Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Si es nuevo en Azure, puede registrarse para obtener una cuenta gratuita en el sitio
web de Azure para comenzar a explorar sin costo alguno. Una vez que esté listo,
puede elegir actualizar y comenzar a pagar los servicios de Azure que usa por
encima de los montos gratuitos.
2. Comprender la facturación de
Azure
8 minutos
Con Azure, solo paga por lo que usa. Recibirá una factura mensual con las
instrucciones de pago proporcionadas. Puede organizar su factura en líneas de
pedido que tengan sentido para usted y satisfagan sus necesidades de
seguimiento de presupuesto y costos. También puede configurarlo para varias
facturas. Echemos un vistazo a cómo funciona esto.
Suscripción de Azure
Cuando se registra, se crea una suscripción de Azure de forma
predeterminada. Una suscripción de Azure es un contenedor lógico que se usa
para aprovisionar recursos en Azure. Contiene los detalles de todos sus recursos,
como máquinas virtuales (VM), bases de datos y más. Cuando crea un recurso de
Azure como una VM, identifica la suscripción a la que pertenece. A medida que usa
la VM, el uso de la VM se agrega y factura mensualmente.
Entornos : al administrar sus recursos, puede optar por crear suscripciones para
configurar entornos separados para desarrollo y pruebas, seguridad o para aislar
datos por razones de cumplimiento. Esto es particularmente útil porque el control de
acceso a los recursos ocurre en el nivel de suscripción.
Estructuras organizativas : puede crear suscripciones para reflejar diferentes
estructuras organizativas. Por ejemplo, podría limitar un equipo a recursos de menor
costo, mientras le permite al departamento de TI una gama completa. Este diseño le
permite administrar y controlar el acceso a los recursos que los usuarios
proporcionan dentro de cada suscripción.
Facturación : es posible que también desee crear suscripciones adicionales para
fines de facturación. Debido a que los costos se agregan primero en el nivel de
suscripción, es posible que desee crear suscripciones para administrar y realizar un
seguimiento de los costos en función de sus necesidades. Por ejemplo, es posible
que desee crear una suscripción para sus cargas de trabajo de producción y otra
suscripción para sus cargas de trabajo de desarrollo y prueba.
Si tiene preguntas sobre los servicios de Azure o tiene curiosidad sobre sus capacidades,
tenemos una variedad de recursos para ayudarlo a encontrar respuestas a sus
preguntas. Veamos estos recursos de apoyo.
Mejor para Cargas de trabajo no Cargas de trabajo de producción Cargas de trabajo críticas para
críticas
Soporte técnico 1 día hábil de respuesta Respuesta de 1 hora para casos Respuesta de 1 hora + seguimi
reactivo críticos críticos
Canal Descripción
Centro de conocimiento de El Centro de conocimiento de Azure es una base de datos de búsqueda que contiene
Azure de soporte comunes.
Comunidad tecnológica de Obtenga soporte leyendo las respuestas a las preguntas técnicas de Azure de los des
Microsoft evaluadores de Microsoft.
Desbordamiento de pila Puede revisar las respuestas a las preguntas de la comunidad de desarrollo.
Falla del servidor Revise las respuestas de la comunidad a las preguntas sobre Administración de siste
Foros de comentarios de Azure Lea ideas y sugerencias para mejorar Azure hechas por usuarios de Azure.
100 XP
1. Introducción
3 minutos
Nota
Objetivos de aprendizaje
En este módulo, aprenderá cómo:
11 minutos
Las organizaciones enfrentan muchos desafíos con la seguridad de sus centros de datos,
incluido el reclutamiento y mantenimiento de expertos en seguridad, el uso de muchas
herramientas de seguridad y el ritmo con el volumen y la complejidad de las amenazas.
A medida que los entornos informáticos pasan de los centros de datos controlados por el
cliente a la nube, la responsabilidad de la seguridad también cambia. La seguridad del
entorno operativo es ahora una preocupación compartida tanto por los proveedores de
nube como por los clientes. Al trasladar estas responsabilidades a un servicio en la nube
como Azure, las organizaciones pueden reducir el enfoque en actividades que no son
competencias empresariales centrales. Dependiendo de las opciones tecnológicas
específicas, algunas protecciones de seguridad se incorporarán al servicio en particular,
mientras que abordar otras seguirá siendo responsabilidad del cliente. Para garantizar que
se proporcionen los controles de seguridad adecuados, es necesaria una evaluación
cuidadosa de los servicios y las opciones tecnológicas.
Con el software como servicio (SaaS), subcontratas casi todo. SaaS es un software que se
ejecuta con una infraestructura de internet. El proveedor controla el código, pero está
configurado para ser utilizado por el cliente. Al igual que muchas empresas, Contoso
Shipping utiliza Office 365, que es un gran ejemplo de SaaS.
Para todos los tipos de implementación en la nube, usted es el propietario de sus datos e
identidades. Usted es responsable de ayudar a proteger sus datos e identidades, sus
recursos locales y los componentes de la nube que controla (que varían según el tipo de
servicio).
Datos
Puntos finales
Cuentas
Gestión de Acceso
Seguridad de Azure: usted versus la nube
Datos
Solicitud
Calcular
Redes
Identidad y acceso
Seguridad física
La seguridad física del edificio y el control del acceso al hardware informático dentro del
centro de datos es la primera línea de defensa.
Con la seguridad física, la intención es proporcionar garantías físicas contra el acceso a los
activos. Estas salvaguardas aseguran que otras capas no se puedan pasar por alto y que la
pérdida o el robo se manejen adecuadamente.
Azure ayuda a aliviar sus preocupaciones de seguridad. Pero la seguridad sigue siendo una
responsabilidad compartida . La cantidad de responsabilidad que nos corresponde
depende del modelo que usemos con Azure. Utilizamos los anillos de defensa en
profundidad como una guía para considerar qué protecciones son adecuadas para
nuestros datos y entornos.
Niveles disponibles
Azure Security Center está disponible en dos niveles:
Escenarios de uso
Puede integrar Security Center en sus flujos de trabajo y usarlo de muchas
maneras. Aquí hay dos ejemplos.
4. Identidad y acceso
10 minutos
Los perímetros de red, los firewalls y los controles de acceso físico solían ser la
protección principal para los datos corporativos. Pero los perímetros de red se han
vuelto cada vez más porosos con la explosión de traer su propio dispositivo
(BYOD), aplicaciones móviles y aplicaciones en la nube.
Autenticacion y autorizacion
Dos conceptos fundamentales que deben entenderse cuando se habla de
identidad y control de acceso son la autenticación y la autorización. Respaldan
todo lo que sucede y ocurren secuencialmente en cualquier proceso de identidad y
acceso:
Nota
A medida que Contoso Shipping integra su instancia de Active Directory existente con
Azure AD, hará que el acceso de control sea coherente en toda la organización. Hacerlo
también simplificará enormemente la capacidad de iniciar sesión en el correo electrónico y
los documentos de Office 365 sin tener que volver a autenticarse.
Autenticación multifactor
La autenticación multifactor (MFA) proporciona seguridad adicional para sus
identidades al requerir dos o más elementos para una autenticación
completa. Estos elementos se dividen en tres categorías:
Para Contoso Shipping, decide habilitar MFA cada vez que un usuario inicia sesión
desde una computadora que no está conectada a un dominio, lo que incluye las
aplicaciones móviles que usan sus controladores.
Directores de servicio
Para comprender los principios del servicio, es útil comprender primero las
palabras identidad y principal , debido a cómo se usan en el mundo de la gestión de
identidad.
Una identidad es solo una cosa que se puede autenticar. Obviamente, esto incluye a los
usuarios con un nombre de usuario y contraseña, pero también puede incluir aplicaciones u
otros servidores, que pueden autenticarse con claves secretas o certificados.
Un director es una identidad que actúa con ciertos roles o reclamos. Por lo general, no es
útil considerar la identidad y el principal por separado, pero piense en usar 'sudo' en un
indicador de Bash en Linux o en Windows usando "ejecutar como administrador". En
ambos casos, todavía está conectado con la misma identidad que antes, pero ha cambiado la
función bajo la cual se está ejecutando. Los grupos a menudo también se consideran
principales porque pueden tener derechos asignados.
Una entidad de servicio es una identidad que utiliza un servicio o aplicación. Y como otras
identidades, se le pueden asignar roles.
Identidades administradas para servicios de Azure
La creación de principios de servicio puede ser un proceso tedioso, y hay muchos puntos de
contacto que pueden dificultar su mantenimiento. Las identidades administradas para los
servicios de Azure son mucho más fáciles y harán la mayor parte del trabajo por usted.
Aquí hay un diagrama que muestra esta relación. Los roles asignados en un ámbito
superior, como una suscripción completa, son heredados por ámbitos secundarios,
como las instancias de servicio.
4. Cifrado
8 minutos
Para la mayoría de las organizaciones, los datos son el activo más valioso e
irremplazable. El cifrado sirve como la última y más fuerte línea de defensa en una
estrategia de seguridad en capas.
Contoso Shipping sabe que el cifrado es la única protección que tienen sus datos
una vez que sale del centro de datos y se almacena en dispositivos móviles que
podrían ser pirateados o robados.
¿Qué es el cifrado?
El cifrado es el proceso de hacer que los datos sean ilegibles e inutilizables para los
espectadores no autorizados. Para usar o leer los datos cifrados, debe descifrarse ,
lo que requiere el uso de una clave secreta. Hay dos tipos de cifrado de nivel
superior: simétrico y asimétrico .
1. Cifrado en reposo
2. Cifrado en tránsito
Cifrado en reposo
Los datos en reposo son los datos que se han almacenado en un medio
físico. Estos datos podrían almacenarse en el disco de un servidor, datos
almacenados en una base de datos o datos almacenados en una cuenta de
almacenamiento. Independientemente del mecanismo de almacenamiento, el
cifrado de datos en reposo asegura que los datos almacenados sean ilegibles sin
las claves y los secretos necesarios para descifrarlos. Si un atacante obtuviera un
disco duro con datos cifrados y no tuviera acceso a las claves de cifrado, el
atacante no comprometería los datos sin grandes dificultades.
Los datos reales que se cifran pueden variar en su contenido, uso e importancia
para la organización. Esta información financiera podría ser crítica para el negocio,
la propiedad intelectual desarrollada por el negocio, los datos personales sobre
clientes o empleados que el negocio almacena, e incluso las claves y los secretos
utilizados para el cifrado de los datos.
Aquí hay un diagrama que muestra cómo se verían los datos cifrados del cliente tal
como se encuentran en una B.
Cifrado en tránsito
Los datos en tránsito son los datos que se mueven activamente de una ubicación a
otra, como a través de Internet o a través de una red privada. La transferencia
segura puede ser manejada por varias capas diferentes. Podría hacerse encriptando
los datos en la capa de aplicación antes de enviarlos a través de una red. HTTPS es
un ejemplo de capa de aplicación en cifrado de tránsito.
También puede configurar un canal seguro, como una red privada virtual (VPN), en
una capa de red, para transmitir datos entre dos sistemas.
Este diagrama muestra el proceso. Aquí, los datos del cliente se cifran a medida
que se envían a través de la red. Solo el receptor tiene la clave secreta que puede
descifrar los datos en una forma utilizable.
Cifrado en Azure
Echemos un vistazo a algunas formas en que Azure le permite cifrar datos en los
servicios.
Storage Service Encryption proporciona protección de encriptación de bajo nivel para los
datos escritos en el disco físico, pero ¿cómo protege los discos duros virtuales (VHD) de las
máquinas virtuales? Si los atacantes maliciosos obtuvieron acceso a su suscripción de
Azure y obtuvieron los VHD de sus máquinas virtuales, ¿cómo se aseguraría de que no
pudieran acceder a los datos almacenados?
Azure Disk Encryption es una capacidad que lo ayuda a cifrar sus discos de
máquina virtual IaaS de Windows y Linux. Azure Disk Encryption aprovecha la
característica BitLocker estándar de la industria de Windows y la característica dm-
crypt de Linux para proporcionar cifrado de volumen para el sistema operativo y
los discos de datos. La solución está integrada con Azure Key Vault para ayudarlo a
controlar y administrar las claves y los secretos de cifrado del disco (y puede usar
identidades de servicio administradas para acceder a Key Vault).
Para Contoso Shipping, el uso de máquinas virtuales fue uno de los primeros
movimientos hacia la nube. Tener todos los VHD encriptados es una manera fácil y
de bajo impacto para garantizar que esté haciendo todo lo posible para proteger
los datos de su empresa.
Cifrar bases de datos
TDE cifra el almacenamiento de una base de datos completa utilizando una clave
simétrica llamada clave de cifrado de la base de datos. De manera predeterminada,
Azure proporciona una clave de cifrado única por instancia lógica de SQL Server y
maneja todos los detalles. Traer su propia clave (BYOK) también es compatible con
las claves almacenadas en Azure Key Vault (consulte a continuación).
Debido a que TDE está habilitado de manera predeterminada, está seguro de que
Contoso Shipping tiene las protecciones adecuadas para los datos almacenados en
las bases de datos de la compañía.
Cifrar secretos
Hemos visto que todos los servicios de cifrado usan claves para cifrar y descifrar datos,
entonces, ¿cómo nos aseguramos de que las claves sean seguras? Las corporaciones
también pueden tener contraseñas, cadenas de conexión u otra información confidencial
que necesitan almacenar de forma segura. En Azure, podemos usar Azure Key Vault para
proteger nuestros secretos.
Azure Key Vault es un servicio en la nube centralizado para almacenar los secretos
de su aplicación. Key Vault lo ayuda a controlar los secretos de sus aplicaciones al
mantenerlas en una ubicación única y central y al proporcionar acceso seguro,
control de permisos y capacidades de registro de acceso. Es útil para una variedad
de escenarios:
Gestión secretos . Puede usar Key Vault para almacenar y controlar de forma segura
el acceso a tokens, contraseñas, certificados, claves de la interfaz de programación de
aplicaciones (API) y otros secretos.
Gestión de claves . También puede usar Key Vault como una solución de
administración de claves. Key Vault facilita la creación y el control de las claves de
cifrado utilizadas para cifrar sus datos.
Gestión de certificados . Key Vault le permite aprovisionar, administrar e
implementar sus certificados de SSL y TLS ( Secure Sockets Layer / Transport Layer
Security ) públicos y privados más fácilmente para sus recursos Azure e internamente
conectados.
Almacene secretos respaldados por módulos de seguridad de hardware (HSM). Los
secretos y las claves se pueden proteger mediante software o con HSM validados de
Nivel 2 FIPS 140-2.
Debido a que las identidades de Azure AD pueden tener acceso para usar los
secretos de Azure Key Vault, las aplicaciones con identidades de servicio
administradas habilitadas pueden adquirir de forma automática y sin problemas los
secretos que necesitan.
Resumen
Como ya sabrá, el cifrado es a menudo la última capa de defensa contra los
atacantes y es una pieza importante de un enfoque en capas para proteger sus
sistemas. Azure proporciona capacidades y servicios integrados para encriptar y
proteger los datos de la exposición involuntaria. La protección de los datos del
cliente almacenados en los servicios de Azure es de suma importancia para
Microsoft y debe incluirse en cualquier diseño. Los servicios fundamentales como
Azure Storage, Azure Virtual Machines, Azure SQL Database y Azure Key Vault
pueden ayudar a proteger su entorno mediante el cifrado.
Los certificados utilizados en Azure son x.509 v3 y pueden ser firmados por una
autoridad de certificación de confianza, o pueden ser autofirmados. Un certificado
autofirmado está firmado por su propio creador; por lo tanto, no es confiable por
defecto. La mayoría de los navegadores pueden ignorar este problema. Sin
embargo, solo debe usar certificados autofirmados al desarrollar y probar sus
servicios en la nube. Estos certificados pueden contener una clave privada o pública
y tener una huella digital que proporciona un medio para identificar un certificado
de manera inequívoca. Esta huella digital se usa en el archivo de configuración de
Azure para identificar qué certificado debe usar un servicio en la nube.
Tipos de certificados
Los certificados se usan en Azure para dos propósitos principales y se les asigna
una designación específica en función de su uso previsto.
Certificados de servicio
Certificados de gestión
Proteccion de internet
¿Qué es un firewall?
Los dispositivos virtuales de red (NVA) son opciones ideales para servicios que no
son HTTP o configuraciones avanzadas, y son similares a los dispositivos de firewall
de hardware.
Detener los ataques de denegación de servicio distribuida (DDoS)
Cualquier recurso expuesto en Internet está en riesgo de ser atacado por un ataque
de denegación de servicio. Estos tipos de ataques intentan abrumar un recurso de
red al enviar tantas solicitudes que el recurso se vuelve lento o no responde.
Cuando combina Azure DDoS Protection con las mejores prácticas de diseño de
aplicaciones, ayuda a proporcionar defensa contra los ataques DDoS. DDoS
Protection aprovecha la escala y la elasticidad de la red global de Microsoft para
llevar la capacidad de mitigación de DDoS a cada región de Azure. El servicio Azure
DDoS Protection protege sus aplicaciones de Azure al monitorear el tráfico en el
borde de la red de Azure antes de que pueda afectar la disponibilidad de su
servicio. A los pocos minutos de la detección de ataques, se le notificará con las
métricas de Azure Monitor.
Este diagrama muestra el tráfico de red que fluye a Azure desde los clientes y un
atacante. La protección DDoS de Azure identifica el intento del atacante de
abrumar la red y bloquea el tráfico adicional para que no llegue a los servicios de
Azure. El tráfico legítimo de los clientes aún fluye a Azure sin ninguna interrupción
del servicio.
Una vez dentro de una red virtual (VNet), es crucial que limite la comunicación
entre recursos solo a lo que se requiere.
Los grupos de seguridad de red le permiten filtrar el tráfico de red hacia y desde
los recursos de Azure en una red virtual de Azure. Un NSG puede contener
múltiples reglas de seguridad entrantes y salientes que le permiten filtrar el tráfico
hacia y desde los recursos por dirección IP, puerto y protocolo de origen y destino.
Proporcionan una lista de comunicación permitida y denegada hacia y desde
interfaces de red y subredes, y son totalmente personalizables.
Integración de red
Es común tener una infraestructura de red existente que debe integrarse para
proporcionar comunicación desde redes locales o para proporcionar una
comunicación mejorada entre servicios en Azure. Hay algunas formas clave de
manejar esta integración y mejorar la seguridad de su red.
Las conexiones de red privada virtual (VPN) son una forma común de establecer
canales de comunicación seguros entre redes. Las conexiones entre Azure Virtual
Network y un dispositivo VPN local son una excelente manera de proporcionar una
comunicación segura entre su red y su red virtual en Azure.
Para proporcionar una conexión privada dedicada entre su red y Azure, puede usar
Azure ExpressRoute. ExpressRoute le permite extender sus redes locales a la nube
de Microsoft a través de una conexión privada facilitada por un proveedor de
conectividad. Con ExpressRoute, puede establecer conexiones a los servicios en la
nube de Microsoft, como Microsoft Azure, Office 365 y Dynamics 365. Las
conexiones ExpressRoute mejoran la seguridad de su comunicación local al enviar
este tráfico a través del circuito privado en lugar de hacerlo a través de Internet
público. No necesita permitir el acceso a estos servicios para sus usuarios finales a
través de Internet público, y puede enviar este tráfico a través de dispositivos para
una mayor inspección del tráfico.
Resumen
Azure ATP tiene su propio portal, a través del cual puede monitorear y responder a
actividades sospechosas. El portal Azure ATP le permite crear su instancia de Azure
ATP y ver los datos recibidos de los sensores de Azure ATP. También puede usar el
portal para monitorear, administrar e investigar amenazas en su entorno de
red. Puede iniciar sesión en el portal ATP de Azure
en https://portal.atp.azure.com . Sus cuentas de usuario deben asignarse a un
grupo de seguridad de Azure AD que tenga acceso al portal ATP de Azure para
poder iniciar sesión.
Desde que compartimos el SDL por primera vez en 2008, las prácticas se han
actualizado continuamente para cubrir nuevos escenarios, como servicios en la
nube, IoT e IA.
Proporcionar entrenamiento
Los factores que influyen en los requisitos de seguridad incluyen, entre otros:
Es esencial para una organización definir los niveles mínimos aceptables de calidad
de seguridad y hacer que los equipos de ingeniería rindan cuentas para cumplir
con esos criterios. La definición temprana de estas expectativas ayuda a un equipo
a comprender los riesgos asociados con los problemas de seguridad, identificar y
corregir defectos de seguridad durante el desarrollo y aplicar los estándares en
todo el proyecto. Establecer una barra de seguridad significativa implica definir
claramente los umbrales de gravedad de las vulnerabilidades de seguridad y ayuda
a establecer un plan de acción cuando se encuentran vulnerabilidades. Por
ejemplo, todas las vulnerabilidades conocidas descubiertas con una clasificación de
gravedad "crítica" o "importante" deben corregirse con un período de tiempo
especificado.
Puede leer más sobre cómo definir métricas e informes de cumplimiento en:
El cifrado se debe dejar a los expertos. Una buena regla general es usar solo
bibliotecas de cifrado verificadas por la industria y garantizar que se implementen
de una manera que permita su fácil reemplazo si es necesario.
Obtenga más información sobre cómo administrar los riesgos de seguridad del uso
de componentes de terceros en:
Fuente abierta