, lo que simplifica el modelo de seguridad. A medida que los
usuarios cambian roles o abandonan una organización, las modificaciones de
acceso están vinculadas a la identidad única, lo que reduce en gran medida el
esfuerzo necesario para cambiar o deshabilitar cuentas. El uso del inicio de sesión
único para las cuentas facilitará a los usuarios la administración de sus identidades
y aumentará las capacidades de seguridad en su entorno.

SSO con Azure Active Directory

Al aprovechar Azure AD para SSO, también tendrá la capacidad de combinar múltiples

fuentes de datos en un gráfico de seguridad inteligente. Este gráfico de seguridad permite la
capacidad de proporcionar análisis de amenazas y protección de identidad en tiempo real a
todas las cuentas en Azure AD, incluidas las cuentas que están sincronizadas desde su AD
local. Al utilizar un proveedor de identidad centralizado, habrá centralizado los controles de
seguridad, los informes, las alertas y la administración de su infraestructura de identidad.

A medida que Contoso Shipping integra su instancia de Active Directory existente con
Azure AD, hará que el acceso de control sea coherente en toda la organización. Hacerlo
también simplificará enormemente la capacidad de iniciar sesión en el correo electrónico y
los documentos de Office 365 sin tener que volver a autenticarse.

Autenticación multifactor
La autenticación multifactor (MFA) proporciona seguridad adicional para sus
identidades al requerir dos o más elementos para una autenticación
completa. Estos elementos se dividen en tres categorías:

 Algo que sabes

 Algo que posees
 Algo que eres

Algo que sabes sería una contraseña o la respuesta a una pregunta de

seguridad. Algo que posee podría ser una aplicación móvil que recibe una
notificación o un dispositivo generador de tokens. Algo que eres es, por lo
general, algún tipo de propiedad biométrica, como una huella digital o un escaneo
facial utilizado en muchos dispositivos móviles.

El uso de MFA aumenta la seguridad de su identidad al limitar el impacto de la

exposición de credenciales. Un atacante que tenga la contraseña de un usuario
también necesitaría tener posesión de su teléfono o su cara para autenticarse por
completo. La autenticación con un solo factor verificado es insuficiente, y el
atacante no podría usar solo esas credenciales para autenticarse. Los beneficios
que esto aporta a la seguridad son enormes, y no podemos enfatizar lo suficiente
la importancia de habilitar MFA siempre que sea posible.

Azure AD tiene capacidades MFA integradas y se integrará con otros proveedores

MFA de terceros. MFA se debe usar para los usuarios en el rol de Administrador
global en Azure AD, porque estas son cuentas altamente confidenciales. Todas las
demás cuentas pueden tener MFA habilitado.

Para Contoso Shipping, decide habilitar MFA cada vez que un usuario inicia sesión
desde una computadora que no está conectada a un dominio, lo que incluye las
aplicaciones móviles que usan sus controladores.

Proporcionar identidades a los servicios.

Por lo general, es valioso que los servicios tengan identidades. A menudo, y contra
las mejores prácticas, la información de credenciales se incrusta en los archivos de
configuración. Sin seguridad alrededor de estos archivos de configuración,
cualquier persona con acceso a los sistemas o repositorios puede acceder a estas
credenciales y a la exposición al riesgo.
Azure AD aborda este problema a través de dos métodos: entidades de servicio e
identidades administradas para los servicios de Azure.

Directores de servicio

Para comprender los principios del servicio, es útil comprender primero las
palabras identidad y principal , debido a cómo se usan en el mundo de la gestión de
identidad.

Una identidad es solo una cosa que se puede autenticar. Obviamente, esto incluye a los
usuarios con un nombre de usuario y contraseña, pero también puede incluir aplicaciones u
otros servidores, que pueden autenticarse con claves secretas o certificados.

Un director es una identidad que actúa con ciertos roles o reclamos. Por lo general, no es
útil considerar la identidad y el principal por separado, pero piense en usar 'sudo' en un
indicador de Bash en Linux o en Windows usando "ejecutar como administrador". En
ambos casos, todavía está conectado con la misma identidad que antes, pero ha cambiado la
función bajo la cual se está ejecutando. Los grupos a menudo también se consideran
principales porque pueden tener derechos asignados.

Una entidad de servicio es una identidad que utiliza un servicio o aplicación. Y como otras
identidades, se le pueden asignar roles.
Identidades administradas para servicios de Azure

La creación de principios de servicio puede ser un proceso tedioso, y hay muchos puntos de
contacto que pueden dificultar su mantenimiento. Las identidades administradas para los
servicios de Azure son mucho más fáciles y harán la mayor parte del trabajo por usted.

Se puede crear instantáneamente una identidad administrada para cualquier servicio de

Azure que la admita, y la lista está en constante crecimiento. Cuando crea una identidad
administrada para un servicio, está creando una cuenta en el Active Directory de su
organización (la instancia de Active Directory de una organización específica se conoce
como "Inquilino de Active Directory"). La infraestructura de Azure se encargará
automáticamente de autenticar el servicio y administrar la cuenta. Luego, puede usar esa
cuenta como cualquier otra cuenta de Azure AD, lo que incluye permitir que el servicio
autenticado acceda de manera segura a otros recursos de Azure.

Control de acceso basado en roles

Los roles son conjuntos de permisos, como "Solo lectura" o "Colaborador", a los
que se puede otorgar a los usuarios acceso a una instancia de servicio de Azure.

Las identidades se asignan a roles directamente oa través de la pertenencia a

grupos. La separación de los principios de seguridad, los permisos de acceso y los
recursos proporciona una administración de acceso simple y un control
detallado. Los administradores pueden garantizar que se otorguen los permisos
mínimos necesarios.
Se pueden otorgar roles a nivel de instancia de servicio individual, pero también
fluyen hacia abajo en la jerarquía de Azure Resource Manager.

Aquí hay un diagrama que muestra esta relación. Los roles asignados en un ámbito
superior, como una suscripción completa, son heredados por ámbitos secundarios,
como las instancias de servicio.

Gestión de identidad privilegiada

Además de administrar el acceso a los recursos de Azure con el control de acceso

basado en roles (RBAC), un enfoque integral para la protección de la infraestructura
debe considerar incluir la auditoría continua de los miembros del rol a medida que
su organización cambia y evoluciona. Azure AD Privileged Identity Management
(PIM) es una oferta adicional de pago que supervisa las asignaciones de roles, el
autoservicio y la activación de roles justo a tiempo y las revisiones de Azure AD y
de acceso a recursos de Azure.
Resumen
La identidad nos permite mantener un perímetro de seguridad, incluso fuera de
nuestro control físico. Con el inicio de sesión único y la configuración de acceso
adecuada basada en roles, siempre podemos estar seguros de quién tiene la
capacidad de ver y manipular nuestros datos e infraestructura.

4. Cifrado
 8 minutos

Para la mayoría de las organizaciones, los datos son el activo más valioso e
irremplazable. El cifrado sirve como la última y más fuerte línea de defensa en una
estrategia de seguridad en capas.

Contoso Shipping sabe que el cifrado es la única protección que tienen sus datos
una vez que sale del centro de datos y se almacena en dispositivos móviles que
podrían ser pirateados o robados.

¿Qué es el cifrado?
El cifrado es el proceso de hacer que los datos sean ilegibles e inutilizables para los
espectadores no autorizados. Para usar o leer los datos cifrados, debe descifrarse ,
lo que requiere el uso de una clave secreta. Hay dos tipos de cifrado de nivel
superior: simétrico y asimétrico .

El cifrado simétrico usa la misma clave para cifrar y descifrar los datos. Considere

una aplicación de administrador de contraseñas de escritorio. Usted ingresa sus
contraseñas y se cifran con su propia clave personal (su clave a menudo se deriva
de su contraseña maestra). Cuando es necesario recuperar los datos, se utiliza la
misma clave y se descifran los datos.

El cifrado asimétrico utiliza una clave pública y un par de claves

privadas. Cualquiera de las claves puede cifrar, pero una sola clave no puede
descifrar sus propios datos cifrados. Para descifrar, necesita la clave emparejada. El
cifrado asimétrico se usa para cosas como Transport Layer Security (TLS) (usado en
HTTPS) y la firma de datos.

Tanto el cifrado simétrico como el asimétrico juegan un papel importante en la

seguridad de sus datos. El cifrado generalmente se aborda de dos maneras:

1. Cifrado en reposo
2. Cifrado en tránsito

Cifrado en reposo
Los datos en reposo son los datos que se han almacenado en un medio
físico. Estos datos podrían almacenarse en el disco de un servidor, datos
almacenados en una base de datos o datos almacenados en una cuenta de
almacenamiento. Independientemente del mecanismo de almacenamiento, el
cifrado de datos en reposo asegura que los datos almacenados sean ilegibles sin
las claves y los secretos necesarios para descifrarlos. Si un atacante obtuviera un
disco duro con datos cifrados y no tuviera acceso a las claves de cifrado, el
atacante no comprometería los datos sin grandes dificultades.

Los datos reales que se cifran pueden variar en su contenido, uso e importancia
para la organización. Esta información financiera podría ser crítica para el negocio,
la propiedad intelectual desarrollada por el negocio, los datos personales sobre
clientes o empleados que el negocio almacena, e incluso las claves y los secretos
utilizados para el cifrado de los datos.
Aquí hay un diagrama que muestra cómo se verían los datos cifrados del cliente tal
como se encuentran en una B.

Cifrado en tránsito
Los datos en tránsito son los datos que se mueven activamente de una ubicación a
otra, como a través de Internet o a través de una red privada. La transferencia
segura puede ser manejada por varias capas diferentes. Podría hacerse encriptando
los datos en la capa de aplicación antes de enviarlos a través de una red. HTTPS es
un ejemplo de capa de aplicación en cifrado de tránsito.

También puede configurar un canal seguro, como una red privada virtual (VPN), en
una capa de red, para transmitir datos entre dos sistemas.

El cifrado de datos en tránsito protege los datos de observadores externos y

proporciona un mecanismo para transmitir datos al tiempo que limita el riesgo de
exposición.

Este diagrama muestra el proceso. Aquí, los datos del cliente se cifran a medida
que se envían a través de la red. Solo el receptor tiene la clave secreta que puede
descifrar los datos en una forma utilizable.
Cifrado en Azure
Echemos un vistazo a algunas formas en que Azure le permite cifrar datos en los
servicios.

Cifrar almacenamiento sin procesar

Azure Storage Service Encryption para datos en reposo lo ayuda a proteger sus datos para
cumplir con los compromisos de cumplimiento y seguridad de su organización. Con esta
característica, la plataforma de almacenamiento de Azure cifra automáticamente sus datos
antes de guardarlos en discos administrados de Azure, almacenamiento de blobs de Azure,
archivos de Azure o almacenamiento de cola de Azure, y descifra los datos antes de
recuperarlos. El manejo del cifrado, el cifrado en reposo, el descifrado y la administración
de claves en Storage Service Encryption es transparente para las aplicaciones que utilizan
los servicios.

Cifrar discos de máquinas virtuales

Storage Service Encryption proporciona protección de encriptación de bajo nivel para los
datos escritos en el disco físico, pero ¿cómo protege los discos duros virtuales (VHD) de las
máquinas virtuales? Si los atacantes maliciosos obtuvieron acceso a su suscripción de
Azure y obtuvieron los VHD de sus máquinas virtuales, ¿cómo se aseguraría de que no
pudieran acceder a los datos almacenados?

Azure Disk Encryption es una capacidad que lo ayuda a cifrar sus discos de
máquina virtual IaaS de Windows y Linux. Azure Disk Encryption aprovecha la
característica BitLocker estándar de la industria de Windows y la característica dm-
crypt de Linux para proporcionar cifrado de volumen para el sistema operativo y
los discos de datos. La solución está integrada con Azure Key Vault para ayudarlo a
controlar y administrar las claves y los secretos de cifrado del disco (y puede usar
identidades de servicio administradas para acceder a Key Vault).

Para Contoso Shipping, el uso de máquinas virtuales fue uno de los primeros
movimientos hacia la nube. Tener todos los VHD encriptados es una manera fácil y
de bajo impacto para garantizar que esté haciendo todo lo posible para proteger
los datos de su empresa.
Cifrar bases de datos

El cifrado de datos transparente (TDE) ayuda a proteger Azure SQL Database y Azure

Data Warehouse contra la amenaza de actividad maliciosa. Realiza el cifrado y descifrado
en tiempo real de la base de datos, las copias de seguridad asociadas y los archivos de
registro de transacciones en reposo sin requerir cambios en la aplicación. De manera
predeterminada, TDE está habilitado para todas las instancias de Azure SQL Database
recientemente implementadas.

TDE cifra el almacenamiento de una base de datos completa utilizando una clave
simétrica llamada clave de cifrado de la base de datos. De manera predeterminada,
Azure proporciona una clave de cifrado única por instancia lógica de SQL Server y
maneja todos los detalles. Traer su propia clave (BYOK) también es compatible con
las claves almacenadas en Azure Key Vault (consulte a continuación).

Debido a que TDE está habilitado de manera predeterminada, está seguro de que
Contoso Shipping tiene las protecciones adecuadas para los datos almacenados en
las bases de datos de la compañía.
Cifrar secretos

Hemos visto que todos los servicios de cifrado usan claves para cifrar y descifrar datos,
entonces, ¿cómo nos aseguramos de que las claves sean seguras? Las corporaciones
también pueden tener contraseñas, cadenas de conexión u otra información confidencial
que necesitan almacenar de forma segura. En Azure, podemos usar Azure Key Vault para
proteger nuestros secretos.

Azure Key Vault es un servicio en la nube centralizado para almacenar los secretos
de su aplicación. Key Vault lo ayuda a controlar los secretos de sus aplicaciones al
mantenerlas en una ubicación única y central y al proporcionar acceso seguro,
control de permisos y capacidades de registro de acceso. Es útil para una variedad
de escenarios:

 Gestión secretos . Puede usar Key Vault para almacenar y controlar de forma segura
el acceso a tokens, contraseñas, certificados, claves de la interfaz de programación de
aplicaciones (API) y otros secretos.
 Gestión de claves . También puede usar Key Vault como una solución de
administración de claves. Key Vault facilita la creación y el control de las claves de
cifrado utilizadas para cifrar sus datos.
 Gestión de certificados . Key Vault le permite aprovisionar, administrar e
implementar sus certificados de SSL y TLS ( Secure Sockets Layer / Transport Layer
Security ) públicos y privados más fácilmente para sus recursos Azure e internamente
conectados.
 Almacene secretos respaldados por módulos de seguridad de hardware (HSM). Los
secretos y las claves se pueden proteger mediante software o con HSM validados de
Nivel 2 FIPS 140-2.

Los beneficios de usar Key Vault incluyen:

  Secretos de aplicación centralizados . Centralizar el almacenamiento de los secretos
de la aplicación le permite controlar su distribución y reduce las posibilidades de que
los secretos se filtren accidentalmente.
 Secretos y claves almacenados de forma segura . Azure usa algoritmos estándar de
la industria, longitudes de clave y HSM, y el acceso requiere autenticación y
autorización adecuadas.
 Monitorear el acceso y uso . Con Key Vault, puede supervisar y controlar el acceso a
los secretos de la empresa.
 Administración simplificada de secretos de aplicación . Key Vault facilita la
inscripción y renovación de certificados de autoridades de certificación (CA)
públicas. También puede escalar y replicar contenido dentro de regiones, y usar
herramientas de administración de certificados estándar.
 Integre con otros servicios de Azure . Puede integrar Key Vault con cuentas de
almacenamiento, registros de contenedores, centros de eventos y muchos más
servicios de Azure.

Debido a que las identidades de Azure AD pueden tener acceso para usar los
secretos de Azure Key Vault, las aplicaciones con identidades de servicio
administradas habilitadas pueden adquirir de forma automática y sin problemas los
secretos que necesitan.

Resumen
Como ya sabrá, el cifrado es a menudo la última capa de defensa contra los
atacantes y es una pieza importante de un enfoque en capas para proteger sus
sistemas. Azure proporciona capacidades y servicios integrados para encriptar y
proteger los datos de la exposición involuntaria. La protección de los datos del
cliente almacenados en los servicios de Azure es de suma importancia para
Microsoft y debe incluirse en cualquier diseño. Los servicios fundamentales como
Azure Storage, Azure Virtual Machines, Azure SQL Database y Azure Key Vault
pueden ayudar a proteger su entorno mediante el cifrado.

7. Descripción general de los

certificados de Azure
 5 minutos
Como se mencionó anteriormente, Transport Layer Security (TLS) es la base para el
cifrado de los datos del sitio web en tránsito. TLS utiliza certificados para cifrar y
descifrar datos. Sin embargo, estos certificados tienen un ciclo de vida que requiere
la administración del administrador. Un problema de seguridad común con los
sitios web es tener certificados TLS caducados que abren vulnerabilidades de
seguridad.

Los certificados utilizados en Azure son x.509 v3 y pueden ser firmados por una
autoridad de certificación de confianza, o pueden ser autofirmados. Un certificado
autofirmado está firmado por su propio creador; por lo tanto, no es confiable por
defecto. La mayoría de los navegadores pueden ignorar este problema. Sin
embargo, solo debe usar certificados autofirmados al desarrollar y probar sus
servicios en la nube. Estos certificados pueden contener una clave privada o pública
y tener una huella digital que proporciona un medio para identificar un certificado
de manera inequívoca. Esta huella digital se usa en el archivo de configuración de
Azure para identificar qué certificado debe usar un servicio en la nube.

Tipos de certificados
Los certificados se usan en Azure para dos propósitos principales y se les asigna
una designación específica en función de su uso previsto.

1. Los certificados de servicio se usan para servicios en la nube

2. Los certificados de administración se utilizan para autenticar con la API de
administración

Certificados de servicio

Los certificados de servicio se adjuntan a los servicios en la nube y permiten una

comunicación segura hacia y desde el servicio. Por ejemplo, si implementa un sitio
web, desearía proporcionar un certificado que pueda autenticar un punto final
HTTPS expuesto. Los certificados de servicio, que se definen en su definición de
servicio, se implementan automáticamente en la máquina virtual que ejecuta una
instancia de su rol.

Puede cargar certificados de servicio en Azure mediante Azure Portal o mediante el

modelo de implementación clásico. Los certificados de servicio están asociados con
un servicio en la nube específico. Se asignan a una implementación en el archivo de
definición de servicio.
Puede administrar certificados de servicio por separado de sus servicios, y puede
hacer que diferentes personas los administren. Por ejemplo, un desarrollador
podría cargar un paquete de servicio que se refiera a un certificado que un
administrador de TI haya cargado previamente en Azure. Un administrador de TI
puede administrar y renovar ese certificado (cambiando la configuración del
servicio) sin necesidad de cargar un nuevo paquete de servicios. La actualización
sin un nuevo paquete de servicio es posible porque el nombre lógico, el nombre
del almacén y la ubicación del certificado están en el archivo de definición del
servicio, mientras que la huella digital del certificado se especifica en el archivo de
configuración del servicio. Para actualizar el certificado, solo es necesario cargar un
nuevo certificado y cambiar el valor de la huella digital en el archivo de
configuración del servicio.

Certificados de gestión

Los certificados de administración le permiten autenticarse con el modelo de

implementación clásico. Muchos programas y herramientas (como Visual Studio o
el SDK de Azure) usan estos certificados para automatizar la configuración y la
implementación de varios servicios de Azure. Sin embargo, estos tipos de
certificados no están relacionados con los servicios en la nube.

Uso de Azure Key Vault con certificados

Puede almacenar sus certificados en Azure Key Vault, como cualquier otro
secreto. Sin embargo, Key Vault proporciona características adicionales más allá de
la gestión de certificados típica.

 Puede crear certificados en Key Vault o importar certificados existentes

 Puede almacenar y administrar certificados de forma segura sin interacción con
material de clave privada.
 Puede crear una política que dirija a Key Vault para administrar el ciclo de vida de
un certificado.
 Puede proporcionar información de contacto para recibir notificaciones sobre
eventos del ciclo de vida de vencimiento y renovación del certificado.
 Puede renovar automáticamente los certificados con los emisores seleccionados:
Key Vault Partner x509 proveedores de certificados / autoridades de certificación.

La administración automática de certificados ayuda a reducir o eliminar la tarea

propensa a errores de la administración manual de certificados.
8. Protege tu red
8 minutos

Proteger su red de ataques y accesos no autorizados es una parte importante de

cualquier arquitectura. Aquí, veremos cómo es la seguridad de la red, cómo
integrar un enfoque por capas en su arquitectura y cómo Azure puede ayudarlo a
proporcionar seguridad de red para su entorno.

Un enfoque en capas para la seguridad de la red

Probablemente haya notado que un tema común a lo largo de este módulo es el

énfasis de un enfoque de seguridad en capas. Este enfoque también se recomienda
en la capa de red. No es suficiente solo enfocarse en asegurar el perímetro de la
red, o enfocarse en la seguridad de la red entre los servicios dentro de una red. Un
enfoque en capas proporciona múltiples niveles de protección, de modo que si un
atacante atraviesa una capa, existen más protecciones para limitar el ataque
adicional.

Echemos un vistazo a cómo Azure puede proporcionar las herramientas para un

enfoque en capas para asegurar su huella de red.

Proteccion de internet

Si comenzamos en el perímetro de la red, estamos enfocados en limitar y eliminar

los ataques de Internet. Sugerimos primero evaluar los recursos que están
orientados a Internet y permitir solo la comunicación entrante y saliente cuando
sea necesario. Asegúrese de identificar todos los recursos que permiten el tráfico
de red entrante de cualquier tipo, y luego asegúrese de que estén restringidos solo
a los puertos y protocolos requeridos. Azure Security Center es un excelente lugar
para buscar esta información, ya que identificará los recursos con conexión a
Internet que no tienen grupos de seguridad de red asociados, así como los
recursos que no están protegidos detrás de un firewall .

¿Qué es un firewall?

Un firewall es un servicio que otorga acceso al servidor en función de la dirección

IP de origen de cada solicitud. Crea reglas de firewall que especifican rangos de
direcciones IP. Solo los clientes de estas direcciones IP otorgadas podrán acceder al
servidor. Las reglas de firewall, en términos generales, también incluyen el
protocolo de red específico y la información del puerto.

Para proporcionar protección entrante en el perímetro, tiene varias opciones.

Azure Firewall es un servicio de seguridad de red administrado, basado en la nube

que protege sus recursos de la red virtual de Azure. Es un firewall con estado
completo como un servicio con alta disponibilidad incorporada y escalabilidad de
la nube sin restricciones. Azure Firewall proporciona protección entrante para
protocolos que no son HTTP / S. Los ejemplos de protocolos que no son HTTP / S
incluyen: Protocolo de escritorio remoto (RDP), Secure Shell (SSH) y Protocolo de
transferencia de archivos (FTP). También proporciona protección a nivel de red
saliente para todos los puertos y protocolos, y protección a nivel de aplicación para
HTTP / S saliente.

Azure Application Gateway es un equilibrador de carga que incluye un firewall de

aplicaciones web (WAF) que brinda protección contra vulnerabilidades comunes y
conocidas en sitios web. Está diseñado para proteger el tráfico HTTP.

Los dispositivos virtuales de red (NVA) son opciones ideales para servicios que no
son HTTP o configuraciones avanzadas, y son similares a los dispositivos de firewall
de hardware.
Detener los ataques de denegación de servicio distribuida (DDoS)

Cualquier recurso expuesto en Internet está en riesgo de ser atacado por un ataque
de denegación de servicio. Estos tipos de ataques intentan abrumar un recurso de
red al enviar tantas solicitudes que el recurso se vuelve lento o no responde.

Cuando combina Azure DDoS Protection con las mejores prácticas de diseño de
aplicaciones, ayuda a proporcionar defensa contra los ataques DDoS. DDoS
Protection aprovecha la escala y la elasticidad de la red global de Microsoft para
llevar la capacidad de mitigación de DDoS a cada región de Azure. El servicio Azure
DDoS Protection protege sus aplicaciones de Azure al monitorear el tráfico en el
borde de la red de Azure antes de que pueda afectar la disponibilidad de su
servicio. A los pocos minutos de la detección de ataques, se le notificará con las
métricas de Azure Monitor.

Este diagrama muestra el tráfico de red que fluye a Azure desde los clientes y un
atacante. La protección DDoS de Azure identifica el intento del atacante de
abrumar la red y bloquea el tráfico adicional para que no llegue a los servicios de
Azure. El tráfico legítimo de los clientes aún fluye a Azure sin ninguna interrupción
del servicio.

Azure DDoS Protection proporciona los siguientes niveles de servicio:

Básico : el nivel de servicio básico se habilita automáticamente como parte de la

plataforma Azure. La supervisión continua del tráfico y la mitigación en tiempo real
de los ataques comunes a nivel de red proporcionan las mismas defensas que
utilizan los servicios en línea de Microsoft. La red global de Azure se usa para
distribuir y mitigar el tráfico de ataques en todas las regiones.
Estándar : el nivel de servicio estándar proporciona capacidades de mitigación
adicionales que se ajustan específicamente a los recursos de la red virtual de
Microsoft Azure. DDoS Protection Standard es fácil de habilitar y no requiere
cambios en la aplicación. Las políticas de protección se ajustan a través de
algoritmos dedicados de monitoreo de tráfico y aprendizaje automático. Las
políticas se aplican a las direcciones IP públicas asociadas con los recursos
implementados en redes virtuales, como Azure Load Balancer y Application
Gateway. La protección estándar DDoS puede mitigar los siguientes tipos de
ataques:

Ataques volumétricos. El objetivo de los atacantes es inundar la capa de red con

una cantidad sustancial de tráfico aparentemente legítimo.

Ataques de protocolo. Estos ataques hacen que un objetivo sea inaccesible,

explotando una debilidad en la pila de protocolos de capa 3 y capa 4.

Ataques de capa de recursos (aplicación). Estos ataques apuntan a paquetes de

aplicaciones web para interrumpir la transmisión de datos entre hosts.

Controlando el tráfico dentro de su red virtual

Seguridad de red virtual

Una vez dentro de una red virtual (VNet), es crucial que limite la comunicación
entre recursos solo a lo que se requiere.

Para la comunicación entre máquinas virtuales, los grupos de seguridad de red

(NSG) son una pieza crítica para restringir la comunicación innecesaria.

Los grupos de seguridad de red le permiten filtrar el tráfico de red hacia y desde
los recursos de Azure en una red virtual de Azure. Un NSG puede contener
múltiples reglas de seguridad entrantes y salientes que le permiten filtrar el tráfico
hacia y desde los recursos por dirección IP, puerto y protocolo de origen y destino.
Proporcionan una lista de comunicación permitida y denegada hacia y desde
interfaces de red y subredes, y son totalmente personalizables.

Puede eliminar completamente el acceso público a Internet a sus servicios

restringiendo el acceso a los puntos finales del servicio. Con los puntos finales de
servicio, el acceso al servicio de Azure puede limitarse a su red virtual.

Integración de red

Es común tener una infraestructura de red existente que debe integrarse para
proporcionar comunicación desde redes locales o para proporcionar una
comunicación mejorada entre servicios en Azure. Hay algunas formas clave de
manejar esta integración y mejorar la seguridad de su red.

Las conexiones de red privada virtual (VPN) son una forma común de establecer
canales de comunicación seguros entre redes. Las conexiones entre Azure Virtual
Network y un dispositivo VPN local son una excelente manera de proporcionar una
comunicación segura entre su red y su red virtual en Azure.

Para proporcionar una conexión privada dedicada entre su red y Azure, puede usar
Azure ExpressRoute. ExpressRoute le permite extender sus redes locales a la nube
de Microsoft a través de una conexión privada facilitada por un proveedor de
conectividad. Con ExpressRoute, puede establecer conexiones a los servicios en la
nube de Microsoft, como Microsoft Azure, Office 365 y Dynamics 365. Las
conexiones ExpressRoute mejoran la seguridad de su comunicación local al enviar
este tráfico a través del circuito privado en lugar de hacerlo a través de Internet
público. No necesita permitir el acceso a estos servicios para sus usuarios finales a
través de Internet público, y puede enviar este tráfico a través de dispositivos para
una mayor inspección del tráfico.

Resumen

Un enfoque por capas para la seguridad de la red ayuda a reducir el riesgo de

exposición a través de ataques basados en la red. Azure proporciona varios
servicios y capacidades para asegurar su recurso de Internet, recursos internos y
comunicación entre redes locales. Estas características hacen posible crear
soluciones seguras en Azure.

También puede combinar múltiples servicios de seguridad y redes de Azure para

administrar la seguridad de su red y proporcionar una mayor protección en capas.
Por ejemplo, puede usar Azure Firewall para proteger el tráfico entrante y saliente a
Internet, y los Grupos de seguridad de red para limitar el tráfico a los recursos
dentro de sus redes virtuales.

9. Protege tus documentos

compartidos
 3 minutos

Microsoft Azure Information Protection (a veces denominado AIP) es una

solución basada en la nube que ayuda a las organizaciones a clasificar y,
opcionalmente, a proteger documentos y correos electrónicos mediante la
aplicación de etiquetas.

Las etiquetas se pueden aplicar automáticamente según las reglas y

condiciones. Las etiquetas también se pueden aplicar manualmente. También
puede guiar a los usuarios a elegir las etiquetas recomendadas con una
combinación de pasos automáticos y manuales.

La siguiente captura de pantalla es un ejemplo de AIP en acción en la computadora

de un usuario. En este ejemplo, el administrador ha configurado una etiqueta con
reglas que detectan datos confidenciales. Cuando un usuario guarda un
documento de Microsoft Word que contiene un número de tarjeta de crédito, se
muestra una información sobre herramientas personalizada. La información sobre
herramientas recomienda etiquetar el archivo como Confidencial - Todos los
empleados . Esta etiqueta es configurada por el administrador. El uso de esta
etiqueta clasifica el documento y lo protege.

Después de clasificar su contenido, puede rastrear y controlar cómo se usa el

contenido. Por ejemplo, puedes:

 Analice los flujos de datos para obtener información sobre su negocio

 Detectar conductas de riesgo y tomar medidas correctivas.
 Seguimiento del acceso a documentos
 Prevenir la fuga de datos o el mal uso de la información confidencial

10 Protección contra amenazas

avanzada de Azure
 5 minutos

Azure Advanced Threat Protection (Azure ATP Protection ) es una solución de

seguridad basada en la nube que identifica, detecta y ayuda a investigar amenazas
avanzadas, identidades comprometidas y acciones internas maliciosas dirigidas a
su organización.

Azure ATP es capaz de detectar ataques y técnicas maliciosas conocidas, problemas

de seguridad y riesgos contra su red.

Componentes de Azure ATP

Azure ATP consta de varios componentes.
Portal Azure ATP

Azure ATP tiene su propio portal, a través del cual puede monitorear y responder a
actividades sospechosas. El portal Azure ATP le permite crear su instancia de Azure
ATP y ver los datos recibidos de los sensores de Azure ATP. También puede usar el
portal para monitorear, administrar e investigar amenazas en su entorno de
red. Puede iniciar sesión en el portal ATP de Azure
en https://portal.atp.azure.com . Sus cuentas de usuario deben asignarse a un
grupo de seguridad de Azure AD que tenga acceso al portal ATP de Azure para
poder iniciar sesión.

Sensor ATP de Azure

Los sensores ATP de Azure se instalan directamente en sus controladores de

dominio. El sensor monitorea el tráfico del controlador de dominio sin requerir un
servidor dedicado o configurar la duplicación de puertos.

Servicio en la nube Azure ATP

El servicio en la nube Azure ATP se ejecuta en la infraestructura de Azure y

actualmente se implementa en los Estados Unidos, Europa y Asia. El servicio en la
nube Azure ATP está conectado al gráfico de seguridad inteligente de Microsoft.

11. Comprender las consideraciones

de seguridad para las soluciones de
administración del ciclo de vida de las
aplicaciones
 8 minutos

El desarrollo de seguridad técnico de Microsoft (SDL) introduce consideraciones

de seguridad y privacidad en todas las fases del proceso de desarrollo. Ayuda a los
desarrolladores a crear software altamente seguro, abordar los requisitos de
cumplimiento de seguridad y reducir los costos de desarrollo. La orientación, las
mejores prácticas, las herramientas y los procesos en el SDL son prácticas utilizadas
internamente en Microsoft para crear productos y servicios más seguros.

Desde que compartimos el SDL por primera vez en 2008, las prácticas se han
actualizado continuamente para cubrir nuevos escenarios, como servicios en la
nube, IoT e IA.

Proporcionar entrenamiento

La seguridad es el trabajo de todos . Los desarrolladores, los ingenieros de

servicio y los gerentes de programas y proyectos deben comprender los conceptos
básicos de seguridad. Todos deben saber cómo integrar la seguridad en el
software y los servicios para hacer que los productos sean más seguros, al mismo
tiempo que abordan las necesidades comerciales y ofrecen valor al usuario. La
capacitación efectiva complementará y reforzará las políticas de seguridad, las
prácticas SDL, los estándares y los requisitos de seguridad del software, y se guiará
por los conocimientos derivados de los datos o las capacidades técnicas
recientemente disponibles.

Aunque la seguridad es el trabajo de todos, es importante recordar que no todos

deben ser expertos en seguridad ni esforzarse por convertirse en un probador de
penetración competente. Sin embargo, garantizar que todos comprendan la
perspectiva del atacante, sus objetivos y el arte de lo posible ayudará a captar la
atención de todos y elevar el nivel de conocimiento colectivo.

Definir requisitos de seguridad.

La seguridad y la privacidad son un aspecto fundamental del desarrollo de

aplicaciones y sistemas altamente seguros. Independientemente de la metodología
de desarrollo en uso, los requisitos de seguridad deben actualizarse continuamente
para abordar los cambios en la funcionalidad requerida y los cambios en el
panorama de amenazas. El momento óptimo para definir los requisitos de
seguridad es durante las etapas iniciales de diseño y planificación. La planificación
temprana permite que los equipos de desarrollo integren la seguridad de manera
que minimicen las interrupciones.

Los factores que influyen en los requisitos de seguridad incluyen, entre otros:

 Requisitos legales y de la industria.

 Normas internas y prácticas de codificación.
  Revisión de incidentes anteriores
 Amenazas conocidas

Estos requisitos deben rastrearse a través de un sistema de seguimiento del

trabajo, o mediante telemetría que se deriva de la tubería de ingeniería.

Definir métricas e informes de cumplimiento

Es esencial para una organización definir los niveles mínimos aceptables de calidad
de seguridad y hacer que los equipos de ingeniería rindan cuentas para cumplir
con esos criterios. La definición temprana de estas expectativas ayuda a un equipo
a comprender los riesgos asociados con los problemas de seguridad, identificar y
corregir defectos de seguridad durante el desarrollo y aplicar los estándares en
todo el proyecto. Establecer una barra de seguridad significativa implica definir
claramente los umbrales de gravedad de las vulnerabilidades de seguridad y ayuda
a establecer un plan de acción cuando se encuentran vulnerabilidades. Por
ejemplo, todas las vulnerabilidades conocidas descubiertas con una clasificación de
gravedad "crítica" o "importante" deben corregirse con un período de tiempo
especificado.

Para realizar un seguimiento de los indicadores clave de rendimiento (KPI) y

garantizar que se completen las tareas de seguridad, los mecanismos de
seguimiento de errores y / o trabajo utilizados por una organización (como Azure
DevOps) deben permitir que los defectos de seguridad y los elementos de trabajo
de seguridad se etiqueten claramente como seguridad, y marcado con su severidad
de seguridad apropiada. Este seguimiento permite un seguimiento e informes
precisos del trabajo de seguridad.

Puede leer más sobre cómo definir métricas e informes de cumplimiento en:

 SDL Privacy Bug Bar Sample

 Agregar o modificar un campo de Azure DevOps para realizar un seguimiento del
trabajo
 SDL Security Bug Bar Sample

Realizar modelado de amenazas

El modelado de amenazas debe usarse en entornos donde existe un riesgo de

seguridad significativo. Como práctica, permite que los equipos de desarrollo
consideren, documenten y discutan las implicaciones de seguridad de los diseños
en el contexto de su entorno operativo planificado y de manera estructurada. La
aplicación de un enfoque estructurado a los escenarios de amenazas ayuda a un
equipo a identificar de manera más efectiva y menos costosa las vulnerabilidades
de seguridad, determinar los riesgos de esas amenazas y luego hacer selecciones
de características de seguridad y establecer mitigaciones apropiadas. Puede aplicar
el modelado de amenazas a nivel de componente, aplicación o sistema.

Más información está disponible en Modelado de amenazas .

Establecer requisitos de diseño

El SDL generalmente se considera actividades de aseguramiento que ayudan a los

ingenieros a implementar características más seguras, lo que significa que las
características están bien diseñadas para la seguridad. Para lograr esta garantía, los
ingenieros generalmente confían en características de seguridad como criptografía,
autenticación y registro. En muchos casos, la selección o implementación de
características de seguridad ha resultado ser tan complicada que es probable que
las elecciones de diseño o implementación generen vulnerabilidades. Por lo tanto,
es crucial que se apliquen de manera consistente y con una comprensión constante
de la protección que brindan.

Definir y utilizar estándares de criptografía.

Con el auge de la informática móvil y en la nube, es importante garantizar que

todos los datos, incluida la información sensible a la seguridad y los datos de
gestión y control, estén protegidos contra la divulgación o alteración involuntaria
cuando se transmiten o almacenan. El cifrado se usa generalmente para lograr esta
protección. Sin embargo, hacer una elección incorrecta al usar cualquier aspecto de
la criptografía puede ser catastrófico. Por lo tanto, es mejor desarrollar estándares
de cifrado claros que proporcionen detalles sobre cada elemento de la
implementación del cifrado.

El cifrado se debe dejar a los expertos. Una buena regla general es usar solo
bibliotecas de cifrado verificadas por la industria y garantizar que se implementen
de una manera que permita su fácil reemplazo si es necesario.

Para obtener más información sobre el cifrado, consulte el documento técnico

de Recomendaciones criptográficas SDL de Microsoft .
Administre riesgos de seguridad al usar componentes de terceros

La gran mayoría de los proyectos de software actuales se crean utilizando

componentes de terceros (tanto comerciales como de código abierto). Al
seleccionar qué componentes de terceros usar, es importante comprender el
impacto que una vulnerabilidad de seguridad en ellos podría tener para la
seguridad del sistema más grande en el que están integrados. Tener un inventario
preciso de estos componentes y un plan para responder cuando se descubran
nuevas vulnerabilidades, contribuirá en gran medida a mitigar los riesgos. Sin
embargo, también debe considerar una validación adicional, dependiendo de la
tolerancia al riesgo de su organización, el tipo de componente que se utiliza y el
impacto potencial de una vulnerabilidad de seguridad.

Obtenga más información sobre cómo administrar los riesgos de seguridad del uso
de componentes de terceros en:

 Fuente abierta

 Gestión de riesgos de seguridad inherentes al uso de componentes de

terceros

 Gestión de riesgos de seguridad inherentes al uso de software de código

abierto

Use herramientas aprobadas

Defina y publique una lista de herramientas aprobadas y sus comprobaciones de

seguridad asociadas, como las opciones y advertencias del compilador /
enlazador. Los ingenieros deben esforzarse por utilizar la última versión de las
herramientas aprobadas (como las versiones de compilación) y utilizar nuevas
funciones y protecciones de análisis de seguridad.

Para más información, ver:

 Herramientas recomendadas, compiladores y opciones para procesadores x86, x64

y ARM (documento técnico)
 Recursos SDL
Realizar pruebas de seguridad de análisis estático

El análisis del código fuente antes de la compilación proporciona un método

altamente escalable de revisión del código de seguridad y ayuda a garantizar que
se sigan las políticas de codificación segura. Las pruebas de seguridad de análisis
estático (SAST) generalmente se integran en la canalización de confirmación para
identificar vulnerabilidades cada vez que se construye o empaqueta el software. Sin
embargo, algunas ofertas se integran en el entorno del desarrollador para detectar
ciertas fallas, como la existencia de funciones inseguras u otras prohibidas, y luego
reemplazar esas funciones con alternativas más seguras mientras el desarrollador
está codificando activamente. No existe una solución única para todos; los equipos
de desarrollo deberían decidir la frecuencia óptima para realizar SAST y considerar
la implementación de múltiples tácticas para equilibrar la productividad con una
cobertura de seguridad adecuada.

Más información está disponible en:

 Microsoft DevSkim en GitHub

 Reglas del guardia de seguridad de Roslyn
 Visual Studio Marketplace
 Análisis de la calidad del código C / C ++ mediante el análisis de código
 Microsoft BinSkim en GitHub

Realizar pruebas de seguridad de análisis dinámico

La verificación en tiempo de ejecución de su software totalmente compilado o

empaquetado verifica la funcionalidad que solo es aparente cuando todos los
componentes están integrados y en ejecución. Esta verificación generalmente se
logra utilizando una herramienta, un conjunto de ataques preconstruidos o
herramientas que monitorean específicamente el comportamiento de la aplicación
para detectar daños en la memoria, problemas de privilegios del usuario y otros
problemas críticos de seguridad. Al igual que SAST, no existe una solución única
para todos y, aunque algunas herramientas (como las herramientas de escaneo de
aplicaciones web) pueden integrarse más fácilmente en la canalización de CI / CD,
otras pruebas de seguridad de aplicaciones dinámicas (DAST) como fuzzing
requiere un enfoque diferente.

Más información está disponible en:

 Visual Studio Marketplace

 Pruebas de penetración automatizadas con fuzzing de caja blanca
Realizar pruebas de penetración

La prueba de penetración es un análisis de seguridad de un sistema de software

realizado por profesionales de seguridad capacitados que simulan las acciones de
un hacker. El objetivo de una prueba de penetración es descubrir vulnerabilidades
potenciales resultantes de errores de codificación, fallas de configuración del
sistema u otras debilidades de implementación operativa. Las pruebas de
penetración generalmente encuentran la variedad más amplia de vulnerabilidades,
y a menudo se realizan junto con revisiones de código automáticas y manuales
para proporcionar un mayor nivel de análisis del que normalmente sería posible.

Más información está disponible en:

 Analizador de superficie de ataque

 SDL Security Bug Bar Sample

Establecer un proceso estándar de respuesta a incidentes

La preparación de un plan de respuesta a incidentes es crucial para abordar las

nuevas amenazas que pueden surgir con el tiempo, y su plan debe crearse en
coordinación con el Equipo de Respuesta a Incidentes de Seguridad de Producto
(PSIRT) de su organización. Su plan de respuesta a incidentes debe:

 Incluya a quién contactar si ocurre una emergencia de seguridad

 Establezca el protocolo para el servicio de seguridad (incluidos los planes para el
código heredado de otros grupos dentro de la organización y para el código de
terceros)
 Ser probado antes de que sea necesario

Para obtener más información sobre las respuestas a incidentes, consulte:

 Uso de Azure Security Center para una respuesta a incidentes

 Respuesta a incidentes de Microsoft y responsabilidad compartida para la
computación en la nube
 Centro de respuesta de seguridad de Microsoft

Al introducir consideraciones estandarizadas de seguridad y cumplimiento en todas

las fases del proceso de desarrollo, los desarrolladores pueden reducir la
probabilidad de vulnerabilidades en productos y servicios, y evitar repetir los
mismos errores de seguridad. Del mismo modo, la integración de seguridad a lo
largo del ciclo de vida de las operaciones ayudará a mantener la integridad de esos
productos y servicios. Las prácticas de garantía de seguridad operativa deben
alinearse con sus procesos de desarrollo; Este acuerdo resultará en menos tiempo y
costo gastado en triaje y respuesta después del hecho, y brindará a sus clientes la
seguridad de que sus productos son altamente seguros.

Compra de Azure Advanced Threat Protection

Azure ATP está disponible como parte de la suite Enterprise Mobility + Security E5
(EMS E5) y como una licencia independiente. Puede adquirir una licencia
directamente desde la página Opciones de precios de seguridad de Enterprise
Mobility + o mediante el modelo de licencia del proveedor de soluciones en la
nube (CSP). No está disponible para comprar a través del portal de Azure.