Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Yuri Diógenes
Orin Thomas
Contenido de un vistazo
Introducción
Índice
Contenido
Introducción
Organización de este libro
Preparándose para el examen
Certificaciones de Microsoft
Acceso rápido a referencias en línea
Erratas, actualizaciones y asistencia para libros
Mantente en contacto
CERTIFICACIONES DE MICROSOFT
Las certificaciones de Microsoft lo distinguen al demostrar su dominio de
un amplio conjunto de habilidades y experiencia con los productos y
tecnologías actuales de Microsoft. Los exámenes y las certificaciones
correspondientes se desarrollan para validar su dominio de las
competencias críticas a medida que diseña y desarrolla, o implementa y
brinda soporte, soluciones con productos y tecnologías de Microsoft tanto
en las instalaciones como en la nube. La certificación aporta una variedad
de beneficios para el individuo y para los empleadores y las
organizaciones.
Más información Todas las certificaciones de Microsoft
Para obtener información sobre las certificaciones de Microsoft, incluida una lista
completa de las certificaciones disponibles, visite http://www.microsoft.com/learn .
MANTENTE EN CONTACTO
¡Sigamos con la conversación! Estamos en
Twitter: http://twitter.com/MicrosoftPress .
Capítulo 1
Así como puede asignar permisos a través de un rol a través del nodo de
Control de acceso (IAM) en el nivel de suscripción, puede usar el nodo de
Control de acceso (IAM) en el grupo de recursos o el nivel de recursos
para asignar un rol a una entidad de servicio. Al asignar permisos a una
entidad de servicio, debe asignar esos permisos de la manera más
restrictiva posible. Esto significa que solo debe asignar roles en el nivel de
alcance apropiado y solo asignar el rol que necesita la aplicación. Si la
aplicación solo requiere acceso de lector a un grupo de recursos, no
asigne el rol Colaborador en el nivel de suscripción a la entidad de
servicio de la aplicación.
Puede usar el New-AzRoleAssignmentcmdlet de PowerShell para asignar un
rol a una entidad de servicio. Por ejemplo, para crear una nueva entidad
de servicio y asignar permisos de lector a nivel de suscripción a la entidad
de servicio, promulgue los siguientes comandos de PowerShell:
Haga clic aquí para ver la imagen del código
$ servicePrincipal = New-AzADServicePrincipal -DisplayName
"ExampleServiceprincipal"
ID de aplicación
Creando grupos
Para crear un grupo de Azure AD, realice los siguientes pasos:
1. En Azure Portal, seleccione la hoja de menú de Azure Active
Directory .
2. En Administrar en la hoja de menú de Azure Active Directory ,
seleccione Grupos , como se muestra en la Figura 1-6 .
12aeb3093413
Grupos anidados
Azure AD le permite agregar un grupo de seguridad como miembro de
otro grupo de seguridad, que se conoce como grupo anidado. Cuando
haga esto, el grupo de miembros heredará los atributos y propiedades del
grupo principal. Los grupos de anidación le permiten simplificar aún más
la gestión de un gran número de usuarios. Por ejemplo, puede tener
grupos para los gerentes en Melbourne, Sydney y Adelaide. Puede agregar
estos tres grupos a un grupo de administradores australianos y luego
asignar derechos y permisos de grupo de nivel superior a
administradores australianos, en lugar de asignar esos derechos a cada
grupo de administradores a nivel de ciudad. Esto también le brinda
flexibilidad en caso de que agregue grupos de administradores a nivel de
ciudad adicionales, como Brisbane y Perth, en algún momento en el
futuro, ya que simplemente agregaría estos grupos al grupo de
administradores australianos para asignar los mismos permisos.
En el momento de redactar este documento, Azure AD no admite los
siguientes escenarios de anidamiento:
• Agregar un grupo de Azure AD a un grupo sincronizado desde
Active Directory local
• Agregar grupos de seguridad de Azure AD a grupos de Office
365
• Agregar Office 365 a grupos que no sean otros grupos de
Office 365
• Asignar aplicaciones a grupos anidados
• Asignar licencias a grupos anidados
• Grupos de distribución de anidación
Para anidar grupos mediante Azure Portal, realice los siguientes pasos:
1. En la página Grupos: Todos los grupos de la hoja de Azure Active
Directory de Azure Portal, haga clic en el grupo que desea
anidar. Esto abrirá las propiedades del grupo, como se muestra en
la Figura 1-8 . En este ejemplo, el Melbournegrupo se agregará
al Australiagrupo.
Requisitos de conectividad
El equipo con Azure AD Connect instalado debe ser miembro de un
dominio en el bosque que desea sincronizar y debe tener conectividad a
un controlador de dominio grabable en cada dominio del bosque que
desea sincronizar en los siguientes puertos:
• Puerto DNS TCP / UDP 53
• Puerto 88 de Kerberos TCP / UDP
• Puerto RPC TCP 135
• Puerto LDAP TCP / UDP 389
• Puerto 443 de TLS / SSL TCP
• Puerto TCP 445 de SMB
El equipo con Azure AD Connect instalado debe poder establecer
comunicación con los servidores de Microsoft Azure en Internet a través
del puerto TCP 443. El equipo con Azure AD Connect instalado puede
estar ubicado en una red interna siempre que pueda iniciar la
comunicación en el puerto TCP 443. El equipo que aloja Azure AD
Connect no necesita una dirección IP enrutable públicamente. El equipo
que aloja Azure AD Connect siempre inicia la comunicación de
sincronización con Microsoft Azure. Microsoft Azure Active Directory no
inicia la comunicación de sincronización con el equipo que aloja Azure AD
Connect en la red local.
Dado que la instancia de Azure AD Connect requiere acceso a Internet, no
debe instalar Azure AD Connect en un controlador de dominio. Si va a
replicar más de 50.000 objetos, Microsoft recomienda que implemente
SQL Server en una computadora que esté separada de la computadora
que albergará Azure AD Connect. Si planea hospedar la instancia de SQL
Server en un equipo independiente, asegúrese de que sea posible la
comunicación entre el equipo que hospeda Azure AD Connect y el equipo
que hospeda la instancia de SQL en el puerto TCP 1433.
Si va a utilizar una instancia de SQL Server separada, asegúrese de que la
cuenta utilizada para instalar y configurar Azure AD Connect tenga
derechos de administrador de sistemas en la instancia de SQL y que la
cuenta de servicio utilizada para Azure AD Connect tenga permisos
públicos en Azure AD Connect. base de datos.
$ UPN =
$ _. UserPrincipalName.Replace ("epistemicus.internal",
"epistemicus.onmicrosoft.com")
Sincronización de contraseña
Los valores hash de las contraseñas de los usuarios de Active Directory
locales se sincronizan con Azure AD y las contraseñas cambiadas se
sincronizan inmediatamente con Azure AD. Las contraseñas reales nunca
se envían a Azure AD y no se almacenan en Azure AD. Esto permite un
inicio de sesión único sin problemas para los usuarios de equipos que
están unidos a un dominio de Active Directory que se sincroniza con
Azure AD. Además, la sincronización de contraseñas le permite habilitar
la escritura diferida de contraseñas para la funcionalidad de autoservicio
de restablecimiento de contraseñas a través de Azure AD.
Autenticación de paso
Al autenticarse en Azure AD, la contraseña del usuario se valida con un
controlador de dominio de Active Directory local. Las contraseñas y los
hash de contraseñas no están presentes en Azure AD. La autenticación
PassThrough permite que se apliquen las políticas de contraseñas
locales. La autenticación PassThrough requiere que Azure AD Connect
tenga un agente en un equipo unido al dominio que hospeda la instancia
de Active Directory que contiene las cuentas de usuario relevantes. La
autenticación PassThrough también permite un inicio de sesión único sin
inconvenientes para los usuarios de máquinas unidas a un dominio.
Con la autenticación PassThrough, la contraseña del usuario se valida con
el controlador de Active Directory local. No es necesario que la
contraseña esté presente en Azure AD de ninguna forma. Esto permite
que las políticas locales, como las restricciones de horas de inicio de
sesión, se evalúen durante la autenticación en los servicios en la nube.
La autenticación PassThrough usa un agente simple en una máquina
unida a un dominio con Windows Server 2012 R2, Windows Server 2016
o Windows Server 2019 en el entorno local. Este agente escucha las
solicitudes de validación de contraseña. No requiere que ningún puerto
de entrada esté abierto a Internet.
Además, también puede habilitar el inicio de sesión único para los
usuarios en máquinas unidas a un dominio que se encuentran en la red
corporativa. Con el inicio de sesión único, los usuarios habilitados solo
necesitan ingresar un nombre de usuario para ayudarlos a acceder de
manera segura a los recursos de la nube.
PIM requiere que configure los usuarios de Azure AD con las licencias
adecuadas. PIM requiere que se asigne una de las siguientes categorías de
licencia a los usuarios que realizarán tareas relacionadas con PIM:
• Azure AD Premium P2
• Enterprise Mobility + Security (EMS) E5
• Microsoft 365 M5
Las tareas relacionadas con PIM que requieren una licencia son las
siguientes:
• Cualquier usuario que sea elegible para un rol de Azure AD
administrado mediante PIM
• Cualquier usuario que pueda aprobar o rechazar solicitudes
de activación de PIM
• Usuarios asignados a roles de recursos de Azure con
asignaciones justo a tiempo o basadas en el tiempo
• Cualquier usuario que pueda realizar una revisión de acceso
• Cualquier usuario asignado a una revisión de acceso
Más información Requisitos de la licencia PIM
Puede obtener más información sobre los requisitos de licencia de PIM
en https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-
management/subscription-requirements .
Implementación de MFA
Al implementar MFA, debe tomar decisiones sobre qué capacidades de
MFA estarán disponibles para los usuarios asociados con la tenencia de
Azure AD de su organización. MFA requiere que se utilice más de un
método de autenticación al iniciar sesión en un recurso. Por lo general,
esto implica que el usuario proporcione sus credenciales de nombre de
usuario y contraseña, y luego proporcione uno de los siguientes:
• Un código generado por una aplicación de
autenticación. Puede ser la aplicación de autenticación de
Microsoft o una aplicación de autenticación de terceros, como la
aplicación de autenticación de Google.
• Una respuesta proporcionada a la aplicación de
autenticación de Microsoft Cuando se usa este método, Azure AD
proporciona un código en pantalla al usuario que se autentica y que
también debe seleccionarse en una aplicación que está registrada
con Azure AD.
• Una llamada telefónica a un número registrado con Azure
AD El usuario debe proporcionar un pin preconfigurado que el
servicio automatizado que realiza la llamada telefónica le indicará
que ingrese. Microsoft proporciona un saludo predeterminado
durante las llamadas telefónicas de autenticación, por lo que no
tiene que grabar uno para su propia organización.
• Un mensaje SMS enviado a un número de teléfono móvil
registrado en Azure AD El usuario proporciona el código enviado
en el mensaje como segundo factor durante la autenticación.
Al diseñar su solución, deberá tener una forma de garantizar que los
usuarios tengan acceso a la tecnología MFA adecuada. Esto puede
requerir que se le ocurra un método para asegurarse de que todos los
usuarios de su organización ya tengan la aplicación Microsoft
Authenticator instalada en sus dispositivos móviles antes de habilitar
MFA en sus cuentas.
Más información Plan para la autenticación multifactor
Puede obtener más información sobre el diseño de una solución de autenticación
multifactor para implementaciones de Office 365 en https://docs.microsoft.com/en-
us/office365/admin/security-and-compliance/multi-factor-authentication-plan .
Bloqueo de cuenta
La configuración de bloqueo de cuenta para MFA, que se muestra en
la Figura 1-56 , le permite configurar las condiciones bajo las cuales se
producirá el bloqueo de MFA. En esta página, puede configurar la
cantidad de denegaciones de MFA que activarán el proceso de bloqueo de
la cuenta, cuánto tiempo antes de que se restablezca el contador de
bloqueo de la cuenta y la cantidad de minutos hasta que se desbloquee la
cuenta. Por ejemplo, si el contador de bloqueo de la cuenta se restablece
después de 10 minutos y el número de denegaciones de MFA para activar
el bloqueo de la cuenta se establece en 5, entonces 5 denegaciones en 10
minutos activarán un bloqueo, pero 5 denegaciones en un transcurso de
30 minutos lo harán. no porque el contador de bloqueo de la cuenta se
reiniciaría durante ese período.
Tokens OATH
La página de tokens OATH que se muestra en la Figura 1-59 le permite
cargar un archivo CSV con formato especial que contiene los detalles y
claves de los tokens OATH que desea usar para la autenticación
multifactor. El archivo CSV con formato especial debe incluir una fila de
encabezado formateada como se muestra aquí con el UPN (nombre
principal del usuario), número de serie, clave secreta, intervalo de tiempo,
fabricante y modelo. Cada archivo está asociado a un usuario específico. Si
un usuario tiene varios tokens OATH, estos deben incluirse en el archivo
asociado con su cuenta.
Aprobador de acceso a la caja Gestiona las solicitudes de la caja de seguridad del clie
de seguridad del cliente puede habilitar y deshabilitar la función Caja de seguri
Administradores del Los usuarios a los que se les asigne esta función se con
dispositivo administradores locales en todos los equipos que ejecu
que están unidos a Azure AD.
Administrador de Puede realizar las siguientes tareas para todos los usua
contraseñas / Administrador aquellos que tienen roles administrativos:
del servicio de asistencia • Cambiar contraseñas
técnica
• Invalidar tokens de actualización
• Gestionar solicitudes de servicio
• Supervisar el estado del servicio
Lector de informes Puede ver los datos de los informes en el panel de info
365.
Interpretar permisos
La clave para comprender lo que se puede hacer con los permisos es que
existen permisos relacionados con las operaciones de administración y
permisos relacionados con las operaciones de datos. Para las operaciones
del plano de administración, los permisos determinan las acciones que se
pueden tomar contra los objetos en el plano de administración de Azure,
que incluye el portal de Azure, la CLI de Azure, Azure PowerShell y la API
de REST de Azure. Estos se definen como Actionsy NotActions. En el nivel
de operaciones de datos, hay acciones que se pueden tomar contra los
datos, como los datos almacenados en una cuenta de
almacenamiento. Estos se definen como DataActionsy NotDataActions. Para
enumerar los permisos dentro de un rol, use el Get-
AzRoleDefinitioncmdlet de PowerShell. Por ejemplo, para ver los permisos
asociados con la función Colaborador, ejecute el siguiente comando:
Haga clic aquí para ver la imagen del código
Get-AzRoleDefinition "Colaborador" | Acciones FL, NotActions
Verificar acceso
Para ver el acceso que tiene un usuario a un recurso específico, realice los
siguientes pasos:
1. En Azure Portal, seleccione el recurso específico para el que desea
verificar el acceso.
2. Seleccione Control de acceso (IAM) para abrir la hoja de Control
de acceso (IAM).
3. Haga clic en la pestaña Verificar acceso .
4. En la sección Verificar acceso , use el menú
desplegable Buscar para seleccionar la opción principal de servicio,
grupo o usuario de Azure AD y escriba el nombre del usuario cuyo
acceso desea verificar, como se muestra en la Figura 1-
86 . Seleccione el usuario.
Figura 1-86 La pestaña Verificar acceso
5. En la pestaña Asignaciones que se muestra en la Figura 1-87 ,
revise las asignaciones de roles del usuario y rechace las
asignaciones al recurso.
Experimento mental
En este experimento mental, demuestre sus habilidades y conocimiento
de los temas cubiertos en este capítulo. Puede encontrar respuestas a este
experimento mental en la siguiente sección.
Implementar la protección de la
plataforma
Uno de los principales aspectos de la computación en la nube es el modelo
de responsabilidad compartida, donde el proveedor de soluciones en la
nube (CSP) y el cliente comparten diferentes niveles de
responsabilidades, según la categoría del servicio en la nube. Cuando se
trata de seguridad de plataforma, infraestructura como servicio (IaaS), los
clientes tendrán una larga lista de responsabilidades. Sin embargo, en un
escenario de plataforma como servicio (PaaS) todavía existen algunas
responsabilidades de seguridad de la plataforma, no son tan extensas
como cuando se utilizan cargas de trabajo de IaaS.
Azure tiene capacidades y servicios de seguridad de plataforma nativa
que deben aprovecharse para proporcionar el nivel necesario de
seguridad para sus cargas de trabajo IaaS y PaaS mientras se mantiene
una capa de administración segura.
-ResourceGroupName "ContosoCST" `
-VirtualNetworkName "AZ500VirtualNetwork" `
-SubnetName "AZ500Subnet" `
-Nombre "AZ500VM" `
Enrutamiento
En un entorno de red física, por lo general, debe comenzar a configurar
rutas tan pronto como expanda su red para tener múltiples subredes. En
Azure, la tabla de enrutamiento se crea automáticamente para cada
subred dentro de una red virtual de Azure. Las rutas predeterminadas
creadas por Azure y asignadas a cada subred en una red virtual no se
pueden quitar. La ruta predeterminada que se crea contiene un prefijo de
dirección y el siguiente salto (donde debe ir el paquete). Cuando el tráfico
sale delsubred, va a una dirección IP dentro del prefijo de dirección de
una ruta; la ruta que contiene el prefijo es la ruta que usa Azure.
Cuando crea una red virtual, Azure crea una ruta con un prefijo de
dirección que corresponde a cada rango de direcciones que definió dentro
del espacio de direcciones de su red virtual. Si la red virtual tiene
definidos varios rangos de direcciones, Azure crea una ruta individual
para cada rango de direcciones. No necesita preocuparse por crear rutas
entre subredes dentro de la misma red virtual porque Azure enruta
automáticamente el tráfico entre subredes mediante las rutas creadas
para cada rango de direcciones. Además, a diferencia de la topología de la
red física y el mecanismo de enrutamiento, no es necesario definir
puertas de enlace para que Azure enrute el tráfico entre subredes. En una
tabla de enrutamiento de Azure, esta ruta aparece como:
• Fuente predeterminada
• Prefijo de dirección Único para la red virtual
• Tipo de siguiente salto Red virtual
Si el destino del tráfico es Internet, Azure aprovecha el 0.0.0.0/0prefijo de
dirección de ruta predeterminado del sistema , que enruta el tráfico para
cualquier dirección no especificada por un rango de direcciones dentro de
una red virtual a Internet. La única excepción a esta regla es si la dirección
de destino es para uno de los servicios de Azure. En este caso, en lugar de
enrutar el tráfico a Internet, Azure enruta el tráfico directamente al
servicio a través de la red troncal de Azure. Los otros escenarios en los
que Azure agregará rutas son los siguientes:
• Cuando crea un emparejamiento de redes virtuales En este
caso, se agrega una ruta para cada rango de direcciones dentro del
espacio de direcciones de cada emparejamiento de redes virtuales
que creó.
• Cuando agrega una puerta de enlace de red virtual En este
caso, se agregan una o más rutas con una puerta de enlace de red
virtual listada como el siguiente tipo de salto.
• Cuando se agrega un
VirtualNetworkServiceEndpoint Cuando habilita un punto de
conexión de servicio para publicar un servicio de Azure en Internet,
Azure agrega las direcciones IP públicas de los servicios a la tabla
de enrutamiento.
También puede ver Noneen la columna Tipo de salto siguiente , en la
tabla de enrutamiento. El tráfico enrutado a este salto se descarta
automáticamente. Azure crea automáticamente las rutas
predeterminadas para 10.0.0.0/8, 192.168.0.0/16(RFC 1918),
y 100.64.0.0/10(RFC 6598).
-ResourceGroupName ContosoCST `
-ubicación EastUS
2. Cree la ruta personalizada utilizando varios cmdlets. Primero,
recupera la información de la tabla de rutas usando Get-
AzRouteTabley luego crea la ruta usando Add-AzRouteConfig. Por
último, usa Set-AzRouteTablepara escribir la configuración de
enrutamiento en la tabla de enrutamiento:
Haga clic aquí para ver la imagen del código
Get-AzRouteTable `
-ResourceGroupName "ContosoCST" `
-Nombre "AZ500RouteTable" `
| Add-AzRouteConfig `
-Nombre "ToAZ500Subnet" `
-AddressPrefix 10.0.1.0/24 `
-NextHopType "MyVirtualAppliance" `
-NextHopIpAddress 10.0.2.4 `
| Set-AzRouteTable
Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $ virtualNetwork `
-AddressPrefix 10.0.0.0/24 `
-RemoteVirtualNetworkId RemoteVNet
Para crear una puerta de enlace NAT para su subred, primero debe crear
una dirección IP pública y un prefijo de IP pública. Siga los pasos a
continuación para realizar estas tareas:
1. Vaya al portal de Azure en https://portal.azure.com .
2. En el panel principal, haga clic en el botón Crear un recurso .
3. En la página Nueva , escriba IP pública y haga clic en
la opción Dirección IP pública que aparece en la lista.
4. En la página Dirección IP pública , haga clic en
el botón Crear ; la Crear dirección IP pública aparece la página,
como se muestra en la figura 2-10 .
Figura 2-10 Creación de una dirección IP pública para ser utilizada
por NAT Gateway
5. Escriba el nombre de esta dirección IP pública y seleccione la
suscripción, el grupo de recursos y la ubicación de Azure. Para este
ejemplo, puede dejar todas las demás opciones con sus selecciones
predeterminadas. Una vez que termine, haga clic en el botón Crear .
6. Ahora debe repetir los pasos 1 y 2. En el tercer paso, escriba el
prefijo de IP pública y haga clic en la opción Prefijo de IP
pública que aparece en el menú desplegable.
7. En la página Crear un prefijo de IP pública , configure las
siguientes opciones relevantes:
1. Seleccione la suscripción adecuada .
2. Seleccione el grupo de recursos apropiado .
3. Escriba el nombre del prefijo .
4. Seleccione la región de Azure adecuada .
5. En el menú desplegable Tamaño de prefijo , seleccione el tamaño
adecuado para su implementación.
8. Una vez que termine de configurar estas opciones, haga clic en el
botón Revisar + Crear y haga clic en Crear para finalizar.
9. Ahora que ha cumplido los dos requisitos, puede crear la puerta de
enlace NAT.
10. Vaya al portal de Azure en https://portal.azure.com .
11. En el panel principal, haga clic en el botón Crear un recurso .
12. En la página Nueva, escriba NAT Gateway y haga clic en
la opción NAT Gateway en la lista.
13. En la página Puerta de enlace NAT , haga clic
en Crear . El Crear Network Address Translation (NAT) de
puerta de enlace aparece la página, como se muestra en la figura
2-11 .
Figura 2-11 Creación de una puerta de enlace NAT en Azure
14. En la pestaña Básicos , asegúrese de configurar las siguientes
opciones:
0. Seleccione la suscripción y el grupo de
recursos adecuados .
1. Escriba el nombre de la puerta de enlace NAT .
2. Seleccione la región de Azure y la zona de
disponibilidad adecuadas .
15. Vaya a la siguiente pestaña, IP saliente , y seleccione la
Dirección IP pública y el Nombre de prefijo que creó anteriormente.
16. A continuación, en la pestaña Subred , configurará qué
subredes de una red virtual deben usar esta puerta de enlace NAT.
17. La pestaña Etiquetas es opcional y debe usarla solo cuando
necesite organizar lógicamente sus recursos en una taxonomía
particular para identificarlos fácilmente más adelante.
18. Puede revisar un resumen de las selecciones en
la pestaña Revisar + Crear . Una vez que termine de revisarlo, haga
clic en el botón Crear .
También puede usar el New-AzNatGatewaycmdlet para crear una puerta de
enlace NAT con PowerShell, como se muestra:
Haga clic aquí para ver la imagen del código
New-AzNatGateway -ResourceGroupName "AZ500RG" -Name "nat_gt"
-IdleTimeoutInMinutes 4
Autenticación VPN
La conexión VPN de Azure se autentica cuando se crea el túnel. Azure
genera una clave precompartida (PSK), que se usa para la
autenticación. Esta clave precompartida es un carácter de cadena ASCII de
no más de 128 caracteres. Esta autenticación ocurre para VPN basada en
políticas (enrutamiento estático) o VPN (enrutamiento dinámico) basada
en enrutamiento. Puede ver y actualizar la clave previamente compartida
para una conexión con estos cmdlets de PowerShell:
• Get-AzVirtualNetworkGatewayConnectionSharedKey Este
comando se usa para mostrar la clave previamente compartida.
• Set-AzVirtualNetworkGatewayConnectionSharedKey Este
comando se usa para cambiar la clave previamente compartida a
otro valor.
Para escenarios de VPN de punto a sitio (P2S), puede usar la
autenticación de certificado de Azure nativa o la autenticación de Azure
AD. Para la autenticación de certificado nativo de Azure, se presenta un
certificado de cliente en el dispositivo, que se usa para autenticar a los
usuarios que se conectan. El certificado puede ser uno emitido por una
autoridad certificadora (CA) empresarial o puede ser un certificado raíz
autofirmado. Para Azure AD nativo, puede usar las credenciales nativas
de Azure AD. Tenga en cuenta que Azure AD nativo solo es compatible con
el protocolo OpenVPN y Windows 10. (Windows 10 requiere el uso del
cliente VPN de Azure).
Si su escenario requiere la aplicación de un segundo factor de
autenticación antes de que se otorgue el acceso al recurso, puede usar
Azure Multi-Factor Authentication (MFA) con acceso condicional. Incluso
si no desea implementar MFA en toda su empresa, puede establecer el
MFA para que se emplee solo para usuarios de VPN que utilicen la
capacidad de acceso condicional.
Más información sobre la configuración de MFA para el acceso VPN
Puede ver los pasos para configurar MFA para el acceso VPN
en http://aka.ms/az500mfa .
Cifrado ExpressRoute
Si su escenario de conectividad requiere un mayor nivel de confiabilidad,
velocidades más rápidas, latencias consistentes y mayor seguridad que las
conexiones típicas a través de Internet, debe usar ExpressRoute, que
proporciona conectividad de capa 3 entre su red local y Microsoft Cloud.
ExpressRoute admite dos tecnologías de cifrado diferentes para
garantizar la confidencialidad y la integridad de los datos que se
transmiten desde las instalaciones a la red de Microsoft. Las opciones son
• Cifrado punto a punto por MACsec
• Cifrado de extremo a extremo por IPSec
MACsec cifra los datos en el nivel de control de acceso a medios (MAC) o
en la capa de red 2. Cuando habilita MACsec, todo el tráfico de control de
red se cifra, lo que incluye el tráfico de datos del protocolo de puerta de
enlace fronteriza (BGP) y su tráfico de datos (del cliente) . Esto significa
que no puede cifrar solo algunos de sus circuitos ExpressRoute.
Si necesita cifrar los enlaces físicos entre sus dispositivos de red y los
dispositivos de red de Microsoft cuando se conecta a Microsoft a través de
ExpressRoute Direct, se prefiere MACsec. MACsec también le permite
traer su propia clave MACsec para el cifrado y almacenarla en Azure Key
Vault. Si esta es la opción de diseño, recuerde que deberá decidir cuándo
girar la llave.
Sugerencia Expressroute Direct
Aunque MACsec solo está disponible en ExpressRoute Direct, viene deshabilitado de
forma predeterminada en los puertos ExpressRoute Direct.
Punto a sitio
Para implementar una VPN de punto a sitio (P2S) en Azure, primero debe
decidir qué método de autenticación usará en función de las opciones que
se presentaron anteriormente en esta sección. El método de autenticación
dictará cómo se configurará la VPN P2S. Al configurar la VPN P2S, verá las
opciones disponibles en Tipo de túnel , como se muestra en la Figura 2-
13 .
Figura 2-13 Diferentes opciones para el túnel VPN
• Otra variable importante a seleccionar es el protocolo que se
utilizará. Utilice la Tabla 2-1 para seleccionar el protocolo más
apropiado según las ventajas y limitaciones:
Tabla 2-1 Ventajas y limitaciones
Protocolo Ventajas Limitaciones
Protocolo Esta es una solución basada en TLS VPN No se admite el SKU básic
OpenVPN que puede atravesar la mayoría de los
firewalls del mercado. No disponible para el mod
implementación clásico.
Se puede utilizar para conectarse desde
una variedad de sistemas operativos,
incluidos dispositivos Android, iOS
(versiones 11.0 y superiores), Windows,
Linux y Mac (versiones OSX 10.13 y
superiores).
Protocolo Ventajas Limitaciones
Sitio a Sitio
En la mayoría de los escenarios se usa una VPN de sitio a sitio (S2S) para
permitir la comunicación desde una ubicación (local) a otra (Azure) a
través de Internet. Para configurar un S2S, es necesario que se cumplan
los siguientes requisitos previos antes de comenzar:
• Un dispositivo VPN local que es compatible con la
configuración basada en políticas o la configuración basada en
rutas de Azure VPN. Consulte la lista completa
en https://aka.ms/az500s2sdevices .
• Dirección IPv4 pública externa.
• Rango de direcciones IP de su red local que se utilizará para
permitir que Azure se enrute a su ubicación local.
Más información Más información Creación de una VPN S2S
Una vez que tenga esos requisitos, puede crear su VPN S2S. Para obtener más
información sobre los pasos, consulte https://aka.ms/az500s2svpn . Si su conexión VPN
es a través de IPsec (IKE v1 e IKE v2), debe tener un dispositivo VPN o un RRAS.
Siga los pasos a continuación para crear y configurar un NSG, que en este
ejemplo, se asociará con una subred:
1. Navegue hasta Azure Portal abriendo https://portal.azure.com .
2. En la barra de búsqueda, escriba seguridad de red y, en Servicios ,
haga clic en Grupos de seguridad de red ; la seguridad de la red
Grupos aparece la página.
3. Haga clic en el botón Agregar ; la Creación de seguridad de red
Grupo aparece la página, como se muestra en la figura 2-15 .
"westus"
Siga estos pasos para crear una regla de entrada que permita el tráfico
FTP desde cualquier origen a un servidor específico mediante Azure
Portal:
1. En la página NSG, en Configuración en el panel de navegación
izquierdo, haga clic en Reglas de seguridad de entrada .
2. Haga clic en el botón Agregar ; el Agregar regla de seguridad
entrante cuchilla aparece, como se muestra en la Figura 2-16 .
Figura 2-16 Creación de una regla de seguridad entrante para su
NSG
3. En esta hoja, comienza especificando la fuente, que puede ser una
dirección IP, una etiqueta de servicio o un ASG. Si deja la opción
predeterminada ( Cualquiera ), está permitiendo cualquier
fuente. Para este ejemplo, deje esto establecido en Cualquiera .
4. En el campo Rangos de puertos de origen , puede reforzar el
puerto de origen. Puede especificar un solo puerto o un
intervalo. Por ejemplo, puede permitir el tráfico desde los puertos
50 a 100. Además, puede usar una coma para agregar otra
condición al rango, como 50-100, 135, que especifica los puertos 50 a
100 y 135. Deje la selección predeterminada ( * ), que permite
cualquier Puerto de origen.
5. En el campo Destino , las opciones son casi las mismas que en
el campo Origen . La única diferencia es que puede seleccionar la
red virtual como destino. Para este ejemplo, cambie esta opción
a Direcciones IP e ingrese la dirección IP interna de la VM que creó
al principio de este capítulo.
6. En el campo Rangos de puertos de destino , especifique el puerto
de destino que se permitirá. El puerto predeterminado es
8080; para este ejemplo, cámbielo a 21.
7. En el campo Protocolo , puede seleccionar qué protocolo va a
permitir; en este caso, cámbielo a TCP .
8. Deje el campo Acción establecido en Permitir , que es la selección
predeterminada.
9. También puede cambiar la Prioridad de esta regla. Recuerde que la
prioridad más baja se evalúa primero. Para este ejemplo, cámbielo
a 101 .
10. En el campo Nombre , cámbielo a AZ500NSGRule_FTP y
haga clic en el botón Agregar .
Se creará el NSG y se agregará una nueva regla a las reglas de entrada. En
este punto, sus reglas de entrada deberían parecerse a las reglas que se
muestran en la Figura 2-17 .
Figura 2-17 Lista de reglas de entrada
Si bien estos son los pasos para crear la regla de entrada, este NSG no
sirve de nada si no está asociado con una subred o una interfaz de red
virtual. Para este ejemplo, asociará este NSG a una subred. La intención es
bloquear todo el tráfico a esta subred y solo permitir el tráfico FTP a este
servidor específico. Utilice los siguientes pasos para crear esta asociación:
1. En el panel de navegación izquierdo de la página Reglas de
seguridad de entrada de NSG en Configuración , haga clic
en Subredes .
2. Haga clic en el botón Asociar y, en el menú desplegable Red
virtual , seleccione la red virtual donde reside la subred.
3. Después de esta selección, verá que aparece el menú
desplegable Subred ; seleccione la subred y haga clic en
el botón Aceptar .
También puede usar PowerShell para crear un NSG y luego asociar el NSG
a una subred. Para crear un NSG con PowerShell, use el New-
AzNetworkSecurityRuleConfigcmdlet, como se muestra en el siguiente
ejemplo:
Haga clic aquí para ver la imagen del código
$ MyRule1 = New-AzNetworkSecurityRuleConfig -Name ftp-rule -
Description "Allow FTP"
-SourcePortRange * -DestinationAddressPrefix * -
DestinationPortRange 21
NOSOTROS"
Ahora, cuando cree su nueva regla NSG para el tráfico entrante o saliente,
puede seleccionar el ASG como origen o destino.
$ AppCollectionRule = New-AzFirewallApplicationRuleCollection
-Name App-Coll01 `
$ Azfw.ApplicationRuleCollections = $ AppRuleCollection
Registros de firewall
Cuando los administradores del sistema necesitan auditar los cambios de
configuración en Azure Firewall, deben usar los registros de actividad de
Azure. Por ejemplo, la creación de esas dos reglas (aplicación y red)
aparecerá en el Registro de actividad, que se verá similar a la Figura 2-27 .
Figura 2-27 Registros de actividad que muestran los cambios en Azure
Firewall
Si bien estas acciones se registran automáticamente en el registro de
actividad de Azure, el registro de diagnóstico para las reglas de la
aplicación y la red no está habilitado de forma predeterminada. También
puede habilitar las métricas de Firewall. Estas métricas se recopilan cada
minuto y pueden ser útiles para alertar porque se pueden muestrear con
frecuencia. Cuando habilita la recopilación de métricas, las siguientes
métricas estarán disponibles para Azure Firewall:
• Recuento de aciertos de las reglas de la aplicación
• Recuento de aciertos de las reglas de red
• Datos procesados
• Estado de salud del cortafuegos
• Utilización del puerto SNAT
Estas métricas y el registro de diagnóstico para la aplicación y la regla de
red se pueden habilitar en el panel de Azure Firewall. Utilice los
siguientes pasos para habilitar estos registros:
1. En la página Cortafuegos , en el panel de navegación izquierdo, en
la sección Supervisión , haga clic en Configuración de
diagnóstico . La configuración de diagnóstico aparece la página,
como se muestra en la figura 2-28 .
Figura 2-28 Página de configuración de diagnóstico
2. Haga clic en la opción Agregar configuración de diagnóstico , que
hace que aparezca la hoja Configuración de diagnóstico , como se
muestra en la Figura 2-29 .
-Habilitado $ verdadero
-DefaultAction Deny
Implementar DDoS
De forma predeterminada, la protección básica de denegación de servicio
distribuida (DDoS) de Azure ya está habilitada en su suscripción. Esto
significa que el monitoreo del tráfico y la mitigación en tiempo real de los
ataques comunes a nivel de red están completamente cubiertos y brindan
el mismo nivel de defensa que los utilizados por los servicios en línea de
Microsoft.
Si bien la protección básica proporciona mitigaciones automáticas de
ataques contra DDoS, hay algunas capacidades que solo proporciona el
nivel DDoS Standard. Los requisitos de la organización lo llevarán a
determinar qué nivel utilizará. En un escenario en el que Contoso necesita
implementar protección DDoS en el nivel de la aplicación, necesita tener
métricas de ataque en tiempo real y registros de recursos disponibles
para su equipo. Contoso también necesita crear informes de mitigación
posteriores al ataque para presentarlos a la administración
superior. Estos requisitos solo pueden ser cumplidos por el nivel DDoS
Standard. La Tabla 2-2 proporciona un resumen de las capacidades
disponibles para cada nivel:
Tabla 2-2 Azure DDoS básico frente a estándar
Capacidad DDoS básico Estándar D
Mitigación automática de X X
ataques
Personalización de la No disponible. X
política de mitigación
Para configurar Azure DDoS, su cuenta debe ser miembro del rol
Colaborador de red, o puede crear un rol personalizado que tenga
privilegios de lectura, escritura y eliminación
en Microsoft.Network/ddosProtectionPlansy privilegio de acción
en Microsoft.Network/ddosProtectionPlans/join. Su rol personalizado
también debe tener privilegios de lectura, escritura y eliminación
en Microsoft.Network/virtualNetworks. Después de otorgar acceso al
usuario, siga los siguientes pasos para crear un plan de protección DDoS:
1. Vaya al portal de Azure en https://portal.azure.com .
2. En la barra de búsqueda, escriba DDoS y en Servicios , haga clic
en Planes de protección contra DDoS .
3. En la página Planes de protección DDoS , haga clic en
el botón Agregar ; el crear un Plan de Protección DDoS aparece
la página, como se muestra en la figura 2-52 .
Figura 2-52 Crear un plan de protección DDoS
4. En el campo Nombre , escriba el nombre de esta protección DDoS.
5. En el campo Suscripción , seleccione la suscripción adecuada.
6. En el campo Grupo de recursos , haga clic en el menú desplegable
y seleccione el grupo de recursos que desee.
7. En el campo Ubicación , seleccione la región para el DDoS.
8. Antes de hacer clic en el botón Crear , lea la nota que se encuentra
debajo de este botón. Esta nota enfatiza que al hacer clic en Crear ,
conoce el precio de la protección DDoS. Debido a que no hay un
período de prueba para esta función, se le cobrará durante el
primer mes de uso de esta función.
9. Después de hacer clic en Crear , vaya a la barra de búsqueda,
escriba red y haga clic en Redes virtuales .
10. Haga clic en la red virtual para la que desea habilitar el
estándar DDoS.
11. En el panel de navegación izquierdo, haga clic en
la opción Protección DDoS .
12. Haga clic en la opción Estándar , como se muestra en
la Figura 2-53 .
Gestionar actualizaciones
Ahora que la solución Update Management está implementada en sus VM,
puede acceder a su panel para visualizar la lista de actualizaciones
faltantes y programar implementaciones de actualizaciones. Para acceder
al panel de Gestión de actualizaciones, siga los siguientes pasos:
1. Vaya al portal de Azure en https://portal.azure.com .
2. En la barra de búsqueda, escriba automatizar y en Servicios , haga
clic en Cuentas automatizadas .
3. Haga clic en la cuenta de automatización que utiliza su solución de
gestión de actualizaciones.
4. En el panel izquierdo, haga clic en Administración de
actualizaciones y, si se completa el análisis, aparecerá la lista de
actualizaciones, como se muestra en la Figura 2-64 .
Hay dos tipos principales de aislamiento para los clústeres de AKS: lógico
y físico. Debe utilizar el aislamiento lógico para separar equipos y
proyectos. Con el aislamiento lógico, un solo clúster de AKS se puede usar
para múltiples cargas de trabajo, equipos o entornos.
También se recomienda minimizar la cantidad de clústeres de AKS físicos
que implementa para aislar equipos o aplicaciones. La figura 2-
74 muestra un ejemplo de este aislamiento lógico.
Figura 2-74 Aislamiento lógico de AKS
El aislamiento lógico puede ayudar a minimizar los costos al habilitar el
ajuste de escala automático y ejecutar solo la cantidad de nodos
necesarios a la vez.
El aislamiento físico generalmente se selecciona cuando tiene un entorno
hostil de múltiples inquilinos en el que desea evitar por completo que un
inquilino afecte la seguridad y el servicio de otro. El aislamiento físico
significa que debe separar físicamente los clústeres de AKS. En este
modelo de aislamiento, a los equipos o cargas de trabajo se les asignan
sus propios clústeres de AKS. Si bien este enfoque generalmente parece
más fácil de aislar, agrega gastos administrativos y financieros
adicionales.
"MyResourceGroup" -EnabledForDiskEncryption
-DiskEncryptionKeyVaultUrl $ AKeyVault.VaultUri -
DiskEncryptionKeyVaultId $ AKeyVault.
ResourceId
DataVolumesEncrypted: NoDiskFound
OsVolumeEncryptionSettings:
Microsoft.Azure.Management.Compute.Models.
DiskEncryptionSettings
Protección de Cifrado del lado del El contenido del archivo del sitio de App
Datos servidor en reposo: almacena en Azure Storage, que cifra aut
claves administradas por contenido en reposo, y los secretos propo
Microsoft cliente se cifran en reposo.
Actualizaciones automáticas
Dado que App Service es una plataforma como servicio (PaaS), Azure
administra el sistema operativo (SO) y la pila de aplicaciones, lo que
significa que no debe preocuparse por la actualización de software. Azure
administra la revisión del sistema operativo en dos niveles: los servidores
físicos y las máquinas virtuales invitadas que ejecutan los recursos de
App Service. Ambos seguirán el ciclo regular de actualización de Microsoft
Patch Tuesday, que es una vez al mes, a menos que sea un parche de día
cero, que se manejará con mayor prioridad y probablemente fuera de
banda (fuera del ciclo regular de Patch Tuesday). Cuando se agrega una
nueva versión mayor o menor a App Service, se instala junto con las
versiones existentes.
App Service conserva su Acuerdo de nivel de servicio (SLA) incluso
durante las actualizaciones de parches, lo que significa que incluso si un
parche requiere que se reinicie una máquina virtual, no afectará la
producción de App Service porque siempre habrá búfer en capacidad.
El acceso a los parches en el registro
en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component
Based Servicing\Packagesestá bloqueado, aunque se puede consultar
información básica sobre el sistema operativo y las actualizaciones de
tiempo de ejecución utilizando Kudu Console
en https://github.com/projectkudu/kudu/wiki/Kudu-console . Por
ejemplo, si desea ver la versión de Windows, puede acceder a esta
URL: https: // <appname> .scm.azurewebsites.net / Env.cshtml .
Experimento mental
En este experimento mental, demuestre sus habilidades y conocimiento
de los temas cubiertos en este capítulo. Puede encontrar respuestas a este
experimento mental en la siguiente sección.
Gestionar operaciones de
seguridad
El objetivo principal de las operaciones de seguridad es mantener y
restaurar las garantías de seguridad de los sistemas cuando los
adversarios los atacan. El Instituto Nacional de Estándares y Tecnología
(NIST) describe las tareas de las operaciones de seguridad en su Marco de
Ciberseguridad, que son Detectar, Responder y Recuperar. Para poder
ejecutar esas funciones en un entorno de nube, no solo necesita el
enfoque correcto, sino que también debe comprender cómo funcionan las
herramientas nativas para proporcionarle los datos que necesita para
limitar el tiempo y el acceso que un atacante puede obtener a valiosos
sistemas y datos.
Azure tiene capacidades nativas que puede aprovechar para monitorear
continuamente las operaciones de seguridad de su entorno, de modo que
pueda identificar rápidamente las amenazas potenciales a sus cargas de
trabajo.
LogonType == 3
Una vez que agregue el nuevo estándar, se creará una nueva pestaña en el
panel principal de Cumplimiento normativo. Hay algunos escenarios en
los que es posible que deba enviar un informe resumido de su estado de
cumplimiento normativo a alguien. Si necesita hacer esto, puede usar
el botón Descargar informe en el panel principal de Cumplimiento
normativo .
Necesita obtener visibilidad sobre los usuarios en riesgo, los eventos de riesgo y Pr
las vulnerabilidades. ide
AD
Figura 3-58 Selección del libro de jugadas para una regla existente
25. Seleccione la Guía que creó y haga clic en el botón Siguiente:
Revisar> .
26. Haga clic en el botón Guardar .
Incidentes
Otra forma de evaluar los resultados en Azure Sentinel es observar los
incidentes. Cuando se crea un incidente en función de una alerta que se
activó, puede revisar este incidente en el panel de control y puede
remediar el incidente utilizando un libro de jugadas que creó
anteriormente. Además, puede investigar el incidente.
Para acceder al panel de incidentes, haga clic en Incidentes en
la sección Administración de amenazas en la página principal de Azure
Sentinel. La Figura 3-61 muestra un ejemplo de un incidente que se creó
en función de la alerta que creó anteriormente en este capítulo.
Caza de amenazas
La búsqueda de amenazas es el proceso de búsqueda iterativa a través de
una variedad de datos con el objetivo de identificar amenazas en los
sistemas. La caza de amenazas implica crear hipótesis sobre el
comportamiento de los atacantes e investigar las hipótesis y técnicas que
se utilizaron para determinar los artefactos que quedaron atrás.
En un escenario en el que un administrador de Contoso desea revisar de
forma proactiva los datos recopilados por Azure Sentinel para identificar
indicios de un ataque, la capacidad de búsqueda de amenazas es la forma
recomendada de realizar esta tarea. La búsqueda de amenazas proactiva
puede ayudar a identificar comportamientos de amenazas sofisticados
utilizados por los actores de amenazas, incluso cuando aún se encuentran
en las primeras etapas del ataque. Para acceder al panel
de Threat Hunting , haga clic en Hunting en la sección Threat
Management de la página principal de Azure Sentinel. La Figura 3-
63 muestra un ejemplo de este tablero.
Figura 3-63 Capacidad de búsqueda en Azure Sentinel
Para comenzar a buscar, solo necesita seleccionar la consulta predefinida,
que se creó para un escenario específico, y hacer clic en el botón Ejecutar
consulta en el panel de la derecha. Este panel muestra un resumen de los
resultados. Haga clic en el botón Ver resultados para ver los detalles
completos de la consulta.
Propietario de datos de Storage Blob Permite el acceso completo a los datos y los con
blobs de software de Azure.
Lector de datos de Storage Blob Puede ver y enumerar los contenedores y blobs
Lector de recursos compartidos SMB Tiene acceso de solo lectura a archivos y directo
de datos de archivos de compartidos de Azure.
almacenamiento
Rol de RBAC relacionado con el Descripción del rol de RBAC
almacenamiento
Remitente del mensaje de datos de Puede agregar mensajes a una cola de Azure Sto
la cola de almacenamiento
(Get-AzStorageAccountKey `
-ResourceGroupName <recurso-grupo> `
--ccount-name <storage-account>
-Nombre <cuenta-almacenamiento> `
-KeyName key1
--ccount-name <storage-account>
- clave primaria
Existen mecanismos que le permiten automatizar la rotación de las claves
de acceso a la cuenta de almacenamiento. Aprenderá sobre estos
mecanismos más adelante en este capítulo.
-Nombre <contenedor> `
-Permiso racwdl `
-ExpiryTime <fecha-hora>
-Contenedor <contenedor> `
-Blob <blob> `
-Permiso racwd `
-ExpiryTime <fecha-hora>
-FullUri
-StorageAccountName <storage-ccount>
--ccount-name <storage-account> \
--name <contenedor> \
--permisos acdlrw \
--expiry <fecha-hora> \
--auth-mode login \
--como usuario
--ccount-name <storage-account> \
--container-name <container> \
--nombre <blob> \
--permisos acdrw \
--expiry <fecha-hora> \
--auth-mode login \
--como usuario
--full-uri
--name <cuenta-almacenamiento> \
Permiso firmado (sp) Permisos necesarios para la cuenta SAS. Los permisos incluy
• Leer Válido para todos los tipos de recursos.
• Escritura Válida para todos los tipos de recursos.
• Eliminar Válido para los tipos de recursos de obje
contenedores, sin incluir los mensajes en cola.
• Lista Válida para tipos de recursos de contenedor
Parámetro de consulta Descripción
SAS
Protocolo firmado Opcional Determina qué protocolos se pueden usar para soli
(spr) con la cuenta SAS. Las opciones son HTTPS y HTTP o solo HTT
<Identificadores firmados>
<SignedIdentifier>
<AccessPolicy>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
Habilitación de la autenticación de AD DS
El primer paso al habilitar la autenticación de AD DS es crear una
identidad para representar la cuenta de almacenamiento en su instancia
de Active Directory local. Para hacer esto, primero cree una nueva clave
Kerberos para la cuenta de almacenamiento con los siguientes comandos
de Azure PowerShell de Cloud Shell:
Haga clic aquí para ver la imagen del código
$ ResourceGroupName = "<recurso-grupo-nombre-aquí>"
$ StorageAccountName = "<storage-account-name-here>"
New-AzStorageAccountKey -ResourceGroupName $
ResourceGroupName -Name $ StorageAccountName
-KeyName kerb1
Get-AzStorageAccountKey -ResourceGroupName $
ResourceGroupName -Name $ StorageAccountName
Una vez que se haya generado la clave, cree una cuenta de servicio en su
dominio local y configure la cuenta con el siguiente nombre principal de
servicio (SPN): "cifs/your-storage-account-name-
here.file.core.windows.net"usando el comando setspn.exe. Establezca la
contraseña de la cuenta en la clave Kerberos y configure la contraseña de
la cuenta para que nunca caduque y anote el identificador de seguridad de
la cuenta (SID). Puede usar el Get-AdUsercmdlet de PowerShell para
determinar el SID de una cuenta de usuario.
El siguiente paso es usar Azure PowerShell para habilitar la autenticación
de Active Directory. Puede hacer esto con el siguiente comando,
sustituyendo los valores apropiados:
Haga clic aquí para ver la imagen del código
Set-AzStorageAccount `
-ResourceGroupName "<your-resource-group-name-here>"
`
-Nombre "<su-nombre-cuenta-de-almacenamiento-aquí>" `
-EnableActiveDirectoryDomainServicesForFile $ true `
-ActiveDirectoryDomainName "<your-domain-name-here>"
`
-ActiveDirectoryNetBiosDomainName "<your-netbios-
domain-name-here>" `
-ActiveDirectoryForestName "<su-nombre-bosque-aquí>"
`
-ActiveDirectoryDomainGuid "<tu-guía-aquí>" `
-ActiveDirectoryDomainsid "<your-domain-sid-here>" `
-ActiveDirectoryAzureStorageSid "<your-storage-
account-sid>"
$ ResourceGroupName = "<recurso-grupo-nombre-aquí>"
$ StorageAccountName = "<storage-account-name-here>"
-ResourceGroupName $ ResourceGroupName `
-StorageAccountName $ StorageAccountName `
-DomainAccountType "<ComputerAccount |
ServiceLogonAccount>" `
-OrganizationalUnitDistinguishedName "<ou-
distinguishedname-here>" #
Si no proporciona el nombre de la unidad organizativa como parámetro
de entrada, la identidad de AD que representa la cuenta de
almacenamiento se crea en el directorio raíz.
El AzStorageAccountAuthcmdlet Debug- le permite realizar un conjunto de
comprobaciones básicas en su configuración de AD con el usuario de AD
que inició sesión una vez que haya realizado el registro de la cuenta:
Haga clic aquí para ver la imagen del código
Debug-AzStorageAccountAuth -StorageAccountName $
StorageAccountName -ResourceGroupName
$ ResourceGroupName -Verbose
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>"
`
-StorageAccountName "<your-storage-ccount-name-here>"
Configuración de permisos a nivel de recursos
compartidos
El permiso de nivel de recurso compartido se configura asignando roles
RBAC en el recurso compartido de archivos de Azure. Los siguientes tres
roles están disponibles para asignar permisos de uso compartido de
archivos:
• Lector de recursos compartidos SMB de datos de archivos
de almacenamiento Este rol proporciona acceso de lectura a los
archivos compartidos de Azure a través de SMB a los usuarios que
tienen este rol.
• Colaborador de recurso compartido de SMB de datos de
archivo de almacenamiento Este rol permite a los usuarios que lo
tienen leer, escribir y eliminar acceso a los recursos compartidos
de almacenamiento de Azure a través de SMB.
• Colaborador elevado del recurso compartido SMB de
datos de archivos de almacenamiento Este rol permite el acceso
de lectura, escritura y eliminación, así como la capacidad de
modificar las Listas de control de acceso (ACL) de Windows de los
recursos compartidos de archivos de Azure Storage a través de
SMB.
Cuando se asignan varios roles, los permisos son acumulativos. La
excepción a esta regla es cuando se aplica un permiso de denegación; en
este caso, el permiso de denegación anula cualquier permiso permitido. Si
bien es posible asignar roles de RBAC y, por lo tanto, configurar permisos
de nivel de recurso compartido en el nivel de cuenta de almacenamiento,
en su lugar debe asignar roles de RBAC a nivel de recurso compartido de
archivos individual. El control administrativo total de los archivos
compartidos, que incluye la capacidad de tomar posesión de los archivos,
actualmente requiere la clave de la cuenta de almacenamiento. No puede
tomar posesión de un archivo con las credenciales de Azure AD.
Autenticación de Azure AD DS
Anteriormente en este capítulo, aprendió sobre el uso de la autenticación
de AD DS local para proteger los recursos compartidos de archivos de
Azure. Además, puede usar Azure AD Domain Services para configurar la
autenticación para conexiones SMB a Azure File Shares. Azure AD Domain
Services es un servicio de Azure que funciona con Azure AD para
proporcionar la funcionalidad de los controladores de dominio en una
subred de Azure. Cuando habilita Azure AD DS, puede unirse a un
dominio de una máquina virtual de servidor o cliente de Windows
hospedada en una subred de Azure sin tener que implementar máquinas
virtuales que funcionen como controladores de dominio. No puede usar la
autenticación de Active Directory local y la autenticación de Azure AD DS
en la misma cuenta de almacenamiento o archivos compartidos.
Una vez que haya habilitado Azure AD DS en una suscripción, puede
habilitar el acceso basado en identidad a través de AD DS al crear la
cuenta de almacenamiento seleccionando la opción de identidad
de Azure Active Directory Domain Services (Azure AD DS) . También
puede habilitar esta opción en la página Configuración de la cuenta de
almacenamiento, como se muestra en la Figura 4-7 .
Figura 4-7 Habilitar la autenticación de Azure AD DS
También puede usar el Set-AzStorageAccountcmdlet de PowerShell con
el EnableAzureActiveDirectoryDomainServicesForFileparámetro para
habilitar la autenticación de Azure AD DS para un recurso compartido de
archivos de Azure. Por ejemplo, para habilitar la autenticación de Azure
AD DS para el recurso compartido de archivos de Azure
denominado tailwind-filesalmacenado en el grupo de recursos FilesRG,
ejecute este comando de PowerShell:
Haga clic aquí para ver la imagen del código
Set-AzStorageAccount -ResourceGroupName "FilesRG" `
-Nombre "archivos-viento-de-cola" `
-EnableAzureActiveDirectoryDomainServicesForFile $ true
-Nombre <cuenta-almacenamiento>
-Contenedor <contenedor> `
-Blob <blob>
$ blob.ICloudBlob.Properties.IsServerEncrypted
Para comprobar el estado de cifrado del blob mediante la CLI de Azure,
utilice el siguiente comando sustituyendo los valores del código de
ejemplo por los valores del blob que desea comprobar:
Haga clic aquí para ver la imagen del código
az Storage blob show \
--ccount-name <storage-account> \
--container-name <container> \
--nombre <blob> \
- consulta "properties.serverEncrypted"
Cifrado de infraestructura
Como aprendió anteriormente en este capítulo, Azure Storage cifra
automáticamente todos los datos de una cuenta de Azure Storage
mediante el cifrado AES de 265 bits. Cuando habilita el cifrado de
infraestructura, los datos de la cuenta de almacenamiento se cifrarán dos
veces. Los datos se cifran primero mediante un algoritmo de cifrado y una
clave en el nivel de servicio y luego se cifran en el nivel de infraestructura
mediante un algoritmo de cifrado y una clave de cifrado
independientes. Este doble cifrado protege los datos si uno de los
algoritmos o claves de cifrado se ve comprometido. Si bien el cifrado de
nivel de servicio le permite usar claves administradas por Microsoft o
administradas por el cliente, el cifrado de nivel de infraestructura solo usa
una clave administrada por Microsoft. El cifrado de infraestructura debe
estar habilitado durante la creación de la cuenta de almacenamiento.
Más información Cuenta de almacenamiento con cifrado de infraestructura
Puede obtener más información sobre el cifrado de infraestructura para cuentas de
almacenamiento en https://docs.microsoft.com/en-
us/azure/storage/common/infrastructure-encryption-enable .
Ámbitos de cifrado
Las cuentas de Azure Storage usan una única clave de cifrado para todas
las operaciones de cifrado en la cuenta de almacenamiento. Los ámbitos
de cifrado le permiten configurar claves de cifrado independientes en los
niveles de contenedor y blob. Esto permite escenarios como almacenar
datos de clientes de diferentes clientes en la misma cuenta de
almacenamiento mientras que los datos de cada cliente están protegidos
por una clave de cifrado diferente.
Para crear un nuevo alcance de cifrado, realice los siguientes pasos:
1. En Azure Portal, abra la cuenta de almacenamiento para la que
desea configurar los ámbitos de cifrado.
2. En la página de la cuenta de almacenamiento, seleccione Cifrado ,
como se muestra en la Figura 4-11 y luego seleccione Ámbitos de
cifrado .
Figura 4-11 Ámbitos de cifrado
3. En la página Ámbito de cifrado , haga clic en Agregar .
4. En la página Crear alcance de cifrado , proporcione un nombre de
alcance de cifrado y luego especifique si el alcance de cifrado
utilizará claves administradas por Microsoft o claves administradas
por el cliente, como se muestra en la Figura 4-12 .
Figura 4-12 Crear ámbito de cifrado
Una vez que tenga los alcances de cifrado presentes para una cuenta de
almacenamiento, puede especificar qué alcance de cifrado se usará para
blobs individuales cuando cree el blob o especificar un alcance de cifrado
predeterminado cuando cree un contenedor, como se muestra en
la Figura 4-13 .
Figura 4-13 Alcance de cifrado de contenedor nuevo
Puede modificar la clave de cifrado para un ámbito de cifrado realizando
los siguientes pasos:
1. En Azure Portal, abra la cuenta de almacenamiento para la que
desea configurar los ámbitos de cifrado.
2. En la página de la cuenta de almacenamiento,
seleccione Cifrado > Ámbitos de cifrado .
3. Seleccione el botón Más junto al ámbito de cifrado para el que
desea actualizar la clave de cifrado.
4. En la página Editar alcance de cifrado que se muestra en la Figura
4-14 , cambie el Tipo de cifrado y luego haga clic en Guardar .
Obtener Ver la versión actual del certificado Descifrar Realice una Obtenga
en Key Vault. operación de descifrado
con la clave. Lista List
Lista Muestra los certificados actuales y las versiones
versiones de certificados en Key Vault. Encriptar Realiza una
operación de encriptación Establece
Eliminar Elimina un certificado de Key con la clave. secreto.
Vault.
UnwrapKey Utilice la Eliminar
Crear Crear un certificado de Key Vault. clave para descifrar la secreto.
Importar Importar material de certificado a clave. Copia de
un certificado de Key Vault. WrapKey Utilice la clave de segurid
para el cifrado de claves. Key Vault
Actualizar Actualiza un certificado en Key
Vault. Verificar Utilice la clave Restaura
para verificar una firma. secreto gu
Administrar contactos Administre los Vault.
contactos del certificado de Key Vault. Firmar Utilice la clave
para la operación de firma. Recupera
Getissuers Ver la autoridad emisora del secreto el
certificado Obtenga Leer las partes
públicas de una clave. Purgar E
Listissuers Muestra la información de la permanen
autoridad emisora de un certificado. Lista Lista todas las claves secreto el
Setissuers Actualizar una autoridad de de la bóveda.
certificación o emisores de Key Vault.
Permisos de certificado Permisos clave Permisos
-PermissionsToCertificates <permissions-to-certificates> -
ObjectId <Id>
Administrar certificados
Azure Key Vault admite las siguientes acciones de administración para
certificados x509:
• Permite la creación de un certificado x509 o la importación de
un certificado x509
• Admite certificados generados por la autoridad de
certificación y certificados autofirmados
• Permite al propietario de un certificado de Key Vault
almacenar ese certificado de forma segura sin necesidad de acceder
a la clave privada.
• Permite al propietario de un certificado configurar políticas
que permitan a Key Vaults administrar los ciclos de vida de los
certificados.
• Permite a los propietarios de certificados proporcionar
información de contacto para que puedan ser notificados sobre
eventos del ciclo de vida, incluida la expiración y renovación de
certificados.
• Se puede configurar para admitir la renovación automática de
certificados con autoridades de certificación específicas del socio
de Key Vault x509
Las políticas de certificados brindan información a Key Vault sobre cómo
crear y administrar el ciclo de vida de un certificado almacenado en Key
Vault. Esto incluye información sobre si la clave privada del certificado es
exportable. Cuando crea un certificado en un Key Vault por primera
veztiempo, se debe proporcionar una póliza. Una vez que se establezca
esta política, no necesitará la política para las operaciones de creación de
certificados posteriores. Las políticas de certificados contienen los
siguientes elementos:
• Propiedades del certificado X509 Incluye el nombre del
sujeto, los nombres alternativos del sujeto y otras propiedades
utilizadas durante la creación de un certificado x509.
• Propiedades de la clave Especifica el tipo de clave, la
longitud de la clave, si la clave es exportable y cómo se debe tratar
la clave en los campos de renovación. Estas propiedades
proporcionan instrucciones sobre cómo Key Vault genera una clave
de certificado.
• Propiedades secretas Especifica propiedades secretas,
incluido el tipo de contenido utilizado para generar el valor secreto,
al recuperar un certificado como secreto de Key Vault.
• Acciones de por vida Especifica la configuración de por vida
para el certificado de Azure Key Vault. Esto incluye el número de
días antes del vencimiento y una opción de acción, que envía
correos electrónicos a los contactos especificados o activa la
renovación automática del certificado.
• Emisor Incluye información sobre el emisor del certificado
x509.
• Atributos de la política Enumera los atributos asociados con
la política.
Actualmente, Azure Key Vault puede trabajar con dos proveedores de
emisión de certificados para certificados TLS / SSL: DigiCert y
GlobalSign. Cuando incorpora un proveedor de autoridad de certificación,
obtiene la capacidad de crear certificados TLS / SSL que incluyen al
proveedor de la autoridad de certificación como el vértice de la lista de
certificados de confianza. Esto garantiza que los certificados creados a
través de Azure Key Vault sean de confianza para terceros que confían en
el proveedor de la autoridad de certificación.
La información de contactos del certificado incluye las direcciones a las
que se envían las notificaciones cuando se producen eventos específicos
del ciclo de vida del certificado. La información de contacto del certificado
se comparte entre todos los certificados generados por Key Vault. Si ha
configurado la política de un certificado para que se produzca la
renovación automática, se enviarán notificaciones
• Antes de la renovación del certificado.
• Después de una renovación automática exitosa del certificado.
• Si ocurre un error durante la renovación automática.
• Si la renovación manual está configurada, se le proporciona
una advertencia de que debe renovar el certificado.
Más información Almacenamiento de certificados X509 en Key Vault
Puede obtener más información sobre el almacenamiento de certificados x509 en Key
Vault en https://docs.microsoft.com/en-us/azure/key-vault/certificates/about-certificates .
"política": {
"x509_props": {
},
"emisor": {
"nombre": "mydigicert",
"cty": "OV-SSL",
"nombre": "Yo"
Puede importar un certificado X509 en Key Vault que haya sido emitido
por otro proveedor, siempre que tenga el certificado en formato PEM o
PFX y tenga el certificado privado clave. Puede realizar una importación a
través de Azure Portal, como se muestra en la Figura 4-39 , mediante el az
certificate importcomando de la CLI de Azure o mediante el Import-
AzKeyVaultCertificatecmdlet de PowerShell.
Figura 4-39 Importar un certificado
Puede usar los cmdlets de PowerShell en la Tabla 4-4 para administrar los
certificados de Azure Key Vault.
Tabla 4-4 cmdlets de PowerShell para administrar las certificaciones de
Azure Key Vault
Cmdlet de PowerShell Descripción
Add-AzKeyVaultCertificate
Agrega un certificado a Azure Key Vault
Add-AzKeyVaultCertificateContact
Agrega un contacto para notificaciones de
Backup-AzKeyVaultCertificate
Realiza una copia de seguridad de un certif
en Azure Key Vault
Cmdlet de PowerShell Descripción
Get-AzKeyVaultCertificate
Ver un certificado de Key Vault
Get-AzKeyVaultCertificateContact
Ver los contactos registrados con Key Vaul
notificaciones
Get-AzKeyVaultCertificateIssuer
Ver los emisores de certificados configurad
Vault
Get-AzKeyVaultCertificateOperation
Ver el estado de cualquier operación en Ke
Get-AzKeyVaultCertificatePolicy
Ver la política de certificados en un Key Va
New-AzVaultCertificateAdministratorDetail
Crear un objeto de detalles de administrad
en memoria
New-
AzKeyVaultCertificateOrganizationDetail Crea un objeto de detalles de organización
New-AzKeyVaultCertificatePolicy
Crea un objeto de política de certificado en
Remove-AzKeyVaultCertificate
Remota un certificado desde un Key Vault
Remove-AzKeyVaultCertificateContact
Elimina un contacto registrado para notific
Vault
Remove-AzKeyVaultCertificateIssuer
Elimina una autoridad de certificación emi
de Key Vault
Remove-AzKeyVaultCertificateOperation
Elimina una operación que se está ejecutan
Vault
Restore-AzKeyVaultCertificate
Restaura un certificado a partir de una cop
Cmdlet de PowerShell Descripción
Set-AzKeyVaultCertificateIssuer
Configura una autoridad de certificación d
Key Vault
Set-AzKeyVaultCertificatePolicy
Crea o modifica una política de certificados
Stop-AzKeyVaultCertificateOperation
Cancela una operación pendiente en un Ke
Undo-AzKeyVaultCertificateRemoval
Recupera un certificado eliminado y lo colo
activo
Update-AzKeyVaultCertificate
Modifica los atributos editables de un certi
Si prefiere usar la CLI de Azure para administrar certificados en Azure
Key Vault, puede usar los comandos que se muestran en la Tabla 4-5 .
Tabla 4-5 Comandos de la CLI de Azure para administrar las
certificaciones de Azure Key Vault
Mando Descripción
Az keyvault certificate backup
Copia de seguridad de un certificado x509 en Azure K
Az keyvault certificate
download Descarga la parte pública de un certificado de Azure K
Gestionar secretos
Los secretos, en el contexto de Azure KeyVault, le permiten almacenar de
forma segura elementos como contraseñas y cadenas de conexión de
bases de datos. Key Vault cifra automáticamente todos los secretos
almacenados. Este cifrado es transparente. Key Vault cifrará un secreto
cuando lo agregue y lo descifrará cuando un usuario autorizado acceda al
secreto desde la bóveda. Cada clave de cifrado de Key Vault es única para
Azure Key Vault.
Los secretos de Key Vault se almacenan con un identificador y el secreto
en sí. Cuando desee recuperar el secreto, especifique el identificador en la
solicitud a Key Vault. Puede agregar un secreto a un Key Vault usando
el az keyvault secret setcomando. Por ejemplo, para agregar un secreto al
Key Vault nombrado TailwindKVdonde está el nombre del identificador
secreto Alphay el valor del secreto Omega, debe ejecutar este comando:
conjunto secreto az keyvault \
--nombre Alpha \
--valor Omega \
$ valorsecreto
Get-AzKeyVaultSecret
Ver los secretos en un Key Vault
Remove-AzKeyVaultSecret
Elimina un secreto de Key Vault
Restore-AzKeyVaultSecret
Restaura un secreto de Key Vault a partir de una copia de
Set-AzKeyVaultSecret
Crea o modifica un secreto en un Key Vault
Undo-
AzKeyVaultSecretRemoval Recupera un secreto eliminado que no se ha eliminado d
permanente
Update-AzKeyVaultSecret
Actualiza los atributos de un secreto en un Key Vault.
Puede usar los comandos de la CLI de Azure en la Tabla 4-7 para
administrar los secretos de Key Vault.
Tabla 4-7 Comandos de la CLI de Azure para administrar secretos de Key
Vault
Comando de la CLI de Descripción
Azure
Az keyvault secret backup
Realiza una copia de seguridad de un secreto específico d
Administrar claves
Las claves criptográficas almacenadas en Azure Key Vault se almacenan
como objetos JSON Web Key (JWK). Azure Key Vault solo admite claves
RSA y de curva elíptica (EC). Azure Key Vault admite dos tipos de
protección para claves, protección de software y protección de módulo
seguro de hardware (HSM). Estas diferencias se manifiestan de la
siguiente manera:
• Claves protegidas por software Azure Key Vault procesa la
clave en software. La clave está protegida mediante cifrado en
reposo, con la clave del sistema almacenada en un HSM de
Azure. Las claves RSA o EC se pueden importar a Azure Key Vault
configurado para protección de software. También puede
configurar Azure Key Vault para crear una clave que use estos
algoritmos.
• Claves protegidas por HSM La clave se almacena en un HSM
especialmente asignado. Los clientes pueden importar claves RSA o
EC desde una fuente protegida por software o desde un dispositivo
HSM compatible. También puede usar el plano de administración
de Azure para solicitar que Key Vault genere una clave con estos
algoritmos. Cuando utiliza claves protegidas por HSM,
el key_hsmatributo se agrega al JWK.
Azure Key Vault permite realizar las siguientes operaciones en objetos
clave:
• Crear Esta operación permite que un principal de seguridad
cree una clave. El valor de la clave será generado por Key Vault y
almacenado en la bóveda. Key Vault admite la creación de claves
asimétricas.
• Importar Permite a la entidad de seguridad importar una
clave existente en Key Vault. Key Vault admite la importación de
claves asimétricas.
• Actualizar Permite que una entidad de seguridad modifique
los atributos de clave (metadatos) asociados con una clave
almacenada en Key Vault.
• Eliminar Permite que una entidad de seguridad elimine una
clave de Key Vault.
• Lista Permite que una entidad de seguridad enumere todas
las claves de un Key Vault.
• Listar versiones Permite que una entidad de seguridad vea
todas las versiones de una clave específica en un Key Vault.
• Obtener Permite que una entidad de seguridad vea los
elementos públicos de una clave específica almacenada en un Key
Vault.
• Copia de seguridad Exporta una clave de Key Vault en forma
protegida.
• Restaurar Importa una clave de Key Vault exportada
anteriormente.
Puede usar claves almacenadas en Azure Key Vault para realizar las
siguientes operaciones criptográficas:
• Firmar y verificar
• Encriptación / envoltura de claves
• Cifrar y descifrar
Puede administrar las claves de Key Vault mediante Azure Portal
navegando hasta Key Vault y seleccionando Claves en Configuración ,
como se muestra en la Figura 4-41 .
Figura 4-41 Página de teclas
Para crear una clave con Azure Key Vault en Azure Portal, realice los
siguientes pasos:
1. En Azure Portal, abra el Key Vault en el que desea crear la clave y
navegue hasta Claves en la sección Configuración .
2. En la página Claves , haga clic en Generar / Importar . Esto abrirá
la página Crear una clave .
3. En la página Crear una clave que se muestra en la Figura 4-42 ,
asegúrese de que el menú desplegable Opciones esté configurado
en Generar . Proporcione un nombre para la clave, especifique las
propiedades de la clave, especifique si la clave tiene una fecha de
activación o de vencimiento y especifique si la clave está
habilitada. Azure Key Vault generará la clave cuando haga clic
en Crear .
Figura 4-42 Creación de una clave
Puede usar los cmdlets de Azure PowerShell en la Tabla 4-8 para
administrar las claves de Azure Key Vault.
Tabla 4-8 PowerShell cmdlets para administrar claves de Azure Key Vault
Cmdlet de PowerShell Descripción
Add-AzKeyVaultKey
Crea o importa una clave en Azure Key Vault
Backup-AzKeyVaultKey
Realiza una copia de seguridad de una clave almacenada en A
Get-AzKeyVaultKey
Visualiza las claves almacenadas en Azure Key Vault
Remove-AzKeyVaultKey
Elimina una clave almacenada en Azure Key Vault
Restore-AzKeyVaultKey
Recupera una clave del almacén de claves de Azure desde un
seguridad
Undo-
AzKeyVaultKeyRemoval Recuperar una clave eliminada de Azure Key Vault
Update-AzKeyVaultKey
Le permite actualizar los atributos de una clave almacenada
claves de Azure.
Puede usar los comandos de la CLI de Azure en la Tabla 4-9 para
administrar las claves de Azure Key Vault.
Tabla 4-9 Comandos de la CLI de Azure para administrar claves de Azure
Key Vault
Mando Descripción
Az keyvault key backup
Realiza una copia de seguridad de una clave de Azure Key
Girar secretos
Anteriormente en este capítulo, aprendió sobre el concepto de rotación
de claves que siguió a este proceso:
1. Las claves de acceso a una cuenta de almacenamiento se rotaron a
través de un proceso mediante el cual las aplicaciones que
utilizaron la primera clave se cambiaron a la segunda clave.
2. La primera llave fue retirada y reemplazada.
3. Finalmente, las aplicaciones se volvieron a migrar para usar la
primera clave.
4. Una vez que las aplicaciones se volvieron a migrar a la primera
clave, se reemplazó la segunda clave y el proceso pudo comenzar de
nuevo.
Si bien Microsoft recomienda el uso de la identidad en lugar de los
secretos para la autenticación, hay cargas de trabajo que se ejecutan en
Azure que no pueden aprovechar la autenticación basada en identidad y,
en su lugar, deben depender de claves y secretos para la autenticación.
Cuando publica un secreto en Azure Key Vault, puede especificar una
fecha de vencimiento para ese secreto, como se muestra en la Figura 4-
43 . Puede usar la publicación de un evento de "casi caducidad" en Azure
Event Grid como disparador de una aplicación de funciones que generaría
una nueva versión del secreto y que luego actualiza la carga de trabajo
relevante para usar el secreto recién generado, permitiendo el secreto
existente. para ser descartado.
Figura 4-43 Creación de un secreto
Más información Rotate Secrets
Puede obtener más información sobre la automatización de la rotación secreta
en https://docs.microsoft.com/en-us/azure/key-vault/secrets/tutorial-rotation .
Backup-AzureKeyVaultKey
Use este cmdlet para realizar una copia de seguridad de
Azure Key Vault.
Comando de Azure Descripción
PowerShell
Backup-AzureKeyVaultSecret
Use este cmdlet para realizar una copia de seguridad de
específico que está almacenado en Azure Key Vault.
Puede usar los comandos de Azure PowerShell en la Tabla 4-13 para
restaurar elementos de Key Vault.
Tabla 4-13 Comandos de Azure PowerShell para restaurar elementos de
Key Vault
Comando de Azure Descripción
PowerShell
Restore-
AzureKeyVaultCertificate Use este cmdlet para restaurar certificados específicos
Azure Key Vault.
Restore-AzureKeyVaultKey
Use este cmdlet para restaurar una clave de Azure Key
Restore-AzureKeyVaultSecret
Use este cmdlet para restaurar un secreto específico qu
almacenado en Azure Key Vault.
Más información Copia de seguridad y recuperación de elementos de Key Vault
Puede obtener más información sobre la copia de seguridad y la recuperación de Key
Vault en https://docs.microsoft.com/en-us/azure/key-vault/general/backup .
Experimento mental
En este experimento mental, demuestre sus habilidades y conocimiento
de los temas cubiertos en este capítulo. Puede encontrar respuestas a este
experimento mental en la siguiente sección.
A
control de acceso, 38 - 63 , 74 - 85
Revisiones de acceso, 40 - 42
activar / configurar PIM, 43 - 45
administrar usuarios de MFA, 54 - 60
configuración de bloqueo de cuenta, 57
bloquear / desbloquear usuarios, 58
configuración de alerta de fraude, 58
Fichas de OATH, 59
configuración de llamadas telefónicas, 59
utilización de informes, 60
acceso a aplicaciones, 64 - 73
Políticas de gestión de API, 73
asignación, 66 - 70
permiso consentimiento, 71 - 73
alcances de permisos, 70 - 71
registro de aplicaciones, 64 - 66
para Azure Key Vault, 282 - 285
mejores prácticas, 81
políticas de acceso condicional, 46 - 54
creando, 47 - 49
implementación de MFA, 49 - 54
tipos de, 46 - 47
configurar la protección de la identidad, 60 - 63
roles personalizados, 81 - 84
identificación de roles, 81
permisos de interpretación, 84
monitoreo de acceso privilegiado, 38 - 40
principio de privilegio mínimo, 81
Roles de RBAC
asignación, 245 - 247
niveles de, 244
lista de, 245
permisos de grupo de recursos, 79 - 80
permisos de suscripción y recursos, 74 - 79
ver los permisos de recursos del usuario, 84 - 85
para máquinas virtuales (máquinas virtuales), 155
accediendo
Registro de actividad de Azure, 182
Consola administrativa de Azure AD, 6
claves de acceso para cuentas de almacenamiento, 247
llaves giratorias, 247 - 250
teclas de visualización, 248 - 249
Revisiones de acceso, 40 - 42
configuración de bloqueo de cuenta para MFA, 57
cuenta SAS, 251 - 254
ACR (Registro de contenedores de Azure)
configuración de seguridad, 167 - 168
gestión de vulnerabilidades, 164 - 165
grupos de acción para alertas de Azure Monitor, 185 - 186
Servicios de federación de Active Directory (AD FS) en Azure AD
Connect, 28
registros de actividad en Azure Monitor, 180
accediendo, 182
Cmdlet Add-AzKeyVaultCertificate, 293
Cmdlet Add-AzKeyVaultCertificateContact, 293
Cmdlet Add-AzKeyVaultKey, 300
Cmdlet Add-AzRouteConfig, 97
Cmdlet Add-AzureADDirectoryRoleMember, 79
Cmdlet Add-AzureADGroupMember, 8
Cmdlet Add-AzureADGroupOwner, 8
Cmdlet Add-AzVirtualNetworkPeering, 99
agregando
certificados a Azure clave Bóveda, 289 - 293
estándares de cumplimiento para el panel de cumplimiento
normativo, 210 - 211
miembros del grupo, 10
ADE (Azure Disk Encryption), 168 - 169 de la
SAS ad hoc, 251
consola administrativa (Azure AD), accediendo, 6
ADS (seguridad de datos avanzada), 199
Protección contra amenazas avanzada (ATP) para Azure
Storage, 267 - 268
AKS (Servicio de Azure Kubernetes)
autenticación, 159 - 161
configuración de aislamiento, 166 - 167
configuración de seguridad, 161 - 164
alertas
en Azure Monitor
creación / personalización, 183 - 189
ver / cambiar, 188
en Azure Sentinel, creación / personalización, 217 - 224
Siempre cifrado, 279 - 281
análisis en Azure Sentinel, 213
Políticas de gestión de API, 73
acceso a aplicaciones, 64 - 73
Políticas de gestión de API, 73
asignación, 66 - 70
permiso consentimiento, 71 - 73
alcances de permisos, 70 - 71
registro de aplicaciones, 64 - 66
Función de administrador de aplicaciones, 75
Rol de desarrollador de aplicaciones, 75
pasarelas de aplicaciones
Azure Puerta principal, 126 - 133
capacidades, 126
configuración, 127 - 133
topología, 127
WAF (Web Application Firewall) de configuración, 133 - 135
objetos de aplicación, 2
permisos de aplicación, 71
reglas de aplicación, creando, 120 - 122
aplicaciones
asignar roles, 3-6
registrarse, 2, 64 - 66
grupos de seguridad de aplicaciones (SsG), 114 - 117
contraseñas de aplicaciones, 32
Función ArcDelete ACR, 167
Función ArcImageSigner ACR, 167
Función de ArcPull ACR, 167
Función ArcPush ACR, 167
SsG (grupos de seguridad de aplicaciones), 114 - 117
asignar
acceso a aplicaciones, 66 - 70
permisos a los directores de servicio, 3-6
Roles RBAC, 245 - 247
roles a aplicaciones, 3-6
usuarios a roles, 78 - 79
ATP (Protección contra amenazas avanzada) para Azure
Storage, 267 - 268
bases de datos de auditoría, 270 - 273
registros de auditoría, visualización, 271 - 273
autenticación, 30 - 36
en Azure Aplicación de servicio, configuración, 174 - 176
para Azure Files, 256 - 261
habilitación, 257 - 261
permisos de archivos y carpetas, 260
permisos de nivel compartido, 259
basado en certificado, 33
para recipientes, 159 - 161
para bases de datos, 268 - 269
MFA (autenticación multifactor), 49 , 54
administrar usuarios, 54 - 60
habilitación, 50 - 54
sin contraseña, 33 - 36
representa el almacenamiento, 255 - 256
tipos de, 31 - 32
para pasarelas VPN, 104 - 106
Función de administrador de autenticación, 75
autorización en Azure App de servicio, configuración, 174 - 176
Azure Active Directory (Azure AD)
control de acceso, 38 - 63 , 74 - 85
Revisiones de acceso, 40 - 42
activar / configurar PIM, 43 - 45
administrar usuarios de MFA, 54 - 60
mejores prácticas, 81
políticas de acceso condicional, 46 - 54
configurar la protección de la identidad, 60 - 63
roles personalizados, 81 - 84
identificación de roles, 81
permisos de interpretación, 84
monitoreo de acceso privilegiado, 38 - 40
principio de privilegio mínimo, 81
permisos de grupo de recursos, 79 - 80
permisos de suscripción y recursos, 74 - 79
ver los permisos de recursos del usuario, 84 - 85
consola administrativa, accediendo, 6
acceso a aplicaciones, 64 - 73
Políticas de gestión de API, 73
asignación, 66 - 70
permiso consentimiento, 71 - 73
alcances de permisos, 70 - 71
registro de aplicaciones, 64 - 66
aplicaciones, registro, 2
métodos de autenticación, 30 - 36
basado en certificado, 33
sin contraseña, 33 - 36
representa el almacenamiento, 255 - 256
tipos de, 31 - 32
autenticación recipiente, 159 - 161
identidades
configurar la protección de la identidad, 60 - 63
grupos, 6- 12
directores de servicio, 2-6
tipos de, 1
usuarios, 13 - 15
escritura diferida de contraseña, 15 - 30
habilitar el restablecimiento de contraseña de autoservicio, 28 - 30
Instalación / Configuración Azure AD Connect, 15 - 28 de
transferencia de suscripciones, 36 - 37
Azure Active Directory Connect, 15 - 28 de
requisitos de conectividad, 16
requisitos de la cuenta de implementación, 17
instalación, 17 - 25
inscribirse en las opciones, 27 de - 28 de
Requisitos de SQL Server, 16 - 17
requisitos del sistema, 15 - 16
Sufijos UPN y dominios nonroutable, 25 - 27
Servicios de dominio de Azure Active Directory (Azure AD DS),
autenticación para archivos de Azure, 256 - 261
habilitación, 257 - 261
permisos de archivos y carpetas, 260
permisos de nivel compartido, 259
Registros de Azure Active Directory en Azure Monitor, 181
Registro de actividad de Azure, accediendo, 182
Servicio de aplicaciones de Azure
cortafuegos, 143 - 144
configuración de seguridad, 170 - 176
autenticación, 174 - 176
actualizaciones de software, 176
SSL / TLS, los certificados 172 - 174
Puerta de enlace de aplicaciones de Azure
como balanceador de carga, 126
WAF (Web Application Firewall) de configuración, 133 - 135
Azure Automatización administración de actualizaciones, 156 - 159
Azure Bastion, 135 - 137
Azure configuración de seguridad, la configuración de
Blueprint, 236 - 240
Registro de contenedores de Azure (ACR)
configuración de seguridad, 167 - 168
gestión de vulnerabilidades, 164 - 165
Azure DDoS, 147 - 151
Azure Disk Encryption (ADE), 168 - 169 de la
Autenticación de Azure Files, 256 - 261
habilitación, 257 - 261
permisos de archivos y carpetas, 260
permisos de nivel compartido, 259
Cortafuegos de Azure
reglas de aplicación, 120 - 122
configurar, 119 - 120
tala, 123 - 125
reglas de red, 122 - 123
topología, 117 - 118
Azure Puerta principal, 126 - 133
capacidades, 126
configuración, 127 - 133
topología, 127
Integración con WAF (Web Application Firewall), 133
Azure Key Vault
control de acceso, 282 - 285
con ADE (Azure Disk Encryption), 168
copia de seguridad y restauración, 303 - 307
gestión de certificados, 288 - 296
cortafuegos, 142 - 143
rotación de llave, 298 - 303
acceso a la red, 282 - 285
gestión de permisos, 285 - 287
Uso de RBAC, 287 - 288
gestión secretos, 296 - 298
Rotación de secretos, 302 - 303
claves de cifrado de la cuenta de almacenamiento, 264
Servicio de Azure Kubernetes (AKS)
autenticación, 159 - 161
configuración de aislamiento, 166 - 167
configuración de seguridad, 161 - 164
Playbooks de Azure Logic Apps, configuración, 224 - 228
Azure Monitor, 179 - 196
registros de actividad, 180
alertas
creación / personalización, 183 - 189
ver / cambiar, 188
Registros de Azure Active Directory, 181
habilitante, 179
capas en, 180 - 181
recolección de registros
IaaS VM registra, 192 - 194
búsqueda de eventos en el espacio de trabajo de Log Analytics, 195 - 196
Seguridad y solución de Auditoría, 194 - 195
métricas, 181 - 184
resumen operativo, 180 - 183
registros de recursos (diagnóstico), 180
la configuración de opciones, 189 - 192
recursos en, 181
Política de Azure
gestión centralizada de políticas en Azure Centro de seguridad, 206 - 209
ajustes de seguridad, configuración, 232 - 236
Capa de recursos de Azure (Azure Monitor), 180
Azure Centro de seguridad, 196 - 211
para AKS (Azure Servicio Kubernetes), 163 - 164
Azure App Servicio recomendaciones de seguridad en, 171 - 172
gestión centralizada de políticas, 206 - 209
Acceso a VM JIT (Just In Time), 201 - 205
Tablero de Cumplimiento Normativo, 209 - 211
visualización de protección de terminales, 151 - 154
Detección de amenazas VM, 155 - 156
evaluación de la vulnerabilidad, 196 - 200
gestión de vulnerabilidades, 164 - 165
Azure Sentinel, 212 - 232
alertas, creación / personalización, 217 - 224
componentes de, 212 - 213
conectores de datos, configurar, 213 - 217
libros de jugadas, configuración, 224 - 228
resultados, evaluación, 228 - 232
Base de datos SQL Azure avanzada protección contra amenazas, 273 - 276
Bases de datos de Azure SQL. Ver bases de datos
Azure Storage. Ver cuentas de almacenamiento
Capa de suscripción de Azure (Azure Monitor), 180
Capa de inquilino de Azure (Azure Monitor), 181
B
Copia de seguridad de los elementos clave Azure Vault, 303 - 307
Cmdlet Backup-AzKeyVaultCertificate, 293
Cmdlet Backup-AzKeyVaultKey, 300
Cmdlet Backup-AzKeyVaultSecret, 297
Cmdlet Backup-AzureKeyVaultCertificate, 306
Cmdlet Backup-AzureKeyVaultKey, 306
Cmdlet Backup-AzureKeyVaultSecret, 306
mejores prácticas
control de acceso, 81
para SAS (firmas de acceso compartido), 251 - 252
Función de administrador de facturación, 75
manchas
autenticación, 255 - 256
cifrado, estado de visualización, 262 - 263
políticas de acceso almacenadas, 255
Cuentas de BlobStorage, 244
Cuentas BlockBlobStorage, 244
bloqueo de usuarios de MFA, 58
planos, 236 - 240
BYOK (Traiga su propia llave), 276
C
casos en Azure Sentinel, 212
CDS (servicio de datos comunes), 176
gestión centralizada de políticas en Azure Centro de seguridad, 206 - 209
autoridades de certificación para Azure clave Bóveda, 289 - 292
políticas de certificado, elementos de, 288 - 289
autenticación basada en certificados, 33
certificados
en Azure Key Vault
añadiendo, 289 - 293
copia de seguridad y restauración, 303 - 307
importación, 289 - 293
gestión, 288 - 296
permisos, 286
información de contactos, 289
SSL / TLS, configuración, 172 - 174
cambiar las alertas de Azure Monitor, 188
Rol de administrador de aplicaciones en la nube, 75
Función de administrador de dispositivos en la nube, 75
Servicio de datos comunes (CDS), 176
Página de la comunidad en Azure Sentinel, 213
Rol de administrador de cumplimiento, 75
políticas de cumplimiento en Azure Security Center, 209 - 211
seguridad informática
para ACR (Azure Container Registro), 167 - 168
de autenticación para contenedores, 159 - 161
Azure para la aplicación de servicio, 170 - 176
seguridad de los contenedores, 161 - 164
cifrado de disco, 168 - 169 de la
seguridad de punto final, 151 - 156
aislamiento, 166 - 167
actualizaciones del sistema para máquinas virtuales, 156 - 159
gestión de vulnerabilidades, 164 - 165
Rol de administrador de acceso condicional, 75
políticas de acceso condicional, 46 - 54
creando, 47 - 49
implementación de MFA, 49 - 54
tipos de, 46 - 47
Cmdlet Connect-AzAccount, 95
requisitos de conectividad para Azure AD Connect, 16
conectores. Ver conectores de datos
contenedores
autenticación, 159 - 161
configuración de aislamiento, 166 - 167
configuración de seguridad, 161 - 164
Rol de colaborador ACR, 167
Rol de colaborador, 77
Rol de aprobador de acceso de caja de seguridad del cliente, 75
roles personalizados, 81 - 84
rutas personalizadas, creación, 97
D
paneles en Azure Sentinel, 212
bases de datos
auditoría, 270 - 273
autenticación, 268 - 269
Base de datos SQL Azure avanzada protección contra amenazas, 273 - 276
cifrado
Siempre cifrado, 279 - 281
TDE (cifrado de datos transparente), 276 - 279
servidores de seguridad para, 140 - 142
conectores de datos en Azure Sentinel, 213 - 217
plano de datos para el control de acceso de Key Vault, 282
registros del plano de datos, 192
DDoS (denegación de servicio) de protección, 147 - 151
Cmdlet Debug-AzStorageAccountAuth, 259
permisos delegados, 71
borrando
miembros del grupo, 10
grupos anidados, 12
usuarios, 14
requisitos de la cuenta de implementación para Azure AD Connect, 17
Traducción de direcciones de red de destino (DNAT), 118
modo de detección (WAF en Application Gateway), 134
cifrado determinista, 279
Rol de administradores de dispositivos, 75
registros de diagnóstico en Azure Monitor, 180
la configuración de opciones, 189 - 192
Función de lectores de directorio, 75
Función Cuentas de sincronización de directorios, 75
Rol de Escritores de directorio, 75
denegación de protección de servicio (DDoS), 147 - 151
DNAT (traducción de direcciones de red de destino), 118
membresía de grupo dinámico, 7
Rol de administrador de Dynamics 365 / administrador de CRM, 75
MI
direcciones de correo electrónico para autenticación, 32
alcance del correo electrónico (acceso a la aplicación), 71
habilitando
Autenticación de AD DS, 257 - 259
Autenticación de Azure AD DS, 260 - 261
Monitor Azure, 179
auditoría de base de datos, 270 - 273
autenticación de base de datos, 268 - 269
el registro del cortafuegos, 124 - 125
MFA (autenticación multifactor), 50 - 54
autenticación sin contraseña, 34 - 35
autoservicio de restablecimiento de contraseña, 28 de - 30 de
políticas de riesgo de inicio de sesión, 61 - 63
políticas de riesgo del usuario, 61 - 63
cifrado
de bases de datos
Siempre cifrado, 279 - 281
TDE (cifrado de datos transparente), 276 - 279
ExpressRoute, 106 - 107
de cuentas de almacenamiento, 262 - 267
cifrado de infraestructura, 264
gestión de claves, 263 - 264
visores, 264 - 267
estado de visualización, 262 - 263
tipos de, 279 - 280
para máquinas virtuales (máquinas virtuales), 156
cifrado en reposo, 168 - 169 de la
seguridad de punto final dentro de las máquinas virtuales, 151 - 156
evaluación de los resultados en Azure Sentinel, 228 - 232
eventos, buscando en Log Analytics espacio de trabajo (Azure
Monitor), 195 - 196
Función de administrador de Exchange, 76
ExpressRoute, 92 , 104 - 107
conectores externos en Azure Sentinel, 214
F
Llaves de seguridad FIDO2, 34
permisos de archivos y carpetas, 260
Cuentas de FileStorage, 244
cortafuegos
Cortafuegos de Azure
reglas de aplicación, 120 - 122
configurar, 119 - 120
tala, 123 - 125
reglas de red, 122 - 123
topología, 117 - 118
para Azure Key Vault, 283 - 285
cortafuegos de recursos, 138 - 144
en Azure Aplicación de servicio, 143 - 144
en Azure Key Vault, 142 - 143
en bases de datos Azure SQL, 140 - 142
en Azure Storage, 138 - 140
WAF (firewall de aplicaciones web)
Integración de Azure Front Door, 133
configurar en Azure Application Gateway, 133 - 135
protección HTTP / S entrante, 118 , 122
configuración de alerta de fraude para MFA, 58
Puerta principal. Ver puerta de entrada azul
GRAMO
Cuentas V2 de uso general, 244
Cmdlet Get-ADOrganizationalUnit, 258
Cmdlet Get-AdUser, 257
Cmdlet Get-AzAdServicePrincipal, 3
Cmdlet Get-AzKeyVaultCertificate, 293
Cmdlet Get-AzKeyVaultCertificateContact, 293
Cmdlet Get-AzKeyVaultCertificateIssuer, 293
Cmdlet Get-AzKeyVaultCertificateOperation, 293
Cmdlet Get-AzKeyVaultCertificatePolicy, 293
Cmdlet Get-AzKeyVaultKey, 300
Cmdlet Get-AzKeyVaultSecret, 297
Cmdlet Get-AzRouteTable, 97
Cmdlet Get-AzureADDirectoryRole, 78
Cmdlet Get-AzureADDirectoryRoleMember, 78
Cmdlet Get-AzureADGroup, 8
Cmdlet Get-AzureKeyVaultSecret, 296
Cmdlet Get-AzVirtualNetworkGatewayConnectionSharedKey, 105
Cmdlet Get-AzVmDiskEncryptionStatus, 169
Función de administrador global / administrador de la empresa, 76
grupos, 6- 12
agregar / eliminar miembros, 10
asignación de acceso a la aplicación, 67 - 70
asignar roles a, 244
creando 8- 10
membresía dinámica, 7
nombrar 9
anidados, 10 - 12
tipos de, 6-7
Función de invitado invitado, 76
HOLA
Protección de clave HSM (módulo seguro de hardware), 299
cazando en Azure Sentinel, 212 , 231 - 232
IaaS (Infraestructura como Servicio) los registros de seguridad de
máquinas virtuales, la recogida de Azure con monitor, 192 - 194
identidades
configurar la protección de la identidad, 60 - 63
grupos, 6- 12
agregar / eliminar miembros, 10
creando 8- 10
membresía dinámica, 7
nombrar 9
anidados, 10 - 12
tipos de, 6-7
directores de servicio, 2-6
asignar permisos, 3-6
componentes de, 3
creando 3
lista de visualización de, 3
tipos de, 1
usuarios, 13 - 15
creando, 13 - 14
borrar, 14
recuperándose, 14
proveedores de identidad para Azure App Service, 176
Cmdlet Import-AzKeyVaultCertificate, 293
importar certificados a Azure Key Vault, 289 - 293
reglas de entrada para NSG (grupos de seguridad de red), 110
incidentes en Azure Sentinel, 230 - 231
Función de administrador de protección de la información, 76
Registros de seguridad de VM de infraestructura como servicio (IaaS),
recopilación con Azure Monitor, 192 - 194
cifrado de infraestructura, 264
instalación de Azure AD Connect, 17 - 25 de
Función de administrador de Intune, 76
Cifrado IPSec, 107
configuración de aislamiento, 166 - 167
J–K
Acceso a VM JIT (Just In Time), 201 -205
gestión de claves para cuentas de almacenamiento, 247 . Ver
también Azure Key Vault
cifrado, 263 - 264
llaves giratorias, 247 - 250
teclas de visualización, 248 - 249
Bóveda de llaves. Ver Azure Key Vault
Función de administrador de Key Vault, 288
Función de oficial de certificados de Key Vault, 288
Función de colaborador de Key Vault, 288
Función de Oficial de cifrado de Key Vault, 288
Función de cifrado del servicio de cifrado de Key Vault, 288
Función de usuario criptográfico de Key Vault, 288
Función de lector de Key Vault, 288
Función de oficial de secretos de Key Vault, 288
Función de usuario de Key Vault Secrets, 288
claves en Azure Key Vault
copia de seguridad y restauración, 303 - 307
permisos, 286
giratorio, 298 - 303
KQL (lenguaje de consulta Kusto), 125
Kubernetes. Consulte AKS (Servicio de Azure Kubernetes)
L
capas en Azure monitor, 180 - 181
privilegio mínimo, principio de, 81 , 155 , 166
Función de administrador de licencias, 76
requisitos de licencia, PIM (Privileged Identity Management), 45
balanceadores de carga, Azure Application Gateway como, 126
bloqueos en Azure Blueprint, 240
Área de trabajo de Log Analytics (Azure Monitor), búsqueda de
eventos, 195 - 196
Espacio de trabajo de Log Analytics (Azure Sentinel), 228 - 229
recopilación de registros con Azure Monitor
IaaS VM registra, 192 - 194
búsqueda de eventos en el espacio de trabajo de Log Analytics, 195 - 196
Seguridad y solución de Auditoría, 194 - 195
registrar la retención en Azure monitor, configuración, 189 - 192
inicio de sesión en Azure Firewall, 123 - 125
aislamiento lógico, 166
Aplicaciones lógicas. Ver aplicaciones lógicas de Azure
METRO
MACsec, 106 - 107
plano de gestión para el control de acceso de Key Vault, 282
Función de lector del centro de mensajes, 76
métricas en Azure monitor, 181 - 183
creando alertas desde, 184
MFA (autenticación multifactor), 49 - 60
administrar usuarios, 54 - 60
configuración de bloqueo de cuenta, 57
bloquear / desbloquear usuarios, 58
configuración de alerta de fraude, 58
Fichas de OATH, 59
configuración de llamadas telefónicas, 59
utilización de informes, 60
habilitación, 50 - 54
para pasarelas VPN, 105
Aplicación Microsoft Authenticator, 32 - 34
Reglas de creación de incidentes de Microsoft en Azure
Sentinel, 217 , 223 - 224
Inteligencia de amenazas de Microsoft, 119
números de teléfono móvil para autenticación, 32
Monitor. Ver Azure Monitor
monitoreo de acceso privilegiado, 38 - 40
autenticación multifactor. Ver MFA (autenticación multifactor)
VPN de varios sitios, 104
NORTE
nombres de grupos, 9
NAT (Network Address Translation), 100 - 103
Puerta de enlace NAT
facturación, 101
crear, 101 - 103
topología, 100 - 101
grupos anidados, 10 - 12
acceso a la red para Azure clave Vault, 282 - 285
componentes de red, 89 - 103
NAT (Network Address Translation), 100 - 103
peering, 97 - 100
enrutamiento, 95 - 97
subredes, 91
pasarelas de red virtuales, 91
VNets (redes virtuales), configuración, 90 - 95
reglas de red, creación, 122 - 123
Seguridad de la red
SsG (grupos de seguridad de aplicaciones), 114 - 117
Azure Bastion, 135 - 137
Cortafuegos Azure, 117 - 125
DDoS (denegación de servicio) de protección, 147 - 151
Grupos directivos nacionales (grupos de seguridad de
red), 91 , 109 - 114 , 201
cortafuegos de recursos, 138 - 144
puntos finales de servicio, 145 - 147
Puertas de enlace VPN, 104 - 108
autenticación, 104 - 106
Cifrado ExpressRoute, 106 - 107
punto a sitio (P2S), 107 - 108
sitio a sitio (S2S), 108
tipos de, 104
WAF (Web Application Firewall), 133 - 135
grupos de seguridad de red (grupos directivos
nacionales), 91 , 109 - 114 , 201
Cmdlet New-AzADServicePrincipal, 3
Cmdlet New-AzFirewallApplicationRule, 122
Cmdlet New-AzFirewall, 120
Cmdlet New-AzFirewallNetworkRule, 123
Cmdlet New-AzKeyVaultCertificateOrganizationDetail, 294
Cmdlet New-AzKeyVaultCertificatePolicy, 294
Cmdlet New-AzNatGateway, 104
Cmdlet New-AzNetworkSecurityGroup, 112
Cmdlet New-AzNetworkSecurityRuleConfig, 114
Cmdlet New-AzRoleAssignment, 5
Cmdlet New-AzRouteTable, 97
Cmdlet New-AzureADGroup, 8
New-AzVaultCertificateAdministratorDetail cmdlet, 294
Cmdlet New-AzVirtualNetwork, 95
Cmdlet New-AzVM, 95
dominios nonroutable, UPN sufijos y, 25 - 27
cuadernos en Azure Sentinel, 213
Grupos directivos nacionales (grupos de seguridad de
red), 91 , 109 - 114 , 201
O
Fichas OATH, 32
para usuarios de MFA, 59
OAuth, 32 años
Grupos de Office 365, 6-7
alcance del acceso sin conexión (acceso a la aplicación), 71
alcance abierto (acceso a la aplicación), 71
sistemas operativos compatibles con máquinas virtuales, 197
reglas de salida para NSG (grupos de seguridad de red), 111
Rol de propietario ACR, 167
Rol de propietario, 77
PAG
VPN P2S (punto a sitio), 104 , 107 - 108
autenticación de paso en Azure AD Connect, 27 de - 28 de
Función de administrador de contraseña / administrador del servicio de
asistencia, 76
autenticación de contraseña, 31
autenticación sin contraseña, 33 - 36
sincronización de contraseña en Azure AD Connect, 27
escritura diferida de contraseña, 15 - 30
Azure AD Connect, 15 - 28 de
requisitos de conectividad, 16
requisitos de la cuenta de implementación, 17
instalación, 17 - 25
inscribirse en las opciones, 27 de - 28 de
Requisitos de SQL Server, 16 - 17
requisitos del sistema, 15 - 16
Sufijos UPN y dominios nonroutable, 25 - 27
habilitar el restablecimiento de contraseña de autoservicio, 28 - 30
redes virtuales igualitarios, 97 - 100
consentimiento de permiso para el acceso a la aplicación, 71 - 73
ámbitos de permisos para el acceso de aplicaciones, 70 - 71
permisos, 74 - 85
asignando a los directores de servicio, 3-6
para Azure Key Vault, 285 - 287
roles personalizados, 81 - 84
archivo y carpeta, 260
identificación de roles, 81
interpretación, 84
principio de privilegio mínimo, 81
permisos de grupo de recursos, 79 - 80
nivel de acciones, 259
permisos de suscripción y recursos, 74 - 79
ver los permisos de recursos del usuario, 84 - 85
configuración de llamadas telefónicas para MFA, 59
aislamiento físico, 167
PIM (gestión de identidad privilegiada)
Revisiones de acceso, 40 - 42
activar / configurar, 43 - 45
requisitos de licencia, 45
ver el historial de auditoría de recursos, 38 - 40
libros de jugadas en Azure Sentinel, 213
configurar, 224 - 228
VPN de punto a sitio (P2S), 104 , 107 - 108
politicas
planos versus 236
gestión centralizada de políticas en Azure Centro de seguridad, 206 - 209
definiciones de políticas, 206
efecto de política, 206
aplicación de políticas, configuración
en Azure Blueprint, 236 - 240
en Azure Policy, 232 - 236
Rol de administrador de Power BI, 76
modo de prevención (WAF en Application Gateway), 135
niveles de precios, ACR (Azure Container Registry), 167
principio de privilegio mínimo, 81 , 155 , 166
conexiones de punto de conexión privadas para Azure Key Vault, 284
acceso privilegiado, monitoreo, 38 - 40
Gestión de identidad privilegiada (PIM)
Revisiones de acceso, 40 - 42
activar / configurar, 43 - 45
requisitos de licencia, 45
ver el historial de auditoría de recursos, 38 - 40
Rol de administrador de roles privilegiados, 76
alcance del perfil (acceso a la aplicación), 71
protocolos para VPN P2S (punto a sitio), 108
Q–R
Extensión de Qualys, 196 - 198
autentificación de almacenamiento de colas, 255 - la tecnología 256
RADIO, 105 - 106
cifrado aleatorio, 279
RBAC (control de acceso basado en roles)
con Azure Key Vault, 287 - 288
configurar, 77
autenticación recipiente, 159 - 161
roles personalizados, 81 - 84
identificación de roles, 81
permisos de interpretación, 84
principio de privilegio mínimo, 81
permisos de grupo de recursos, 79 - 80
roles
asignación, 245 - 247
para almacenamiento de blobs y colas, 256
niveles de, 244
lista de, 245
permisos de suscripción y recursos, 74 - 79
ver los permisos de recursos del usuario, 84 - 85
Función del lector ACR, 167
Función de lector, 77
recuperación de usuarios, 14
registrando aplicaciones, 2, 64 - 66
Panel de cumplimiento normativo (Azure Security Center), 209 - 211
Cmdlet Remove-AzKeyVaultCertificate, 294
Cmdlet Remove-AzKeyVaultCertificateContact, 294
Cmdlet Remove-AzKeyVaultCertificateIssuer, 294
Cmdlet Remove-AzKeyVaultCertificateOperation, 294
Cmdlet Remove-AzKeyVaultKey, 300
Cmdlet Remove-AzKeyVaultSecret, 297
Cmdlet Remove-AzureADDirectoryRoleMember, 79
Cmdlet Remove-AzureADGroup, 8
Cmdlet Remove-AzureADGroupMember, 8
Cmdlet Remove-AzureADGroupOwner, 8
Cmdlet Remove-AzureKeyVaultSecret, 296
quitando
miembros del grupo, 10
grupos anidados, 12
usuarios, 14
informes, utilización de MFA, 60
Función de lector de informes, 76
requisitos
Azure AD Connect
requisitos de conectividad, 16
requisitos de la cuenta de implementación, 17
Requisitos de SQL Server, 16 - 17
requisitos del sistema, 15 - 16
autenticación basada en certificados, 33
PIM (Privileged Identity Management), requisitos de licencia, 45
historial de auditoría de recursos, visualización, 38 - 40
cortafuegos de recursos, 138 - 144
en Azure Aplicación de servicio, 143 - 144
en Azure Key Vault, 142 - 143
en bases de datos Azure SQL, 140 - 142
en Azure Storage, 138 - 140
permisos de grupo de recursos, 79 - 80
registros de recursos en Azure Monitor, 180
la configuración de opciones, 189 - 192
permisos de recursos, 74 - 79
visualización, 84 - 85
recursos en Azure Monitor, 181
Cmdlet Restore-AzKeyVaultCertificate, 294
Cmdlet Restore-AzKeyVaultKey, 300
Cmdlet Restore-AzKeyVaultSecret, 297
Cmdlet Restore-AzureKeyVaultCertificate, 306
Cmdlet Restore-AzureKeyVaultKey, 306
Cmdlet Restore-AzureKeyVaultSecret, 306
Restauración de elementos clave Azure Vault, 303 - 307
resultados, evaluando en Azure Sentinel, 228 - 232
revocar la delegación de usuario SAS, 252 - 253
control de acceso basado en roles. Ver RBAC (control de acceso basado en
roles)
roles
asignar
a las aplicaciones, 3-6
usuarios a, 78 - 79
personalizado, 81 - 84
definido, 74
identificando, 81
lista de, 75 - 76
RBAC
asignación, 245 - 247
para almacenamiento de blobs y colas, 256
niveles de, 244
lista de, 245
ver asignaciones, 77 - 78
giratorio
llaves en Azure clave Bóveda, 298 - 303
secretos en Azure clave Bóveda, 302 - 303
claves de acceso a la cuenta de almacenamiento, 247 - 250
enrutamiento, 95 - 97
regla del privilegio mínimo, 244
reglas, creando
reglas de aplicación, 120 - 122
reglas de red, 122 - 123
S
VPN S2S (sitio a sitio), 104 , 108
SAS (firmas de acceso compartido), 251 - 254
cuenta SAS, 253 - 254
mejores prácticas, 251 - 252
fichas, 253 - 254
tipos de, 251
delegación de usuarios SAS, 252 - 253
reglas de consulta programadas en Azure Sentinel, 217 - 223
alcance
para permisos, 74
para el cifrado de la cuenta de almacenamiento, 264 - 267
buscar eventos en el registro de Analytics espacio de trabajo (Azure
Monitor), 195 - 196
secretos en Azure Key Vault
copia de seguridad y restauración, 303 - 307
gestión, 296 - 298
permisos, 286
giratorio, 302 - 303
seguridad
Azure Puerta principal, 126 - 133
seguridad informática
para ACR (Azure Container Registro), 167 - 168
de autenticación para contenedores, 159 - 161
Azure para la aplicación de servicio, 170 - 176
seguridad de los contenedores, 161 - 164
cifrado de disco, 168 - 169 de la
seguridad de punto final, 151 - 156
aislamiento, 166 - 167
actualizaciones del sistema para máquinas virtuales, 156 - 159
gestión de vulnerabilidades, 164 -165
Seguridad de la red
SsG (grupos de seguridad de aplicaciones), 114 - 117
Azure Bastion, 135 - 137
Cortafuegos Azure, 117 - 125
Azure Puerta principal, 126 - 133
DDoS (denegación de servicio) de protección, 147 - 151
Grupos directivos nacionales (grupos de seguridad de
red), 91 , 109 - 114 , 201
cortafuegos de recursos, 138 - 144
los extremos de servicio, 145 - 147
Puertas de enlace VPN, 104 - 108
WAF (firewall de aplicaciones web), 133 -135
Rol de administrador de seguridad, 76
Seguridad y solución de auditoría (Azure Monitor), 194 - 195
Centro de Seguridad. Ver Azure Security Center
grupos de seguridad, 6-7
Gestión de eventos e información de seguridad (SIEM), 212
inicio de sesión con llave de seguridad, 34
Orquestación, automatización y respuesta de seguridad (SOAR), 212
directores de seguridad, 74 , 285
preguntas de seguridad, 31 - 32
Rol de lector de seguridad, 76
configuración de servicios de seguridad. Ver Azure Monitor
ajustes de seguridad, configurar
con Azure Blueprint, 236 - 240
con Azure Policy, 232 - 236
restablecimiento de contraseña de autoservicio (SSPR), 15
habilitación, 28 - 30
los extremos de servicio, 145 - 147
objetos de entidad de servicio, 2
directores de servicio, 2-6
asignar permisos, 3-6
componentes de, 3
creando 3
lista de visualización de, 3
servicio SAS, 251
Función de administrador de soporte de servicio, 76
Cmdlet Set-ACL, 260
Cmdlet Set-AzDiagnosticSetting, 125
Cmdlet Set-AzKeyVaultAccessPolicy, 286
Cmdlet Set-AzKeyVaultCertificateIssuer, 294
Cmdlet Set-AzKeyVaultCertificatePolicy, 294
Cmdlet Set-AzKeyVaultSecret, 296 , 298
Cmdlet Set-AzRouteTable, 97
Cmdlet Set-AzStorageAccount, 261
Cmdlet Set-AzureADGroup, 8
Cmdlet Set-AzVirtualNetwork, 97
Cmdlet Set-AzVirtualNetworkGatewayConnectionSharedKey, 105
Cmdlet Set-AzVirtualNetworkSubnetConfig, 97
Cmdlet Set-AzVmDiskEncryptionExtensions, 169
El acceso compartido Firmas (SAS), 251 - 254
cuenta SAS, 253 - 254
mejores prácticas, 251 - 252
fichas, 253 - 254
tipos de, 251
delegación de usuarios SAS, 252 - 253
modelo de responsabilidad compartida, 89
permisos de nivel compartido, 259
Rol de administrador de SharePoint, 76
SIEM (Gestión de eventos e información de seguridad), 212
de sesión de opciones en Azure AD Connect, 27 de - 28 de
políticas de riesgo de inicio de sesión, 61 - 63
inicio de sesión único, 15
VPN de sitio a sitio (S2S), 104 , 108
Rol de administrador de Skype Empresarial / Lync, 76
SOAR (orquestación, automatización y respuesta de seguridad), 212
claves protegidas por software, 299
actualizaciones de software en Azure App Service, 176
Bases de datos SQL. Ver bases de datos
Requisitos de SQL Server, Azure AD Connect, 16 - 17
Servidores SQL, evaluación de la vulnerabilidad, 199 - 200
Certificados SSL / TLS, la configuración, 172 - 174
SSPR (restablecimiento de contraseña de autoservicio), 15
habilitación, 28 - 30
Cmdlet Stop-AzKeyVaultCertificateOperation, 294
Función de colaborador de la cuenta de almacenamiento, 245
Función de servicio del operador principal de la cuenta de
almacenamiento, 245
cuentas de almacenamiento
ATP (Protección contra amenazas avanzada) para Azure
Storage, 267 - 268
autentificación con Azure AD, 255 - la tecnología 256
Autenticación de Azure Files, 256 - 261
cifrado, 262 - 267
cifrado de infraestructura, 264
gestión de claves, 263 - 264
visores, 264 - 267
estado de visualización, 262 - 263
cortafuegos, 138 - 140
gestión de claves, 247
llaves giratorias, 247 - 250
teclas de visualización, 248 - 249
Roles de RBAC
asignación, 245 - 247
niveles de, 244
lista de, 245
SAS (firmas de acceso compartido), 251 - 254
cuenta SAS, 253 - 254
mejores prácticas, 251 - 252
tipos de, 251
delegación de usuarios SAS, 252 - 253
políticas de acceso almacenadas, 255
tipos de, 244
Rol de colaborador de datos de Storage Blob, 245 , 256
Rol de propietario de datos de Storage Blob, 245 , 256
Función de lector de datos de Storage Blob, 245 , 256
Rol de delegador de blobs de almacenamiento, 245 , 256
Rol de colaborador de recursos compartidos de SMB de datos de archivos
de almacenamiento, 259
Almacenamiento de datos de archivos SMB Compartir rol de colaborador
elevado, 245 , 259
Almacenamiento de datos de archivos Función de lector de recursos
compartidos de SMB, 245 , 259
Rol de colaborador de recursos compartidos de SMB de archivos de
almacenamiento, 245
Rol de colaborador de datos de la cola de almacenamiento, 245 , 256
Rol de procesador de mensajes de datos de cola de
almacenamiento, 245 , 256
Función de remitente de mensajes de datos de la cola de
almacenamiento, 245 , 256
Función de lector de datos de cola de almacenamiento, 245 , 256
políticas de acceso almacenadas
para contenedores de blobs, 255
con servicio SAS, 251
subredes, 91
permisos de suscripción, 74 - 79
suscripciones (Azure), transferencia, 36 - 37
requisitos del sistema, Azure AD Connect, 15 - 16 de
actualizaciones del sistema para máquinas virtuales, 156 - 159
T
TDE (cifrado de datos transparente), 276 - 279
Rol de administrador de equipos, 76
Rol de administrador de comunicaciones de Teams, 76
Rol de ingeniero de soporte de comunicaciones de Teams, 76
Rol de especialista en soporte de comunicaciones de Teams, 76
Plantillas para reglas de consultas programadas en Azure
Sentinel, 222 - 223
inquilinos (Azure), transferencia de suscripciones, 36 - 37
detección de amenazas para VMS (máquinas virtuales), 155 - 156
caza amenaza en Azure Sentinel, 231 - 232
protección contra amenazas para SQL, 199
interrupciones de tráfico, 91
transferencia de suscripciones (Azure), 36 - 37
cifrado transparente de datos (TDE), 276 - 279
solución de problemas de acceso a máquinas virtuales JIT (Just In
Time), 205
U
desbloquear usuarios de MFA, 58
Cmdlet Undo-AzKeyVaultCertificateRemoval, 294
Cmdlet Undo-AzKeyVaultKeyRemoval, 300
Cmdlet Undo-AzKeyVaultSecretRemoval, 298
Cmdlet Update-AzKeyVaultCertificate, 294
Cmdlet Update-AzKeyVaultKey, 300
Cmdlet Update-AzKeyVaultSecret, 298
Update-AzStorageAccountADOjbectPassword cmdlet, 259
Update-AzStorageAccountNetworkRuleSet cmdlet, 140
Cmdlet Update-AzureKeyVaultSecret, 296
La administración de actualizaciones (en Azure Automation), 156 - 159
actualizaciones
actualizaciones de software en Azure App Service, 176
actualizaciones del sistema para máquinas virtuales, 156 - 159
Sufijos UPN, dominios nonroutable y, 25 - 27
Función de administrador de acceso de usuario, 77
Función de administrador de cuentas de usuario, 76
delegación de usuarios SAS, 251 - 253
objetos principales de usuario, 2
permisos de recursos de usuario, visualización, 84 - 85
políticas de riesgo del usuario, 61 - 63
usuarios, 13 - 15
asignación de acceso a la aplicación, 67 - 70
asignación de roles, 78 - 79
creando, 13 - 14
borrar, 14
recuperándose, 14
ver asignaciones de roles, 77 - 78
V
visita
registros de auditoría, 271 - 273
Alertas de Azure Monitor, 188
estado de cifrado de blob, 262 - 263
protección de terminales, 151 - 154
historial de auditoría de recursos, 38 - 40
lista de entidades de servicio, 3
claves de acceso a la cuenta de almacenamiento, 248 - 249
permisos de recursos de usuario, 84 - 85
asignaciones de roles de usuario, 77 - 78
pasarelas de red virtuales, 91 , 104 - 108
autenticación, 104 - 106
Cifrado ExpressRoute, 106 - 107
punto a sitio (P2S), 107 - 108
sitio a sitio (S2S), 108
tipos de, 104
VM (máquinas virtuales)
cifrado de disco, 168 - 169 de la
seguridad de punto final, 151 - 156
actualizaciones del sistema, 156 - 159
VNets (redes virtuales)
para Azure Key Vault, 283 - 285
configurar, 90 - 95
NAT (Network Address Translation), 100 - 103
peering, 97 - 100
enrutamiento, 95 - 97
seguridad, 104 - 108
los extremos de servicio, 145 - 147
VPN de red virtual a red virtual, 104
Puertas de enlace VPN, 91 , 104 - 108
autenticación, 104 - 106
Cifrado ExpressRoute, 106 - 107
punto a sitio (P2S), 107 - 108
sitio a sitio (S2S), 108
tipos de, 104
evaluación de la vulnerabilidad con Azure Centro de seguridad, 196 - 200
gestión de vulnerabilidades, 164 - 165
W–Z
WAF (firewall de aplicaciones web)
Integración de Azure Front Door, 133
configurar en Azure Application Gateway, 133 - 135
protección HTTP / S entrante, 118 , 122
Windows Hello para empresas, 34
libros en Azure Sentinel, 229 - 230
espacios de trabajo en Azure Sentinel, 213
x509 certificados, gestión de Azure clave Bóveda, 288 - 296
Ref. De examen AZ-500:
Tecnologías de seguridad de
Microsoft Azure
LISTA DE URL
Capítulo 1
https://docs.microsoft.com/en-us/azure/active-
directory/develop/app-objects-and-service-principals
https://docs.microsoft.com/en-us/powershell/azure/create-azure-
service-principal-azureps
https://docs.microsoft.com/en-us/azure/role-based-access-
control/built-in-roles
https://docs.microsoft.com/en-us/azure/active-
directory/fundamentals/active-directory-groups-view-azure-portal
https://docs.microsoft.com/en-us/azure/active-
directory/fundamentals/active-directory-manage-groups
https://docs.microsoft.com/en-us/azure/active-
directory/fundamentals/active-directory-groups-membership-azure-
portal
https://docs.microsoft.com/en-us/powershell/azure/active-
directory/new-user-sample
https://docs.microsoft.com/en-us/azure/active-
directory/authentication/tutorial-enable-sspr-writeback
https://secure.aadcdn.microsoftonline-p.com
https://docs.microsoft.com/en-us/azure/active-
directory/connect/active-directory-aadconnect-user-signin
https://passwordreset.microsoftonline.com
https://docs.microsoft.com/en-us/azure/active-
directory/authentication/concept-sspr-howitworks
https://docs.microsoft.com/en-us/azure/active-
directory/authentication/concept-authentication-methods
https://docs.microsoft.com/en-us/azure/active-
directory/authentication/active-directory-certificate-based-
authentication-get-started
https://docs.microsoft.com/en-us/azure/active-
directory/authentication/concept-authentication-passwordless
https://docs.microsoft.com/en-us/azure/active-directory/b2b/add-
users-administrator
https://docs.microsoft.com/en-us/azure/active-
directory/fundamentals/active-directory-how-subscriptions-
associated-directory
https://docs.microsoft.com/en-us/azure/active-directory/privileged-
identity-management/pim-how-to-use-audit-log
https://docs.microsoft.com/en-us/azure/active-directory/privileged-
identity-management/pim-how-to-perform-security-review
https://docs.microsoft.com/en-us/azure/active-directory/privileged-
identity-management/pim-configure
https://docs.microsoft.com/en-us/azure/active-directory/privileged-
identity-management/subscription-requirements
https://docs.microsoft.com/en-us/azure/active-directory/privileged-
identity-management/pim-security-wizard
https://docs.microsoft.com/en-us/azure/active-directory/conditional-
access/overview
https://docs.microsoft.com/en-us/office365/admin/security-and-
compliance/multi-factor-authentication-plan
https://docs.microsoft.com/en-us/azure/active-
directory/authentication/concept-mfa-howitworks
https://docs.microsoft.com/en-us/office365/admin/security-and-
compliance/setup-multi-factor-authentication
https://docs.microsoft.com/en-us/azure/active-
directory/authentication/howto-mfa-mfasettings
https://docs.microsoft.com/en-us/azure/active-
directory/authentication/howto-mfa-reporting
https://docs.microsoft.com/en-us/azure/active-directory/identity-
protection/overview-identity-protection
https://docs.microsoft.com/en-us/azure/active-
directory/develop/quickstart-register-app
https://docs.microsoft.com/en-us/azure/active-directory/manage-
apps/what-is-access-management
https://docs.microsoft.com/en-us/azure/active-directory/manage-
apps/methods-for-assigning-users-and-groups
https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-
permissions-and-consent
https://docs.microsoft.com/en-us/azure/api-management/api-
management-policies
https://docs.microsoft.com/en-us/azure/role-based-access-
control/overview
https://docs.microsoft.com/en-us/azure/active-directory/users-
groups-roles/directory-assign-admin-roles
https://docs.microsoft.com/en-us/azure/active-directory/users-
groups-roles/roles-concept-delegation
https://docs.microsoft.com/en-us/azure/active-directory/users-
groups-roles/directory-manage-roles-portal
https://docs.microsoft.com/en-
us/rest/api/authorization/permissions/listforresourcegroup
https://docs.microsoft.com/en-us/azure/role-based-access-
control/built-in-roles
https://docs.microsoft.com/en-
us/azure/security/fundamentals/identity-management-best-practices
https://docs.microsoft.com/en-us/azure/role-based-access-
control/custom-roles
https://docs.microsoft.com/en-us/azure/role-based-access-
control/role-definitions#management-and-data-operations
https://docs.microsoft.com/en-us/azure/role-based-access-
control/check-access
Capitulo 2
https://shell.azure.com
http://aka.ms/az500mfa
http://aka.ms/az500vpnsku
http://aka.ms/az500vpnexpressroute
https://aka.ms/az500s2sdevices
https://aka.ms/az500s2svpn
http://aka.ms/wafdecisionflow
https://owasp.org/www-project-top-ten
https://aka.ms/az500wafag
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-
network-service-endpoints-overview
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-
network-service-endpoint-policies-overview
http://aka.ms/az500DDoS
https://docs.microsoft.com/en-us/azure/aks/upgrade-cluster
https://kubernetes.io/docs/concepts/configuration/secret
http://aka.ms/az500kvfw
http://aka.ms/az500ADELinux
http://aka.ms/az500ADEWin
https://aka.ms/az500AppCertificates
http://aka.ms/az500AppServiceAuth
https://docs.microsoft.com/en-us/powerapps/maker/common-data-
service/data-platform-intro
https://github.com/projectkudu/kudu/wiki/Kudu-console
Capítulo 3
https://aka.ms/ASICommunity
Capítulo 4
https://docs.microsoft.com/en-us/azure/storage/common/storage-
auth-aad-rbac-portal
https://docs.microsoft.com/en-us/azure/storage/common/storage-
account-keys-manage
https://docs.microsoft.com/en-us/azure/storage/common/storage-
sas-overview
https://docs.microsoft.com/en-us/rest/api/storageservices/create-
user-delegation-sas
https://docs.microsoft.com/en-us/rest/api/storageservices/create-
account-sas
https://docs.microsoft.com/en-us/rest/api/storageservices/define-
stored-access-policy
https://docs.microsoft.com/en-us/azure/storage/common/storage-
auth-aad
https://docs.microsoft.com/en-us/azure/storage/files/storage-files-
identity-auth-active-directory-domain-service-enable
https://docs.microsoft.com/en-us/azure/storage/common/storage-
service-encryption
https://docs.microsoft.com/en-
us/azure/storage/common/infrastructure-encryption-enable
https://docs.microsoft.com/en-us/azure/storage/blobs/encryption-
scope-manage
https://docs.microsoft.com/en-us/azure/storage/common/storage-
advanced-threat-protection?tabs=azure-security-center
https://docs.microsoft.com/en-us/azure/azure-sql/database/logins-
create-manage
https://docs.microsoft.com/en-us/azure/azure-sql/database/auditing-
overview
https://docs.microsoft.com/en-us/azure/azure-sql/database/threat-
detection-overview
https://docs.microsoft.com/en-us/sql/relational-
databases/security/encryption/sql-server-
encryption?view=azuresqldb-current
https://docs.microsoft.com/en-us/sql/relational-
databases/security/encryption/always-encrypted-database-
engine?view=sql-server-ver15
https://docs.microsoft.com/en-us/azure/key-vault/general/overview-
security
https://docs.microsoft.com/en-us/azure/key-vault/general/network-
security
https://docs.microsoft.com/en-us/azure/key-vault/general/group-
permissions-for-apps
http://docs.microsoft.com/en-us/azure/key-vault/general/secure-
your-key-vault
https://docs.microsoft.com/en-us/azure/key-vault/certificates/about-
certificates
https://mykeyvault.vault.azure.net/certificates/mycert1/create?api-
version={api-version}
https://docs.microsoft.com/en-us/azure/key-
vault/certificates/certificate-scenarios
https://docs.microsoft.com/en-us/azure/key-vault/secrets
https://docs.microsoft.com/en-us/azure/key-vault/keys
https://docs.microsoft.com/en-us/azure/key-vault/secrets/tutorial-
rotation
https://docs.microsoft.com/en-us/azure/key-vault/general/backup
Fragmentos de código
Muchos títulos incluyen código de programación o ejemplos de
configuración. Para optimizar la presentación de estos elementos, vea
el libro electrónico en modo horizontal de una sola columna y ajuste el
tamaño de fuente al valor más pequeño. Además de presentar el código
y las configuraciones en el formato de texto ajustable, hemos incluido
imágenes del código que imitan la presentación que se encuentra en el
libro impreso; por lo tanto, cuando el formato reajustable pueda
comprometer la presentación del listado de código, verá un enlace
"Haga clic aquí para ver la imagen del código". Haga clic en el enlace
para ver la imagen del código de fidelidad de impresión. Para volver a
la página anterior vista, haga clic en el botón Atrás en su dispositivo o
aplicación.