Azure Security Fundamentals

Díganos qué opina sobre la experiencia de descarga del PDF.
Documentación de los aspectos básicos

de la seguridad en Azure
Aprenda a proteger sus soluciones en la nube en Azure con nuestros procedimientos
recomendados e instrucciones.
Acerca de la seguridad en Azure
ｅ INFORMACIÓN GENERAL
Introducción a la seguridad de Azure
Funcionalidades técnicas de seguridad
ｐ CONCEPTO
¿Cómo protege Microsoft la infraestructura de Azure?
Introducción
Responsabilidad compartida en la nube
Servicios y tecnologías de seguridad
Controles de seguridad integrados
Mitigar las amenazas
Microsoft Defender for Cloud
ｐ CONCEPTO
Administración y supervisión
Protección contra amenazas

Recuperación de un riesgo de identidad
Procedimientos recomendados para proteger las soluciones en la nube
ｐ CONCEPTO
Seguridad de las redes
Cargas de trabajo de IaaS
Administración de identidades y control del acceso
Implementaciones de PaaS
Seguridad y cifrado de datos
Seguridad operativa
Protección de los recursos de Azure
ｐ CONCEPTO
Cifrado en reposo
Protección de los datos
Seguridad de las máquinas virtuales
Seguridad de la administración de identidades
ｄ CURSOS
Protección de las aplicaciones en la nube
Desarrollo de aptitudes de seguridad
ｄ CURSOS
Implementación de seguridad de red
Administración de identidades y accesos

Implementación de la seguridad en la administración de recursos
Implementación de la seguridad de hosts de máquinas virtuales

Introducción a la seguridad de Azure
Artículo • 01/06/2023
Información general
Sabemos que la seguridad tiene la máxima prioridad en la nube y conocemos la
importancia que tiene que buscar información exacta y a tiempo sobre la seguridad de
Azure. Una de las mejores razones para usar Azure en sus aplicaciones y servicios es
poder aprovechar su amplia gama de funcionalidades y herramientas de seguridad.
Estas herramientas y funcionalidades permiten crear soluciones seguras en la plataforma
Azure segura. Microsoft Azure proporciona confidencialidad, integridad y disponibilidad
para los datos del cliente, al mismo tiempo que hace posible una responsabilidad
transparente.
En este artículo se proporciona una visión completa de la seguridad disponible con

Azure.
Plataforma Azure
Azure es una plataforma de servicios en la nube pública que admite una amplia
selección de sistemas operativos, lenguajes de programación, plataformas,
herramientas, bases de datos y dispositivos. Puede ejecutar contenedores de Linux con
integración de Docker, compilar aplicaciones con JavaScript, Python, .NET, PHP, Java,
Node.js y crear back-ends para dispositivos iOS, Android y Windows.
Los servicios en la nube pública de Azure admiten las mismas tecnologías en las que ya
confían millones de desarrolladores y profesionales de TI. Al crear en un proveedor de
servicios en la nube pública o al migrar recursos de TI a uno, confía en las capacidades
de la organización para proteger sus aplicaciones y datos con los servicios y los
controles que facilitan para administrar la seguridad de sus recursos en la nube.
La infraestructura de Azure está diseñada desde la instalación hasta las aplicaciones para
hospedar millones de clientes simultáneamente, y proporciona una base de confianza
en la que las empresas pueden satisfacer sus requisitos de seguridad.
Además, Azure ofrece una amplia gama de opciones de seguridad configurables, así
como la capacidad de controlarlas, por lo que puede personalizar la seguridad para
satisfacer los requisitos exclusivos de las implementaciones de su organización. Este
documento explica cómo las funcionalidades de seguridad de Azure pueden ayudarle a
cumplir estos requisitos.
７ Nota
El objetivo principal de este documento se centra en los controles orientados al

cliente que puede usar para personalizar y aumentar la seguridad de sus
aplicaciones y servicios.
Para información sobre cómo Microsoft protege la plataforma de Azure, consulte

Seguridad de la infraestructura de Azure.
Resumen de las funcionalidades de seguridad

de Azure
Según el modelo de servicio en la nube, hay diferencias de en quién recae la
responsabilidad de administrar la seguridad de la aplicación o el servicio. Existen
funcionalidades en la plataforma Azure para ayudarle a satisfacer estas
responsabilidades mediante características integradas y soluciones de asociados que se
pueden implementar en una suscripción de Azure.
Las funcionalidades integradas se organizan en seis áreas funcionales: Operaciones,

Aplicaciones, Almacenamiento, Redes, Proceso e Identidades. Se proporcionan detalles
adicionales sobre las características y funcionalidades disponibles en la plataforma
Azure para estas seis áreas de forma resumida.
Operaciones
En esta sección se proporciona información adicional acerca de características
fundamentales para las operaciones de seguridad y un resumen de estas
funcionalidades.
Microsoft Sentinel
Microsoft Sentinel es una solución de administración de eventos e información de
seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR)
escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad inteligente
e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una
única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda
proactiva y la respuesta a amenazas.

Microsoft Defender for Cloud ayuda a evitar amenazas y a detectarlas y responder a
ellas con más visibilidad y control sobre la seguridad de sus recursos de Azure.
Proporciona administración de directivas y supervisión de la seguridad integrada en las
suscripciones de Azure, ayuda a detectar las amenazas que podrían pasar
desapercibidas y funciona con un amplio ecosistema de soluciones de seguridad.
Además, Defender for Cloud le ayuda con las operaciones de seguridad, al

proporcionarle un único panel donde aparecen alertas y recomendaciones sobre las que
puede actuar de inmediato. A menudo, puede corregir problemas con solo hacer clic
dentro de la consola de Defender for Cloud.
Azure Resource Manager

Azure Resource Manager permite trabajar con los recursos de la solución como grupo.
Todos los recursos de la solución se pueden implementar, actualizar o eliminar en una
sola operación coordinada. Use una plantilla de Azure Resource Manager para la
implementación; esta puede funcionar en distintos entornos, como producción, pruebas
y ensayo. Administrador de recursos proporciona funciones de seguridad, auditoría y
etiquetado que le ayudan a administrar los recursos después de la implementación.
Las implementaciones basadas en plantillas de Azure Resource Manager ayudan a

mejorar la seguridad de las soluciones implementadas en Azure porque incluyen una
configuración de control de seguridad estándar y pueden integrarse en
implementaciones basadas en plantillas estandarizadas. Esto reduce el riesgo de que se
produzcan errores de configuración de seguridad, posibles durante las
implementaciones manuales.
Application Insights
Application Insights es un servicio de Application Performance Management (APM)
extensible para desarrolladores web. Con Application Insights, puede supervisar sus
aplicaciones web en directo y detectar automáticamente anomalías de rendimiento.
Incluye herramientas de análisis eficaces que le ayudan a diagnosticar problemas y
comprender lo que hacen realmente los usuarios con la aplicación. Supervisa la
aplicación durante todo el tiempo que se ejecute, tanto durante las pruebas como
después de haberla publicado o implementado.
Application Insights crea gráficos y tablas que muestran, por ejemplo, en qué horas del
día se obtiene la mayoría de los usuarios, la capacidad de respuesta de la aplicación y lo
bien que la atienden los servicios externos de los que depende.
Si hay bloqueos, errores o problemas de rendimiento, puede buscar en los datos de la
telemetría para diagnosticar la causa. Además, el servicio le envía mensajes de correo
electrónico si se produce cualquier cambio en la disponibilidad y el rendimiento de la
aplicación. Por tanto, Application Insights se convierte en una valiosa herramienta de
seguridad porque ayuda con la disponibilidad, parte de la tríada de seguridad formada
también por la confidencialidad y la integridad.
Azure Monitor
Azure Monitor ofrece funciones de visualización, consulta, enrutamiento, alertas,
escalado automático y automatización de los datos tanto de la suscripción de Azure
(registro de actividad) como de cada recurso individual de Azure (registros de recursos).
Puede usar Azure Monitor para que le alerte sobre eventos relacionados con la
seguridad que se generen en registros de Azure.
Registros de Azure Monitor

Registros de Azure Monitor: ofrece una solución de administración de TI tanto para
infraestructura local como para la basada en la nube de terceros (como AWS), además
de recursos de Azure. Los datos de Azure Monitor se pueden enrutar directamente a los
registros de Azure Monitor para poder ver los registros y las métricas de todo el
entorno en un único lugar.
Los registros de Azure Monitor pueden ser una herramienta útil en el análisis forense y
otros análisis de seguridad, ya que permiten buscar rápidamente entre grandes
cantidades de entradas relacionadas con la seguridad siguiendo un enfoque de consulta
flexible. Además, los registros de proxy y firewall locales se pueden exportar a Azure y
poner a disposición para su análisis con registros de Azure Monitor.
Azure Advisor
Azure Advisor es un consultor personalizado en la nube que le ayudará a optimizar las
implementaciones de Azure. Analiza la telemetría de uso y configuración de los recursos
y, posteriormente, recomienda soluciones que ayudan a mejorar el rendimiento, la
seguridad y la confiablidad de los recursos, al mismo tiempo que busca oportunidades
para reducir el gasto general en Azure. Azure Advisor proporciona recomendaciones de
seguridad, que pueden mejorar de forma notable la posición general de seguridad para
las soluciones que se implementan en Azure. Estas recomendaciones se extraen del
análisis de seguridad realizado por Microsoft Defender for Cloud.
APLICACIONES
fundamentales para la seguridad de las aplicaciones y un resumen de estas
funcionalidades.
Pruebas de penetración
No realizamos pruebas de penetración de su aplicación, pero sabemos que quiere y
necesita realizar dichas pruebas en sus propias aplicaciones. Eso es bueno, ya que al
mejorar la seguridad de sus aplicaciones, ayuda a hacer que todo el ecosistema de
Azure sea más seguro. Aunque notificar a Microsoft de las actividades de pruebas de
penetración ya no es obligatorio, los clientes deben cumplir las reglas de compromiso
de las pruebas de penetración de Microsoft Cloud de todos modos.
Firewall de aplicaciones web

El firewall de aplicaciones web (WAF) de Azure Application Gateway protege las
aplicaciones web ante ataques web habituales, como inyección de código SQL, ataques
de scripts entre sitios y secuestros de sesiones. Viene preconfigurado con protección
frente a las amenazas identificadas por el Proyecto abierto de seguridad de aplicaciones
web (OWASP) como las 10 vulnerabilidades más comunes .
Autenticación y autorización en Azure App Service

La autenticación/autorización de App Service es una característica que proporciona una
forma para que la aplicación lleve a cabo el inicio de sesión de usuarios sin necesidad de
cambiar el código en el back-end de aplicación. Ofrece una forma fácil de proteger su
aplicación y trabajar con datos por usuario.
Arquitectura de seguridad por niveles

Como los entornos de App Service proporcionan un entorno en tiempo de ejecución
aislado que está implementado en una instancia de Azure Virtual Network, los
desarrolladores pueden crear una arquitectura de seguridad por niveles que
proporcione diferentes niveles de acceso a la red para cada capa de aplicación. Un
objetivo común es ocultar los back-ends de API al acceso general desde Internet y
permitir que solo las aplicaciones web ascendentes puedan llamar a las API. Los grupos
de seguridad de red (NSG) pueden usarse en subredes de Azure Virtual Network que
contengan entornos de App Service para restringir el acceso público a aplicaciones API.
Diagnóstico del servidor web y diagnóstico de
aplicaciones
Aplicaciones web de App Service ofrece la funcionalidad de diagnóstico para registrar
información del servidor web y de la aplicación web. De forma lógica, estos diagnósticos
se dividen en diagnósticos del servidor web y diagnóstico de aplicaciones. El servidor
web incluye dos avances importantes para el diagnóstico y la solución de problemas de
sitios y aplicaciones.
La primera característica nueva es la información de estado en tiempo real sobre grupos

de aplicaciones, procesos de trabajo, sitios, dominios de aplicación y solicitudes en
ejecución. La segunda ventaja nueva son los eventos de seguimiento detallados que
siguen una solicitud a lo largo del proceso completo de solicitud y respuesta.
Para habilitar la recopilación de estos eventos de seguimiento, se puede configurar IIS 7

para que capture automáticamente registros de seguimiento completos, en formato
XML, para cualquier solicitud determinada en función del tiempo transcurrido o de
códigos de respuesta de error.
Storage
fundamentales para la seguridad del almacenamiento de Azure y un resumen de estas
funcionalidades.
Control de acceso basado en roles de Azure (RBAC de

Azure)
Puede proteger su cuenta de almacenamiento con el control de acceso basado en rol de
Azure (Azure RBAC). En organizaciones que quieren aplicar directivas de seguridad para
el acceso a los datos, es imprescindible restringir el acceso en función de los principios
de seguridad necesidad de saber y mínimo privilegio . Estos derechos de acceso se
conceden al asignar el rol de Azure adecuado a grupos y aplicaciones de un
determinado ámbito. Puede aprovechar los roles integrados de Azure, tales como el de
colaborador de la cuenta de almacenamiento, para asignar privilegios a los usuarios. El
acceso a las claves de almacenamiento para una cuenta de almacenamiento mediante el
modelo de Azure Resource Manager puede controlarse mediante Azure RBAC.
Firma de acceso compartido

Una firma de acceso compartido (SAS) ofrece acceso delegado a los recursos en la
cuenta de almacenamiento. Esto significa que puede conceder a un cliente permisos
limitados para objetos en su cuenta de almacenamiento durante un período específico y
con un conjunto determinado de permisos sin tener que compartir las claves de acceso
a las cuentas.
Cifrado en tránsito
Cifrado en tránsito es un mecanismo para proteger datos cuando se transmiten a través
de redes. Con Azure Storage, puede proteger los datos mediante:
Cifrado de nivel de transporte, como HTTPS para transferir datos a Azure Storage o
desde este servicio.
Cifrado en el cable, como el cifrado SMB 3.0 para recursos compartidos de Azure
File.
Cifrado en el cliente, para cifrar los datos antes de transferirlos al almacenamiento

y descifrarlos una vez transferidos desde el almacenamiento.
Cifrado en reposo
Para muchas organizaciones, el cifrado de los datos en reposo es un paso obligatorio en
lo que respecta a la privacidad de los datos, el cumplimiento y la soberanía de los datos.
Hay tres características de seguridad del almacenamiento de Azure que proporcionan
cifrado de datos "en reposo":
Cifrado del servicio de almacenamiento permite solicitar que el servicio de

almacenamiento cifre automáticamente los datos al escribirlos en Azure Storage.
Cifrado de cliente también proporciona la característica de cifrado en reposo.
Azure Disk Encryption para máquinas virtuales Linux y Azure Disk Encryption para
máquinas virtuales Windows le permite cifrar los discos del sistema operativo y los
discos de datos usados por una máquina virtual IaaS.
Storage Analytics
Azure Storage Analytics realiza el registro y proporciona datos de métricas para una
cuenta de almacenamiento. Puede usar estos datos para hacer un seguimiento de
solicitudes, analizar tendencias de uso y diagnosticar problemas con la cuenta de
almacenamiento. Storage Analytics registra información detallada sobre las solicitudes
correctas y erróneas realizadas a un servicio de almacenamiento. Esta información se
puede utilizar para supervisar solicitudes concretas y para diagnosticar problemas con
un servicio de almacenamiento. Las solicitudes se registran en función de la mejor
opción. Se registran los siguientes tipos de solicitudes autenticadas:
Solicitudes correctas
Solicitudes erróneas, incluyendo errores de tiempo de espera, de limitación, de
red, de autorización, etc
Solicitudes que utilizan una firma de acceso compartido (SAS), incluyendo las
solicitudes correctas y las erróneas
Solicitudes de datos de análisis
Habilitación de clientes basados en explorador mediante

CORS
El uso compartido de recursos entre orígenes (CORS) es un mecanismo que permite que
los dominios se concedan permisos entre sí para acceder a los recursos de los demás. El
agente de usuario envía encabezados adicionales para asegurarse de que el código
JavaScript que se carga desde un determinado dominio tenga permiso para acceder a
recursos ubicados en otro dominio. Después, el último dominio responde con
encabezados adicionales para permitir o denegar al dominio original el acceso a sus
recursos.
Los servicios de almacenamiento de Azure ahora admiten CORS, así que, una vez
establecidas las reglas de CORS para el servicio, una solicitud autenticada correctamente
realizada en el servicio desde un dominio diferente se evalúa para determinar si se
permite según las reglas que ha especificado.
Redes
fundamentales para la seguridad de red de Azure y un resumen de estas
funcionalidades.
Controles de nivel de red

El control de acceso de red es el acto de limitar la conectividad entre subredes o
dispositivos específicos y constituye el núcleo de la seguridad de red. El objetivo es
garantizar que las máquinas virtuales y los servicios sean accesibles solo para los
usuarios y dispositivos pertinentes.
Grupos de seguridad de red
Un grupo de seguridad de red (NSG) es un firewall de filtrado de paquetes básico con
estado que le permite controlar el acceso basado en una 5-tupla. Los NSG no
proporcionan inspección de nivel de aplicación ni controles de acceso autenticados. Se
pueden usar para controlar el tráfico que se mueve entre subredes dentro de una
instancia de Azure Virtual Network y el tráfico entre una instancia de Azure Virtual
Network e Internet.
Azure Firewall
Azure Firewall es un servicio de seguridad de firewall de red inteligente y nativo de la
nube que le proporciona la mejor protección contra amenazas para las cargas de
trabajo en la nube que se ejecutan en Azure. Se trata de un firewall como servicio con
estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin
restricciones. Asimismo, proporciona la opción de realizar la inspección del tráfico de
este a oeste y de norte a sur.
Azure Firewall se ofrece en dos SKU: Estándar y Premium. Azure Firewall Estándar
proporciona fuentes de inteligencia sobre amenazas y filtrado L3-L7 directamente desde
Microsoft Cyber Security. Azure Firewall Premium proporciona funcionalidades
avanzadas que incluyen IDPS basados en firmas para permitir la detección rápida de
ataques mediante la búsqueda de patrones específicos.
Control de ruta y tunelización forzada

La posibilidad de controlar el comportamiento de enrutamiento en Azure Virtual
Network es una funcionalidad crítica del control de acceso y la seguridad de red. Por
ejemplo, si desea asegurarse de que todo el tráfico que entre en su instancia de Azure
Virtual Network y salga de ella pase por ese dispositivo de seguridad virtual, debe ser
capaz de controlar y personalizar el comportamiento de enrutamiento. Para ello, puede
configurar rutas definidas por el usuario en Azure.
Las rutas definidas por el usuario le permiten personalizar rutas de acceso entrantes y
salientes para el tráfico que entra y sale de máquinas virtuales individuales o subredes
para garantizar la ruta más segura posible. tunelización forzada es un mecanismo que
puede usar para tener la seguridad de que no se permite que sus servicios inicien una
conexión con dispositivos en Internet.
Esto es diferente a poder aceptar conexiones entrantes y luego responder a ellas. En

este caso, los servidores front-end web tienen que responder a solicitudes de los hosts
de Internet, así que se permite la entrada en estos servidores web del tráfico cuyo
origen es Internet y dichos servidores pueden responder.
La tunelización forzada normalmente se usa para forzar que el tráfico saliente hacia
Internet atraviese firewalls y servidores proxy de seguridad locales.
Dispositivos de seguridad de red virtual
Aunque los grupos de seguridad de red, las rutas definidas por el usuario y la
tunelización forzada proporcionan un nivel de seguridad en las capas de red y
transporte del modelo OSI , habrá ocasiones en las que desee habilitar la seguridad en
niveles más altos de la pila. Puede acceder a estas características mejoradas de
seguridad de red mediante una solución de dispositivo de seguridad de red de
asociados de Azure. Para encontrar las soluciones de seguridad de red de asociados más
actuales de Azure, visite Azure Marketplace y busque "seguridad" y "seguridad de la
red".
Azure Virtual Network

Una red virtual de Azure (VNet) es una representación de su propia red en la nube. Es un
aislamiento lógico del tejido de red de Azure dedicado a su suscripción. Puede controlar
por completo los bloques de direcciones IP, la configuración DNS, las directivas de
seguridad y las tablas de rutas dentro de esta red. Puede segmentar la red virtual en
subredes y colocar máquinas virtuales de IaaS de Azure o servicios en la nube (instancias
de rol de PaaS) en instancias de Azure Virtual Network.
Además, puede conectar la red virtual a su red local mediante una de las opciones de
conectividad disponibles en Azure. En esencia, puede ampliar su red en Azure, con
control total sobre bloques de direcciones IP con la ventaja de la escala empresarial que
ofrece Azure.
Las redes de Azure admiten diversos escenarios de acceso remoto seguro. Algunos son:
Conexión de estaciones de trabajo individuales a una instancia de Azure Virtual

Network
Conexión de la red local a una instancia de Azure Virtual Network con una VPN
Conexión de la red local a una instancia de Azure Virtual Network con un vínculo
WAN dedicado
Conexión de instancias de Azure Virtual Network entre sí

Azure Private Link
Azure Private Link le permite acceder a los servicios PaaS de Azure (por ejemplo,
Azure Storage y SQL Database) y a los servicios hospedados en Azure que son
propiedad de los clientes, o a los servicios de asociados, a través de un punto de
conexión privado de la red virtual. La configuración y el consumo mediante Azure
Private Link es coherente entre los servicios de asociados compartidos y propiedad del
cliente de PaaS de Azure. El tráfico desde la red virtual al servicio de Azure siempre
permanece en la red troncal de Microsoft Azure.
Los puntos de conexión privados permiten proteger los recursos de servicio de Azure
críticos únicamente para las redes virtuales. El punto de conexión privado de Azure usa
una dirección IP privada de la red virtual para conectarse de forma privada y segura a un
servicio con tecnología de Azure Private Link, con lo que el servicio se integra en ella de
manera eficaz. La exposición de la red virtual a la red pública de Internet ya no es
necesaria para consumir los servicios PaaS de Azure.
Puede crear su propio servicio de vínculo privado en la red virtual. El servicio Azure
Private Link es la referencia a su propio servicio con tecnología de Azure Private Link. El
servicio que se ejecuta de forma subyacente a Azure Standard Load Balancer se puede
habilitar para el acceso a Private Link de modo que los consumidores del servicio
puedan tener acceso a este de forma privada desde sus propias redes virtuales. Sus
clientes pueden crear un punto de conexión privado dentro de su red virtual y asignarlo
a este servicio. Ya no es necesario exponer el servicio a la red pública de Internet para
representar los servicios en Azure.
VPN Gateway
Para enviar tráfico de red entre su instancia de Azure Virtual Network y el sitio local, es
preciso que cree una puerta de enlace de VPN para la instancia de Azure Virtual
Network. Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual que
envía tráfico cifrado a través de una conexión pública. También puede utilizar puertas de
enlace de VPN para enviar tráfico entre instancias de Azure Virtual Network a través del
tejido de red de Azure.
ExpressRoute
Microsoft Azure ExpressRoute es un vínculo WAN dedicado que le permite extender sus
redes locales a Microsoft Cloud a través de una conexión privada y dedicada que facilita
un proveedor de conectividad.
Con ExpressRoute, se pueden establecer conexiones con servicios en la nube de
Microsoft, como Microsoft Azure, Microsoft 365 y CRM Online. La conectividad puede
ser desde una red de conectividad universal (IP VPN), una red Ethernet de punto a
punto, o una conexión cruzada virtual a través de un proveedor de conectividad en una
instalación de ubicación compartida.
Las conexiones ExpressRoute no pasan por Internet y, por tanto, se pueden considerar
más seguras que las soluciones basadas en VPN. Esto permite a las conexiones de
ExpressRoute ofrecer más confiabilidad, más velocidad, menor latencia y mayor
seguridad que las conexiones normales a través de Internet.
Application Gateway
Microsoft Azure Application Gateway cuenta con un controlador de entrega de
aplicaciones (ADC) que se ofrece como servicio y que proporciona varias
funcionalidades de equilibrio de carga de nivel 7 para la aplicación.
Le permite optimizar la productividad de las granjas de servidores web al traspasar la
carga de la terminación TLS con mayor actividad de la CPU a Application Gateway (lo
que también se conoce como "descarga TLS" o "puente TLS"). Además, dispone de otras
funcionalidades de enrutamiento de nivel 7, como la distribución round robin del tráfico
entrante, la afinidad de sesiones basada en cookies, el enrutamiento basado en rutas de
acceso URL y la capacidad de hospedar varios sitios web tras una única instancia de
Application Gateway. Azure Application Gateway es un equilibrador de carga de nivel 7.
Proporciona conmutación por error, solicitudes HTTP de enrutamiento de rendimiento

entre distintos servidores, independientemente de que se encuentren en la nube o en
una implementación local.
La aplicación proporciona numerosas características de controlador de entrega de

aplicaciones (ADC), entre las que se incluyen el equilibrio de carga HTTP, la afinidad de
sesiones basada en cookies, la descarga TLS, los sondeos personalizados sobre el estado
y la compatibilidad con sitios múltiples.

El firewall de aplicaciones web (WAF) es una característica de Azure Application Gateway
diseñada para proteger las aplicaciones web que utilizan la puerta de enlace de
aplicaciones para funciones estándar de Application Delivery Control (ADC). El firewall
de aplicaciones web ofrece protección contra las diez vulnerabilidades web más
comunes identificadas por OWASP.
Protección contra la inyección de código SQL
Protección contra ataques web comunes, como inyección de comandos,

contrabando de solicitudes HTTP, división de respuestas HTTP y ataque remoto de
inclusión de archivos
Protección contra infracciones del protocolo HTTP
Protección contra anomalías del protocolo HTTP, como la falta de agentes de

usuario de host y encabezados de aceptación
Prevención contra bots, rastreadores y escáneres
Detección de errores de configuración comunes en aplicaciones (es decir, Apache,

IIS, etc.)
Disponer de un firewall de aplicaciones web centralizado que ofrezca protección contra

los ataques web facilita enormemente la administración de la seguridad y proporciona
mayor protección a la aplicación contra amenazas de intrusiones. Las soluciones de WAF
también pueden reaccionar más rápido ante una amenaza de la seguridad aplicando
revisiones que aborden una vulnerabilidad conocida en una ubicación central en lugar
de proteger cada una de las aplicaciones web por separado. Las puertas de enlace de
aplicaciones existentes pueden transformarse rápidamente en puertas de enlace con un
firewall de aplicaciones web.
Traffic Manager
Microsoft Azure Traffic Manager permite controlar la distribución del tráfico de los
usuarios para puntos de conexión de servicio en distintos centros de datos. Entre los
puntos de conexión de servicio compatibles con Traffic Manager, se incluyen máquinas
virtuales de Azure, Web Apps y servicios en la nube. También puede utilizar el
Administrador de tráfico con puntos de conexión externos, que no forman parte de
Azure. Traffic Manager usa el sistema de nombres de dominio (DNS) para dirigir las
solicitudes del cliente al punto de conexión más adecuado en función de un método de
enrutamiento del tráfico y el estado de los puntos de conexión.
Traffic Manager proporciona una serie de métodos de enrutamiento del tráfico para
satisfacer las necesidades de distintas aplicaciones, la supervisión del estado de los
puntos de conexión y la conmutación automática por error. Traffic Manager es
resistente a errores, incluidos los que afecten a toda una región de Azure.
Azure Load Balancer

Azure Load Balancer proporciona una alta disponibilidad y un elevado rendimiento de
red a las aplicaciones. Se trata de un equilibrador de carga de nivel 4 (TCP y UDP) que
distribuye el tráfico entrante entre las instancias de servicio correctas de los servicios
que se definen en un conjunto de carga equilibrada. Azure Load Balancer puede
configurarse para lo siguiente:
Equilibrar la carga del tráfico entrante de Internet entre las máquinas virtuales. Esta
configuración se conoce como equilibrio de carga público.
Equilibrar la carga del tráfico entre máquinas virtuales de una red virtual, entre
máquinas virtuales de servicios en la nube o entre equipos locales y máquinas
virtuales de una red virtual entre entornos locales. Esta configuración se conoce
como " equilibrio de carga interno".
Reenvío de tráfico externo a una máquina virtual determinada
DNS interno
Puede administrar la lista de servidores DNS usados en una red virtual en el Portal de
administración o en el archivo de configuración de red. Un cliente puede agregar hasta
12 servidores DNS para cada red virtual. Al especificar servidores DNS, es importante
comprobar que se enumeren los servidores DNS del cliente en el orden correcto para el
entorno del cliente. Las listas de servidores DNS no funcionan con Round Robin. Se
utilizan en el orden en que se especifican. Si se puede acceder al primer servidor DNS
de la lista, el cliente usa ese servidor DNS con independencia de si el servidor DNS
funciona correctamente o no. Para cambiar el orden del servidor DNS para la red virtual
del cliente, quite los servidores DNS de la lista y agréguelos en el orden en que el cliente
desee. DNS es compatible con el aspecto de disponibilidad, parte de la tríada de
seguridad formada también por la confidencialidad y la integridad.
Azure DNS
El sistema de nombres de dominio, o DNS, es responsable de traducir (o resolver) el
nombre del sitio web o del servicio en su dirección IP. Azure DNS es un servicio de
hospedaje para dominios DNS que permite resolver nombres mediante la
infraestructura de Microsoft Azure. Al hospedar dominios en Azure, puede administrar
los registros DNS con las mismas credenciales, API, herramientas y facturación que con
los demás servicios de Azure. DNS es compatible con el aspecto de disponibilidad, parte
de la tríada de seguridad formada también por la confidencialidad y la integridad.
Grupos de seguridad de red de registros de

Azure Monitor
Puede habilitar las siguientes categorías de registro de diagnóstico para los NSG:
Evento: contiene entradas para las que se aplican reglas de NSG a las máquinas
virtuales y a los roles de instancia en función de la dirección MAC. El estado de
estas reglas se recopila cada 60 segundos.
Contador de regla: contiene entradas para el número de veces que se aplica cada
regla NSG para denegar o permitir el tráfico.

Microsoft Defender for Cloud analiza continuamente el estado de seguridad de los
recursos de Azure para los procedimientos recomendados de seguridad de red. Cuando
Defender for Cloud identifica posibles vulnerabilidades de seguridad, crea
recomendaciones que lo guían a través del proceso de configuración de los controles
necesarios para fortalecer y proteger sus recursos.
Proceso
fundamentales para esta área y un resumen de estas funcionalidades.
Computación confidencial de Azure
La computación confidencial de Azure proporciona la pieza final de la protección de
datos. Permite mantener los datos cifrados en todo momento. Mientras están en
reposo, cuando están en movimiento a través de la red, y ahora, incluso mientras se
cargan en memoria y en uso. Además, al hacer posible la Atestación remota, permite
comprobar criptográficamente que la máquina virtual que aprovisiona ha arrancado de
forma segura y está configurada correctamente, antes de desbloquear los datos.
El espectro de opciones abarca desde la habilitación de escenarios de "elevación y

desplazamiento" de las aplicaciones existentes hasta un control total de las
características de seguridad. En el caso de infraestructura como servicio (IaaS), puede
usar máquinas virtuales confidenciales con tecnología AMD SEV-SNP o enclaves de
aplicaciones confidenciales para máquinas virtuales que ejecutan Intel Software Guard
Extensions (SGX). Para Plataforma como servicio, tenemos varias opciones basadas en
contenedores, incluidas las integraciones con Azure Kubernetes Service (AKS).
Antimalware y antivirus
Con IaaS de Azure, puede usar software antimalware de proveedores de seguridad
como Microsoft, Symantec, Trend Micro, McAfee y Kaspersky, para proteger las
máquinas virtuales de archivos malintencionados, adware y otras amenazas. Microsoft
Antimalware para Azure Cloud Services y Virtual Machines es una funcionalidad de
protección que permite identificar y eliminar virus, spyware y otro software
malintencionado. Microsoft Antimalware activa alertas configurables cuando software
no deseado o malintencionado intenta instalarse o ejecutarse en los sistemas de Azure.
Microsoft Antimalware también se puede implementar mediante Microsoft Defender for
Cloud.
Módulo de seguridad de hardware

La autenticación y el cifrado no mejoran la seguridad a menos que las propias claves
estén protegidas. Puede simplificar la administración y la seguridad de claves y secretos
críticos guardándolos en Azure Key Vault. Key Vault permite guardar claves en módulos
de seguridad de hardware (HSM) que tienen la certificación FIPS 140-2 nivel 2. Sus
claves de cifrado de SQL Server para copias de seguridad o cifrado de datos
transparente se pueden almacenar en Key Vault con otras claves y secretos de sus
aplicaciones. Los permisos y el acceso a estos elementos protegidos se administran con
Azure Active Directory.
Copia de seguridad de máquina virtual
Azure Backup es una solución que protege los datos de su aplicación sin necesidad de
realizar ninguna inversión y afrontando unos costos operativos mínimos. Los errores de
una aplicación pueden dañar los datos, y los errores humanos pueden crear errores en
las aplicaciones que conlleven problemas de seguridad. Con Azure Backup, las máquinas
virtuales que ejecutan Windows y Linux están protegidas.
Azure Site Recovery

Una parte importante de la estrategia de continuidad empresarial/recuperación ante
desastres (BCDR) de su organización es averiguar cómo mantener las aplicaciones y
cargas de trabajo corporativas en funcionamiento cuando se produzcan interrupciones
planeadas e imprevistas. Azure Site Recovery ayuda a coordinar la replicación, la
conmutación por error y la recuperación de aplicaciones y cargas de trabajo para que
estén disponibles desde una ubicación secundaria si la ubicación principal deja de
funcionar.
TDE de máquina virtual de SQL

El cifrado de datos transparente (TDE) y cifrado de nivel de columna (CLE) son
características de cifrado de SQL Server. Esta forma de cifrado requiere que los clientes
administren y almacenen las claves criptográficas que se usan para el cifrado.
El servicio Azure Key Vault (AKV) está diseñado para mejorar la seguridad y la
administración de estas claves en una ubicación segura y con gran disponibilidad. El
Conector de SQL Server permite que SQL Server use estas claves desde Azure Key Vault.
Si ejecuta SQL Server con máquinas locales, hay una serie de pasos que puede seguir
para acceder a Azure Key Vault desde la instancia de SQL Server local. Pero para SQL
Server en las máquinas virtuales de Azure, puede ahorrar tiempo si usa la característica
Integración de Azure Key Vault. Con algunos cmdlets de Azure PowerShell para habilitar
esta característica, puede automatizar la configuración necesaria para que una máquina
virtual de SQL tenga acceso a su Almacén de claves.
Cifrado de discos de máquinas virtuales

máquinas virtuales Windows le ayuda a cifrar los discos de máquina virtual IaaS. Usa la
característica BitLocker estándar del sector de Windows y la característica DM-Crypt de
Linux para ofrecer cifrado de volumen para el sistema operativo y los discos de datos. La
solución se integra con Azure Key Vault para ayudarle a controlar y administrar los
secretos y las claves de cifrado de discos en su suscripción de Key Vault. La solución
también garantiza que todos los datos de los discos de máquinas virtuales se cifran en
reposo en Azure Storage.
Redes virtuales
Las máquinas virtuales necesita conectividad de red. Para satisfacer este requisito, es
necesario que Azure Virtual Machines esté conectado a una instancia de Azure Virtual
Network. Azure Virtual Network es una construcción lógica creada encima del tejido de
red físico de Azure. Cada instancia de Azure Virtual Network lógica está aislada de todas
las demás instancias de Azure Virtual Network. Este aislamiento contribuye a garantizar
que otros clientes de Microsoft Azure no puedan acceder al tráfico de red de las
implementaciones.
Actualizaciones de revisiones
Las actualizaciones de revisiones proporcionan la base para encontrar y corregir
posibles problemas y simplificar el proceso de administración de actualizaciones de
software al reducir el número de actualizaciones de software que debe implementar en
su empresa y aumentar la capacidad de supervisar el cumplimiento.
Informes y administración de directivas de seguridad

Defender for Cloud ayuda a evitar amenazas y a detectarlas y responder a ellas, y
proporciona una mayor visibilidad y control sobre la seguridad de sus recursos de
Azure. Proporciona administración de directivas y supervisión de la seguridad integradas
en las suscripciones de Azure, ayuda a detectar amenazas que podrían pasar
Administración de identidades y acceso

La protección de los sistemas, las aplicaciones y los datos comienza por los controles de
acceso basado en identidad. Las características de administración de identidades y
acceso que están integradas en los servicios y productos de Microsoft para empresas
ayudan a proteger su información personal y profesional ante el acceso no autorizado al
mismo tiempo que se pone a disposición de los usuarios legítimos cuando y donde la
necesiten.
Protección de la identidad
Microsoft utiliza varias tecnologías y procedimientos recomendados de seguridad en
sus productos y servicios para administrar las identidades y el acceso.
Multi-Factor Authentication requiere que los usuarios utilicen varios métodos

para el acceso, tanto localmente como en la nube. Proporciona autenticación
sólida con una variedad de sencillas opciones de verificación, a la vez que admite
usuarios mediante un proceso de inicio de sesión simple.
Microsoft Authenticator ofrece una experiencia de Multi-Factor Authentication

fácil de usar que funciona tanto con Microsoft Azure Active Directory como con
cuentas de Microsoft e incluye compatibilidad con ponibles y aprobaciones
basadas en huellas digitales.
La aplicación de directivas de contraseña aumenta la seguridad de las contraseñas

tradicionales al imponer requisitos de longitud y complejidad, la rotación periódica
obligatoria y el bloqueo de cuenta después de intentos de autenticación
incorrectos.
La autenticación basada en tokens habilita la autenticación a través de Azure

Active Directory.
El control de acceso basado en rol de Azure (Azure RBAC) permite conceder

acceso en función del rol asignado al usuario, lo que hace más fácil proporcionar a
los usuarios únicamente la cantidad de acceso que necesitan para realizar sus
tareas. Puede personalizar Azure RBAC según el modelo de negocio de su
organización y su tolerancia al riesgo.
La administración de identidades integrada (identidad híbrida) le permite

mantener el control del acceso de los usuarios en centros de datos internos y
plataformas en la nube, al crear una única identidad de usuario para la
autenticación y autorización en todos los recursos.
Protección de aplicaciones y datos

Azure Active Directory , una solución en la nube de administración integral de
identidades y acceso, ayuda a proteger el acceso a los datos en aplicaciones locales y en
la nube, además de simplificar la administración de usuarios y grupos. Combina
servicios de directorio centrales, gobernanza avanzada de identidades, seguridad y
administración del acceso a aplicaciones; además, facilita a los desarrolladores la
integración en sus aplicaciones de la administración de identidades basada en
directivas. Para mejorar su instancia de Azure Active Directory, puede agregar
funcionalidades de pago con las ediciones Azure Active Directory Basic, Premium P1 y
Premium P2.
Características Características de Características Características Azure Active
comunes/gratuitas la edición Basic de la edición de la edición Directory Join,
Premium P1 Premium P2 solo
características
relacionadas
con Windows
10
Objetos de Aprovisionamiento Autoservicio de Identity Unir un

directorio, y administración administración Protection, dispositivo a
administración de del acceso de grupos y Privileged Azure AD, SSO
usuarios y grupos basados en grupo, aplicaciones, Identity de escritorio,
(agregar, actualizar autoservicio de autoservicio de Management Microsoft
y eliminar), restablecimiento incorporación de Passport para
aprovisionamiento de contraseña aplicaciones o Azure AD,
basado en el para usuarios de la grupos recuperación de
usuario, registro de nube, dinámicos, BitLocker de
dispositivos, inicio personalización de autoservicio de administrador,
de sesión único marca de la restablecimiento inscripción
(SSO), autoservicio compañía de contraseña, automática de
de cambio de (personalización cambio o MDM,
contraseña para de las páginas de desbloqueo con autoservicio de
usuarios de la nube, inicio de sesión y escritura diferida recuperación de
conexión (motor de del panel de local, Multi- BitLocker,
sincronización que acceso), proxy de Factor administradores
extiende los aplicación, Authentication locales
directorios locales a Acuerdo de Nivel (en la nube y adicionales para
Azure de Servicio del local [Servidor dispositivos
Active Directory), 99,9 % MFA]), CAL de Windows 10 a
informes de MIM + servidor través de la
seguridad y uso MIM, Cloud App unión a
Discovery, Azure AD
Connect Health,
Sustitución
automática de la
contraseña para
cuentas de
grupo
Cloud App Discovery es una característica Premium de Azure Active Directory que
permite identificar aplicaciones en la nube usadas por los empleados de su
organización.
Azure Active Directory Identity Protection es un servicio de seguridad que usa las
funcionalidades de detección de anomalías de Azure Active Directory para
proporcionar una vista consolidada de detecciones de riesgo y vulnerabilidades
potenciales que podrían afectar a las identidades de su organización.
Azure Active Directory Domain Services permite unir máquinas virtuales de
Azure a un dominio sin necesidad de implementar controladores de dominio. Los
usuarios inician sesión en estas máquinas virtuales usando sus credenciales
corporativas de Active Directory y pueden acceder a los recursos sin problemas.
Azure Active Directory B2C es un servicio de administración de identidades

global y de alta disponibilidad para aplicaciones orientadas al consumidor que
pueden utilizar hasta cientos de millones de identidades e integrarse en
plataformas web y móviles. Los clientes pueden iniciar sesión en todas las
aplicaciones mediante experiencias personalizables que usan cuentas de redes
sociales existentes o pueden crear credenciales independientes.
Colaboración B2B de Azure Active Directory es una solución segura de integración

de asociados que admite relaciones entre empresas al permitir que los asociados
accedan a las aplicaciones corporativas y a los datos de forma selectiva mediante
sus identidades autoadministradas.
Azure Active Directory unido permite extender las funcionalidades de nube a

dispositivos Windows 10 para la administración centralizada. Permite que los
usuarios se conecten a la nube corporativa o de la organización a través de Azure
Active Directory y simplifica el acceso a aplicaciones y recursos.
La característica Proxy de la aplicación de Azure Active Directory proporciona inicio

de sesión único (SSO) y acceso remoto seguro para aplicaciones web hospedadas
de forma local.
Pasos siguientes
Comprenda la responsabilidad compartida en la nube.
Obtenga información sobre cómo Microsoft Defender for Cloud puede ayudarle a
evitar amenazas y a detectarlas y responder a ellas con más visibilidad y control
sobre la seguridad de sus recursos de Azure.
Seguridad integral en Azure
Artículo • 20/03/2023
Una de las mejores razones para usar Azure en sus aplicaciones y servicios es poder
aprovechar su amplia gama de funcionalidades y herramientas de seguridad. Estas
herramientas y funcionalidades permiten crear soluciones seguras en la plataforma
Azure segura. Microsoft Azure proporciona confidencialidad, integridad y disponibilidad
para los datos del cliente, al mismo tiempo que hace posible una responsabilidad
transparente.
En el diagrama y la documentación siguientes se presentan los servicios de seguridad de

Azure. Estos servicios le ayudan a satisfacer las necesidades de seguridad de su empresa
y a proteger a los usuarios, los dispositivos, los recursos, los datos y las aplicaciones en
la nube.
Mapa de servicios de seguridad de Microsoft

El mapa de servicios de seguridad organiza los servicios por los recursos que protegen
(columna). El diagrama también agrupa los servicios en las siguientes categorías (fila):
Seguridad y protección: servicios que le permiten implementar una estrategia de

defensa en profundidad por niveles que abarca la identidad, los hosts, las redes y
los datos. Esta colección de funcionalidades y servicios de seguridad proporciona
una manera de comprender y mejorar la posición de seguridad en el entorno de
Azure.
Detección de amenazas: servicios que identifican actividades sospechosas y
facilitan la mitigación de la amenaza.
Investigación y respuesta: servicios que extraen datos de registro para que pueda
evaluar las actividades sospechosas y responder a ellas.
Controles de seguridad y líneas de base
El punto de referencia de seguridad en la nube de Microsoft incluye una recopilación de
recomendaciones de seguridad de gran impacto que se puede usar para ayudar a
proteger los servicios que se usan en Azure:
Controles de seguridad: estas recomendaciones se suelen aplicar tanto al inquilino

como a los servicios de Azure. Cada recomendación señala una lista de partes
interesadas que suelen estar implicadas en el planeamiento, la aprobación o la
implementación de la prueba comparativa.
Líneas de base del servicio: aplican los controles a servicios individuales de Azure
para proporcionar recomendaciones sobre la configuración de seguridad de dicho
servicio.
Seguridad y protección
Servicio Descripción
Microsoft Defender for Cloud Un sistema unificado de administración de seguridad de la

infraestructura que fortalece la posición de seguridad de los
centros de datos y proporciona protección avanzada contra
amenazas en todas las cargas de trabajo híbridas que se
encuentran en la nube, ya sea que estén en Azure o no, así como
también en el entorno local.
Administración de
identidades y acceso
Azure Active Directory (AD) El servicio de administración de identidades y acceso basado en la

nube de Microsoft.
Acceso condicional es la herramienta que usa Azure AD para

reunir las señales, tomar decisiones y aplicar las directivas de la
organización.
Servicios de dominio es la herramienta que usa Azure AD para

proporcionar servicios de dominio administrados, como la unión
a un dominio, la directiva de grupo, el protocolo ligero de acceso
a directorios (LDAP) y la autenticación Kerberos/NTLM.
Privileged Identity Management (PIM) es un servicio de Azure AD

que permite administrar, controlar y supervisar el acceso a
recursos importantes de la organización.
La autenticación multifactor es la herramienta que usa Azure AD

para ayudar a proteger el acceso a los datos y las aplicaciones
mediante la solicitud de una segunda forma de autenticación.
Azure AD Identity Protection Herramienta que permite a las organizaciones automatizar la

detección y corrección de riesgos basados en identidades,
investigar riesgos mediante datos del portal y exportar datos de
detección de riesgos a utilidades de terceros para analizarlos más
a fondo.
Infraestructura y red
VPN Gateway Una puerta de enlace de red virtual que se usa para enviar tráfico
cifrado entre una red virtual de Azure y una ubicación local a
través de la red pública de Internet y para enviar tráfico cifrado
entre redes virtuales de Azure a través de la red de Microsoft.
Azure DDoS Protection Proporciona características de mitigación de DDoS mejoradas

para la defensa contra los ataques DDoS. Se ajusta de forma
automática para proteger los recursos específicos de Azure de
una red virtual.
Azure Front Door Un punto de entrada global y escalable que usa la red perimetral
global de Microsoft para crear aplicaciones web rápidas, seguras
y muy escalables.
Azure Firewall Un servicio de seguridad de firewall de red inteligente y nativo de

nube que proporciona protección contra amenazas para las
cargas de trabajo de nube que se ejecutan en Azure. Se trata de
un firewall como servicio con estado completo que incorpora alta
disponibilidad y escalabilidad a la nube sin restricciones. Azure
Firewall se ofrece en tres SKU: Estándar, Premium y Básico.
Azure Key Vault Un almacén de secretos seguro para tokens, contraseñas,

certificados, claves de API y otros secretos. Key Vault también se
puede usar para crear y controlar las claves de cifrado utilizadas
para cifrar los datos.
HSM administrado por Key Un servicio en la nube que cumple los estándares, totalmente
Vault administrado, de alta disponibilidad y de un solo inquilino que le
permite proteger las claves criptográficas de las aplicaciones de
nube mediante dispositivos HSM validados de FIPS 140-2 nivel 3.
Azure Private Link Permite acceder a los servicios PaaS de Azure (por ejemplo, Azure
Storage y SQL Database) y a los servicios hospedados en Azure
que son propiedad de los clientes, o a los servicios de asociados,
a través de un punto de conexión privado de la red virtual.
Azure Application Gateway Un equilibrador de carga avanzado para administrar el tráfico a

las aplicaciones web. Application Gateway puede tomar
decisiones de enrutamiento basadas en atributos adicionales de
una solicitud HTTP, por ejemplo los encabezados de host o la ruta
de acceso del URI.
Azure Service Bus Un agente de mensajes empresarial totalmente administrado que

incluye colas de mensajes y temas que se pueden publicar y a los
que es posible suscribirse. Service Bus se usa para desacoplar
aplicaciones de servicios.
Firewall de aplicaciones web Ofrece una protección centralizada de las aplicaciones web contra
vulnerabilidades de seguridad comunes. WAF se puede
implementar con Azure Application Gateway y Azure Front Door.
Azure Policy Ayuda a aplicar los estándares de la organización y a evaluar el

cumplimiento a gran escala. Mediante su panel de cumplimiento,
proporciona una vista agregada para evaluar el estado general
del entorno, con la posibilidad de explorar en profundidad hasta
el nivel de recurso y directiva. También ayuda al cumplimiento de
los recursos gracias a la corrección masiva de los recursos
existentes y la corrección automática de nuevos recursos.
Datos y aplicaciones
Azure Backup Proporciona soluciones sencillas, seguras y rentables tanto para

realizar copias de seguridad de datos de la nube de Microsoft
Azure como para recuperarlos.
Cifrado del servicio Azure Cifra automáticamente los datos antes de que se almacenen y los
Storage descifra automáticamente cuando los recupera.
Azure Information Protection Una solución basada en la nube que permite a las organizaciones
descubrir, clasificar y proteger los documentos y correos
electrónicos mediante la aplicación de etiquetas.
API Management Una manera de crear puertas de enlace de API coherentes y

modernas para servicios de back-end existentes.
Azure confidential Permite aislar los datos confidenciales mientras se procesan en la

computing (Computación nube.
confidencial de Azure)
Azure DevOps Los proyectos de desarrollo se benefician de varias capas de

tecnologías de seguridad y gobernanza, prácticas operativas y
directivas de cumplimiento cuando se almacenan en Azure
DevOps.
Acceso al cliente
Azure AD External Identities Mediante External Identities de Azure AD, puede facilitar a
personas ajenas a una organización el acceso a sus aplicaciones y
recursos, además de permitirles iniciar sesión con la identidad
que prefieran.
Puede compartir sus aplicaciones y recursos con usuarios

externos mediante la colaboración de Azure AD B2B.
Azure AD B2C tiene cabida para millones de usuarios y miles de

millones de autenticaciones al día y permite supervisar y controlar
automáticamente amenazas como la denegación de servicio, la
aplicación de la contraseña o los ataques por fuerza bruta.
Detectar amenazas
Microsoft Defender for Cloud Ofrece protección inteligente y avanzada para las cargas de
trabajo y recursos híbridos y de Azure. El panel de protección de
cargas de trabajo de Defender for Cloud proporciona visibilidad y
control de las características de protección de cargas de trabajo
en la nube para su entorno.
Microsoft Sentinel Una solución nativa de nube y escalable para la administración de

eventos de información de seguridad (SIEM) y la respuesta
automatizada de orquestación de seguridad (SOAR). Sentinel
ofrece análisis de seguridad inteligente e inteligencia frente a
amenazas en toda la empresa, de forma que proporciona una
única solución para la detección de alertas, la visibilidad de
amenazas, la búsqueda proactiva y la respuesta a amenazas.
Administración de
identidades y acceso
Microsoft 365 Defender Un conjunto unificado de defensa de la empresa que coordina de

forma nativa la detección, la prevención, la investigación y la
respuesta en relación con los puntos de conexión, las identidades,
el correo electrónico y las aplicaciones para proporcionar
protección integrada frente a ataques sofisticados antes y
después de una infracción.
Microsoft Defender para punto de conexión es una plataforma de

seguridad empresarial para puntos de conexión diseñada para
evitar, detectar, investigar y responder a amenazas avanzadas.
Microsoft Defender for Identity es una solución de seguridad

basada en la nube que aprovecha las señales de Active Directory
local para identificar, detectar e investigar amenazas avanzadas,
identidades puestas en peligro y acciones malintencionadas
dirigidas a la organización efectuadas por usuarios internos.
Azure AD Identity Protection Envía dos tipos de correos electrónicos de notificación

automatizados para ayudarle a administrar el riesgo de los
usuarios y las detecciones de riesgos: correo electrónico de
usuarios en riesgo detectados y correo electrónico de resumen
semanal.
Infraestructura y red
Azure Firewall Azure Firewall Premium proporciona el sistema de detección y

prevención de intrusiones (IDPS) basado en firmas para permitir la
detección rápida de ataques mediante la búsqueda de patrones
específicos, como secuencias de bytes en el tráfico de red o
secuencias de instrucciones malintencionadas conocidas usadas
por malware.
Microsoft Defender para IoT Una solución de seguridad unificada para identificar dispositivos,
vulnerabilidades y amenazas de IoT y OT. Permite proteger todo
el entorno de IoT/OT, independientemente de que necesite
proteger dispositivos IoT/OT existentes o incorporar seguridad a
nuevas innovaciones de IoT.
Azure Network Watcher Proporciona herramientas para supervisar, diagnosticar, ver

métricas y habilitar o deshabilitar registros de recursos en una red
virtual de Azure. Network Watcher está diseñado para supervisar
y reparar el estado de la red de los productos de IaaS, lo que
incluye máquinas virtuales, redes virtuales, puertas de enlace de
aplicaciones y equilibradores de carga.
Azure Policy Ayuda a aplicar los estándares de la organización y a evaluar el

cumplimiento a gran escala. Azure Policy utiliza registros de
actividad, que están habilitados automáticamente para incluir el
origen del evento, la fecha, el usuario, la marca de tiempo, las
direcciones de origen y de destino, y otros elementos útiles.
Datos y aplicaciones
Microsoft Defender para Una solución nativa de la nube que se utiliza para asegurar sus
contenedores contenedores para que pueda mejorar, supervisar y mantener la
seguridad de sus clústeres, contenedores y sus aplicaciones.
Microsoft Defender for Cloud Un agente de seguridad de acceso a la nube (CASB) que funciona
Apps en varias nubes. Proporciona visibilidad enriquecida, control sobre
el viaje de los datos y análisis sofisticados para identificar y
combatir las ciberamenazas en todos los servicios en la nube.
Investigación y respuesta
Microsoft Sentinel Eficaces herramientas de búsqueda y consulta para buscar amenazas de

seguridad en los orígenes de datos de la organización.
Métricas y Ofrece una solución completa para recopilar y analizar la telemetría del
registros de Azure entorno local y en la nube y realizar acciones en función de estos datos.
Monitor Azure Monitor recopila datos de diversos orígenes y los agrega a una
plataforma de datos común donde se pueden usar en el análisis, la
visualización y la generación de alertas.
Administración de
identidades y
acceso
Informes y Los informes de Azure AD proporcionan una vista completa de la actividad

supervisión de del entorno.
Azure AD
La supervisión de Azure AD le permite enrutar los registros de actividad de

Azure AD a diferentes puntos de conexión.
Historial de Muestra todas las asignaciones de roles y activaciones en los últimos

auditoría de PIM 30 días de todos los roles con privilegios.
de Azure AD
Datos y
aplicaciones
Microsoft Defender Proporciona herramientas para mejorar su comprensión de lo que sucede

for Cloud Apps en el entorno de nube.
Pasos siguientes
Conozca las opciones de aislamiento en la nube de Azure contra usuarios

malintencionados y no malintencionados.
Artículo • 20/10/2023
A medida que considera y evalúa los servicios en la nube pública, es fundamental que
comprenda el modelo de responsabilidad compartida y qué tareas de seguridad
administra el proveedor de servicios en la nube y cuáles administra usted. Las
responsabilidades de la carga de trabajo varían en función de si la carga de trabajo está
hospedada en una implementación de software como servicio (SaaS), plataforma como
servicio (PaaS), infraestructura como servicio (IaaS) o bien en un centro de datos local.
División de responsabilidad
En un centro de datos local, usted es el propietario de toda la pila. A medida que se
traslada a la nube, algunas responsabilidades se transfieren a Microsoft. En el diagrama
siguiente se muestran las áreas de responsabilidad entre usted y Microsoft, según el
tipo de implementación de la pila.
Para todos los tipos de implementación de nube, es propietario de los datos y las
identidades. Asimismo, es responsable de proteger la seguridad de los datos y las
identidades, los recursos locales y los componentes en la nube que controla. Los
componentes en la nube que controla varían según el tipo de servicio.
Con independencia del tipo de implementación, siempre conserva las siguientes

responsabilidades:
data
Puntos de conexión
Cuenta
Administración de acceso
Ventajas de seguridad en la nube

La nube ofrece importantes ventajas para solucionar los desafíos de seguridad de la
información de larga duración. En un entorno local, las organizaciones probablemente
tengan responsabilidades inadecuadas y recursos limitados disponibles para invertir en
seguridad, de tal manera que se crea un entorno donde los atacantes pueden
aprovechar vulnerabilidades a todos los niveles.
En el diagrama siguiente se muestra un enfoque tradicional, en el que no se pueden

satisfacer muchas responsabilidades de seguridad debido a los limitados recursos. En el
enfoque habilitado para la nube, puede trasladar las responsabilidades de seguridad del
día a día a su proveedor de servicios en la nube y reasignar sus recursos.
En el enfoque habilitado para la nube, también puede aplicar las funcionalidades de

seguridad basadas en la nube para conseguir mayor eficacia y usar la inteligencia en la
nube para mejorar la detección de amenazas y el tiempo de respuesta. Con la
transferencia de responsabilidades al proveedor de nube, las organizaciones pueden
obtener más cobertura de seguridad, lo que les permite reasignar recursos de seguridad
y presupuestos a otras prioridades empresariales.
Paso siguiente
Obtenga más información sobre la responsabilidad compartida y las estrategias para
mejorar la posición de seguridad en la información general del pilar de seguridad del
Marco de buena arquitectura.
Seguridad de Confianza cero
Artículo • 06/04/2023
La Confianza cero es un nuevo modelo de seguridad que presupone que hay una
brecha y comprueba todas las solicitudes como si provinieran de una red no controlada.
En este artículo, obtendrá información sobre los principios rectores de la Confianza cero
y encontrarán recursos que le ayuden a implementar la Confianza cero.
Principios rectores de Confianza cero

En la actualidad, las organizaciones necesitan un nuevo modelo de seguridad que se
adapte eficazmente a la complejidad del entorno moderno, que adopte los recursos
móviles y proteja a personas, dispositivos, aplicaciones y datos dondequiera que se
encuentren.
Para abordar este nuevo mundo informático, Microsoft recomienda encarecidamente el

modelo de seguridad de Confianza cero, que se basa en estos principios rectores:
Comprobar explícitamente: realice siempre las operaciones de autorización y

autenticación en función de todos los puntos de datos disponibles.
Usar el acceso de privilegios mínimos: limite el acceso de los usuarios con Just-in-
Time y Just-Enough-Access (JIT/JEA), directivas que se adaptan al nivel de riesgo y
protección de datos.
Asumir que hay brechas: minimice el radio de expansión y el acceso a los
segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener
visibilidad, impulsar la detección de amenazas y mejorar las defensas.
Para más información sobre la Confianza cero, consulte Centro de guía sobre la
Confianza cero.
Arquitectura de Confianza cero

Un enfoque de Confianza cero se extiende por todo el patrimonio digital y sirve como
filosofía de seguridad integrada y estrategia integral.
En esta ilustración, se proporciona una representación de los elementos principales que

contribuyen a la Confianza cero.
En la ilustración:
La aplicación de directivas de seguridad está en el centro de una arquitectura de

Confianza cero. Esto incluye la autenticación multifactor con acceso condicional
que tiene en cuenta el riesgo de la cuenta de usuario, el estado del dispositivo y
otros criterios y directivas que establezca.
Las identidades, los dispositivos (también llamados puntos de conexión), los datos,
las aplicaciones, la red y otros componentes de la infraestructura se configuran con
la seguridad adecuada. Las directivas configuradas para cada uno de estos
componentes se coordinan con la estrategia de Confianza cero general. Por
ejemplo, las directivas de dispositivo determinan los criterios de los dispositivos
correctos y las directivas de acceso condicional requieren dispositivos correctos
para el acceso a aplicaciones y datos específicos.
La inteligencia y protección contra amenazas supervisa el entorno, detecta los
riesgos actuales y toma medidas automatizadas para corregir los ataques.
Para más información sobre la implementación de los componentes de tecnología de la

arquitectura de Confianza cero, consulte Implementación de soluciones de Confianza
cero.
Como alternativa a la guía de implementación, que proporciona los pasos de

configuración para cada uno de los componentes tecnológicos protegidos por los
principios de Confianza cero, la guía Plan de modernización rápida (RaMP) de Confianza
cero se basa en iniciativas y proporciona un conjunto de rutas de implementación para
implementar más rápidamente las principales capas de protección.
Del perímetro de seguridad a la Confianza cero

El enfoque tradicional de control de acceso para TI se ha basado en restringir el acceso
a una red corporativa y, a continuación, complementarlo con más controles según sea
necesario. Este modelo restringe todos los recursos a una conexión de red propiedad de
la empresa, lo cual resulta demasiado restrictivo para satisfacer las necesidades de una
empresa dinámica.
Las organizaciones deben adoptar un enfoque de Confianza cero para el control de

acceso a medida que incorporan el trabajo remoto y usan la tecnología de la nube para
transformar digitalmente el modelo de negocio, el modelo de interacción con los
clientes y el modelo de capacitación y participación de los empleados.
Los principios de confianza cero ayudan a establecer y mejorar continuamente las

garantías de seguridad, con la flexibilidad necesaria para mantenerse al día en el mundo
nuevo actual. La mayoría de los procesos de confianza cero comienzan con el control de
acceso y se centran en la identidad como control principal preferido, a la vez que siguen
adoptando la tecnología de seguridad de red como elemento clave. La tecnología de
red y la táctica del perímetro de seguridad siguen estando presentes en un modelo de
control de acceso moderno, pero no son el enfoque dominante preferido en una
estrategia de control de acceso completa.
Para más información sobre la transformación de Confianza cero del control de acceso,
consulte el control de acceso de Cloud Adoption Framework.
Acceso condicional con Confianza cero

El enfoque para la Confianza cero de Microsoft incluye el acceso condicional como
motor principal de las directivas. El acceso condicional se usa como motor de las
directivas en una arquitectura de Confianza cero que abarca tanto la definición como el
cumplimiento de las directivas. En función de varias señales o condiciones, el acceso
condicional puede bloquear o dar acceso limitado a los recursos.
Para más información sobre cómo crear un modelo de acceso basado en el acceso
condicional que esté alineado con los principios rectores de la Confianza cero, consulte
Principios y dependencias de diseño de acceso condicional.
Desarrollo de aplicaciones con los principios de

Confianza cero
La Confianza cero es un marco de seguridad que no se basa en la confianza implícita
que se proporciona a las interacciones que hay detrás de un perímetro de red seguro.
En su lugar, usa los principios de comprobación explícita, acceso con privilegios
mínimos y la asunción de que hay brechas para proteger a los usuarios y los datos, al
tiempo que permite escenarios comunes como el acceso a las aplicaciones desde fuera
del perímetro de la red.
Como desarrollador, es esencial que use los principios de Confianza cero para proteger
los datos y los usuarios. Los desarrolladores de aplicaciones pueden mejorar la
seguridad de las aplicaciones, minimizar el impacto de las brechas y asegurarse de que
sus aplicaciones cumplen los requisitos de seguridad de sus clientes mediante la
adopción de los principios de Confianza cero.
Para más información sobre los procedimientos recomendados clave para proteger las
aplicaciones, consulte:
Creación de aplicaciones con un enfoque de Confianza cero para la identidad

Creación de aplicaciones preparadas para Confianza cero con las características y
herramientas de la Plataforma de identidad de Microsoft
Confianza cero y Microsoft 365

Microsoft 365 se ha creado con muchas funcionalidades de seguridad y protección de la
información para ayudarle a crear la Confianza cero en su entorno. Muchas de las
funcionalidades se pueden ampliar para proteger el acceso a otras aplicaciones SaaS
que utiliza la organización y a los datos de estas aplicaciones. Consulte Implementación
de la Confianza cero para Microsoft 365 para más información.
Para obtener información sobre las recomendaciones y los conceptos básicos para
implementar directivas y configuraciones seguras de correo electrónico, documentos y
aplicaciones para el acceso de Confianza cero a Microsoft 365, consulte Configuraciones
de identidad y acceso a dispositivos de Confianza cero.
Pasos siguientes
Para obtener información sobre cómo mejorar las soluciones de seguridad
mediante la integración con los productos de Microsoft, consulte Integración con
soluciones de Confianza cero de Microsoft.
Protección contra ransomware en Azure
Artículo • 31/08/2023
El ransomware y la extorsión son un negocio de bajo costo y alto beneficio, que tiene un
impacto débil en las organizaciones objetivo, la seguridad nacional/regional, la
seguridad económica y la salud y la seguridad públicas. Lo que comenzó como
ransomware simple de un solo equipo ha crecido para incluir una variedad de técnicas
de extorsión dirigidas a todo tipo de redes corporativas y plataformas en la nube.
Para asegurarse de que los clientes que se ejecutan en Azure están protegidos contra
ataques de ransomware, Microsoft ha invertido mucho en la seguridad de nuestras
plataformas en la nube y proporciona controles de seguridad que necesita para
proteger las cargas de trabajo en la nube de Azure.
Al aprovechar las protecciones de ransomware nativas de Azure e implementar los

procedimientos recomendados en este artículo, está tomando medidas que garantizan
que su organización está en una posición óptima para evitar, proteger y detectar
posibles ataques de ransomware en los recursos de Azure.
En este artículo se exponen las principales funcionalidades nativas de Azure y las

defensas para ataques de ransomware y se proporcionan instrucciones sobre cómo
aprovecharlas de forma proactiva para proteger los recursos en la nube de Azure.
Una amenaza creciente

Los ataques de ransomware se han convertido en uno de los mayores desafíos de
seguridad a los que se enfrentan las empresas en la actualidad. Cuando se realizan
correctamente, los ataques de ransomware pueden deshabilitar una infraestructura de TI
de núcleo empresarial y provocar una destrucción que podría tener un impacto
perjudicial en la seguridad física o económica de una empresa. Los ataques de
ransomware están dirigidos a empresas de todo tipo. Esto requiere que todas las
empresas tomen medidas preventivas para garantizar la protección.
Las tendencias recientes sobre el número de ataques son bastante alarmantes. Aunque
2020 no fue un buen año para los ataques de ransomware en empresas, 2021 comenzó
con una mala experiencia. El 7 de mayo, se detuvo temporalmente el ataque contra
Colonial Pipeline (Colonial) para desactivar servicios como el transporte por
canalizaciones de diésel, gasolina y combustible. Colonial desactivó la red crítica de
combustible que suministra los populosos estados orientales.
Históricamente, los ciberataques se consideraron un sofisticado conjunto de acciones
dirigidas a sectores concretos, lo que dejó a los sectores restantes pensando que
estaban fuera del ámbito de los ciberdelincuentes y sin contexto sobre para qué
amenazas de ciberseguridad deben prepararse. El ransomware representa un cambio
importante en este panorama de amenazas y ha hecho de los ciberataques un peligro
muy real y omnipresente para todos. Los archivos cifrados y perdidos y las notas de
rescate amenazantes se han convertido ahora en el principal miedo para la mayoría de
los equipos ejecutivos.
El modelo económico del ransomware aprovecha la percepción errónea de que un

ataque de ransomware es únicamente un incidente de malware. Mientras que, en
realidad, el ransomware es una infracción que implica adversarios humanos que atacan
una red.
Para muchas organizaciones, el costo de recompilar desde cero después de un incidente

de ransomware supera con creces el rescate original solicitado. Con un conocimiento
limitado del panorama de amenazas y cómo funciona el ransomware, pagar el rescate
parece la mejor decisión empresarial para volver a las operaciones. Sin embargo, el
daño real se suele materializar cuando el cibercriminal filtra archivos para publicar o
vender, a la vez que se dejan puertas traseras en la red para futuras actividades
criminales, y estos riesgos persisten independientemente de si se paga o no el rescate.
¿Qué es el ransomware?
El ransomware es un tipo de malware que infecta un equipo y restringe el acceso de un
usuario al sistema infectado o a archivos específicos con el fin de extorsionarles por
dinero. Una vez que el sistema de destino se ha puesto en peligro, normalmente
bloquea la mayor parte de la interacción y muestra una alerta en pantalla, que
normalmente indica que el sistema se ha bloqueado o que todos sus archivos se han
cifrado. A continuación, exige que se pague un rescate sustancial para poder liberar el
sistema o descifrar los archivos.
Normalmente, el ransomware aprovecha los puntos débiles o vulnerabilidades de las

infraestructuras o sistemas de TI de la organización para que tengan éxito. Los ataques
son tan obvios que no se requiere mucha investigación para confirmar que su empresa
ha sido atacada o que se debe declarar un incidente. La excepción sería un correo
electrónico de correo no deseado que exige un rescate a cambio de materiales que se
supone que están en peligro. En este caso, estos tipos de incidentes deben tratarse
como correo no deseado a menos que el correo electrónico contenga información muy
específica.
Cualquier empresa u organización que opera un sistema de IT con datos en él puede ser
atacada. Aunque los individuos pueden ser objetivo de un ataque de ransomware, la
mayoría de los ataques están dirigidos a empresas. Aunque el ataque de ransomware
contra Colonial de mayo de 2021 alcanzó una atención pública considerable, los datos
de compromiso de ransomware de nuestro equipo de detección y respuesta (DART)
muestran que el sector energético representa uno de los sectores más objetivo, junto
con los sectores financiero, sanitario y de entretenimiento. Y a pesar de las promesas
continuas de no atacar hospitales o empresas sanitarias durante una pandemia, la
atención sanitaria sigue siendo el objetivo número uno del ransomware operado por
humanos.
Cómo se establecen los recursos como objetivo

Al atacar la infraestructura en la nube, los adversarios suelen atacar varios recursos para
intentar obtener acceso a los datos de los clientes o a los secretos de la empresa. El
modelo de "cadena de eliminación" en la nube explica cómo los atacantes intentan
obtener acceso a cualquiera de los recursos que se ejecutan en la nube pública
mediante un proceso de cuatro pasos: exposición, acceso, movimiento lateral y
acciones.
1. La exposición es donde los atacantes buscan oportunidades para obtener acceso a

la infraestructura. Por ejemplo, los atacantes saben que las aplicaciones orientadas
al cliente deben estar abiertas para que los usuarios legítimos puedan acceder a
ellas. Esas aplicaciones se exponen a Internet y, por tanto, son susceptibles a
ataques.
2. Los atacantes intentarán aprovechar una exposición para obtener acceso a la
infraestructura en la nube pública. Esto se puede hacer a través de credenciales de
usuario en peligro, instancias en peligro o recursos mal configurados.
3. Durante la fase de desplazamiento lateral, los atacantes detectan a qué recursos
tienen acceso y cuál es el ámbito de ese acceso. Los ataques correctos en las
instancias dan a los atacantes acceso a bases de datos y otra información
confidencial. A continuación, el atacante busca credenciales adicionales. Los datos
de Microsoft Defender for Cloud muestran que, sin una herramienta de seguridad
para notificar rápidamente el ataque, las organizaciones tardan, en promedio,
101 días en detectar una infracción. Mientras tanto, en solo 24-48 horas después
de una infracción, el atacante normalmente tendrá el control completo de la red.
4. Las acciones que realiza un atacante después del movimiento lateral dependen en
gran medida de los recursos a los que pudieron obtener acceso durante la fase de
desplazamiento lateral. Los atacantes pueden tomar medidas que provocan la
filtración de datos, la pérdida de datos o el lanzamiento de otros ataques. En el
caso de las empresas, el impacto financiero medio de la pérdida de datos alcanza
ahora 1,23 millones de dólares.
Porqué los ataques se realizan correctamente

Hay varias razones por las que los ataques de ransomware se realizan correctamente.
Las empresas vulnerables suelen ser víctimas de ataques de ransomware. Estos son
algunos de los factores críticos de éxito del ataque:
La superficie de ataque ha aumentado a medida que cada vez más empresas

ofrecen más servicios a través de salidas digitales.
Hay una facilidad considerable para obtener malware de uso gratuito, ransomware
como servicio (RaaS).
La opción de usar la criptomoneda para los pagos por correo electrónico ha
abierto nuevas vías para la vulnerabilidad de seguridad.
La expansión de los equipos informáticos y su uso en diferentes lugares de trabajo
(distritos escolares locales, departamentos de policía, coches patrulla, etc.) cada
uno de los cuales es un punto de acceso potencial para el malware, lo que resulta
en una posible superficie expuesta a ataques.
Predominio de software y sistemas de infraestructura antiguos, obsoletos y
anticuados.
Sistemas de administración de revisiones deficientes.
Sistemas operativos obsoletos o muy antiguos que están cerca o han superado las
fechas de finalización del soporte técnico.
Falta de recursos para modernizar la superficie de TI.
Brecha de conocimiento.
Falta de personal cualificado y sobredependencia del personal clave.
Arquitectura de seguridad deficiente.
Los atacantes usan distintas técnicas, como un ataque por fuerza bruta al Protocolo de
escritorio remoto (RDP) para aprovechar las vulnerabilidades.
¿Debe pagar?
Hay distintas opiniones sobre cuál es la mejor opción cuando se enfrenta a esta
creciente demanda. La Oficina Federal de Investigación (FBI) aconseja a las victimas que
no paguen el rescate, sino que estén atentos y tomen medidas proactivas para proteger
sus datos antes de un ataque. Consideran que pagar no garantiza que los sistemas
bloqueados y los datos cifrados se liberen de nuevo. El FBI dice que otra razón para no
pagar es que los pagos a los ciberdelincuentes los incentivan para seguir atacando a las
organizaciones.
No obstante, algunas victimas optan por pagar la demanda de rescate, aunque no se

garantiza el acceso al sistema y a los datos después de pagar el rescate. Al pagar, estas
organizaciones asumen el riesgo de pagar con la esperanza de recuperar su sistema y
sus datos y reanudar rápidamente las operaciones normales. Parte del cálculo es la
reducción de los costos colaterales, como la pérdida de productividad, la disminución
de los ingresos con el tiempo, la exposición de datos confidenciales y los posibles daños
en la reputación.
La mejor manera de evitar pagar el rescate es no ser víctima mediante la

implementación de medidas preventivas y la saturación de las herramientas para
proteger a la organización de cada paso que el atacante realiza total o
incrementalmente para piratear el sistema. Además, tener la capacidad de recuperar los
recursos afectados garantizará la restauración de las operaciones empresariales de
forma oportuna. Azure Cloud tiene un sólido conjunto de herramientas que le guiarán
hasta el final.
¿Cuál es el costo típico para una empresa?

El impacto de un ataque de ransomware en cualquier organización es difícil de
cuantificar con exactitud. Sin embargo, según el ámbito y el tipo, el impacto es
multidimensional y se expresa ampliamente en:
Pérdida de acceso a los datos

Interrupción de la operaciones empresariales
Pérdidas financieras
Robo de la propiedad intelectual
Daños a la confianza de los clientes y la reputación
Colonial Pipeline pagó unos 4,4 millones de dólares en rescate para que liberaran sus
datos. Esto no incluye el costo del tiempo de inactividad, la pérdida de productividad,
las ventas perdidas y el costo de la restauración de servicios. En términos más generales,
un impacto significativo es el "efecto inmediato" de afectar a un gran número de
empresas y organizaciones de todo tipo, incluidos los vecinos y las ciudades de sus
áreas locales. El impacto financiero también es asombroso. Según Microsoft, se prevé
que el costo global asociado a la recuperación de ransomware supere los
20 000 millones de dólares en 2021.
Pasos siguientes
Consulte las notas del producto: Defensas de Azure para los ataques de ransomware .
Otros artículos de esta serie:
Preparación frente a un ataque por ransomware

Detección y respuesta a ataques de ransomware
Características y recursos de Azure que le ayudan a proteger, detectar y responder
Prepararse para un ataque por
ransomware
Artículo • 01/06/2023
Adopción de un marco de ciberseguridad

Un buen punto de partida es usar el punto de referencia de seguridad en la nube de
Microsoft (MSCB) para proteger el entorno de Azure. El punto de referencia de
seguridad en la nube de Microsoft es el marco de control de la seguridad de Azure
creado a partir de los marcos de control de seguridad del sector, como SP800-53 de
NIST o CIS Controls v7.1.
El punto de referencia de seguridad en la nube de Microsoft proporciona a las

organizaciones instrucciones para configurar Azure y los servicios de Azure, así como
para implementar los controles de seguridad. Las organizaciones pueden usar Microsoft
Defender for Cloud para supervisar el estado de su entorno de Azure en directo con
todos los controles de MCSB.
En última instancia, el marco está destinado a reducir y administrar mejor los riesgos de
ciberseguridad.
Punto de referencia de seguridad en la nube de Microsoft
Seguridad de red (NS)
Administración de identidades (IM)
Acceso con privilegios (PA)
Protección de datos (DP)
Administración de recursos (AM)
Registro y detección de amenazas (LT)

Punto de referencia de seguridad en la nube de Microsoft
Respuesta a los incidentes (IR)
Administración de posiciones y vulnerabilidades (PV)
Seguridad del punto de conexión (ES)
Copia de seguridad y recuperación (BR)
Seguridad de DevOps (DS)
Gobernanza y estrategia (GS)
Clasificación por orden de prioridad de la

mitigación
En función de nuestra experiencia con ataques de ransomware, hemos descubierto que
el orden de prioridad debe ser: 1) preparación, 2) limitación, 3) evitación. Esto puede
parecer contradictorio, ya que la mayoría de la gente quiere evitar un ataque y seguir
adelante. Por desgracia, debemos asumir las infracciones (un principio clave de la
Confianza cero) y centrarnos primero en mitigar el mayor daño de forma confiable. Esta
clasificación por orden de prioridad es fundamental debido a la alta probabilidad de
que se produzca un escenario con ransomware en el peor de los casos. Aunque no es
una verdad agradable de aceptar, nos enfrentamos a atacantes humanos creativos y
motivados que son expertos en encontrar una manera de controlar los complejos
entornos del mundo real en los que operamos. Frente a esta realidad, es importante
prepararse para lo peor y establecer marcos para contener e impedir que los atacantes
consigan lo que buscan.
Aunque estas prioridades deberían regir lo que se hace en primer lugar, animamos a las
organizaciones a que ejecuten tantos pasos en paralelo como sea posible (incluyendo la
extracción de los beneficios rápidos del paso 1 siempre que se pueda).
Dificultar el acceso
Evite que un atacante de ransomware entre en su entorno y responda rápidamente a los
incidentes para eliminar el acceso del atacante antes de que pueda robar y cifrar los
datos. Esto hará que los atacantes fracasen antes y más a menudo y que disminuya el
beneficio de sus ataques. Si bien la prevención es el resultado preferido, es un proceso
continuo y puede no ser posible lograr prevenir y responder rápidamente al 100 % en
las organizaciones del mundo real (estado complejo con varias plataformas y varias
nubes con responsabilidades de TI distribuidas).
Para conseguirlo, las organizaciones deben identificar y ejecutar ganancias rápidas para
fortalecer los controles de seguridad a fin de impedir la entrada y detectar o destruir
rápidamente a los atacantes, e implementar además un programa sostenido que les
ayude a mantenerse seguros. Microsoft recomienda que las organizaciones sigan los
principios que se describen en la estrategia de Confianza cero aquí . En concreto,
contra el ransomware, las organizaciones deben dar prioridad a:
Mejorar la higiene de la seguridad centrando los esfuerzos en la reducción de la

superficie de ataque y en la gestión de las amenazas y vulnerabilidades de los
recursos de su patrimonio.
Implementar controles de protección, detección y respuesta para sus recursos
digitales que puedan proteger contra las amenazas básicas y avanzadas,
proporcionar visibilidad y alertas sobre la actividad de los atacantes y responder a
las amenazas activas.
Limitar el ámbito de los daños

Asegúrese de que dispone de controles sólidos (prevención, detección y respuesta) para
las cuentas con privilegios, como las de los administradores de TI y otros roles con el
control de los sistemas críticos para la empresa. Esto ralentiza o bloquea a los atacantes
para que no puedan acceder completamente a sus recursos para robarlos y cifrarlos. Si
se elimina la capacidad de los atacantes de utilizar las cuentas de administración de TI
como un acceso directo a los recursos, se reducirán drásticamente las probabilidades de
que tengan éxito en el ataque y en la exigencia de pago o beneficio.
Las organizaciones deben contar con una seguridad elevada para las cuentas con
privilegios (protección firme, supervisión estrecha y respuesta rápida a los incidentes
relacionados con estos roles). Consulte el plan de modernización rápida de seguridad de
Microsoft, que abarca:
Seguridad de sesión de un extremo a otro (incluida la autenticación multifactor

(MFA) para administradores)
Protección y supervisión de los sistemas de identidad
Mitigación del recorrido lateral
Respuesta rápida frente a amenazas
Preparación para lo peor

Elabore un plan con el peor escenario posible y espere que ocurra (en todos los niveles
de la organización). Esto ayudará tanto a su organización como a otros en el mundo del
que depende:
Limite los daños para el peor de los casos: aunque restaurar todos los sistemas a
partir de las copias de seguridad es muy perjudicial para la empresa, es más eficaz
y eficiente que intentar hacerlo utilizando herramientas de descifrado (de baja
calidad) proporcionadas por el atacante después de pagar para obtener la clave.
Nota: Pagar es un camino incierto. Usted no tiene ninguna garantía formal o
jurídica de que la clave funcione en todos los archivos, de que las herramientas
funcionen eficazmente o de que el atacante (que puede ser un afiliado aficionado
que utiliza un conjunto de herramientas profesionales) actúe de buena fe.
Limitar la rentabilidad financiera de los atacantes: si una organización puede
restaurar las operaciones de negocio sin pagar a los atacantes, el ataque ha
fracasado efectivamente y ha resultado en una rentabilidad de la inversión (ROI)
cero para los atacantes. Esto hace que sea menos probable que ataquen a la
organización en el futuro (y les priva de financiación adicional para atacar a otros).
Los atacantes pueden seguir intentando extorsionar a la organización mediante la

divulgación de datos o el abuso o la venta de los datos robados, pero esto les da menos
ventaja que si tienen la única vía de acceso a sus datos y sistemas.
Para conseguirlo, las organizaciones deben asegurarse de tomar las siguientes medidas:
Registrar los riesgos: agregue ransomware al registro de riesgos como escenario

de alta probabilidad y alto impacto. Haga un seguimiento del estado de mitigación
a través del ciclo de evaluación de administración de riesgos empresariales (ERM).
Definir y hacer copias de seguridad de los recursos críticos de la empresa: defina
los sistemas necesarios para las operaciones críticas de la empresa y haga copias
de seguridad automáticas según una programación regular (incluida la copia de
seguridad correcta de las dependencias críticas, como Active Directory). Proteja las
copias de seguridad contra el borrado y el cifrado deliberados con el
almacenamiento sin conexión, el almacenamiento inmutable o los pasos fuera de
banda (MFA o PIN) antes de modificar o borrar las copias de seguridad en línea.
Probar el escenario de "recuperación desde cero": pruébelo para garantizar que su
continuidad de negocio/recuperación ante desastres (BC/DR) pueda poner en línea
rápidamente las operaciones críticas del negocio desde la funcionalidad cero
(todos los sistemas están fuera de servicio). Llevar a cabo ejercicios prácticos para
validar los procesos y procedimientos técnicos de todos los equipos, incluidas las
comunicaciones con los empleados y los clientes fuera de banda (suponiendo que
todo el correo electrónico/chat/etc. no funciona).
Es fundamental proteger (o imprimir) los documentos y sistemas adicionales
necesarios para la recuperación, incluidos los documentos del procedimiento de
restauración, las CMDB, los diagramas de red, las instancias de SolarWinds, etc. Los
atacantes los destruyen regularmente.
Reducir la exposición local; para ello, mueva los datos a servicios en la nube con
copias de seguridad automáticas y autoservicio de reversión.
Promover la concienciación y asegurarse de

que no existe un vacío de conocimientos.
Hay una serie de actividades que pueden llevarse a cabo para prepararse ante posibles
incidentes de ransomware.
Educar a los usuarios finales sobre los peligros del

ransomware
Como la mayoría de las variantes de ransomware dependen de que los usuarios finales
instalen el ransomware o se conecten a sitios web comprometidos, todos los usuarios
finales deben ser educados sobre los peligros. Esto suele formar parte del curso anual
de concienciación sobre la seguridad, así como del curso ad hoc disponible a través de
los sistemas de administración del aprendizaje de la empresa. El curso de concienciación
también debe extenderse a los clientes de la empresa a través de sus portales u otros
canales adecuados.
Educar a los analistas del centro de operaciones de

seguridad (SOC) y a otros sobre cómo responder a los
incidentes de ransomware
Los analistas del SOC y otras personas involucradas en incidentes de ransomware deben
conocer los fundamentos del software malintencionado y, en concreto, del ransomware.
Deben conocer las principales variantes o familias de ransomware, junto con algunas de
sus características típicas. El personal del centro de llamadas al cliente también debe
saber cómo manejar los informes de ransomware de los usuarios finales y los clientes de
la empresa.
Asegúrese de que tiene implantados los

controles técnicos adecuados.
Hay una gran variedad de controles técnicos que deben aplicarse para proteger,
detectar y responder a los incidentes de ransomware con un fuerte énfasis en la
prevención. Como mínimo, los analistas del SOC deben tener acceso a la telemetría
generada por los sistemas antimalware de la empresa, entender qué medidas
preventivas existen, comprender la infraestructura a la que apunta el ransomware y ser
capaces de ayudar a los equipos de la empresa a tomar las medidas adecuadas.
Esto debería incluir algunas o todas las siguientes herramientas esenciales:
Herramientas de prevención y de investigación

Conjuntos de productos antimalware para servidores empresariales (como
Microsoft Defender for Cloud)
Soluciones antimalware de red (como Azure Antimalware)
Plataformas de análisis de datos de seguridad (como Azure Monitor, Sentinel)
Sistemas de detección y prevención de intrusiones de próxima generación
Firewall de próxima generación (NGFW)
Kits de herramientas de respuesta y análisis de malware

Sistemas de análisis de malware automatizados compatibles con la mayoría de
los principales sistemas operativos de servidor y usuario final de la organización
Herramientas de análisis de malware estáticas y dinámicas
Hardware y software forense digital
Acceso a Internet no organizativo (por ejemplo, 4G)
Para lograr la máxima eficacia, los analistas del SOC deben tener un amplio
acceso a casi todas las plataformas antimalware a través de sus interfaces
nativas, además de una telemetría unificada dentro de las plataformas de
análisis de datos de seguridad. En la plataforma del antimalware nativo de
Azure para Azure Cloud Services y Virtual Machines se proporcionan guías paso
a paso sobre cómo lograr esto.
Orígenes de enriquecimiento e inteligencia
Orígenes de inteligencia sobre amenazas y malware en línea y sin conexión
(como Sentinel, Azure Network Watcher)
Active Directory y otros sistemas de autenticación (y registros relacionados)
Bases de datos de administración de configuración interna (CMDB) que contienen

información del dispositivo de punto de conexión

Implemente la protección de datos para garantizar una recuperación rápida y
confiable tras un ataque de ransomware y el bloqueo de algunas técnicas.
Designe carpetas protegidas: para dificultar que las aplicaciones no autorizadas
modifiquen los datos de estas carpetas.
Revise los permisos: para reducir el riesgo de un acceso amplio que permita el
ransomware.
Detecte permisos amplios de escritura y eliminación en recursos compartidos
de archivos, SharePoint y otras soluciones.
Reduzca la amplitud de los permisos y cumpla los requisitos de colaboración
empresarial.
Audite y supervise que no reaparezcan los permisos amplios.
Copias de seguridad seguras
Asegúrese de hacer una copia de seguridad de los sistemas críticos y de que las
copias de seguridad estén protegidas contra el borrado o cifrado deliberado de
los atacantes.
Haga una copia de seguridad automática de todos los sistemas críticos en
función de una programación periódica.
Garantice la recuperación rápida de las operaciones empresariales mediante la
puesta en práctica periódica del plan de continuidad empresarial y recuperación
ante desastres (BC/DR).
Proteja las copias de seguridad contra el borrado y el cifrado deliberados.
Protección fuerte: exija pasos fuera de banda (como MUA o MFA) antes de
modificar las copias de seguridad en línea (como, por ejemplo, Azure Backup).
Protección más fuerte: aísle las copias de seguridad de las cargas de trabajo en
línea o de producción para mejorar la protección de los datos de copia de
seguridad.
Proteja los documentos adicionales necesarios para la recuperación, como los
documentos de procedimientos de restauración, CMDB y diagramas de red.
Establezca un proceso de control de incidentes.

Asegúrese de que su organización lleva a cabo una serie de actividades siguiendo
aproximadamente los pasos de respuesta a incidentes y la orientación descrita en la
Guía de control de incidentes de seguridad informática del Instituto Nacional de
Estándares y Tecnología (NIST) de Estados Unidos (Publicación Especial 800-61r2) para
prepararse para posibles incidentes de ransomware. Estos pasos incluyen:
1. Preparación: en esta fase se describen las distintas medidas que deben ponerse en
marcha antes de un incidente. Puede incluir la preparación técnica (como la
implementación de los controles de seguridad adecuados y otras tecnologías) y la
preparación no técnica (como la preparación de procesos y procedimientos).
2. Desencadenadores y detección: en esta fase se describe cómo se puede detectar
este tipo de incidente y qué desencadenadores pueden estar disponibles que se
deben usar para iniciar una investigación más exhaustiva o la declaración de un
incidente. Por lo general, se separan en desencadenadores de alta y baja confianza.
3. Investigación y análisis: en esta fase se describen las actividades que se deben
llevar a cabo para investigar y analizar los datos disponibles cuando no está claro
que se ha producido un incidente, con el objetivo de confirmar que se debe
declarar o concluir que no se ha producido un incidente.
4. Declaración de incidentes: en esta fase se tratan los pasos que deben realizarse
para declarar un incidente, normalmente con la presentación de un vale en el
sistema de administración de incidentes empresariales (control de vales) y la
dirección del vale al personal adecuado para su posterior evaluación y acción.
5. Contención y mitigación: en esta fase se tratan los pasos que puede realizar el
centro de operaciones de seguridad (SOC), u otros, para contener o mitigar
(impedir) que el incidente continúe o limitar el efecto del incidente mediante las
herramientas, las técnicas y los procedimientos disponibles.
6. Corrección y recuperación: en esta fase se tratan los pasos que se pueden realizar
para corregir o recuperarse de los daños causados por el incidente antes de su
contención y mitigación.
7. Actividad posterior al incidente: esta fase abarca las actividades que se deben
realizar una vez cerrado el incidente. Puede incluir la captura de la narrativa final
asociada al incidente, así como la identificación de las lecciones aprendidas.
Preparación para una recuperación rápida

Asegúrese de que dispone de los procesos y los procedimientos adecuados. Casi todos
los incidentes de ransomware tienen como resultado la necesidad de restaurar sistemas
en peligro. Por lo tanto, se debe contar con los procedimientos y procesos de copia de
seguridad y restauración adecuados y probados para la mayoría de los sistemas.
También debe haber estrategias de contención adecuadas con procedimientos
adecuados para impedir que el ransomware se propague y se recupere de ataques de
ransomware.
Asegúrese de que dispone de procedimientos bien documentados para contratar

cualquier tipo de apoyo de terceros, en particular el apoyo de los proveedores de
inteligencia sobre amenazas, de los proveedores de soluciones antimalware y del
proveedor de análisis de malware. Estos contactos pueden ser útiles si la variante del
ransomware puede tener debilidades conocidas o si hay herramientas de descifrado
disponibles.
La plataforma Azure ofrece opciones de copia de seguridad y recuperación a través de

Azure Backup, así como integradas en varios servicios de datos y cargas de trabajo.
Copias de seguridad aisladas con Azure Backup
Azure Virtual Machines

Bases de datos en máquinas virtuales de Azure: SQL, SAP HANA
Azure Database for PostgreSQL
Servidores de Windows locales (copia de seguridad en la nube mediante el agente
de MARS)
Copias de seguridad locales (operativas) con Azure Backup
Azure Files
Azure Blobs
Azure Disks
Copias de seguridad integradas desde servicios de Azure
Los servicios de datos, como Azure Databases (SQL, MySQL, MariaDB, PostgreSQL),
Azure Cosmos DB y ANF ofrecen funcionalidades de copia de seguridad integradas
Pasos siguientes

Detección y respuesta a ataques de
ransomware
Artículo • 01/06/2023
Hay varios desencadenadores potenciales que pueden indicar un incidente de

ransomware. A diferencia de muchos otros tipos de malware, la mayoría serán
desencadenadores de mayor confianza (donde es necesario realizar poca investigación
o análisis adicionales antes de la declaración de un incidente) en lugar de
desencadenadores de confianza inferior (donde probablemente se requiera más
investigación o análisis antes de declarar un incidente).
En general, estas infecciones son evidentes por el comportamiento básico del sistema, la
ausencia de archivos clave del sistema o de usuario y la demanda de rescate. En este
caso, el analista debe considerar si debe declarar y remitir inmediatamente el incidente,
incluida la toma de medidas automatizadas para mitigar el ataque.
Detección de ataques de ransomware

Microsoft Defender for Cloud proporciona funcionalidades de detección y respuesta de
amenazas de alta calidad, también denominada detección y respuesta extendidas (XDR).
Garantice una rápida detección y corrección de ataques comunes en máquinas virtuales,

instancias de SQL Server, aplicaciones web e identidades.
Priorización de puntos de entrada comunes: los operadores de ransomware (y

otros) favorecen el punto de conexión/correo electrónico/identidad + Protocolo
de escritorio remoto (RDP)
XDR integrada: use herramientas integradas de detección y respuesta
extendidas (XDR) como Microsoft Defender for Cloud para proporcionar
alertas de alta calidad y minimizar la fricción y los pasos manuales durante la
respuesta.
Fuerza bruta: supervise los intentos de fuerza bruta, como la difusión de
contraseñas.
Supervisión de la deshabilitación de la seguridad por adversarios: ya que suele
formar parte de la cadena de ataques de ransomware operados por humanos
(HumOR).
Borrado de registros de eventos: especialmente el registro de eventos de
seguridad y los registros operativos de PowerShell.
Deshabilitación de herramientas y controles de seguridad: (asociados con
algunos grupos).
No omitir malware de mercancías: los atacantes de ransomware compran
periódicamente acceso a las organizaciones objetivo en los mercados ocultos.
Integración de profesionales externos: en los procesos para complementarlos,
como el Equipo de detección y respuesta de Microsoft (DART) .
Aislar rápidamente: los equipos en riesgo mediante Defender for EndPoint en la
implementación local.
Respuesta a ataques de ransomware
Declaración de incidentes
Una vez confirmada una infección de ransomware, el analista debe comprobar que
representa un nuevo incidente o si puede estar relacionado con un incidente existente.
Busque vales abiertos actualmente que indiquen incidentes similares. Si es así, actualice
el vale de incidente actual con nueva información en el sistema de vales. Si se trata de
un incidente nuevo, se debe declarar un incidente en el sistema de vales pertinente y
remitirse a los equipos o proveedores adecuados para contener y mitigar el incidente.
Tenga en cuenta que la administración de incidentes de ransomware puede requerir
acciones realizadas por varios equipos de TI y de seguridad. Siempre que sea posible,
asegúrese de que el vale está identificado claramente como un incidente de
ransomware para guiar el flujo de trabajo.
Contención y mitigación
En general, se deben configurar varias soluciones antimalware de servidor o punto de
conexión, antimalware de correo electrónico y protección de red para que contengan y
mitiguen automáticamente el ransomware conocido. Sin embargo, puede haber casos
en los que la variante de ransomware específica haya podido omitir dichas protecciones
e infectar los sistemas de destino.
Microsoft proporciona amplios recursos para ayudar a actualizar los procesos de

respuesta a incidentes en los Principales procedimientos recomendados de seguridad
de Azure.
Las siguientes son acciones recomendadas para contener o mitigar un incidente

declarado que implica ransomware en el que las acciones automatizadas realizadas por
los sistemas antimalware no han sido correctas:
1. Participación de proveedores de antimalware a través de procesos de soporte

técnico estándar
2. Adición manual de hashes y otra información asociada con malware a sistemas
antimalware
3. Aplicación de actualizaciones de proveedores de antimalware
4. Contención de sistemas afectados hasta que se puedan corregir
5. Deshabilitación de cuentas en riesgo
6. Realización del análisis de la causa principal
7. Aplicación de revisiones y cambios de configuración pertinentes en los sistemas
afectados
8. Bloqueo de las comunicaciones de ransomware mediante controles internos y
externos
9. Purga del contenido almacenado en caché
Camino a la recuperación
El Equipo de detección y respuesta de Microsoft le ayudará a protegerse frente a
ataques
Comprender y corregir los problemas de seguridad fundamentales que condujeron al

riesgo en primer lugar debe ser una prioridad para las víctimas de ransomware.
Integrar profesionales externos en los procesos para complementarlos, como el Equipo

de detección y respuesta de Microsoft (DART) . DART se relaciona con clientes de todo
el mundo para ayudarles a protegerse y afirmarse contra los ataques antes de que se
produzcan, así como a investigar y corregir cuando se un ataque ha tenido lugar.
Los clientes pueden interactuar con nuestros expertos en seguridad directamente desde
el portal de Microsoft 365 Defender para obtener una respuesta rápida y precisa. Los
expertos proporcionan la información necesaria para comprender mejor las amenazas
complejas que afectan a su organización, desde las consultas de alertas, los dispositivos
potencialmente en riesgo y la causa principal de una conexión de red sospechosa, hasta
la inteligencia adicional sobre amenazas relativa a las campañas en curso de amenazas
persistentes avanzadas.
Microsoft está listo para ayudar a su empresa a volver a operaciones seguras.
Microsoft realiza cientos de recuperaciones de situaciones en peligro con una

metodología de eficacia probada. No solo le situará a una posición más segura, sino que
le ofrece la oportunidad de considerar su estrategia a largo plazo en lugar de reaccionar
ante las situaciones.
Microsoft brinda servicios de recuperación rápida de ransomware. En este sentido, se

proporciona asistencia en todas las áreas, como la restauración de los servicios de
identidad, la corrección y protección, y con la implementación de supervisión para
ayudar a las víctimas de ataques de ransomware a volver a la actividad normal en el
menor período de tiempo posible.
Nuestros servicios de recuperación rápida de ransomware se tratan como

"confidenciales" mientras dure la interacción. Las interacciones de recuperación rápida
de ransomware se ofrecen exclusivamente por el equipo de prácticas de seguridad de
recuperación en peligro (CRSP), que forma parte del dominio de Azure Cloud & AI. Para
más información, puede ponerse en contacto con CRSP en Solicitud de contacto sobre
la seguridad de Azure .
Pasos siguientes

Características y recursos de Azure que
le ayudan a proteger, detectar y
responder
Artículo • 01/06/2023
Microsoft ha invertido en funcionalidades de seguridad nativas de Azure que las

organizaciones pueden aprovechar para frustrar las técnicas de ataque de ransomware
que se encuentran tanto en ataques de gran volumen como en ataques dirigidos
sofisticados.
Entre las funcionalidades clave se incluyen:
Detección de amenazas nativa: Microsoft Defender for Cloud proporciona

funcionalidades de detección y respuesta de amenazas de alta calidad, también
denominada detección y respuesta extendidas (XDR). Esto le ayuda a:
Evitar perder tiempo y talento de recursos de seguridad limitados para crear
alertas personalizadas mediante registros de actividad sin procesar.
Garantizar una supervisión de seguridad eficaz, que a menudo permite a los
equipos de seguridad aprobar rápidamente el uso de los servicios de Azure.
Autenticación multifactor y sin contraseña: MFA de Azure Active Directory, la
aplicación Authenticator de Azure AD y Windows Hello proporcionan estas
funcionalidades. Esto ayuda a proteger las cuentas frente a ataques de contraseñas
que se dan con más frecuencia (que son el 99,9 % del volumen de los ataques de
identidad que se producen en Azure AD). Aunque ninguna seguridad es perfecta,
eliminar los vectores de ataque de solo contraseña reduce drásticamente el riesgo
de ataque de ransomware para los recursos de Azure.
Firewall nativo y seguridad de red: Microsoft ha creado mitigaciones de ataques
DDoS nativos, Firewall, Web Application Firewall y muchos otros controles en
Azure. Estas medidas de seguridad "como servicio" ayudan a simplificar la
configuración y la implementación de controles de seguridad. Ofrecen a las
organizaciones la opción de usar servicios nativos o versiones de aplicaciones
virtuales de funcionalidades conocidas del proveedor para simplificar su seguridad
de Azure.

Microsoft Defender for Cloud es una herramienta integrada que proporciona protección
contra amenazas para cargas de trabajo que se ejecutan en Azure, en el entorno local y
en otras nubes. Protege los datos híbridos, los servicios nativos en la nube y los
servidores frente al ransomware y otras amenazas, y se integra con los flujos de trabajo
de seguridad existentes, como la solución SIEM y la amplia inteligencia sobre amenazas
de Microsoft para simplificar la mitigación de amenazas.
Microsoft Defender for Cloud ofrece protección para todos los recursos directamente
dentro de la experiencia de Azure y amplía la protección a máquinas virtuales locales y
en varias nubes y bases de datos SQL mediante Azure Arc:
Protege los servicios de Azure.

Protege las cargas de trabajo híbridas.
Optimiza la seguridad con inteligencia artificial y automatización.
Detecta y bloquea amenazas y malware avanzados para servidores Linux y
Windows en cualquier nube.
Protege los servicios nativos de nube frente a amenazas.
Protege los servicios de datos frente a ataques de ransomware.
Protege los dispositivos IoT y OT administrados y no administrados, con detección
continua de recursos, administración de vulnerabilidades y supervisión de
amenazas.
Microsoft Defender for Cloud proporciona las herramientas para detectar y bloquear
ransomware, malware avanzado y amenazas para los recursos.
Proteger los recursos es un esfuerzo conjunto entre el proveedor de nube, Azure y

usted, el cliente. Cuando migra a la nube, debe asegurarse de que las cargas de trabajo
estén seguras y, al mismo tiempo, cuando se migra a IaaS (infraestructura como
servicio), el cliente tiene una responsabilidad mayor que cuando se encontraba en PaaS
(plataforma como servicio) y SaaS (software como servicio). Microsoft Defender para la
nube le proporciona las herramientas necesarias para reforzar la red, proteger los
servicios y asegurarse de que tiene la mejor posición de seguridad.
Microsoft Defender for Cloud es un sistema unificado de administración de seguridad

de la infraestructura que fortalece la posición de seguridad de los centros de datos y
proporciona una protección contra amenazas avanzada de todas las cargas de trabajo
híbridas que se encuentran en la nube, ya sea que estén en Azure o no, así como
La protección contra amenazas de Defender for Cloud permite detectar y prevenir las
amenazas en el nivel de Infraestructura como servicio (IaaS), los servidores que no son
de Azure y en las Plataformas como servicio (PaaS) de Azure.
La protección contra amenazas de Defender for Cloud incluye el análisis de la cadena de

destrucción de fusión, que correlaciona de manera automática las alertas del entorno en
función del análisis de la cadena de destrucción cibernética, para que pueda entender
mejor la historia completa de una campaña de ataque, dónde empezó y qué tipo de
impacto tuvo en los recursos.
Características principales:
Evaluación de seguridad continua: identifique las máquinas Windows y Linux a las

que les faltan actualizaciones de seguridad o que tienen configuraciones de
sistema operativo no seguras y configuraciones de Azure vulnerables. Agregue
listas de reproducción o eventos opcionales que desee supervisar.
Recomendaciones prácticas: corrija rápidamente las vulnerabilidades de seguridad
con recomendaciones de seguridad prioritarias y prácticas.
Administración de directivas centralizada: Garantice el cumplimiento de los
requisitos de seguridad normativos o de la empresa administrando las directivas
de seguridad de forma centralizada de las cargas de trabajo en la nube híbridas.
Inteligencia sobre amenazas más extensivas del sector: benefíciese de Microsoft
Intelligent Security Graph, que emplea billones de señales de sistemas y servicios
de Microsoft de todo el mundo para identificar las amenazas nuevas y en
constante evolución.
Análisis avanzado y aprendizaje automático: use el análisis de comportamiento
integrado y el aprendizaje automático para identificar patrones de ataque
conocidos y la actividad posterior a la infracción.
Control de aplicación adaptable: bloquee el malware y otras aplicaciones no
deseadas aplicando las recomendaciones de la lista de permitidos adaptadas a sus
cargas de trabajo específicas y basadas en el aprendizaje automático.
Alertas prioritarias y escalas de tiempo de ataque: céntrate primero en las
amenazas más críticas con alertas e incidentes con prioridad asignados a una sola
campaña de ataque.
Investigación simplificada: investigue rápidamente el ámbito y el impacto de un
ataque con una experiencia visual e interactiva. Use consultas ad hoc para explorar
los datos de seguridad con mayor profundidad.
Automatización y orquestación: automatice los flujos de trabajo de seguridad
comunes para abordar las amenazas rápidamente mediante la integración con
Azure Logic Apps. Cree cuadernos de reproducción de seguridad que puedan
enrutar alertas al sistema de vales existente o desencadenar acciones de respuesta
a incidentes.
Microsoft Sentinel
Microsoft Sentinel ayuda a crear una vista completa de una cadena de eliminación
Con Sentinel, puede conectarse a cualquiera de los orígenes de seguridad mediante
conectores integrados y estándares del sector y, a continuación, aprovechar la
inteligencia artificial para correlacionar varias señales de baja fidelidad que abarcan
varios orígenes para crear una vista completa de una cadena de eliminación de
ransomware y alertas prioritarias para que las instancias de Defender puedan acelerar su
tiempo para expulsar a los adversarios.
Microsoft Azure Sentinel permite obtener una vista general de toda la empresa, lo que
suaviza la tensión de ataques cada vez más sofisticados, volúmenes de alertas cada vez
mayores y plazos de resolución largos.
Recopile datos a escala de nube de todos los usuarios, dispositivos, aplicaciones y de

toda la infraestructura, tanto en el entorno local como en diversas nubes.
Detecte amenazas que antes no se detectaban y minimice los falsos positivos mediante
el análisis y la inteligencia sobre amenazas sin precedentes de Microsoft.
Investigue amenazas con inteligencia artificial y busque actividades sospechosas a gran

escala, aprovechando el trabajo de ciberseguridad que ha llevado a cabo Microsoft
durante décadas.
Responda a los incidentes con rapidez con la orquestación y la automatización de tareas

comunes integradas.
Prevención de amenazas con Microsoft

Defender for Cloud
Microsoft Defender for Cloud examina las máquinas virtuales en una suscripción de
Azure y realiza una recomendación para implementar la protección de punto de
conexión cuando no se detecta una solución existente. Se puede acceder a esta
recomendación a través de la sección Recomendaciones:
Microsoft Defender para la nube proporciona alertas de seguridad y protección contra
amenazas avanzada para máquinas virtuales, bases de datos de SQL, contenedores,
aplicaciones web, la red y muchos más. Cuando Microsoft Defender for Cloud detecta
una amenaza en cualquiera de las áreas del entorno, genera una alerta de seguridad.
Estas alertas describen los detalles de los recursos afectados, los pasos de corrección
sugeridos y, en algunos casos, una opción para desencadenar una aplicación lógica
como respuesta.
Esta alerta es un ejemplo de alerta de ransomware Petya detectado:
La solución de copia de seguridad nativa de Azure

protege los datos
Una manera importante de que las organizaciones puedan ayudar a protegerse frente a
las pérdidas en un ataque de ransomware es tener una copia de seguridad de la
información crítica para la empresa para el caso de que se presente un error en otras
defensas. Dado que los atacantes de ransomware han invertido mucho en la
neutralización de las aplicaciones de copia de seguridad y las características de los
sistemas operativos, como la instantánea de volúmenes, es fundamental tener copias de
seguridad a las que un atacante malintencionado no pueda acceder. Con una solución
flexible de continuidad empresarial y recuperación ante desastres, herramientas de
seguridad y protección de datos líderes del sector, la nube de Azure ofrece servicios
seguros para proteger los datos:
Azure Backup: el servicio Azure Backup proporciona una solución sencilla, segura y
rentable para hacer una copia de seguridad de la máquina virtual de Azure.
Actualmente, Azure Backup admite la copia de seguridad de todos los discos
(discos de sistema operativo y datos) de una máquina virtual mediante la solución
de copia de seguridad de la máquina virtual de Azure.
Recuperación ante desastres de Azure: con la recuperación ante desastres desde
el entorno local a la nube o desde una nube a otra, puede evitar tiempos de
inactividad y mantener las aplicaciones en funcionamiento.
Seguridad y administración integradas en Azure: para tener éxito en la era de la
nube, las empresas deben tener visibilidad, métricas y controles en todos los
componentes para identificar los problemas, así como optimizar y escalar de forma
eficaz, mientras tienen la garantía de que la seguridad, el cumplimiento y las
directivas están en su lugar para garantizar la velocidad.
Acceso a los datos garantizado y protegido

Azure cuenta con una larga experiencia en la administración de centros de datos
globales, que están respaldados por la inversión de Microsoft de 15 mil millones de
dólares en infraestructura que se encuentra en continua evaluación y mejora, con
inversiones y mejoras continuas, por supuesto.
Características principales:
Azure incluye almacenamiento con redundancia local (LRS), donde los datos se
almacenan localmente, así como almacenamiento con redundancia geográfica
(GRS) en una segunda región.
Todos los datos almacenados en Azure están protegidos por un proceso de cifrado
avanzado y todos los centros de datos de Microsoft tienen autenticación de dos
niveles, lectores de acceso a tarjetas proxy y escáneres biométricos.
Azure tiene más certificaciones que cualquier otro proveedor de nube pública del
mercado, como ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 y muchas
especificaciones internacionales.
Recursos adicionales
Microsoft Cloud Adoption Framework para Azure
Creación de soluciones fantásticas con el marco de buena arquitectura de
Microsoft Azure
Principales procedimientos recomendados de seguridad de Azure
Bases de referencia de seguridad
Centro de recursos de Microsoft Azure
Guía de migración a Azure
Administración del cumplimiento de la seguridad
Control de seguridad de Azure: respuesta a incidentes
Centro de instrucciones de confianza cero
Firewall de aplicaciones web de Azure
Azure VPN Gateway
Autenticación multifactor (MFA) para Azure Active Directory
Azure AD Identity Protection
Acceso condicional de Azure AD
Documentación de Microsoft Defender for Cloud
Conclusión
Microsoft se centra en gran medida en la seguridad de nuestra nube y le proporciona
los controles de seguridad que necesita para proteger las cargas de trabajo en la nube.
Como líder en ciberseguridad, aceptamos nuestra responsabilidad de hacer del mundo
un lugar más seguro. Esto se refleja en nuestro enfoque completo de prevención y
detección de ransomware en nuestro marco de seguridad, diseños, productos, esfuerzos
legales, asociaciones del sector y servicios.
Esperamos asociarnos con usted para abordar la protección, la detección y la

prevención de ransomware de forma holística.
Póngase en contacto con nosotros:
AskAzureSecurity@microsoft.com
www.microsoft.com/services
Para obtener información detallada sobre cómo Microsoft protege nuestra nube, visite
el portal de confianza de servicios .
Pasos siguientes

Plan de copia de seguridad y
restauración para protegerse contra el
ransomware
Artículo • 29/08/2023
Los ataques de ransomware cifran o borran deliberadamente los datos y los sistemas
para obligar a una organización a pagar dinero a los atacantes. Estos ataques tienen
como objetivo los datos, las copias de seguridad y también la documentación clave
necesaria para que pueda recuperarse sin pagar a los atacantes (como medio para
aumentar las posibilidades de que la organización pague).
En este artículo se aborda lo que debe hacer antes de un ataque de ransomware para
proteger los sistemas empresariales críticos, y durante un ataque para garantizar una
rápida recuperación de las operaciones empresariales.
７ Nota
La preparación contra el ransomware también mejora la resiliencia ante desastres

naturales y ataques rápidos, como WannaCry y (Not)Petya .
El ransomware es un tipo de malware que cifra archivos y carpetas, lo que impide el
acceso a archivos y sistemas importantes. Los atacantes usan el ransomware para
extorsionar a las victimas al exigirles dinero, normalmente en forma de criptomonedas, a
cambio de una clave de descifrado o a cambio de no publicar datos confidenciales en la
web oscura o en la red pública de Internet.
Aunque en un principio el ransomware usaba principalmente malware que se

propagaba mediante suplantación de identidad (phishing) o entre dispositivos, ha
surgido un ransomware controlado por personas, donde un grupo de atacantes activos,
controlados por operadores de ataque humanos, tienen como objetivo todos los
sistemas de una organización (en lugar de un único dispositivo o conjunto de
dispositivos). Un ataque puede incluir:
Cifrado de los datos

Filtración de los datos
Daño de las copias de seguridad
El ransomware aprovecha el conocimiento que los atacantes humanos tienen sobre los
errores de configuración y vulnerabilidades comunes del sistema y de seguridad, para
infiltrarse en la organización, navegar por la red empresarial y adaptarse al entorno y sus
puntos débiles a medida que se desplazan.
El ransomware puede actuar por fases para primero filtrar los datos, durante varias
semanas o meses, antes de que el ransomware se ejecute realmente en una fecha
específica.
El ransomware también puede cifrar lentamente los datos mientras mantiene la clave en
el sistema. Dado que la clave está disponible, los datos se pueden usar, y el ransomware
pasa desapercibido. Sin embargo, las copias de seguridad corresponden a los datos
cifrados. Una vez que todos los datos están cifrados y las copias de seguridad recientes
también incluyen los datos cifrados, la clave se quita para que ya no pueda leer los
datos.
El daño real se suele materializar cuando el ataque filtra archivos, a la vez que se dejan
puertas traseras en la red para futuras actividades malintencionadas, y estos riesgos
persisten independientemente de si se paga o no el rescate. Estos ataques pueden ser
catastróficos para las operaciones empresariales y son difíciles de limpiar, porque
requieren una expulsión completa del adversario para protegerse frente a ataques
futuros. A diferencia de las primeras formas de ransomware, que solo requerían corregir
el malware, el ransomware controlado por personas seguirá amenazando sus
operaciones empresariales después del ataque inicial.
El impacto de un ataque
El impacto de un ataque de ransomware en cualquier organización es difícil de
cuantificar con exactitud. En función del ámbito del ataque, el impacto podría incluir:
Pérdida de acceso a los datos

Interrupción de la operaciones empresariales
Pérdidas financieras
Robo de la propiedad intelectual
Daños a la confianza de los clientes o la reputación
Gastos jurídicos
¿Cómo puede protegerse?

La mejor manera de evitar ser víctima del ransomware es implementar medidas
preventivas y contar con herramientas que protejan a la organización de cada paso que
los atacantes dar para infiltrarse en los sistemas.
Para reducir la exposición en el entorno local, puede mover la organización a un servicio
en la nube. Microsoft ha invertido en funcionalidades de seguridad nativas que hacen
que Microsoft Azure sea resistente frente a ataques de ransomware, y ayude a las
organizaciones a anular las técnicas de ataque de ransomware. Para obtener una vista
completa del ransomware y la extorsión y cómo proteger su organización, use la
información de la presentación en PowerPoint Plan del proyecto de mitigación de
ransomware controlado por personas .
Debe suponer que, en algún momento, será víctima de un ataque de ransomware. Uno
de los pasos más importantes que puede dar para proteger los datos y evitar pagar un
rescate es tener un plan confiable de copia de seguridad y restauración para la
información crítica para la empresa. Dado que los atacantes de ransomware han
invertido mucho en la neutralización de las aplicaciones de copia de seguridad y las
características de los sistemas operativos, como la instantánea de volúmenes, es
fundamental tener copias de seguridad a las que un atacante malintencionado no
pueda acceder.
Azure Backup
Azure Backup ofrece seguridad al entorno de copia de seguridad, tanto si los datos
están en tránsito como en reposo. Con Azure Backup, puede hacer una copia de
seguridad de lo siguiente:
Archivos, carpetas y estado del sistema locales

VM Windows o Linux enteras
Azure Managed Disks
Recursos compartidos de archivos de Azure en una cuenta de almacenamiento
Bases de datos de SQL Server que se ejecutan en VM de Azure
Los datos de copia de seguridad se almacenan en Azure Storage, y el invitado o

atacante no tiene acceso directo al almacenamiento de copia de seguridad ni a su
contenido. En las copias de seguridad de máquina virtual, la creación y el
almacenamiento de la instantánea de copia de seguridad se realizan mediante el tejido
de Azure, donde el invitado o atacante no tiene más implicación que poner en modo
inactivo la carga de trabajo para conseguir copias de seguridad coherentes. En el caso
de SQL y SAP HANA, la extensión de copia de seguridad obtiene acceso temporal para
escribir en blobs específicos. De esta manera, incluso en un entorno en peligro, el
atacante no podrá alterar ni eliminar las copias de seguridad existentes.
Azure Backup proporciona funcionalidades integradas de supervisión y creación de

alertas para ver y configurar acciones en eventos relacionados con Azure Backup. La
solución Informes de Backup sirve como destino único para realizar el seguimiento del
uso, para llevar a cabo la auditoría de copias de seguridad y restauraciones, y para
identificar las tendencias clave en diferentes niveles de granularidad. El uso de las
herramientas de supervisión e informes de Azure Backup puede avisarle de cualquier
actividad no autorizada, sospechosa o malintencionada en cuanto se produzca.
Se han agregado comprobaciones para asegurarse de que los usuarios válidos son los
únicos que pueden realizar varias operaciones. Entre estas se incluyen la adición de una
capa de autenticación adicional. Como parte de la adición de una capa extra de
autenticación para las operaciones críticas, se le pedirá que escriba un PIN de seguridad
antes de modificar las copias de seguridad en línea.
Averigüe más sobre las características de seguridad integradas en Azure Backup.
Validación de copias de seguridad

Compruebe que la copia de seguridad esté correcta en el momento de su creación y
antes de la restauración. Se recomienda usar un almacén de Recovery Services, que es
una entidad de almacenamiento de Azure que aloja datos. Normalmente, los datos son
copias de datos o información de configuración de máquinas virtuales (VM), cargas de
trabajo, servidores o estaciones de trabajo. Puede usar almacenes de Recovery Services
para almacenar datos de copia de seguridad de varios servicios de Azure, como VM de
IaaS (Linux o Windows) y bases de datos de Azure SQL, así como recursos locales. Los
almacenes de Recovery Services permiten organizar fácilmente los datos de copia de
seguridad y proporcionan características como:
Mejores funcionalidades para garantizar que pueda proteger las copias de

seguridad y recuperar datos de manera segura, incluso si los servidores de
producción y copia de seguridad están en peligro. Más información.
Supervisión del entorno de TI híbrido (VM de IaaS de Azure y recursos locales)
desde un portal central. Más información.
Compatibilidad con el control de acceso basado en roles de Azure (Azure RBAC),
que restringe el acceso de copia de seguridad y restauración al conjunto definido
de roles de usuario. Azure RBAC ofrece diversos roles integrados, y Azure Backup
tiene tres roles integrados para administrar los puntos de recuperación. Más
información.
Protección contra eliminación temporal, incluso si un actor malintencionado
elimina una copia de seguridad (o si los datos de copia de seguridad se eliminan
por accidente). Los datos de la copia de seguridad se conservan durante 14 días
más, lo que permite la recuperación de un elemento de copia de seguridad sin
pérdida de datos. Más información.
Restauración entre regiones, que permite restaurar VM de Azure en una región
secundaria, que es una región emparejada de Azure. Puede restaurar los datos
replicados en la región secundaria en cualquier momento. Esto le permite restaurar
los datos de la región secundaria para la compatibilidad con auditorías y, durante
los escenarios de interrupción, sin esperar a que Azure declare un desastre (a
diferencia de la configuración de GRS del almacén). Más información.
７ Nota
Hay dos tipos de almacenes en Azure Backup. Además de almacenes de Recovery

Services, también hay almacenes de Backup que hospedan datos para cargas de
trabajo más recientes compatibles con Azure Backup.
Qué hacer antes de un ataque

Como ya se dijo, tiene que suponer que, en algún momento, será víctima de un ataque
de ransomware. La identificación de los sistemas críticos para la empresa y la aplicación
de procedimientos recomendados antes de un ataque le permitirán volver a estar en
funcionamiento lo antes posible.
Qué es lo que más le importa

Puede recibir un ataque de ransomware mientras planea cómo defenderse frente a un
ataque, por lo que la prioridad debe ser identificar los sistemas críticos para la empresa
que son más importantes para usted y empezar a hacer copias de seguridad periódicas
de esos sistemas.
Según nuestra experiencia, las cinco aplicaciones más importantes para los clientes se
divide en las siguientes categorías, en este orden de prioridad:
Sistemas de identidad, necesarios para que los usuarios accedan a los sistemas
(incluidos todos los demás que se describen a continuación), como Active
Directory, Azure AD Connect, controladores de dominio de AD.
Vida humana, cualquier sistema que sustente la vida humana o pueda ponerla en
riesgo, como sistemas médicos o de soporte vital, sistemas de seguridad
(ambulancias, sistemas de envío, control de semáforos), maquinaria de gran
tamaño, sistemas químicos o biológicos, producción de alimentos o productos
personales, etc.
Sistemas financieros, sistemas que procesan transacciones monetarios y mantienen
la empresa en funcionamiento, como sistemas de pago y bases de datos
relacionadas, sistema financiero para informes trimestrales.
Habilitación de productos o servicios, los sistemas necesarios para brindar los
servicios empresariales, o producir o entregar productos físicos por los que los
clientes le pagan, sistemas de control de fábricas, sistemas de entrega o
distribución de productos, y similares.
Seguridad (mínimo), también debe priorizar los sistemas de seguridad necesarios
para supervisar los ataques y proporcionar servicios de seguridad mínimos. Debe
centrarse en garantizar que los ataques actuales (o los oportunistas) no puedan
obtener (o recuperar) acceso inmediato a los sistemas restaurados.
La lista de copia de seguridad prioritaria también se convierte en la lista de restauración

prioritaria. Una vez que haya señalado los sistemas críticos y haga copias de seguridad
periódicas, siga los pasos para reducir el nivel de exposición.
Pasos que debe seguir antes de un ataque

Aplique estos procedimientos recomendados antes de un ataque.
Tarea Detail
Identifique los sistemas Para volver a ponerse en funcionamiento lo antes posible

importantes que tiene que volver después de un ataque, decida hoy qué es lo que más le
a poner en línea primero importa.
(siguiendo las cinco categorías
principales anteriores), y
comenzar de inmediato a hacer
copias de seguridad periódicas
de esos sistemas.
Migre la organización a la nube. Reduzca la exposición local mediante; para ello, mueva los
datos a servicios en la nube con copias de seguridad
Considere la posibilidad de automáticas y reversión de autoservicio. Microsoft Azure
comprar un plan de Soporte dispone de un sólido conjunto de herramientas que le
técnico unificado de Microsoft o ayudarán a hacer copias de seguridad de los sistemas críticos
consulte a un asociado de para la empresa y a restaurar las copias de seguridad con
Microsoft para que le ayude en mayor rapidez.
el pasaje a la nube.
El Soporte técnico unificado de Microsoft es un modelo de
soporte técnico de servicios en la nube que le ayudará
siempre que lo necesite. Soporte técnico unificado:
Ofrece un equipo designado que está disponible las 24 horas

del día, los 7 días de la semana, y brinda resolución de
problemas y escalación de incidentes críticos según sea
necesario.
Le ayuda a supervisar el estado del entorno de TI y funciona

Tarea Detail
de forma proactiva para asegurarse de evitar los problemas

antes de que tengan lugar.
Mueva los datos de los usuarios Los datos de usuario en la nube de Microsoft se pueden
a soluciones en la nube, como proteger mediante características integradas de
OneDrive y SharePoint, para administración de datos y seguridad.
sacar partido de las
funcionalidades de papelera de Está bien enseñar a los usuarios a restaurar sus propios
reciclaje y control de versiones. archivos, pero debe tener cuidado de que los usuarios no
restauren el malware usado para llevar a cabo el ataque.
Instruya a los usuarios sobre Necesita:
cómo recuperar los archivos por
sí mismos para reducir los Asegurarse de que los usuarios no restauren sus archivos
retrasos y los costos de hasta que esté seguro de que el atacante ha sido expulsado.
recuperación. Por ejemplo, si los
archivos de OneDrive de un Poner en práctica un mecanismo de mitigación en caso de
usuario se han infectado por que un usuario restaure parte del malware.
malware, puede restaurar toda
la instancia de OneDrive a un Microsoft 365 Defender acciones automáticas con tecnología
momento anterior. de inteligencia artificial y cuadernos de estrategia para
corregir los recursos afectados de nuevo a un estado seguro.
Analice una estrategia de Microsoft 365 Defender aprovecha las funcionalidades de
defensa, como Microsoft 365 corrección automática de los productos del conjunto para
Defender, antes de permitir a los asegurarse de que todos los recursos afectados relacionados
usuarios restaurar sus propios con un incidente se corrijan automáticamente siempre que
archivos. sea posible.
Implemente el punto de El punto de referencia de seguridad en la nube de Microsoft

referencia de seguridad en la es el marco de control de la seguridad creado a partir de los
nube de Microsoft. marcos de control de seguridad del sector, como SP800-53 de
NIST o CIS Controls v7.1. Da instrucciones a las organizaciones
sobre cómo configurar Azure y los servicios de Azure, e
implementar los controles de seguridad. Consulte Copia de
seguridad y recuperación.
Practique con regularidad el plan Garantiza la rápida recuperación de las operaciones

de continuidad empresarial y empresariales al tratar un ataque de ransomware o extorsión
recuperación ante desastres con la misma importancia que un desastre natural.
(BC/DR).
Realice ejercicios prácticos para validar los procesos y
Simulación de escenarios de procedimientos técnicos entre equipos, incluidas las
respuesta a incidentes. Los comunicaciones fuera de banda de empleados y clientes
ejercicios que realice al (suponga que todo correo electrónico y chat están fuera de
prepararse para un ataque servicio).
deben planearse y realizarse en
torno a las listas prioritarias de
copia de seguridad y
restauración.
Tarea Detail
Pruebe periódicamente el
escenario de "recuperación
desde cero" para asegurarse de
que su plan de continuidad del
negocio (BC) y recuperación de
desastres (DR) puede poner en
línea rápidamente las
operaciones empresariales
críticas desde la funcionalidad
nula (todos los sistemas están
fuera de servicio).
Considere la posibilidad de crear Un registro de riesgos puede ayudarle a priorizar los riesgos
un registro de riesgos para en función de la probabilidad de que se produzca ese riesgo,
detectar posibles riesgos y y de la gravedad para su empresa en caso de que se produzca
abordar cómo mediará a través ese riesgo.
de controles y acciones
preventivos. Agregue Haga un seguimiento del estado de mitigación a través del
ransomware al registro de ciclo de evaluación de administración de riesgos
riesgos como escenario de alta empresariales (ERM).
probabilidad y de alto impacto.
Haga una copia de seguridad Permite recuperar los datos hasta la última copia de
automática de todos los seguridad.
sistemas empresariales críticos
según una programación
periódica (incluida la copia de
seguridad de dependencias
críticas, como Active Directory).
Compruebe que la copia de

seguridad esté bien a medida
que se cree.
Proteja (o imprima) los Los atacantes tendrán deliberadamente como objetivo estos
documentos y sistemas auxiliares recursos porque afectan a su capacidad de recuperación.
necesarios para la recuperación,
como documentos de
procedimientos de restauración,
CMDB y diagramas de red e
instancias de SolarWinds.
Asegúrese de tener Los contactos de terceros pueden ser útiles si la variante de

procedimientos bien ransomware dada tiene puntos débiles conocidos o hay
documentados para interactuar herramientas de descifrado disponibles.
con el soporte técnico de
cualquier tercero, especialmente
Tarea Detail
el soporte técnico de
proveedores de inteligencia
sobre amenazas, proveedores de
soluciones antimalware y del
proveedor de análisis de
malware. Proteja (o imprima)
estos procedimientos.
Asegúrese de que la estrategia Las copias de seguridad son fundamentales para lograr la
de copia de seguridad y resistencia después de que una organización haya sido
recuperación incluya: vulnerada. Aplique la regla 3-2-1 para obtener la máxima
protección y disponibilidad: 3 copias (original + 2 copias de
La capacidad de hacer una copia seguridad), 2 tipos de almacenamiento, y 1 copia fuera del
de seguridad de los datos en un sitio o inactiva.
momento dado específico.
Varias copias de seguridad

almacenadas en ubicaciones
aisladas y sin conexión.
Los objetivos de tiempo de

recuperación que establezcan la
rapidez con la que se puede
recuperar y colocar la
información de copia de
seguridad en el entorno de
producción.
La restauración rápida de las

copias de seguridad en un
espacio aislado o entorno de
producción.
Proteger las copias de seguridad Las copias de seguridad a las que pueden acceder los
contra el borrado y el cifrado atacantes pueden volverse inutilizables para la recuperación
deliberados: empresarial.
Almacene las copias de El almacenamiento sin conexión garantiza una transferencia

seguridad en un sólida de datos de copia de seguridad sin tener que usar
almacenamiento sin conexión o ningún ancho de banda de red. Azure Backup admite la copia
fuera del sitio o en un de seguridad sin conexión, que permite transferir los datos de
almacenamiento inmutable. copia de seguridad inicial sin conexión, sin el uso de ancho de
banda de red. Proporciona un mecanismo para copiar los
Exija pasos fuera de banda datos de copia de seguridad en dispositivos de
(como MFA o un PIN de almacenamiento físico. Los dispositivos se envían después a
seguridad) antes de permitir que un centro de recursos de Azure cercano y se cargan en un
se modifique o borre una copia almacén de Recovery Services.
de seguridad en línea.
Tarea Detail
El almacenamiento inmutable en línea (como Azure Blob) le

Cree puntos de conexión permite almacenar objetos de datos críticos para la empresa
privados en Azure Virtual en un estado WORM (escribir una vez, leer muchas). En este
Network para hacer una copia de estado, los usuarios no pueden borrar ni modificar los datos
seguridad de los datos y durante el intervalo de tiempo especificado por el usuario.
restaurarlos a partir del almacén
de Recovery Services. La autenticación multifactor (MFA) debe ser obligatoria para
todas las cuentas de administrador y se recomienda
encarecidamente para todos los usuarios. El método preferido
es usar una aplicación de autenticador en lugar de SMS o voz,
siempre que sea posible. Al configurar Azure Backup, puede
configurar los servicios de recuperación para habilitar MFA
mediante un PIN de seguridad generado en Azure Portal. Esto
garantiza que se genere un PIN de seguridad para las
operaciones críticas, como actualizar o quitar un punto de
recuperación.
Designe carpetas protegidas. Dificulta que las aplicaciones no autorizadas modifiquen los
datos de estas carpetas.
Revisar los permisos: Reduce el riesgo de actividades de ransomware que permiten

un acceso amplio.
Detecte permisos amplios de
escritura y eliminación en
recursos compartidos de
archivos, SharePoint y otras
soluciones. Por amplio se
entiende numerosos usuarios
con permisos de escritura o de
eliminación para los datos
críticos de la empresa.
Reduzca permisos amplios a la

vez que se cumplen los
requisitos de colaboración
empresarial.
Audite y supervise para

asegurarse de que no vuelvan a
aparecer permisos amplios.
Protección contra un intento de El método más común que usan los atacantes para infiltrarse
suplantación de identidad en una organización son los intentos de suplantación de
(phishing): identidad por correo electrónico. Exchange Online Protection
(EOP) es el servicio de filtrado basado en la nube, que protege
Realice periódicamente cursos su organización frente a correo no deseado, malware y otras
de reconocimiento de la amenazas de correo electrónico. EOP se incluye en todas las
seguridad para ayudar a los organizaciones de Microsoft 365 con buzones de Exchange
Tarea Detail
usuarios a identificar un intento Online.

de suplantación de identidad y
evitar hacer clic en algo que Un ejemplo de un control de filtrado de seguridad para el
pueda crear un punto de entrada correo electrónico es Vínculos seguros. Vínculos seguros es
inicial para un riesgo. una característica de Defender para Office 365, que
proporciona análisis y reescritura de las direcciones URL y los
Aplique controles de filtrado de vínculos de los mensajes de correo electrónico durante el flujo
seguridad al correo electrónico de correo de entrada, así como comprobación de la hora de
para detectar y minimizar la clic de las direcciones URL y los vínculos en mensajes de
probabilidad de un intento de correo electrónico y otras ubicaciones (Microsoft Teams y
suplantación de identidad documentos de Office). El análisis de Vínculos seguros se
correcto. produce además de la protección contra correo no deseado y
antimalware normal en los mensajes de correo electrónico
entrantes en EOP. El análisis de Vínculos seguros puede
ayudar a proteger su organización frente a vínculos
malintencionados que se usan en la suplantación de identidad
y otros ataques.
Obtenga más información sobre la protección contra la

suplantación de identidad (phishing).
Qué hacer durante un ataque

Si está bajo ataque, la lista de copia de seguridad prioritaria también se convierte en la
lista de restauración prioritaria. Antes de restaurar, valide de nuevo que la copia de
seguridad esté bien. Es posible que pueda buscar malware dentro de la copia de
seguridad.
Pasos que debe seguir durante un ataque

Aplique estos procedimientos recomendados durante un ataque.
Tarea Detail
Al principio del ataque, comuníquese Estos contactos pueden ser útiles si la variante de
con soporte técnico de terceros, ransomware dada tiene un punto débil conocido o hay
especialmente soporte técnico de herramientas de descifrado disponibles.
proveedores de inteligencia sobre
amenazas, proveedores de soluciones El Equipo de detección y respuesta de Microsoft
antimalware y el proveedor de análisis (DART) puede ayudarle a protegerse frente a
de malware. ataques. DART se relaciona con clientes de todo el
mundo para ayudarles a protegerse y afirmarse contra
los ataques antes de que se produzcan, así como a
investigar y corregir cuando se un ataque ha tenido
Tarea Detail
lugar.
Microsoft también brinda servicios de recuperación

rápida de ransomware. Los servicios se prestan
exclusivamente mediante la Práctica de seguridad de
recuperación de riesgos (CRSP) global de Microsoft.
El objetivo de este equipo durante un ataque de
ransomware es restaurar el servicio de autenticación y
limitar el impacto del ransomware.
DART y CRSP forman parte de la línea del servicio de

seguridad de Industry Solutions Delivery de
Microsoft.
Póngase en contacto con las Si se encuentra en el Estados Unidos, póngase en

autoridades judiciales locales o contacto con el FBI para denunciar una vulneración
nacionales. por ransomware mediante el formulario de referencia
de reclamación IC3 .
Tome medidas para quitar la carga de Puede usar Windows Defender o (para clientes
malware o ransomware del entorno y anteriores) Microsoft Security Essentials .
detener la propagación.
Una alternativa que también le ayudará a quitar
Ejecute un examen del software antivirus ransomware o malware es la Herramienta de
completo y actual en todos los equipos eliminación de software malintencionado (MSRT) .
y dispositivos sospechosos para detectar
y quitar la carga que está asociada al
ransomware.
Examine los dispositivos que sincronizan

datos, o los destinos de las unidades de
red asignadas.
Restaure primero los sistemas críticos En este momento, no es necesario restaurar todo.
para la empresa. Recuerde validar de Céntrate en los principales cinco sistemas críticos para
nuevo que la copia de seguridad esté la empresa de la lista de restauración.
bien antes de restaurar.
Si tiene copias de seguridad sin Para evitar ataques futuros, asegúrese de que no haya
conexión, probablemente pueda ransomware ni malware en la copia de seguridad sin
restaurar los datos cifrados después de conexión antes de restaurarla.
quitar la carga de ransomware (malware)
del entorno.
Busque una imagen de copia de Para evitar ataques futuros, busque ransomware o
seguridad segura que se sepa que no malware en la copia de seguridad antes de restaurarla.
esté infectada.
Si usa el almacén de Recovery Services,

Tarea Detail
revise con cuidado la escala de tiempo

de incidentes para comprender el
momento dado adecuado para restaurar
una copia de seguridad.
Use una herramienta de análisis de Microsoft Safety Scanner es una herramienta de

seguridad y otras herramientas para la examen diseñada para buscar y quitar malware de
restauración completa del sistema equipos Windows. Basta con descargarlo y ejecutar un
operativo, así como para los escenarios examen para buscar malware e intentar revertir los
de restauración de datos. cambios realizados por las amenazas identificadas.
Asegúrese de que el antivirus o la Se prefiere una solución EDR, como Microsoft

solución de detección y respuesta de Defender para punto de conexión.
puntos de conexión (EDR) estén
actualizados. También debe contar con
revisiones actualizadas.
Una vez que los sistemas críticos para la Los datos de telemetría deberían ayudarle a identificar
empresa estén en funcionamiento, si todavía hay malware en los sistemas.
restaure otros sistemas.
A medida que se restauran los sistemas,

empiece a recopilar datos de telemetría
para poder tomar decisiones formativas
sobre lo que va a restaurar.
Simulación o luego de un ataque

Después de un ataque de ransomware o una simulación de respuesta a incidentes, siga
estos pasos para mejorar los planes de copia de seguridad y restauración, así como su
posición de seguridad:
1. Identifique las conclusiones que puede sacar de lo que no funcionó del proceso (y
de las oportunidades para simplificar, acelerar o mejorar el proceso).
2. Haga análisis de la causa principal sobre los mayores desafíos (con suficiente
detalle para garantizar que las soluciones aborden el problema correcto, teniendo
en cuenta las personas, el proceso y la tecnología).
3. Investigue y corrija la vulneración original (acuda al Equipo de detección y
respuesta de Microsoft (DART) para recibir ayudar).
4. Actualice la estrategia de copia de seguridad y restauración en función de las
conclusiones que sacó y de las oportunidades, y priorice los pasos de mayor
impacto y más rápida implementación.
Pasos siguientes
En este artículo, ha aprendido a mejorar el plan de copia de seguridad y restauración
para protegerse contra el ransomware. Para conocer los procedimientos recomendados
sobre la implementación de la protección contra el ransomware, consulte Protección
rápida frente al ransomware y la extorsión.
Información clave del sector:
Informe de 2021 sobre defensa digital de Microsoft (consulte las páginas 10 a

19)
Microsoft Azure:
Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo
de 26 minutos)
Recuperación de un riesgo de identidad sistemático
Detección de un ataque avanzado de varias fases en Microsoft Sentinel
Microsoft 365:
Recuperación en caso de un ataque de ransomware

Protección contra malware y ransomware
Proteger el PC contra el ransomware
Control del ransomware en SharePoint Online
Microsoft 365 Defender:
Búsqueda de ransomware con búsqueda avanzada
Entradas de blog del equipo de seguridad de Microsoft:
Mayor resistencia mediante la comprensión de los riesgos de ciberseguridad: Parte

4: Análisis de las amenazas actuales (mayo de 2021) . Consulte la sección
Ransomware.
Ataques de ransomware controlados por personas: Un desastre evitable (marzo de
2020) . Incluye el análisis de cadenas de ataques reales de ransomware
controlados por personas.
Respuesta al ransomware: ¿pagar o no pagar? (diciembre de 2019)
Norsk Hydro responde a un ataque de ransomware con transparencia (diciembre
de 2019)
Mejora de las defensas de seguridad
frente a ataques de ransomware con
Azure Firewall Premium
Artículo • 01/06/2023
En este artículo, obtendrá información sobre cómo puede ayudarle Azure Firewall
Premium a protegerse contra ransomware.
El ransomware es un tipo de software malintencionado diseñado para bloquear el
acceso al sistema informático hasta que se paga una suma de dinero. Normalmente, el
atacante aprovecha una vulnerabilidad existente en el sistema para penetrar en la red y
ejecutar el software malintencionado en el host de destino.
El ransomware se suele propagar a través de correos electrónicos de suplantación de

identidad (phishing) que contienen datos adjuntos malintencionados o mediante la
descarga oculta. La descarga oculta por se produce cuando un usuario visita sin saberlo
un sitio web infectado y, a continuación, se descarga e instala el malware sin que el
usuario lo sepa.
Protección frente a actividades

malintencionadas de red
Sistema de detección y prevención de intrusiones en la red (IDPS) que permite
supervisar la actividad malintencionada de la red, registrar información sobre esta
actividad, notificarla y, opcionalmente, intentar bloquearla.
Azure Firewall Premium proporciona IDPS basado en firma donde cada paquete se
inspecciona exhaustivamente, incluidos todos sus encabezados y la carga, para
identificar una actividad malintencionada y evitar que penetre en la red.
Las firmas IDPS son aplicables al tráfico de nivel de aplicación y de red (capas 4-7), son
totalmente administradas y contienen más de 65 000 firmas en más de 50 categorías
diferentes. Para mantenerlas actualizadas (¿las firmas IDPS?) con el panorama dinámico
de ataques en constante cambio:
Azure Firewall dispone de acceso anticipado a la información de vulnerabilidades
del Programa de protecciones activas de Microsoft (MAPP) y el Centro de
respuestas de seguridad de Microsoft (MSRC).
Azure Firewall publica de 30 a 50 nuevas firmas cada día.
En la actualidad, el cifrado moderno (SSL/TLS) se usa globalmente para proteger el

tráfico de Internet. Los atacantes usan el cifrado para llevar su software malintencionado
a la red de la víctima. Por lo tanto, los clientes deben inspeccionar su tráfico cifrado
igual que cualquier otro tráfico.
IDPS de Azure Firewall Premium permite detectar ataques en todos los puertos y
protocolos para el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el
tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para
descifrar el tráfico y detectar con precisión las actividades malintencionadas.
Una vez instalado el ransomware en la máquina de destino, este puede intentar cifrar los
datos de la máquina. El ransomware requiere una clave de cifrado y puede usar el
comando y control (C&C) para obtener la clave de cifrado del servidor de C&C
hospedado por el atacante. CryptoLocker, WannaCry, TeslaCrypt, Cerber y Locky son
algunos de los ransomwares que usan C&C para recuperar las claves de cifrado
necesarias.
Azure Firewall Premium tiene cientos de firmas diseñadas para detectar la conectividad
de C&C y bloquearla para evitar que el atacante cifre los datos. En el diagrama
siguiente, se muestra la protección de Azure Firewall frente a un ataque de ransomware
mediante el canal de C&C.
Protección contra ataques de ransomware

Se recomienda un enfoque holístico para evitar ataques de ransomware. Azure Firewall
funciona en un modo de denegación predeterminado y bloquea el acceso a menos que
el administrador lo permita explícitamente. La habilitación de la característica
Inteligencia sobre amenazas (TI) en modo de alerta o denegación bloquea el acceso a
los dominios y las direcciones IP malintencionados conocidos. La fuente de Intel sobre
amenazas de Microsoft se actualiza continuamente en función de las amenazas nuevas y
emergentes.
Se puede usar la directiva de firewall para la configuración centralizada de los firewalls.

Esto ayuda a responder rápidamente a las amenazas. Los clientes pueden habilitar la
fuente de Intel sobre amenazas e IDPS en varios firewalls con solo unos clics. Las
categorías web permiten a los administradores permitir o denegar el acceso de los
usuarios a categorías de sitios web como, por ejemplo, sitios web de apuestas, de redes
sociales u otros. El filtrado de direcciones URL proporciona acceso con ámbito a sitios
externos y puede reducir aún más el riesgo. En otras palabras, Azure Firewall tiene todo
lo necesario para que las empresas se defiendan de forma integral contra malware y
ransomware.
La detección es igualmente importante que la prevención. La solución de Azure Firewall

para Azure Sentinel permite la detección y prevención en forma de una solución fácil de
implementar. La combinación de prevención y detección le permite asegurarse de evitar
amenazas sofisticadas cuando sea posible, al tiempo que mantiene una "mentalidad de
asunción de brechas" para detectar y responder rápidamente a los ciberataques.
Pasos siguientes
Consulte Protección contra ransomware en Azure para más información sobre las
defensas contra ataques de ransomware en Azure y para obtener instrucciones sobre
cómo proteger proactivamente los recursos.
Para más información sobre Azure Firewall Premium, consulte:
Características de Azure Firewall Prémium

Optimización de la seguridad con la solución de Azure Firewall para Azure
Sentinel
Recuperación de un riesgo de identidad
sistemático
Artículo • 15/03/2023
En este artículo se describen los recursos y las recomendaciones de Microsoft para

recuperarse de un ataque de identidad sistémico contra su organización.
El contenido de este artículo se basa en las instrucciones proporcionadas por el equipo

de detección y respuesta (DART) de Microsoft, cuya labor se centra en responder a los
compromisos y ayudar a los clientes a ser resistentes a los ataques cibernéticos. Para
obtener más instrucciones del equipo de DART, consulte su serie de blogs sobre la
seguridad de Microsoft .
Muchas organizaciones han pasado a un enfoque basado en la nube para gozar de una
mayor seguridad en la administración de identidades y acceso. Sin embargo, puede que
su organización tenga también sistemas locales activos y que use distintos métodos de
arquitectura híbrida. En este artículo se parte del hecho de que los ataques de identidad
sistémicos afectan a los sistemas híbridos, locales y en la nube, y se proporcionan
recomendaciones y referencias para todos estos entornos.
） Importante
Esta información se proporciona tal y como está y constituye una orientación

general; la determinación final sobre cómo aplicar esta guía a su entorno de TI y
sus inquilinos debe tener en cuenta su entorno y necesidades únicos, que cada
cliente está en la mejor posición para determinar.
Acerca de la vulnerabilidad sistémica de

identidad comprometida
Un ataque de identidad sistémico en una organización se produce cuando un atacante
logra entrar en la administración de la infraestructura de identidad de la organización.
Si esto le ha ocurrido a su organización, se enfrenta al atacante en una carrera para

proteger su entorno antes de que se pueda hacer más daños.
Los atacantes con control administrativo sobre la infraestructura de identidad de

un entorno pueden usar ese control para crear, modificar o eliminar identidades y
permisos de identidad en ese entorno.
En una vulnerabilidad local, si los certificados de firma de tokens de SAML de
confianza no se almacenan en un HSM, el ataque incluye acceso a esos
certificados.
Los atacantes pueden usar el certificado para falsificar los tokens SAML y
suplantar cualquiera de los usuarios y cuentas existentes de la organización sin
necesidad de acceder a las credenciales de la cuenta y sin dejar ninguna huella.
También se puede usar el acceso a cuentas con privilegios elevados para agregar
credenciales controladas por el atacante a las aplicaciones existentes, lo que
permite que los atacantes accedan mediante esos permisos al sistema sin ser
detectados, por ejemplo, para llamar a las API.
Respuesta al ataque
La respuesta a la vulnerabilidad sistémica de identidad comprometida debe incluir los
pasos que se muestran en la siguiente imagen y tabla:
Paso Descripción
Establecer Una organización que ha visto comprometida su identidad sistémica debe

comunicaciones asumir que toda la comunicación se ve afectada. Antes de realizar cualquier
seguras acción de recuperación, debe asegurarse de que los miembros del equipo que
son clave para su trabajo de investigación y respuesta pueden comunicarse de
forma segura.
La protección de las comunicaciones debe ser el primer paso que se lleve a cabo;
esto permitirá continuar sin que lo sepa el atacante.
Investigar el Después de proteger las comunicaciones del el equipo de investigación

entorno principal, puede empezar a buscar puntos de acceso iniciales y las técnicas de
persistencia. Identifique los indicios de identidad comprometida y después
busque los puntos de acceso iniciales y la persistencia. A la vez, comience a
establecer operaciones de supervisión continuas durante las labores de
recuperación.
Paso Descripción
Mejorar la Habilite las características y funcionalidades de seguridad siguiendo las

posición de recomendaciones sobre procedimientos para mejorar la seguridad del sistema
seguridad en el futuro.
Asegúrese de continuar con las labores de supervisión continua a medida que

avance y vaya cambiando el panorama de seguridad.
Recuperar y Debe recuperar el control administrativo del entorno de manos del atacante.
conservar el Después de conseguir de nuevo el control y haber actualizado la posición de
control seguridad del sistema, asegúrese de corregir o bloquear todas las posibles
técnicas de persistencia y las nuevas vulnerabilidades de seguridad de acceso
iniciales.
Establecimiento de comunicaciones seguras

Antes de empezar a responder, debe asegurarse de que puede comunicarse de forma
segura sin que se entere el atacante. Asegúrese de aislar las comunicaciones
relacionadas con el incidente para no poner sobre aviso de la investigación al atacante y
conseguir que le tomen por sorpresa las acciones de respuesta.
Por ejemplo:
1. Para las comunicaciones individuales y de grupo iniciales, puede que desee usar
llamadas RTC, puentes de conferencia que no estén conectados a la infraestructura
corporativa y soluciones de mensajería cifrada de un extremo a otro.
Las comunicaciones fuera de estos marcos deben tratarse como comunicaciones

comprometidas que no son de confianza, a menos que se lleven a cabo a través de
un canal seguro.
2. Después de esas conversaciones iniciales, puede que desee crear un inquilino de

Microsoft 365 completamente nuevo, aislado del inquilino de producción de la
organización. Cree cuentas solo para el personal clave que necesite formar parte
de la respuesta.
Si crea un nuevo inquilino de Microsoft 365, asegúrese de seguir todos los

procedimientos recomendados para el inquilino, especialmente en lo relacionado con
las cuentas y los derechos administrativos. Limite los derechos administrativos y no
confíe en aplicaciones ni proveedores externos.
） Importante
Asegúrese de que no intercambia comunicaciones sobre el nuevo inquilino en sus
cuentas de correo electrónico existentes, que pueden haberse visto
comprometidas.
Para más información, consulte Procedimientos recomendados para usar Microsoft 365
de forma segura .
Identificación de las indicaciones de

compromiso
Se recomienda que los clientes sigan las actualizaciones de los proveedores del sistema,
incluidos Microsoft y cualquier asociado, implementen las nuevas detecciones y
protecciones proporcionadas, e identifiquen los indicadores de compromiso (IOC)
publicados.
Busque actualizaciones en los siguientes productos de seguridad de Microsoft e

implemente los cambios recomendados:
Microsoft Sentinel
Soluciones y servicios de seguridad de Microsoft 365
Seguridad de Windows 10 Enterprise
Microsoft Defender for Cloud Apps
Microsoft Defender para IoT
La implementación de nuevas actualizaciones le ayudará a identificar las campañas

anteriores y a evitar futuras campañas contra su sistema. Tenga en cuenta que es posible
que las listas de IOC no sean exhaustivas y que pueden ampliarse a medida que
continúan las investigaciones.
Por lo tanto, también le recomendamos que lleve a cabo las siguientes acciones:
Asegúrese de que ha aplicado el punto de referencia de seguridad en la nube de

Microsoft y de que supervisa el cumplimiento por medio de Microsoft Defender
for Cloud.
Incorpore fuentes de inteligencia sobre amenazas en su solución de SIEM, por

ejemplo, mediante la configuración de Microsoft Purview Data Connectors en
Microsoft Sentinel.
Asegúrese de que cualquier herramienta de detección y respuesta ampliada, como

Microsoft Defender para IoT, usa los datos de inteligencia sobre amenazas más
recientes.
Para más información, consulte la documentación sobre seguridad de Microsoft:
Documentación de Microsoft acerca de la seguridad

Documentación de Azure Security Center
Investigación del entorno

Una vez que los respondedores de incidentes y el personal clave tienen un lugar seguro
para colaborar, puede empezar a investigar el entorno comprometido.
Tendrá que buscar el equilibrio entre la necesidad de llegar al fondo de cada

comportamiento anómalo y de tomar medidas rápidas para detener cualquier otra
actividad por parte del atacante. Para que las correcciones tengan éxito, es necesario
comprender el método inicial de entrada y los métodos de persistencia que usó el
atacante, del modo más completo posible en ese momento. Los métodos de
persistencia que no se hayan detectado durante la investigación pueden dar lugar a un
acceso continuo por parte del atacante y a que se vea de nuevo comprometido el
sistema.
En este punto, puede que desee realizar un análisis de riesgos para establecer la
prioridad de sus acciones. Para más información, consulte:
Amenazas de centro de datos, vulnerabilidad y evaluación de riesgos

Seguimiento y respuesta a amenazas emergentes a través del análisis de amenazas
Administración de amenazas y vulnerabilidades
Los servicios de seguridad de Microsoft proporcionan amplios recursos para

investigaciones detalladas. En las secciones siguientes se describen las principales
acciones recomendadas.
７ Nota
Si descubre que uno o varios de los orígenes de registro enumerados no forman

parte actualmente del programa de seguridad, se recomienda configurarlos lo
antes posible para habilitar las detecciones y las revisiones de registros futuras.
Asegúrese de configurar la retención de registros para servir de apoyo a los

objetivos de investigación de su organización en el futuro. Conserve la evidencia
según sea necesario para fines legales, normativos o relacionados con los seguros.
Investigación y revisión de los registros del entorno de
nube
Investigue y revise los registros del entorno de nube para ver si hay acciones
sospechosas e indicaciones de compromiso de atacantes. Por ejemplo, compruebe los
registros siguientes:
Registros de auditoría unificados

Registros de Azure Active Directory (Azure AD)
Registros locales de Microsoft Exchange
Registros de VPN, como los de VPN Gateway
Registros del sistema de ingeniería
Registros de antivirus y detección de puntos de conexión
Revisión de los registros de auditoría de puntos de

conexión
Revise los registros de auditoría de puntos de conexión para comprobar si hay cambios
locales, como los siguientes tipos de acciones:
Cambios de pertenencia a grupos

Creación de nuevas cuentas de usuario
Delegaciones dentro de Active Directory
Tenga en cuenta especialmente cualquiera de estos cambios si se producen junto con

otros signos típicos de compromiso o actividad.
Revisión de los derechos administrativos en los entornos

Revise los derechos administrativos tanto en el entorno local como de nube. Por
ejemplo:
Entorno Descripción
Todos los - Revise los derechos de acceso con privilegios en la nube y quite los
entornos de permisos innecesarios.
nube - Implemente Privileged Identity Management (PIM).
- Configure directivas de acceso condicional para limitar el acceso
administrativo durante la protección.
Entorno Descripción
Todos los - Revise el acceso con privilegios en el entorno local y quite los permisos
entornos locales innecesarios.
- Reduzca la pertenencia a grupos integrados.
- Compruebe las delegaciones de Active Directory.
- Proteja el entorno de nivel 0 y limite quién tiene acceso a los recursos de
este nivel.
Todas las Revise los permisos delegados y las concesiones de consentimiento que
aplicaciones permitan cualquiera de las siguientes acciones:
empresariales
- Modificación de usuarios y roles con privilegios
- Lectura o acceso a todos los buzones
- Envío o reenvío de correo electrónico en nombre de otros usuarios
- Acceso a todo el contenido del sitio de OneDrive o SharePoint
- Adición de entidades de servicio que puedan leer y escribir en el directorio
Entornos de Revise las opciones de acceso y configuración del entorno de Microsoft 365,
Microsoft 365 entre las que se incluyen:
- Uso compartido de SharePoint Online
- Microsoft Teams
- Power Apps
- Microsoft OneDrive para la Empresa
Revisión de las - Revise y quite las cuentas de usuario invitado que ya no son necesarias.
cuentas de - Revise las configuraciones de correo electrónico para delegados, permisos
usuario en los de carpeta de buzones, registros de dispositivos móviles de ActiveSync, reglas
entornos de bandeja de entrada y las opciones de Outlook en la web.
- Revise los derechos de ApplicationImpersonation y reduzca cualquier uso de
la autenticación heredada tanto como sea posible.
- Compruebe que se aplica MFA y que la información de contacto de MFA y
del autoservicio de restablecimiento de contraseña (SSPR) de todos los
usuarios es correcta.
Establecimiento de la supervisión continua

La detección del comportamiento del atacante incluye varios métodos y depende de las
herramientas de seguridad que la organización tenga disponibles para responder al
ataque.
Por ejemplo, los servicios de seguridad de Microsoft pueden tener recursos e

instrucciones específicos pertinentes para el ataque, tal como se describe en las
secciones siguientes.
） Importante
Si la investigación encuentra pruebas de que se han obtenido permisos
administrativos por verse comprometido el sistema y han proporcionado acceso a
la cuenta de administrador global de la organización o al certificado de firma de
tokens SAML de confianza, le recomendamos que adopte medidas para corregir y
conservar el control administrativo.
Supervisión con Microsoft Sentinel

Microsoft Sentinel cuenta con muchos recursos integrados para ayudar en la
investigación, como libros de búsqueda y reglas de análisis que pueden ayudar a
detectar ataques en áreas pertinentes de su entorno.
Use el centro de conectividad de contenido de Microsoft Sentinel para instalar

soluciones de seguridad ampliadas y conectores de datos que transmitan contenido de
otros servicios en su entorno. Para más información, consulte:
Visualización de los datos recopilados

Detección de amenazas integrada
Detección e implementación de soluciones integradas
Supervisión con Microsoft Defender para IoT

Si en su entorno también se incluyen recursos de tecnología operativa (OT), es posible
que tenga dispositivos que usen protocolos especializados, que den prioridad a los
desafíos operativos antes que a la seguridad.
Implemente Microsoft Defender para IoT para supervisar y proteger esos dispositivos,
especialmente aquellos que no cuenten con la protección de los sistemas de supervisión
de la seguridad tradicionales. Instale sensores de red de Defender para IoT en puntos de
interés específicos de su entorno para detectar amenazas en la actividad de red en curso
mediante la supervisión sin agente y la inteligencia sobre amenazas dinámica.
Para más información, consulte Introducción a la supervisión de la seguridad de red de

OT.
Supervisión con Microsoft 365 Defender

Se recomienda buscar instrucciones específicas pertinentes para el ataque en
Microsoft 365 Defender para punto de conexión y Antivirus de Microsoft Defender.
Busque otros ejemplos de detecciones, consultas de búsqueda e informes de análisis de
amenazas en el Centro de seguridad de Microsoft, como en Microsoft 365 Defender,
Microsoft 365 Defender for Identity y Microsoft Defender for Cloud Apps. Para
garantizar la cobertura, asegúrese de instalar el agente de Microsoft Defender for
Identity en los servidores de ADFS, además de hacerlo en todos los controladores de
dominio.
Para más información, consulte:
Seguimiento y respuesta a amenazas emergentes a través del análisis de amenazas

Comprender el informe de analistas en análisis de amenazas en Microsoft 365
Defender
Supervisión con Azure Active Directory

Los registros de inicio de sesión de Azure Active Directory pueden mostrar si la
autenticación multifactor se usa correctamente. Para acceder a los registros de inicio de
sesión directamente desde el área de Azure Active Directory en Azure Portal, use el
cmdlet Get-AzureADAuditSignInLogs o consúltelos en el área Registros de Microsoft
Sentinel.
Por ejemplo, busque o filtre los resultados que aparecen cuando el campo MFA results
(Resultados de MFA) tiene el valor MFA requirement satisfied by claim in the token
(Requisito de MFA satisfecho por notificación en el token). Si su organización usa ADFS y
las notificaciones registradas no están incluidas en la configuración de este sistema,
pueden ser un indicio de actividad por parte del atacante.
Busque o filtre aún más los resultados para excluir ruido adicional. Por ejemplo, es
posible que quiera incluir solo los resultados de dominios federados. Si encuentra
inicios de sesión sospechosos, explore aún más en función de las direcciones IP, las
cuentas de usuario, etc.
En la tabla siguiente se describen más métodos para usar los registros de Azure Active
Directory en la investigación:
Método Descripción
Análisis de Azure Active Directory y su plataforma de protección de identidad pueden

eventos de generar eventos de riesgo asociados al uso de tokens SAML generados por el
inicio de atacante.
sesión de
riesgo Estos eventos se pueden etiquetar como propiedades desconocidas, dirección IP
anónima, viaje imposible, etcétera.
Se recomienda analizar detalladamente todos los eventos de riesgo asociados a

las cuentas que tienen privilegios administrativos, incluidos los que se puedan
haber descartado o corregido automáticamente. Por ejemplo, un evento de
riesgo o una dirección IP anónima podrían corregirse automáticamente porque
el usuario ha superado la autenticación multifactor.
Asegúrese de usar ADFS Connect Health para que todos los eventos de
autenticación sean visibles en Azure AD.
Detección de Cualquier intento por parte del atacante de manipular las directivas de
propiedades autenticación de dominio aparecerá en los registros de auditoría de Azure Active
de Directory y se reflejará en el registro de auditoría unificado.
autenticación
de dominio Por ejemplo, revise los eventos asociados a Se ha establecido una autenticación
de dominio en el registro de auditoría unificado, los registros de auditoría de
Azure AD o el entorno de SIEM para comprobar que todas las actividades
incluidas se esperaban y se habían planeado.
Detección de Los atacantes que han adquirido el control de una cuenta con privilegios pueden
credenciales buscar una aplicación con la capacidad de acceder al correo electrónico de
para cualquier usuario de la organización y, a continuación, agregar credenciales
aplicaciones controladas por ellos a esa aplicación.
de OAuth
Por ejemplo, puede que desee buscar cualquiera de las siguientes actividades,
que se corresponderían con el comportamiento de un atacante:
- Adición o actualización de credenciales de entidad de servicio
- Actualización de certificados y secretos de aplicación
- Adición de una concesión de asignación de roles de aplicación a un usuario
- Adición de Oauth2PermissionGrant
Detección del Busque acceso al correo electrónico por parte de las aplicaciones de su entorno.
acceso al Por ejemplo, use las características de Microsoft Purview Audit (Premium) para
correo investigar las cuentas comprometidas.
electrónico
por parte de
las
aplicaciones
Detección de Los informes de inicio de sesión de Azure Active Directory proporcionan detalles
inicios de sobre los inicios de sesión no interactivos que han usado credenciales de entidad
sesión no de servicio. Por ejemplo, puede usar estos informes para encontrar datos
interactivos valiosos para la investigación, como una dirección IP usada por el atacante para
en entidades acceder a las aplicaciones de correo electrónico.
de servicio
Mejora de la posición de seguridad

Si se ha producido un evento de seguridad en los sistemas, se recomienda reflexionar
sobre la estrategia de seguridad y las prioridades actuales.
A menudo se pide a los respondedores de incidentes que proporcionen

recomendaciones sobre las inversiones a las que la organización debe dar prioridad
ahora que se ha enfrentado a nuevas amenazas.
Además de las recomendaciones documentadas en este artículo, se recomienda

considerar la posibilidad de dar prioridad a las áreas de atención que responden a las
técnicas posteriores a la vulnerabilidad de seguridad usadas por este atacante y a las
brechas comunes de la posición de seguridad que las permiten.
En las secciones siguientes se incluyen recomendaciones para mejorar la posición de

seguridad, tanto general como de identidad.
Mejora de la posición de seguridad general

Se recomiendan las siguientes acciones para garantizar la posición de seguridad
general:
Revise la puntuación de seguridad de Microsoft para obtener recomendaciones

personalizadas sobre aspectos básicos de seguridad para los productos y servicios
de Microsoft que consume.
Asegúrese de que su organización tiene soluciones de detección y respuesta

ampliadas (XDR) y administración de eventos e información de seguridad (SIEM)
activas, como Microsoft 365 Defender para punto de conexión, Microsoft Sentinel
y Microsoft Defender para IoT.
Revise el modelo de acceso empresarial de Microsoft.
Mejora de la posición de seguridad de identidad

Se recomiendan las siguientes acciones para garantizar la posición de seguridad
relacionada con la identidad:
Revise los cinco pasos de Microsoft para asegurar su infraestructura de

identidad y dé prioridad a los pasos que correspondan a su arquitectura de
identidad.
Considere la posibilidad de migrar a los valores predeterminados de seguridad

de Azure AD para la directiva de autenticación.
Deje de usar la autenticación heredada en su organización, si los sistemas o las

aplicaciones todavía la requieren. Para más información, consulte Procedimientos:
Bloqueo de la autenticación heredada en Azure AD con acceso condicional.
Trate la infraestructura de ADFS y la infraestructura de AD Connect como un

recurso de nivel 0.
Restrinja el acceso administrativo local al sistema, incluida la cuenta que se usa

para ejecutar el servicio ADFS.
El privilegio mínimo necesario para la cuenta que ejecuta ADFS es la asignación de

derechos de usuario Iniciar sesión como servicio.
Restrinja el acceso administrativo a usuarios limitados y desde intervalos de

direcciones IP limitados mediante directivas de Windows Firewall para Escritorio
remoto.
Se recomienda configurar un jumpbox de nivel 0 o un sistema equivalente.
Bloquee todo el acceso SMB de entrada a los sistemas desde cualquier lugar del
entorno. Para obtener más información, consulte el artículo sobre cómo proteger
el tráfico SMB en Windows . También se recomienda transmitir los registros de
Windows Firewall a una solución de SIEM para una supervisión proactiva y
histórica.
Si usa una cuenta de servicio y su entorno lo admite, migre de una cuenta de

servicio a una cuenta de servicio administrada de grupo (gMSA) . Si no puede
cambiar a una cuenta gMSA, rote la contraseña de la cuenta de servicio a una
contraseña compleja.
Asegúrese de que el registro detallado esté habilitado en los sistemas ADFS.

Corrección y conservación del control
administrativo
Si la investigación ha identificado que el atacante tiene control administrativo en el
entorno local o en la nube de la organización, debe recuperar el control de tal forma
que se asegure de que el atacante no es persistente.
En esta sección se proporcionan los posibles métodos y pasos que se deben tener en
cuenta al crear el plan de recuperación del control administrativo.
） Importante
Los pasos exactos necesarios en la organización dependerán de la persistencia que

haya descubierto en la investigación y de la confianza que tenga en que la
investigación haya sido completa y haya descubierto todos los métodos de entrada
y persistencia posibles.
Asegúrese de que las acciones que se realizan se aplican en un dispositivo de

confianza, creado a partir de origen limpio. Por ejemplo, use una estación de
trabajo de acceso con privilegios nueva.
En las secciones siguientes se incluyen los siguientes tipos de recomendaciones para

corregir y conservar el control administrativo:
Eliminación de la confianza en los servidores actuales

Rotación del certificado de firma de tokens SAML o sustitución de los servidores
de ADFS si es necesario
Actividades de corrección específicas para entornos locales o en la nube
Eliminación de la confianza en los servidores actuales

Si su organización ha perdido el control de los certificados de firma de tokens o la
confianza federada, el enfoque más seguro es quitar la confianza y cambiar a la
identidad controlada en la nube mientras se corrige el entorno local.
La eliminación de la confianza y el cambio a la identidad controlada en la nube requiere

un planeamiento cuidadoso y una profunda comprensión de los efectos de la operación
empresarial que supone aislar la identidad. Para más información, consulte el artículo
Protección de Microsoft 365 contra ataques locales.
Rotación del certificado de firma de tokens SAML

Si su organización decide noquitar la confianza al recuperar el control administrativo en
el entorno local, tendrá que rotar el certificado de firma de tokens SAML después de
recuperarlo y de bloquear la capacidad de los atacantes de acceder de nuevo al
certificado de firma.
La rotación del certificado de firma de tokens una sola vez sigue permitiendo que
funcione el certificado de firma de tokens anterior. Este comportamiento es una
funcionalidad integrada para las rotaciones de certificados normales que permite un
período de gracia para que las organizaciones actualicen las confianzas de usuario
autenticado antes de que expire el certificado.
Si ha habido un ataque, no quiere que el atacante conserve el acceso de ningún modo.

Asegúrese de que el atacante no mantiene la capacidad de falsificación de tokens para
el dominio.
Revocación del acceso de usuario en Azure Active Directory

Documentos de PowerShell de Invoke-MgInvalidateUserRefreshToken de Microsoft
Graph
Reemplazo de los servidores de ADFS

Si, en lugar de rotar el certificado de firma de tokens SAML, decide reemplazar los
servidores de ADFS por sistemas limpios, deberá quitar el sistema de archivos
distribuido de Azure existente del entorno y, a continuación, crear uno nuevo.
Para más información, consulte la sección Eliminación de una configuración.
Actividades de corrección en la nube

Además de las recomendaciones indicadas anteriormente en este artículo, también se
recomiendan las actividades siguientes para los entornos de nube:
Actividad Descripción
Restablecimiento de Restablezca las contraseñas de las cuentas de acceso de emergencia y

contraseñas reduzca el número de este tipo de cuenta al mínimo necesario.
Restringir las cuentas de Asegúrese de que las cuentas de servicio y de usuario con acceso con
acceso con privilegios privilegios son cuentas solo en la nube y que no usan cuentas locales
sincronizadas o federadas con Azure Active Directory.
Exigir MFA Aplique la autenticación multifactor (MFA) en todos los usuarios con
privilegios elevados del inquilino. Se recomienda aplicar MFA a todos
los usuarios del inquilino.
Limitar el acceso Implemente Privileged Identity Management (PIM) y el acceso

administrativo condicional para limitar el acceso administrativo.
Para usuarios de Microsoft 365, implemente Privileged Access

Management (PAM) para limitar el acceso a capacidades
confidenciales, como eDiscovery, Administrador global,
Administración de cuentas, etc.
Revisar o reducir los Revise y reduzca los permisos delegados u otorgaciones de

permisos delegados y la consentimiento de las aplicaciones empresariales que permitan
otorgación de cualquiera de las siguientes funcionalidades:
consentimientos
- Modificación de roles y usuarios con privilegios
- Lectura, envío de correo electrónico o acceso a todos los buzones
- Acceso a contenido de OneDrive, Teams o SharePoint
- Adición de entidades de servicio que puedan leer y escribir en el
directorio
- Permisos de aplicación frente a acceso delegado
Actividades de corrección locales

Además de las recomendaciones indicadas anteriormente en este artículo, también se
recomiendan las actividades siguientes para los entornos locales:
Recompilar los Recompile los sistemas identificados como comprometidos por el atacante
sistemas durante la investigación.
afectados
Eliminar Quite miembros innecesarios de los grupos de administradores de dominio,

usuarios operadores de copia de seguridad y administradores empresariales. Para
administradores obtener más información, consulte Protección del acceso con privilegios.
innecesarios
Restablecer Restablezca las contraseñas de todas las cuentas con privilegios del entorno.
contraseñas de
las cuentas con Nota: Las cuentas con privilegios no se limitan a los grupos integrados, sino
privilegios que también pueden ser grupos que tienen acceso delegado a la
administración de servidores, la administración de estaciones de trabajo u
otras áreas del entorno.
Restablecer la Restablezca la cuenta krbtgt dos veces con el script New-KrbtgtKeys .

cuenta krbtgt
Nota: Si usa controladores de dominio de solo lectura, deberá ejecutar el
script por separado para estos controladores y los de lectura y escritura.
Programar un Después de validar que no existen o permanecen en el sistema mecanismos de

reinicio del persistencia creados por el atacante, programe un reinicio del sistema para
sistema ayudar a eliminar el malware residente en memoria.
Restablecer la Restablezca la contraseña de DSRM (modo de restauración de servicios de

contraseña de directorio) de cada controlador de dominio a una contraseña que sea única y
DSRM compleja.
Corrección o bloqueo de la persistencia detectada

durante la investigación
La investigación es un proceso iterativo y deberá encontrar el equilibrio entre el deseo
de la organización de corregir a medida que se identifican las anomalías y la posibilidad
de que la corrección alerte al atacante de su detección y le dé tiempo a reaccionar.
Por ejemplo, un atacante que sea consciente de la detección podría cambiar las técnicas
o crear más persistencia.
Asegúrese de corregir las técnicas de persistencia que haya identificado en las fases
anteriores de la investigación.
Corrección del acceso a cuentas de usuario y servicio

Además de las acciones recomendadas indicadas anteriormente, se recomienda tener
en cuenta los pasos siguientes para corregir y restaurar cuentas de usuario:
Aplique el acceso condicional basado en dispositivos de confianza. Si es posible,

se recomienda aplicar el acceso condicional basado en la ubicación para adaptarse
a los requisitos de la organización.
Restablezca las contraseñas después de la expulsión en las cuentas de usuario que

puedan haberse visto comprometidas. Asegúrese de implementar también un plan
a medio plazo para restablecer las credenciales de todas las cuentas del directorio.
Revoque los tokens de actualización inmediatamente después de rotar las

credenciales.

Revocación del acceso de usuario en un emergencia de Azure Active Directory
Documentos de PowerShell de Invoke-MgInvalidateUserRefreshToken de
Microsoft Graph
Pasos siguientes
Consulte la ayuda de los productos de Microsoft, incluidos el portal de
Microsoft 365 Defender, el portal de cumplimiento de Microsoft Purview y el
Centro de seguridad y cumplimiento de Office 365 seleccionando el botón Ayuda
(?) en la barra de navegación superior.
Para obtener ayuda para la implementación, póngase en contacto con nosotros

en FastTrack .
Si tiene necesidades relacionadas con el soporte técnico del producto, abra un

caso de soporte técnico de Microsoft .
） Importante
Si cree que se ha visto comprometido y necesita ayuda por medio de una

respuesta a incidentes, abra un caso de soporte técnico de nivel Sev A.
Protección contra amenazas de Azure
Artículo • 11/03/2023
Azure ofrece la funcionalidad de protección contra amenazas integrada en servicios

como Azure Active Directory (Azure AD), registros de Azure Monitor y Microsoft
Defender para la nube. Esta colección de servicios de seguridad y funcionalidades ofrece
una manera sencilla y rápida de comprender lo que ocurre en las implementaciones de
Azure.
Azure proporciona una amplia gama de opciones para configurar y personalizar la

seguridad para que cumpla los requisitos de las implementaciones de la aplicación. En
este artículo se explica cómo cumplir estos requisitos.
Azure Active Directory Identity Protection

Azure AD Identity Protection es una característica de la edición Azure Active Directory
Premium P2 que proporciona información general de las detecciones de riesgo y las
posibles vulnerabilidades que pueden afectar a las identidades de la organización.
Identity Protection usa las funcionalidades de detección de anomalías existentes de
Azure AD que están disponibles mediante informes de actividad anómala de Azure AD e
introduce nuevos tipos de detección de riesgo que pueden detectar anomalías en
tiempo real.
En Identity Protection se usan algoritmos y heurística de aprendizaje automático
adaptable para detectar anomalías y detecciones de riesgo que es posible que indiquen
que una identidad se ha puesto en peligro. Con estos datos, Identity Protection genera
informes y alertas que permiten investigar estas detecciones de riesgo y tomar las
acciones de corrección o mitigación adecuadas.
Funcionalidades de Identity Protection

Azure Active Directory Identity Protection es más que una herramienta de supervisión e
informes. Para proteger las identidades de la organización, puede configurar directivas
basadas en riesgos que respondan automáticamente a problemas detectados si se
alcanza un nivel de riesgo específico. Estas directivas, además de otros controles de
acceso condicional proporcionados por Azure Active Directory y EMS, pueden bloquear
o iniciar automáticamente acciones de corrección adaptables que incluyen el
restablecimiento de contraseñas y el cumplimiento de la autenticación multifactor.
Ejemplos de algunas de las maneras en que Azure Identity Protection puede ayudar a
proteger las cuentas e identidades:
Detecciones de riesgo y cuentas peligrosas
Detecte seis tipos de detecciones de riesgo mediante el aprendizaje automático y

las reglas heurísticas.
Calcular los niveles de riesgo del usuario.
Proporcionar recomendaciones personalizadas para mejorar la posición de
seguridad general al resaltar los puntos vulnerables.
Investigación de las detecciones de riesgo
Enviar notificaciones de las detecciones de riesgo.

Investigar las detecciones de riesgo con información pertinente y contextual.
Proporcionar los flujos de trabajo básicos para realizar un seguimiento de las
investigaciones.
Proporcionar un acceso fácil a las acciones de corrección, como el restablecimiento
de contraseñas.
Directivas de acceso condicional basadas en riesgos
Mitigar los inicios de sesión peligrosos mediante el bloqueo de los inicios de

sesión o requerir desafíos de la autenticación multifactor.
Proteger o bloquear cuentas de usuario peligrosas.
Exigir a los usuarios que se registren en la autenticación multifactor.
Administración de identidades con privilegios de Azure
AD
Con Azure Active Directory Privileged Identity Management (PIM), puede administrar,
controlar y supervisar el acceso dentro de la organización. Esta característica incluye el
acceso a los recursos de Azure AD y otros servicios en línea de Microsoft, como
Microsoft 365 o Microsoft Intune.
PIM ayuda a:
Obtener alertas e informes sobre los administradores de Azure AD y el acceso

administrativo Just-In-Time (JIT) a los servicios en línea de Microsoft, como
Microsoft 365 e Intune.
Obtener informes sobre el historial de acceso de administrador y los cambios en

las asignaciones de administrador.
Obtener alertas sobre el acceso a un rol con privilegios.

Los registros de Azure Monitor son una solución de administración de TI basada en la
nube de Microsoft que permiten administrar y proteger la infraestructura local y en la
nube. Como los registros de Azure Monitor se implementan como un servicio basado en
la nube, puede ponerlos en funcionamiento rápidamente con una inversión mínima en
servicios de infraestructura. Las características nuevas de seguridad se entregan de
forma automática, lo que supone un ahorro en costos permanentes de mantenimiento y
actualización.
Seguridad integral y postura de cumplimiento

Microsoft Defender for Cloud proporciona una vista global de la situación de seguridad
de la TI de su organización, con consultas de búsqueda integradas en el caso de
aquellos problemas importantes que requieran su atención. Proporciona información
detallada sobre el estado de seguridad de los equipos. También se pueden ver todos los
eventos de las últimas 24 horas, siete días o cualquier otro intervalo personalizado.
Los registros de Azure Monitor permiten comprender de forma rápida y sencilla la

posición de seguridad global de cualquier entorno, todo ello en el contexto de las
operaciones de TI, como la evaluación de actualizaciones de software, la evaluación de
antimalware y las líneas base de configuración. Los datos del registro de seguridad son
accesibles en todo momento para simplificar los procesos de auditoría de seguridad y
cumplimiento.
Insight y Analytics
En el centro de los registros de Azure Monitor se encuentra el repositorio de OMS, que
está hospedado en Azure.
Los datos se recopilan en el repositorio desde los orígenes conectados mediante la

configuración de orígenes de datos y la incorporación de soluciones a la suscripción.
Cada uno de los orígenes de datos y soluciones crea tipos de registros distintos con su
propio conjunto de propiedades, pero se pueden seguir analizando de forma conjunta
en consultas al repositorio. Se pueden usar las mismas herramientas y métodos para
trabajar con una variedad de datos que se recopilan mediante diversos orígenes.
La mayor parte de la interacción con los registros de Azure Monitor se realiza mediante
Azure Portal, que se ejecuta en cualquier explorador y proporciona acceso a opciones
de configuración y a herramientas para analizar los datos recopilados y realizar acciones
en estos. Desde el portal, puede usar:
Búsquedas de registros donde se crean consultas para analizar los datos

recopilados.
Paneles, que se pueden personalizar con vistas gráficas de las búsquedas más
valiosas.
Soluciones, que proporcionan herramientas de análisis y funcionalidad adicionales.
Las soluciones agregan funcionalidad a los registros de Azure Monitor. Se ejecutan

principalmente en la nube y proporcionan análisis de los datos recopilados en el
repositorio de Log Analytics. Puede que las soluciones también definan nuevos tipos de
registro para recopilar que se pueden analizar con las búsquedas de registros o
mediante una interfaz de usuario adicional que la solución proporciona en el panel de
Log Analytics.
Defender para la nube es un ejemplo de este tipos de soluciones.
Automatización y control: desviación de la alerta de

configuración de seguridad
Azure Automation automatiza los procesos administrativos con runbooks que se basan
en PowerShell y se ejecutan en la nube. Los runbooks pueden ejecutarse en un servidor
en el centro de datos local para administrar recursos locales. Azure Automation
proporciona administración de configuración con Desired State Configuration (DSC) de
PowerShell.
Puede crear y administrar recursos de DSC hospedados en Azure y aplicarlos a los
sistemas de nube y locales. Al hacerlo, puede definir y aplicar de forma automática su
configuración, o bien obtener informes de la desviación para ayudar a garantizar que las
configuraciones de seguridad se ajusten siempre a las directivas.

Microsoft Defender for Cloud le ayuda a proteger el entorno de nube híbrida. Al realizar
evaluaciones de seguridad continuas de los recursos conectados, puede proporcionar
recomendaciones de seguridad detalladas para las vulnerabilidades detectadas.
Las recomendaciones de Defender para la nube se basan en el punto de referencia de

seguridad en la nube de Microsoft, el conjunto de directrices de seguridad y
cumplimiento normativo de Microsoft, que a su vez se basa en los marcos de
cumplimiento comunes. Esta prueba comparativa, que cuenta con amplísimo respaldo,
se basa en los controles del Centro de seguridad de Internet (CIS) y del Instituto
Nacional de Normas y Tecnología (NIST) , con un enfoque en seguridad centrada en la
nube.
La habilitación de las características de seguridad mejoradas de Defender for Cloud

ofrece una protección avanzada e inteligente de las cargas de trabajo y recursos de
Azure, híbridos y de varias nubes. Obtenga más información en Características de
seguridad mejoradas de Microsoft Defender para la nube.
El panel de protección de cargas de trabajo de Defender para la nube proporciona
visibilidad y control de las características de protección de cargas de trabajo integradas
en la nube proporcionadas por una variedad de planes de Microsoft Defender:
 Sugerencia
Obtenga más información sobre las secciones numeradas en el Panel de

protección de cargas de trabajo.
Los investigadores de seguridad de Microsoft trabajan sin descanso para localizar

amenazas. Tienen acceso al amplio conjunto de recursos de telemetría que les
proporciona la presencia global de Microsoft en la nube y en sistemas locales. La
amplitud y diversidad de estos conjuntos de datos permite a Microsoft detectar nuevos
patrones y tendencias de ataque tanto en sus productos locales, destinados a
particulares y empresas, como en sus servicios en línea.
Como resultado, Defender para la nube es capaz de actualizar rápidamente los

algoritmos de detección a medida que los atacantes idean nuevas y más sofisticadas
vulnerabilidades de seguridad. Este enfoque le ayuda a mantenerse al día en entornos
con amenazas que cambian continuamente.
Microsoft Defender para la nube recopila automáticamente información de seguridad
de los recursos, la red y las soluciones de asociados conectadas. Analiza estos datos (a
menudo, al relacionar la información de diferentes orígenes) para identificar las
amenazas.
En Defender para la nube, las alertas de seguridad están clasificadas por prioridad y se
incluyen recomendaciones para solucionar la amenaza.
Defender for Cloud utiliza análisis avanzados que superan con creces los enfoques
basados en firmas. Se usan innovaciones en tecnologías de macrodatos y aprendizaje
automático para evaluar eventos en toda la nube. El análisis avanzado puede detectar
amenazas que sería imposible identificar mediante enfoques manuales y predice la
evolución de los ataques. Estos tipos de análisis de seguridad se tratan en las secciones
siguientes.
Información sobre amenazas

Microsoft tiene acceso a una cantidad ingente de información sobre amenazas globales.
Los recursos telemétricos proceden de diferentes fuentes, como Azure, Microsoft 365,
Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de
crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC).
Los investigadores también cuentan con la información de inteligencia sobre amenazas
que comparten los principales proveedores de servicios en la nube y que procede de
fuentes de terceros. Microsoft Defender for Cloud puede usar todos estos datos para
avisarle de las amenazas procedentes de actores malintencionados conocidos. Estos son
algunos ejemplos:
Aprovechamiento de la energía de Machine Learning: Microsoft Defender para la

nube tiene acceso a una gran cantidad de datos sobre la actividad de red en la
nube, que se puede usar para detectar amenazas dirigidas a las implementaciones
de Azure.
Detección de fuerza bruta: el aprendizaje automático se usa para crear un patrón

histórico de los intentos de acceso remoto, lo que permite detectar los ataques de
fuerza bruta contra los puertos Secure Shell (SSH), Protocolo de escritorio remoto
(RDP) y SQL.
Salida DDoS y detección de botnet: un objetivo común de los ataques dirigidos a

los recursos de nube consiste en usar la capacidad de proceso de estos recursos
para ejecutar otros ataques.
Nuevos servidores de análisis de comportamiento y máquinas virtuales: después
de poner en peligro un servidor o una máquina virtual, los atacantes emplean una
gran variedad de técnicas para ejecutar código malintencionado en el sistema sin
ser detectados, lo que garantiza la persistencia y consigue evitar los controles de
seguridad.
Detección de amenazas de Azure SQL Database: la detección de amenazas de

Azure SQL Database identifica actividades anómalas de la base de datos que
indican intentos inusuales o posiblemente dañinos de acceso o ataque a las bases
de datos.
Análisis del comportamiento

El análisis del comportamiento es una técnica que analiza datos y los compara con una
serie de patrones conocidos. No obstante, estos patrones no son simples firmas. Están
determinados por unos complejos algoritmos de aprendizaje automático que se aplican
a conjuntos de datos masivos.
Los patrones también se determinan por medio de un análisis cuidadoso, llevado a cabo
por analistas expertos, de los comportamientos malintencionados. Microsoft Defender
para la nube puede utilizar el análisis del comportamiento para identificar recursos en
peligro a partir del análisis de registros de las máquinas virtuales, registros de los
dispositivos de redes virtuales, registros de los tejidos, volcados de memoria y otros
orígenes.
Además, los patrones se ponen en correlación con otras señales que se comprueban
para fundamentar las pruebas de que se trata una campaña de gran difusión. Dicha
correlación permite identificar eventos que se ajustan a unos indicadores de peligro
establecidos.
Estos son algunos ejemplos:
Ejecución de procesos sospechosos: los atacantes utilizan varias técnicas para

ejecutar software malintencionado sin que se detecte. Por ejemplo, un atacante
podría asignar a un malware los mismos nombres que se usan en los archivos
legítimos del sistema, pero colocarlos en otras ubicaciones, usar un nombre muy
parecido al de un archivo legítimo o enmascarar la verdadera extensión del
archivo. Defender para la nube adapta los comportamientos de los procesos y
supervisa su ejecución para detectar valores atípicos como estos.
Malware oculto e intentos de aprovecharse de vulnerabilidades de seguridad: el

malware sofisticado puede eludir los productos antimalware tradicionales, para lo
que evita escribir en el disco o cifra los componentes de software almacenados en
el disco. Pero este malware se puede detectar mediante un análisis de memoria, ya
que, para funcionar, deja rastros en la memoria. En el momento en que el software
se bloquea, un volcado de memoria captura una porción de la memoria. Con un
análisis de la memoria durante el volcado, Microsoft Defender para la nube puede
detectar las técnicas usadas para aprovechar las vulnerabilidades del software,
acceder a información confidencial y permanecer en secreto en un equipo
afectado sin que esto afecte a su rendimiento.
Movimiento lateral y reconocimiento interno: para poder permanecer en una red

afectada y localizar y recopilar información valiosa, los atacantes suelen tratar de
desplazar lateralmente el contenido de la máquina afectada a otras de la misma
red. Defender para la nube supervisa las actividades de los procesos e inicios de
sesión para detectar cualquier intento de expandir el punto de apoyo del atacante
en la red, como sondeos de redes de ejecución remota de comandos y
enumeración de cuentas.
Scripts de PowerShell malintencionados: los atacantes usan PowerShell para

ejecutar código malintencionado en las máquinas virtuales objetivo con diferentes
propósitos. Defender para la nube analiza la actividad de PowerShell en busca de
evidencias de actividad sospechosa.
Ataques de salida: a menudo, el objetivo de los atacantes son recursos en la nube,
que utilizan con el propósito de perpetrar otros ataques. Por ejemplo, es posible
que las máquinas virtuales afectadas se usen para iniciar ataques por fuerza bruta
contra otras máquinas virtuales, enviar correo no deseado o buscar puertos
abiertos y otros dispositivos en Internet. Gracias a la aplicación del aprendizaje
automático en el tráfico de red, Defender para la nube puede detectar cuándo las
comunicaciones de red salientes superan la norma establecida. Cuando se detecta
correo no deseado, Defender para la nube relaciona el tráfico inusual de correo
electrónico con la información de Microsoft 365 para determinar si es probable
que el mensaje sea fraudulento o si es el resultado de una campaña de correo
electrónico legítima.
Detección de anomalías
Microsoft Defender para la nube también usa la detección de anomalías para identificar
amenazas. A diferencia del análisis del comportamiento, que depende de patrones
conocidos obtenidos a partir de grandes conjuntos de datos, la detección de anomalías
es una técnica más “personalizada” y se basa en referencias que son específicas de las
implementaciones. El aprendizaje automático se aplica para determinar la actividad
normal de las implementaciones y, después, se generan reglas para definir condiciones
de valores atípicos que podrían constituir un evento de seguridad. Veamos un ejemplo:
Ataques ataque por fuerza bruta de RDP/SSH de entrada: es posible que las
implementaciones integren máquinas virtuales con mucha actividad que tengan
multitud de inicios de sesión al día y otras máquinas virtuales que tengan pocos
inicios de sesión o ninguno. Microsoft Defender para la nube puede determinar la
actividad de referencia de los inicios de sesión de estas máquinas virtuales y
utilizar el aprendizaje automático para definir las actividades relacionadas con el
inicio de sesión normal. Si hay alguna discrepancia con la línea de base definida
para las características relacionadas con el inicio de sesión, es posible que se
genere una alerta. Una vez más, es el aprendizaje automático el que se encarga de
determinar qué es significativo.
Supervisión continuada de la información sobre

amenazas
Microsoft Defender para la nube cuenta con equipos de científicos de datos e
investigadores de seguridad de todo el mundo que supervisan sin descanso los cambios
que se registran en el terreno de las amenazas. Estos son algunas de las iniciativas que
llevan a cabo:
Supervisión de la inteligencia sobre amenazas: la inteligencia sobre amenazas
incluye mecanismos, indicadores, implicaciones y notificaciones para las amenazas
nuevas o existentes. Esta información se comparte con la comunidad de seguridad,
y Microsoft supervisa sin descanso las fuentes de inteligencia sobre amenazas de
orígenes internos y externos.
Uso compartido de señales: se comparte y analiza la información que recopilan

los equipos de seguridad a partir de la amplia cartera de servicios de Microsoft en
la nube y locales, de servidores y de dispositivos cliente de punto de conexión.
Especialistas en seguridad de Microsoft colaboración continua con equipos de

Microsoft que trabajan en campos de seguridad especializados, como análisis
forense y detección de ataques web.
Ajuste de la detección: los algoritmos se ejecutan en conjuntos de datos de

clientes reales y los investigadores de seguridad trabajan en conjunción con los
clientes para validar los resultados. Los falsos positivos y los positivos verdaderos
se utilizan para perfeccionar los algoritmos de aprendizaje automático.
Toda esta combinación de esfuerzos culmina en técnicas de detección nuevas y

mejoradas, de las que puede beneficiarse al instante. No es necesaria ninguna acción
por su parte.
Microsoft Defender para Storage

Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de
Azure que detecta intentos poco habituales y potencialmente peligrosos de acceder a
las cuentas de almacenamiento o vulnerarlas. Usa funcionalidades avanzadas de
detección de amenazas y datos de Inteligencia sobre amenazas de Microsoft para
proporcionar alertas de seguridad contextuales. Estas alertas también incluyen pasos
para mitigar las amenazas detectadas y evitar ataques futuros.
Características de protección contra amenazas:

Otros servicios de Azure
Máquinas virtuales: Microsoft Antimalware

Microsoft Antimalware para Azure es una solución de un único agente dirigida a
entornos de aplicaciones e inquilinos, diseñada para la ejecución en segundo plano sin
intervención humana. Puede implementar la protección en función de las necesidades
de sus cargas de trabajo de aplicaciones, con configuración de protección básica o
personalizada avanzada que incluye supervisión antimalware. Azure Antimalware es una
opción de seguridad para máquinas virtuales de Azure que se instala automáticamente
en todas las máquinas virtuales de PaaS de Azure.
Características principales de Microsoft Antimalware

Estas son las características de Azure que implementan y habilitan Microsoft
Antimalware para las aplicaciones:
Protección en tiempo real: supervisa la actividad en los servicios en la nube y las

máquinas virtuales para detectar y bloquear la ejecución de malware.
Análisis programado: realiza periódicamente exámenes dedicados a detectar

malware, lo que incluye programas que se ejecutan activamente.
Corrección de malware: actúa automáticamente sobre el malware detectado y

elimina o pone en cuarentena los archivos malintencionados y limpia las entradas
del Registro malintencionadas.
Actualizaciones de firmas: instala de forma automática las firmas de protección

(definiciones de virus) más recientes para garantizar que la protección está
actualizada con una frecuencia determinada previamente.
Actualizaciones de Antimalware Engine: actualiza automáticamente Microsoft

Antimalware Engine.
Actualizaciones de la plataforma antimalware: actualiza automáticamente la

plataforma de Microsoft Antimalware.
Protección activa: envía a Microsoft Azure informes de metadatos de telemetría

sobre las amenazas detectadas y los recursos sospechosos para garantizar una
respuesta rápida a las amenazas en constante evolución, lo que permite la entrega
sincrónica de firmas en tiempo real a través del sistema de protección activa de
Microsoft.
Informes de ejemplos: proporciona informes de ejemplos al servicio Microsoft

Antimalware que ayudan a mejorar el servicio y permiten la solución de problemas.
Exclusiones: permite a los administradores de aplicaciones y servicios configurar

determinados archivos, procesos y unidades para que se excluyan de la protección
y el examen por motivos de rendimiento o de otro tipo.
Recopilación de eventos antimalware: registra el estado del servicio de

antimalware, las actividades sospechosas y las acciones de corrección adoptadas
en el registro de eventos del sistema operativo y los recopila en la cuenta de Azure
Storage del cliente.
Detección de amenazas de Azure SQL Database

Detección de amenazas de Azure SQL Database es una nueva característica de
inteligencia de seguridad integrada en el servicio de Azure SQL Database. Estamos
trabajando permanentemente para conocer y detectar actividades anómalas de la base
de datos y generar perfiles; Detección de amenazas de Azure SQL Database identifica
las posibles amenazas a la base de datos.
Los responsables de seguridad u otros administradores designados pueden recibir una

notificación inmediata sobre las actividades sospechosas en las bases de datos cuando
se producen. Cada notificación proporciona detalles de la actividad sospechosa y
recomienda cómo investigar más y mitigar la amenaza.
Actualmente, Detección de amenazas de Azure SQL Database detecta posibles

vulnerabilidades y ataques de inyección de SQL, así como patrones de acceso anómalos
a las bases de datos.
Al recibir una notificación por correo electrónico de detección de amenazas, los usuarios
pueden navegar y ver los registros de auditoría pertinentes a través de un vínculo
profundo en el correo electrónico. El vínculo abre un visor de auditoría o una plantilla de
Excel de auditoría preconfigurada en la que se muestran los registros de auditoría
pertinentes en torno a la hora del evento sospechoso, según lo siguiente:
El almacenamiento de información de auditoría para el servidor o la base de datos

con las actividades anómalas de la base de datos.
La tabla de almacenamiento de información de auditoría correspondiente que se

usó en el momento del evento para escribir el registro de auditoría.
Los registros de auditoría de la hora inmediatamente posterior a la aparición del

evento.
Los registros de auditoría con identificadores de evento similares en el momento

del evento (opcional para algunos detectores).
Los detectores de amenazas de SQL Database usan una de las metodologías de

detección siguientes:
Detección determinista: detecta patrones sospechosos (en función de reglas) en

las consultas de cliente SQL que coinciden con ataques conocidos. Esta
metodología tiene un grado alto de detección y bajo de falsos positivos; pero la
cobertura es limitada, ya que se encuentra dentro de la categoría de "detecciones
atómicas".
Detección de comportamiento: detecta la actividad anómala, que es el

comportamiento anómalo de la base de datos que no se haya observado durante
los últimos 30 días. Ejemplos de actividad anómala del cliente SQL pueden ser un
pico de consultas o inicios de sesión fallidos, un gran volumen de datos extraídos,
consultas canónicas inusuales, o bien direcciones IP no familiares que se hayan
usado para acceder a la base de datos.
Firewall de aplicaciones web de Application Gateway

El firewall de aplicaciones web (WAF) es una característica de Application Gateway que
protege las aplicaciones web que usan una puerta de enlace de aplicación para las
funciones estándar de control de entrega de aplicaciones . Para hacerlo, el firewall de
aplicaciones web ofrece protección contra las 10 vulnerabilidades web más comunes
identificadas por Proyecto de seguridad de aplicación web abierta (OWASP) .
Las protecciones incluyen lo siguiente:
Protección contra la inyección de código SQL.
Protección contra scripts entre sitios.

inclusión de archivos.
Protección contra infracciones del protocolo HTTP.

usuario de host y encabezados de aceptación.
Prevención contra bots, rastreadores y escáneres.

IIS, etc.).
La configuración de WAF en Application Gateway proporciona las siguientes ventajas:
Protección de la aplicación web contra las vulnerabilidades y los ataques web sin
modificación del código de back-end.
Protección de varias aplicaciones web al mismo tiempo detrás de una instancia de

Application Gateway. Una instancia de Application Gateway admite el hospedaje
de hasta 20 sitios web.
Supervisión de las aplicaciones web de cara a los ataques mediante informes en

tiempo real generados por los registros WAF de la puerta de enlace de
aplicaciones.
Ayuda a cumplir los requisitos de cumplimiento. Algunos controles de

cumplimiento requieren que todos los puntos de conexión accesibles desde
Internet estén protegidos por una solución WAF.
Defender para aplicaciones en la nube

Defender para aplicaciones en la nube es un componente esencial de la pila de
seguridad de Microsoft Cloud. Es una solución integral que ayuda a la organización a
medida que avanza para aprovechar al máximo la promesa de las aplicaciones en la
nube. Permite mantener el control gracias a la mejor visibilidad de la actividad. También
ayuda a aumentar la protección de los datos críticos en todas las aplicaciones de la
nube.
Con las herramientas que ayudan a descubrir zonas oscuras de TI, evaluar los riesgos,
aplicar directivas, investigar actividades y detener amenazas, la organización puede
mover datos a la nube con mayor seguridad y sin perder el control sobre los datos
críticos.
Category Descripción
Category Descripción
Descubra Descubra shadow IT con Defender para aplicaciones en la nube. Gane visibilidad
al descubrir aplicaciones, actividades, usuarios, datos y archivos del entorno de la
nube. Descubra las aplicaciones de terceros conectadas a su nube.
Investigación Investigue las aplicaciones de nube mediante herramientas forenses de nube en

profundidad en las aplicaciones de riesgo o archivos y usuarios específicos de la
red. Identifique patrones en los datos recopilados de la nube. Genere informes
para supervisar su nube.
Control Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control
sobre el tráfico de red en la nube. Use Defender para aplicaciones en la nube para
migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.
Protección Use Defender para aplicaciones en la nube para autorizar o prohibir aplicaciones,
prevenir la pérdida de datos, otorgar permisos de control, compartir y generar
alertas e informes personalizados.
Control Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control
sobre el tráfico de red en la nube. Use Defender para aplicaciones en la nube para
migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.
Defender para aplicaciones en la nube integra la visibilidad con la nube mediante:
El uso de Cloud Discovery para asignar e identificar el entorno de la nube y las

aplicaciones de nube que usa la organización.
La prohibición y autorización de aplicaciones en la nube.
El uso de conectores de aplicaciones fáciles de implementar que aprovechan las

ventajas de las API de proveedor, para ganar visibilidad y gobernanza de las
aplicaciones a las que se conecte.
La ayuda para mantener el control constante mediante la configuración y posterior

ajuste permanente de las directivas.
En la recopilación de datos de estos orígenes, Defender para aplicaciones en la nube

ejecuta un sofisticado análisis sobre los datos. Le avisa inmediatamente en caso de
actividades anómalas y proporciona visibilidad profunda en el entorno de nube. Puede
configurar una directiva en Defender para aplicaciones en la nube y usarla para proteger
todo el contenido del entorno de nube.
Funcionalidades de protección contra

amenazas de terceros a través de
Azure Marketplace

El firewall de aplicaciones web inspecciona el tráfico web entrante y bloquea las
inyecciones de SQL, el scripting entre sitios, las cargas de malware, los ataques DDoS de
aplicación, así como otros ataques dirigidos a las aplicaciones web. También inspecciona
las respuestas de los servidores web back-end para la prevención de pérdida de datos
(DLP). El motor de control de acceso integrado permite a los administradores crear
directivas de control de acceso pormenorizadas para la autenticación, la autorización y
la contabilidad (AAA), lo que proporciona autenticación fiable a las organizaciones así
como control sobre los usuarios.
Firewall de aplicaciones web proporciona las ventajas siguientes:
Detecta y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de
malware, el DDoS de aplicación y cualquier otro ataque contra la aplicación.
Autenticación y control de acceso.
Analiza el tráfico saliente para detectar los datos confidenciales y oculta o bloquea
la información para que no se filtre.
Acelera la entrega de contenido de aplicación web, con funcionalidades como el

almacenamiento en caché, la compresión y otras optimizaciones del tráfico.
Para obtener ejemplos de los firewalls de aplicaciones web que están disponibles en
Azure Marketplace, vea Barracuda WAF, firewall de aplicaciones web virtual Brocade
(vWAF), Imperva SecureSphere y el firewall ThreatSTOP IP .
Paso siguiente
Respuesta a las amenazas actuales: ayuda a identificar las amenazas activas cuyo
objetivo son sus recursos de Azure y proporciona la información necesaria para
responder a ellas con rapidez.
Funcionalidades técnicas de seguridad
de Azure
Artículo • 01/06/2023
Este artículo sirve de introducción a los servicios de seguridad de Azure que ayudan a
proteger los datos, recursos y aplicaciones en la nube, así como a satisfacer las
necesidades de seguridad de su negocio.
Plataforma Azure
Microsoft Azure es una plataforma en la nube compuesta de servicios de
infraestructura y aplicaciones, con servicios de datos y análisis avanzado integrados, y
herramientas y servicios para desarrolladores, que se hospeda dentro de los centros de
datos de la nube pública de Microsoft. Los clientes pueden usar Azure para muchos
tipos de capacidades y escenarios, que van desde procesos, redes y almacenamiento
básicos a servicios móviles y de aplicaciones web, o a escenarios completamente en la
nube, como Internet de las cosas, que se pueden usar con tecnologías de código abierto
e implementarse como nubes híbridas u hospedarse en el centro de datos de un cliente.
Azure proporciona tecnología de nube como bloques de creación para ayudar a las
empresas a ahorrar costos, innovar con rapidez y a administrar los sistemas de forma
proactiva. Al crear o migrar recursos de TI a un proveedor de nube, confía en las
capacidades de la organización para proteger las aplicaciones y los datos con los
servicios y los controles que facilitan para administrar la seguridad de sus recursos en la
nube.
Microsoft Azure es el único proveedor de informática en la nube que ofrece una

plataforma de aplicaciones seguras y coherente y una infraestructura como servicio para
que los equipos trabajen según sus diferentes habilidades en la nube y niveles de
complejidad del proyecto, con servicios de datos y análisis integrados que descubran
inteligencia de datos en cualquier parte, a través de plataformas de Microsoft o de
terceros, abra marcos y herramientas, proporcionando alternativas para la integración
en la nube con aplicaciones locales así como la implementación de servicios en la nube
de Azure en centros de datos locales. Como parte de Microsoft Trusted Cloud, los
clientes confían en Azure a la hora de conseguir una seguridad, confiabilidad,
cumplimiento y privacidad líderes en el mercado, así como en la enorme red de
usuarios, asociados y procesos existentes para ayudar a las organizaciones en la nube.
Con Microsoft Azure, puede:
Aceleración de la innovación con la nube

Impulsar aplicaciones y decisiones empresariales con información
Compilar con libertad e implementar en cualquier parte
Proteger su negocio
Administración y control de identidades y del

acceso de usuarios
Azure le ayuda a proteger información empresarial y personal permitiéndole administrar
las identidades y credenciales del usuario y controlar los accesos.
Azure Active Directory

Las soluciones de administración de identidades y acceso de Microsoft ayudan al
departamento de TI a proteger el acceso a las aplicaciones y los recursos en el centro de
datos corporativo y en la nube, para lo que se habilitan más niveles de validación, tales
como las directivas de autenticación multifactor y de acceso condicional. La supervisión
de actividades sospechosas mediante auditorías, alertas e informes de seguridad
avanzados contribuye a minimizar los posibles problemas de seguridad. Azure Active
Directory Premium proporciona un inicio de sesión único para miles de aplicaciones en
la nube y acceso a aplicaciones web que se ejecutan de forma local.
Entre las ventajas en materia de seguridad de Azure Active Directory (Azure AD) se
incluye la capacidad de:
Crear y administrar una identidad única para cada usuario en toda la empresa
híbrida, lo que mantiene los usuarios, grupos y dispositivos sincronizados.
Proporcionar un acceso de inicio de sesión único a las aplicaciones, incluidas miles

de aplicaciones SaaS preintegradas.
Habilitar la seguridad del acceso de las aplicaciones mediante la aplicación de

Multi-Factor Authentication basado en reglas para las aplicaciones locales y en la
nube.
Proporcionar un acceso remoto seguro a las aplicaciones web locales a través del
proxy de la aplicación de Azure AD.
El portal de Azure Active Directory está disponible como parte de Azure Portal. En
este panel, puede obtener una visión general del estado de su organización y
administrar fácilmente el directorio, los usuarios o el acceso a las aplicaciones.
Las siguientes son las principales funcionalidades de administración de identidades de
Azure:
Inicio de sesión único
Multi-Factor Authentication
Supervisión de seguridad, alertas e informes basados en aprendizaje automático
Administración de identidades y acceso de consumidores
Registro de dispositivos
Privileged Identity Management
Protección de identidad

Inicio de sesión único (SSO) significa poder tener acceso a todas las aplicaciones y los
recursos que necesita para hacer negocios, iniciando sesión una sola vez con una única
cuenta de usuario. Una vez que ha iniciado sesión, puede tener acceso a todas las
aplicaciones que necesite sin tener que autenticarse (por ejemplo, escribiendo una
contraseña) una segunda vez.
Muchas organizaciones confían en aplicaciones de software como servicio (SaaS) como

Microsoft 365, Box y Salesforce para la productividad del usuario final. Tradicionalmente,
el personal de TI tenía que crear y actualizar individualmente cuentas de usuario en cada
aplicación SaaS y los usuarios tenían que recordar una contraseña para cada aplicación
SaaS.
Azure AD extiende Active Directory local a la nube, permitiendo a los usuarios usar su
cuenta profesional principal no solo para iniciar sesión en sus dispositivos unidos a
dominios y recursos de la empresa, sino también en todas las aplicaciones web y SaaS
necesarias para su trabajo.
Los usuarios no solo no tienen que administrar varios conjuntos de nombres de usuario
y contraseñas, sino que es posible aprovisionar o cancelar el aprovisionamiento del
acceso a las aplicaciones automáticamente en función de los grupos de la organización
y de su estado de empleado. Azure AD introduce controles de seguridad y de
gobernanza del acceso que permiten administrar de forma centralizada el acceso de los
usuarios a través de aplicaciones SaaS.
Multi-Factor Authentication (MFA) de Azure AD es un método de autenticación que

requiere el uso de más de un método de verificación y que agrega una segunda capa de
seguridad crítica a las transacciones y los inicios de sesión del usuario. MFA ayuda a
proteger el acceso a los datos y las aplicaciones, al tiempo que satisface la demanda de
los usuarios de un proceso de inicio de sesión simple. Proporciona autenticación sólida
mediante una gran variedad de opciones de verificación, como llamadas telefónicas,
mensajes de texto, notificaciones de aplicaciones móviles, códigos de verificación y
tokens OAuth de terceros.
Supervisión de seguridad, alertas e informes basados en

aprendizaje automático
La supervisión y las alertas de seguridad, así como los informes basados en el
aprendizaje automático que identifican patrones de acceso incoherentes, puede
ayudarle a proteger su negocio. Puede usar los informes de acceso y uso de Active
Directory de Azure para proporcionar visibilidad sobre la integridad y la seguridad del
directorio de su organización. Con esta información, un administrador de directorios
puede determinar mejor dónde puede haber posibles riesgos de seguridad de modo
que pueda planear adecuadamente la mitigación de estos riesgos.
En Azure Portal o a través del portal de Azure Active Directory , los informes se
clasifican de la manera siguiente:
Informes de anomalías: contienen eventos de inicio de sesión que se consideran

anómalos. Nuestro objetivo es que sea consciente de dicha actividad y que pueda
tomar una decisión sobre si un evento es sospechoso.
Informes de aplicaciones integradas: ofrecen información sobre cómo se usan las

aplicaciones en la nube en la organización. Azure Active Directory ofrece
integración con miles de aplicaciones en la nube.
Informes de errores: indican errores que se pueden producir al aprovisionar

cuentas a aplicaciones externas.
Informes específicos del usuario: muestran los datos de actividad de dispositivo o

de inicio de sesión de un usuario concreto.
Registros de actividad: contienen un registro de todos los eventos auditados en las

últimas 24 horas, los últimos 7 días o los últimos 30 días, así como los cambios en
la actividad del grupo y la actividad de registro y de restablecimiento de
contraseña.

Azure Active Directory B2C es un servicio de administración de identidades global y de
alta disponibilidad para aplicaciones orientadas al consumidor que se puede utilizar con
cientos de millones de identidades. Se puede integrar en plataformas móviles y web. Los
consumidores pueden iniciar sesión en todas sus aplicaciones con una experiencia
totalmente personalizable, usando sus cuentas de las redes sociales o mediante
credenciales nuevas.
En el pasado, los desarrolladores de aplicaciones que deseaban registrar e iniciar la

sesión de los consumidores en sus aplicaciones tenían que escribir su propio código. Y
usaban bases de datos o sistemas locales para almacenar nombres de usuario y
contraseñas. Azure Active Directory B2C ofrece a su organización una manera mejor de
integrar la administración de identidades de consumidor en las aplicaciones gracias a la
ayuda de una plataforma segura basada en estándares y un amplio conjunto de
directivas extensibles.
El uso de Azure Active Directory B2C permite a los consumidores registrarse en las
aplicaciones con sus cuentas de redes sociales existentes (Facebook, Google, Amazon,
LinkedIn) o creando nuevas credenciales (dirección de correo electrónico y contraseña o
nombre de usuario y contraseña).
El Registro de dispositivos de Azure AD es la base de los escenarios de acceso

condicional basado en dispositivos. Cuando se registra un dispositivo, el Registro de
dispositivos de Azure AD le proporciona una identidad que se utiliza para autenticar el
dispositivo cuando el usuario inicia sesión. El dispositivo autenticado y los atributos del
dispositivo pueden utilizarse para aplicar directivas de acceso condicional a las
aplicaciones que se hospedan en la nube y en el entorno local.
Cuando se combina con una solución de administración de dispositivos móviles

(MDM) como Intune, los atributos del dispositivo en Azure Active Directory se
actualizan con información adicional sobre este. Esto le permite crear reglas de acceso
condicional que obligan a que el acceso desde dispositivos cumpla con las normas de
seguridad y cumplimiento.
Privileged Identity Management de Azure Active Directory (AD) le permite administrar,

controlar y supervisar las identidades con privilegios y el acceso a los recursos en
Azure AD y en otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft
Intune.
A veces, los usuarios necesitan llevar a cabo operaciones con privilegios en recursos de
Azure u Microsoft 365 o en otras aplicaciones SaaS. Esto significa a menudo que las
organizaciones tienen que concederles acceso con privilegios permanentes en Azure
AD. Esto representa un riesgo de seguridad creciente para los recursos hospedados en
la nube porque las organizaciones no pueden supervisar suficientemente qué hacen
esos usuarios con sus privilegios administrativos. Además, si se pone en peligro una
cuenta de usuario que tiene acceso con privilegios, esta situación podría afectar a su
seguridad en la nube global. Administración de identidades con privilegios de Azure AD
le ayuda a resolver este riesgo.
Azure AD Privileged Identity Management le permite:
Ver qué usuarios son administradores de Azure AD

Habilitar el acceso administrativo a petición y "Just-In-Time" en servicios de
Microsoft Online Services, como Microsoft 365 e Intune
Obtener informes sobre el historial de acceso de administrador y sobre los

cambios en las asignaciones de administrador
Obtener alertas sobre el acceso a un rol con privilegios
Azure AD Identity Protection es un servicio de seguridad que proporciona una vista
consolidada de detecciones de riesgo y posibles vulnerabilidades que afectan a las
identidades de su organización. Identity Protection usa las funcionalidades de detección
de anomalías existentes de Azure Active Directory (disponibles mediante informes de
actividad anómala de Azure AD) e introduce nuevos tipos de detección de riesgo que
pueden detectar anomalías en tiempo real.
Protección del acceso a los recursos

El control de acceso de Azure se inicia desde una perspectiva de facturación. El
propietario de una cuenta de Azure, a la que se accede desde Azure Portal, es el
administrador de cuenta (AA). Las suscripciones son un contenedor para la facturación,
pero también sirven de límite de seguridad: cada suscripción tiene un administrador de
servicios (SA) que puede agregar, quitar y modificar recursos de Azure en esa
suscripción mediante Azure Portal. El administrador de servicios predeterminado de una
suscripción nueva es el administrador de cuenta, pero este último puede cambiar el
administrador de servicios en Azure Portal.
Las suscripciones también tienen una asociación con un directorio. El directorio define
un conjunto de usuarios. Pueden ser usuarios de una cuenta profesional o educativa
que crearon el directorio, o bien pueden ser usuarios externos (es decir, Cuentas
Microsoft). Las suscripciones son accesibles por un subconjunto de esos usuarios del
directorio que se han asignado como administrador de servicios (SA) o coadministrador
(CA); la única excepción es que, por razones heredadas, las Cuentas de Microsoft (antes
Windows Live ID) pueden asignarse como SA o CA sin estar presentes en el directorio.
Las empresas de seguridad deben centrarse en conceder a los empleados los permisos
exactos que necesiten. Un número elevado de permisos puede provocar que la cuenta
esté expuesta a los atacantes. Si se conceden muy pocos, los empleados no podrán
realizar su trabajo de manera eficaz. El control de acceso basado en rol (RBAC) de Azure
ayuda a abordar este problema al ofrecer administración avanzada del acceso para
Azure.
Con Azure RBAC, puede repartir las tareas entre el equipo y conceder a los usuarios
únicamente el nivel de acceso que necesitan para realizar su trabajo. En lugar de
proporcionar a todos los empleados permisos no restringidos en los recursos o la
suscripción de Azure, puede permitir solo determinadas acciones. Por ejemplo, use
RBAC de Azure para permitir que un empleado administre las máquinas virtuales de una
suscripción mientras otro administra las bases de datos SQL de la misma suscripción.
Seguridad y cifrado de datos

Uno de los elementos clave para la protección de datos en la nube consiste en tener en
cuenta los posibles estados en que se pueden producir datos y qué controles hay
disponibles para ese estado. Como parte de los procedimientos recomendados de
cifrado y seguridad de datos en Azure, se ofrecen recomendaciones relacionadas con
los estados de datos siguientes.
En reposo: Esto incluye información sobre todos los objetos de almacenamiento,

los contenedores y los tipos que existen de forma estática en medios físicos, ya
sean discos magnéticos u ópticos.
En tránsito: Se considera que los datos están en movimiento cuando se transfieren
entre componentes, ubicaciones o programas. Por ejemplo, a través de la red o un
bus de servicio (desde una ubicación local hacia la nube, y viceversa, incluidas las
conexiones híbridas como ExpressRoute) o durante el proceso de entrada y salida.
Cifrado en reposo
El cifrado en reposo se describe con más detalle en Cifrado en reposo de datos de
Azure.
Proteger los datos en tránsito debe ser una parte esencial de su estrategia de
protección de datos. Puesto que los datos se desplazan entre muchas ubicaciones, la
recomendación general es utilizar siempre los protocolos SSL/TLS para intercambiar
datos entre diferentes ubicaciones. En algunas circunstancias, podría aislar todo el canal
de comunicación entre su infraestructura local y la nube mediante una red privada
virtual (VPN).
Para los datos que se desplazan entre la infraestructura local y Azure, debe plantearse
usar medidas de seguridad apropiadas, como HTTPS o VPN.
Para las organizaciones que necesitan proteger el acceso a Azure desde varias
estaciones de trabajo locales, use una VPN de sitio a sitio de Azure.
Si la organización necesita proteger el acceso a Azure desde una estación de trabajo

local, use una VPN de punto a sitio.
Los conjuntos de datos más grandes se pueden mover por medio de un vínculo WAN
dedicado de alta velocidad como ExpressRoute. Si decide usar ExpressRoute, también
puede cifrar los datos en el nivel de aplicación mediante SSL/TLS u otros protocolos
para una mayor protección.
Si interactúa con Azure Storage mediante Azure Portal, todas las transacciones se
realizan a través de HTTPS. También se puede usar la API REST de almacenamiento a
través de HTTPS para interactuar con Azure Storage y Azure SQL Database.
Para más información sobre la opción de VPN de Azure, lea el artículo Planeamiento y
diseño de VPN Gateway.
Aplicación del cifrado de datos a nivel de archivos

Azure Rights Management (Azure RMS) usa directivas de cifrado, identidad y
autorización como ayuda para proteger los archivos y el correo electrónico. Azure RMS
funciona en varios dispositivos (teléfonos, tabletas y PC) y los protege tanto dentro
como fuera de la organización. Esta funcionalidad es posible porque Azure RMS agrega
una capa de protección que acompaña a los datos, incluso cuando salen de los límites
de su organización.
Protección de la aplicación
Aunque Azure se encarga de proteger la infraestructura y la plataforma en las que se
ejecuta su aplicación, es responsabilidad suya proteger su propia aplicación. Es decir,
debe desarrollar, implementar y administrar el código y el contenido de la aplicación de
forma segura. De lo contrario, el código o el contenido de la aplicación pueden seguir
siendo vulnerables frente a amenazas.

Firewall de aplicaciones web (WAF) es una característica de Application Gateway que
proporciona a las aplicaciones una protección centralizada contra vulnerabilidades de
seguridad comunes.
Firewall de aplicaciones web se basa en las reglas contenidas en los conjuntos de reglas
básicas de OWASP . Las aplicaciones web son cada vez más los objetivos de ataques
malintencionados que aprovechan vulnerabilidades comunes conocidas, como ataques
por inyección de código SQL o ataques de scripts de sitios, por nombrar unos pocos.
Impedir tales ataques en el código de aplicación puede ser un verdadero desafío y
requerir tareas rigurosas de mantenimiento, aplicación de revisiones y supervisión en
varias capas de la topología de aplicación. Un firewall de aplicaciones web centralizado
facilita enormemente la administración de la seguridad y proporciona mayor protección
a los administradores de la aplicación frente a amenazas o intrusiones. Las soluciones de
WAF también pueden reaccionar más rápido ante una amenaza de la seguridad
aplicando revisiones que aborden una vulnerabilidad conocida en una ubicación central
en lugar de proteger cada una de las aplicaciones web por separado. Las puertas de
enlace de aplicaciones existentes pueden transformarse rápidamente en puertas de
enlace con un firewall de aplicaciones web habilitado.
Entre las vulnerabilidades web más habituales frente a las que protege el firewall de
aplicaciones web se incluyen:
Protección contra la inyección de código SQL
Protección contra scripts entre sitios

inclusión de archivos
Protección contra infracciones del protocolo HTTP

usuario de host y encabezados de aceptación
Prevención contra bots, rastreadores y escáneres

IIS, etc.)
７ Nota
Para una lista más detallada de las reglas y los mecanismos de protección, consulte
el siguiente apartado sobre conjuntos de reglas principales.
Azure ofrece varias características fáciles de usar que facilitan la protección del tráfico
entrante y saliente de la aplicación. Azure ayuda a los clientes a proteger el código de su
aplicación con funcionalidad externa para detectar vulnerabilidades en la aplicación
web. Para más información, consulte Azure App Services.
Azure App Service usa la misma solución antimalware que usan Azure Cloud Services y
Virtual Machines. Para obtener más información al respecto, consulte nuestra
documentación sobre antimalware
Protección de la red
Microsoft Azure incluye una sólida infraestructura de red que respalda sus requisitos de
conectividad de aplicaciones y servicios. Es posible la conectividad de red entre recursos
ubicados en Azure, entre recursos locales y hospedados en Azure y entre Internet y
Azure.
La infraestructura de red de Azure le permite conectar de forma segura los recursos de
Azure entre sí por medio de redes virtuales. Una red virtual es una representación de su
propia red en la nube. Una red virtual es un aislamiento lógico de la red de nube de
Azure dedicada a su suscripción. Puede conectar redes virtuales a las redes locales.
Si necesita un control de acceso de nivel de red básico (basado en la dirección IP y los

protocolos TCP o UDP), puede usar grupos de seguridad de red. Un grupo de seguridad
de red (NSG) es un firewall de filtrado de paquetes básico con estado que le permite
controlar el acceso.

Azure Firewall se ofrece en dos SKU: Estándar y Premium. Azure Firewall Estándar
ataques mediante la búsqueda de patrones específicos.
Las redes de Azure ofrecen la posibilidad de personalizar el comportamiento de

enrutamiento del tráfico de red en Azure Virtual Network. Para ello, puede configurar
rutas definidas por el usuario en Azure.
tunelización forzada es un mecanismo que puede usar para tener la seguridad de que
no se permite que sus servicios inicien una conexión con dispositivos en Internet.
Azure es compatible con la conectividad de vínculo WAN dedicado a su red local y a
una instancia de Azure Virtual Network con ExpressRoute. El vínculo entre Azure y su
sitio utiliza una conexión dedicada que no va por la red pública de Internet. Si su
aplicación de Azure se va a ejecutar en varios centros de datos, puede utilizar Azure
Traffic Manager para enrutar las solicitudes de los usuarios de forma inteligente entre
instancias de la aplicación. También puede enrutar tráfico a servicios que no se ejecuten
en Azure si se puede obtener acceso a ellos desde Internet.
Azure también admite la conectividad privada y segura con los recursos de PaaS (por
ejemplo, Azure Storage y SQL Database) desde Azure Virtual Network con Azure Private
Link. El recurso de PaaS se asigna a un punto de conexión privado en la red virtual. El
vínculo entre el punto de conexión privado de la red virtual y el recurso de PaaS usa la
red troncal de Microsoft y no pasa por la red pública de Internet. Ya no es necesario
exponer el servicio a la red pública de Internet. También puede usar Azure Private Link
para acceder a servicios de partner y propiedad del cliente hospedados de Azure en la
red virtual. Además, Azure Private Link le permite crear su propio servicio de vínculo
privado en la red virtual y entregarlo a los clientes de forma privada en sus redes
virtuales. La configuración y el consumo mediante Azure Private Link es coherente entre
los servicios de asociados compartidos y propiedad del cliente de PaaS de Azure.
Seguridad de máquina virtual

Azure Virtual Machines permite implementar una amplia gama de soluciones
informáticas con agilidad. Gracias a la compatibilidad con Microsoft Windows, Linux,
Microsoft SQL Server, Oracle, IBM, SAP y Azure BizTalk Services, puede implementar
cualquier carga de trabajo y cualquier idioma en casi cualquier sistema operativo.
Con Azure, puede usar software antimalware de proveedores de seguridad como

Microsoft, Symantec, Trend Micro y Kaspersky, para proteger las máquinas virtuales de
archivos malintencionados, adware y otras amenazas.
Microsoft Antimalware para Azure Cloud Services y Virtual Machines es una

funcionalidad de protección en tiempo real que permite identificar y eliminar virus,
spyware y otro software malintencionado. Microsoft Antimalware activa alertas
configurables cuando software no deseado o malintencionado intenta instalarse o
ejecutarse en los sistemas de Azure.
Azure Backup es una solución escalable que protege los datos de su aplicación sin
necesidad de realizar ninguna inversión y afrontando unos costos operativos mínimos.
Los errores de una aplicación pueden dañar los datos, y los errores humanos pueden
crear errores en las aplicaciones. Con Azure Backup, las máquinas virtuales que ejecutan
Windows y Linux están protegidas.
Azure Site Recovery ayuda a coordinar la replicación, la conmutación por error y la
recuperación de aplicaciones y cargas de trabajo para que estén disponibles desde una
ubicación secundaria si la ubicación principal deja de funcionar.
Asegurar el cumplimiento: Lista de

comprobación de diligencia debida para Cloud
Services
Microsoft ha desarrollado la lista de comprobación de diligencia debida para Cloud
Services para ayudar a las organizaciones a actuar con la debida diligencia cuando
están pensando trasladarse a la nube. Proporciona una estructura que ayuda a las
organizaciones de cualquier tipo y tamaño, desde empresas privadas a organizaciones
públicas, incluidos organismos gubernamentales de todos los niveles y organizaciones
sin ánimo de lucro, a identificar su propio rendimiento, servicio, administración de datos
y objetivos y requisitos de gobernanza. Esto les permite comparar las ofertas de los
distintos proveedores de servicios en la nube que, en última instancia, forman la base
para un contrato de este tipo de servicios.
Esta lista de comprobación proporciona un marco que se adecua cláusula por clausula a
un nuevo estándar internacional de contratos de servicios en la nube, la norma ISO/IEC
19086. Esta norma ofrece un conjunto unificado de consideraciones que ayuda a las
organizaciones a la hora de tomar decisiones acerca de la adopción de la nube y
permiten crear una base para la comparación entre las ofertas de servicios en la nube.
La lista de comprobación promueve un movimiento muy estudiado en favor de la nube,

proporciona una guía estructurada y un enfoque coherente y repetible para elegir un
proveedor de servicios en la nube.
La adopción de la nube ya no es solo una decisión tecnológica. Dado que los requisitos
de la lista de comprobación abarcan todos los aspectos de una organización, sirven para
reunir a todos los encargados de la toma de decisiones: desde el CIO y el CISO a los
profesionales de los departamentos legales, de administración de riesgos y de
cumplimiento normativo. Esto aumenta la eficacia del proceso de toma de decisiones y
la toma de decisiones fundamentadas en sólidos razonamientos, lo que reduce la
probabilidad de obstáculos imprevistos en el proceso de adopción.
Además, la lista de comprobación:
Muestra temas de discusión clave para los encargados de tomar decisiones al

principio del proceso de adopción de la nube.
Fomenta debates exhaustivos en la empresa acerca de la normativa y los objetivos
de la organización en cuanto a privacidad, información personal y seguridad de los
datos.
Ayuda a las organizaciones a identificar posibles problemas que pudieran afectar a

un proyecto en la nube.
Proporciona un conjunto coherente de preguntas con los mismos términos,

definiciones, métricas y resultados para cada proveedor, para simplificar el proceso
de comparación entre las ofertas de los distintos proveedores de servicios en la
nube.
Validación de la seguridad de la infraestructura

y aplicaciones de Azure
Con seguridad operativa de Azure, se hace referencia a los servicios, los controles y las
características disponibles para los usuarios para proteger sus datos, aplicaciones y
otros recursos en Microsoft Azure.
La seguridad operativa de Azure se basa en una plataforma que incorpora el

conocimiento adquirido a través de diversas funcionalidades exclusivas de Microsoft,
incluido el Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft, el programa
Microsoft Security Response Center y un conocimiento en profundidad del panorama de
amenazas de ciberseguridad.
Microsoft Azure Monitor

Azure Monitor es la solución de administración de TI para la nube híbrida. Si se usa de
forma independiente o para extender la implementación existente de System Center, los
registros de Azure Monitor ofrecen la máxima flexibilidad y control para la
administración basada en la nube de su infraestructura.
Con Azure Monitor, puede administrar cualquier instancia en cualquier nube, incluidas
instancias en entornos locales, Azure, AWS, Windows Server, Linux, VMware y
OpenStack, a un costo menor que el de las soluciones de la competencia. Diseñado para
el mundo que da prioridad a la nube, Azure Monitor ofrece un nuevo método de
administración empresarial que es la forma más rápida y rentable de enfrentarse a los
nuevos retos empresariales y adaptarse a nuevas cargas de trabajo, aplicaciones y
entornos de nube.

Los registros de Azure Monitor proporcionan servicios de supervisión al recopilar datos
de los recursos administrados en un repositorio central. Estos datos podrían incluir
eventos, datos de rendimiento o datos personalizados proporcionados a través de la
API. Una vez recopilados, los datos están disponibles para las alertas, el análisis y la
exportación.
Este método permite consolidar datos de varios orígenes, por lo que puede combinar
datos de los servicios de Azure con el entorno local existente. También separa
claramente la recopilación de los datos de la acción realizada en los datos, para que
todas las acciones estén disponibles para todos los tipos de datos.
Microsoft Sentinel
seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR)
escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad inteligente
e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una
única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda
proactiva y la respuesta a amenazas.

Proporciona administración de directivas y supervisión de la seguridad integrada en las
suscripciones de Azure, ayuda a detectar las amenazas que podrían pasar
Defender for Cloud se encarga de analizar el estado de seguridad de los recursos de

Azure para identificar posibles vulnerabilidades de seguridad. Una lista de
recomendaciones le guiará por el proceso de configuración de los controles necesarios.
Algunos ejemplos son:
Aprovisionamiento de antimalware para ayudar a identificar y eliminar el software

malintencionado.
Configuración de reglas y grupos de seguridad de red para controlar el tráfico a las

VM
Aprovisionamiento de firewalls de aplicaciones web para ayudar a defenderse

contra ataques dirigidos a las aplicaciones web.
Implementación de actualizaciones del sistema que faltan.
Resolución de las configuraciones de sistema operativo que no coinciden con las

líneas base recomendadas.
Defender for Cloud recopila, analiza e integra automáticamente los datos de registro de
los recursos de Azure, la red y soluciones de asociados como firewalls y programas
antimalware. Cuando se detecten amenazas, se creará una alerta de seguridad. Como
ejemplos se incluye la detección de:
VM en peligro que se comunican con direcciones IP malintencionadas conocidas
Malware avanzado detectado mediante la generación de informes de errores de

Windows.
Ataques de fuerza bruta contra VM
Alertas de seguridad de programas antimalware y firewalls integrados
Azure Monitor
Azure Monitor proporciona punteros a la información sobre determinados tipos de
recursos. Ofrece funciones de visualización, consulta, enrutamiento, alertas, escalado
automático y automatización de los datos tanto de la infraestructura de Azure (registro
de actividad) como de cada recurso individual de Azure (registros de diagnóstico).
Las aplicaciones de nube son complejas y tienen muchas partes móviles. La supervisión
proporciona datos para garantizar que la aplicación permanece en funcionamiento en
un estado correcto. También ayuda a evitar posibles problemas o a solucionar los
existentes.
Además, puede usar la supervisión de datos para obtener información más detallada
sobre su aplicación. Este conocimiento puede ayudarle a mejorar el rendimiento o
mantenimiento de la aplicación, o a automatizar acciones que de lo contrario
requerirían intervención manual.
La auditoría de la seguridad de la red es fundamental para detectar vulnerabilidades de

red y asegurar el cumplimiento de la seguridad de TI y el modelo de gobernanza
reglamentario. Con la vista Grupo de seguridad, puede recuperar las reglas de seguridad
y de grupo de seguridad de red configuradas, así como las reglas de seguridad
efectivas. Con la lista de reglas que se aplican, puede determinar los puertos que están
abiertos y evaluar la vulnerabilidad de la red.
Network Watcher
Network Watcher es un servicio regional que permite supervisar y diagnosticar
problemas en un nivel de red en Azure. Las herramientas de visualización y diagnóstico
de red que incluye Network Watcher le ayudan a conocer, diagnosticar y obtener
información acerca de cualquier red de Azure. Este servicio incluye captura de paquetes,
próximo salto, comprobación de flujo de IP, vista de grupos de seguridad y registros de
flujo de NSG. La supervisión en el nivel de escenario, ofrece una visión global de los
recursos de la red que contrasta con la supervisión de recursos de red individuales.
Storage Analytics
Storage Analytics puede almacenar métricas que incluyen estadísticas de las
transacciones y datos de capacidad agregados sobre las solicitudes realizadas a un
servicio de almacenamiento. Las transacciones se notifican tanto en el nivel de
operación de API como en el nivel de servicio de almacenamiento, y la capacidad se
notifica en el nivel de servicio de almacenamiento. Los datos de las métricas se pueden
utilizar para analizar el uso del servicio de almacenamiento, diagnosticar problemas con
las solicitudes realizadas en el mismo y mejorar el rendimiento de las aplicaciones que
utilizan un servicio.
Application Insights es un servicio de Application Performance Management (APM)
extensible para desarrolladores web en varias plataformas. Úselo para supervisar la
aplicación web en directo. Se detectarán automáticamente las anomalías de
rendimiento. Incluye herramientas de análisis eficaces que le ayudan a diagnosticar
problemas y comprender lo que hacen realmente los usuarios con la aplicación. Está
diseñado para ayudarle a mejorar continuamente el rendimiento y la facilidad de uso.
Funciona con diversas aplicaciones y en una amplia variedad de plataformas, como .NET,
Node.js o Java EE, tanto hospedadas localmente como en la nube. Se integra con el
proceso de DevOps y tiene puntos de conexión para diversas herramientas de
desarrollo.
Supervisa:
Tasas de solicitud, tiempos de respuesta y tasas de error - Averigüe qué páginas

que son las más conocidas, en qué momento del día y dónde están los usuarios.
Vea qué páginas presentan mejor rendimiento. Si los tiempos de respuesta y las
tasas de error aumentan cuando hay más solicitudes, quizás tiene un problema de
recursos.
Tasas de dependencia, tiempos de respuesta y tasa de error - Averigüe si los

servicios externos le ralentizan.
Excepciones: - Analice las estadísticas agregadas o seleccione instancias concretas

y profundice en el seguimiento de la pila y las solicitudes relacionadas. Se notifican
tanto las excepciones de servidor como las de explorador.
Vistas de página y rendimiento de carga - Notificados por los exploradores de los

usuarios.
Llamadas AJAX desde páginas web: Tasas, tiempos de respuesta y tasas de error.
Número de usuarios y sesiones.

Contadores de rendimiento de las máquinas de servidor de Windows o Linux,
como CPU, memoria y uso de la red.
Diagnóstico de host de Docker o Azure.
Registros de seguimiento de diagnóstico de la aplicación - De esta forma puede

correlacionar eventos de seguimiento con las solicitudes.
Métricas y eventos personalizados que usted mismo escribe en el código de

cliente o servidor para realizar un seguimiento de eventos empresariales, como
artículos vendidos o partidas ganadas.
La infraestructura de la aplicación está constituida normalmente por varios

componentes: quizás una máquina virtual, una cuenta de almacenamiento y una red
virtual, o una aplicación web, una base de datos, un servidor de bases de datos y
servicios de terceros. Estos componentes no se ven como entidades independientes,
sino como partes de una sola entidad relacionadas e interdependientes. Desea
implementarlos, administrarlos y supervisarlos como grupo. Azure Resource Manager
permite trabajar con los recursos de la solución como grupo.
Todos los recursos de la solución se pueden implementar, actualizar o eliminar en una

sola operación coordinada. Para realizar la implementación se usa una plantilla, que
puede funcionar en distintos entornos, como producción, pruebas y ensayo.
Administrador de recursos proporciona funciones de seguridad, auditoría y etiquetado
que le ayudan a administrar los recursos después de la implementación.
Ventajas de usar Resource Manager
Administrador de recursos ofrece varias ventajas:
Puede implementar, administrar y supervisar todos los recursos de la solución en

grupo, en lugar de controlarlos individualmente.
Puede implementar la solución repetidamente a lo largo del ciclo de vida del

desarrollo y tener la seguridad de que los recursos se implementan de forma
coherente.
Puede administrar la infraestructura mediante plantillas declarativas en lugar de

scripts.
Puede definir las dependencias entre recursos de modo que se implementen en el

orden correcto.
Puede aplicar control de acceso a todos los servicios del grupo de recursos porque
el control de acceso basado en rol de Azure (RBAC de Azure) está integrado de
forma nativa en la plataforma de administración.
Puede aplicar etiquetas a los recursos para organizar de manera lógica todos los
recursos de la suscripción.
Puede aclarar la facturación de su organización viendo los costos de un grupo de

recursos que compartan la misma etiqueta.
７ Nota
Resource Manager ofrece una nueva manera de implementar y administrar las

soluciones. Si usó el anterior modelo de implementación y desea obtener más
información sobre los cambios, consulte Descripción de la implementación de
Resource Manager y la implementación clásica.
Paso siguiente
El punto de referencia de seguridad en la nube de Microsoft incluye una recopilación de
recomendaciones de seguridad que se puede usar para ayudar a proteger los servicios
que se usan en Azure.
Seguridad de la infraestructura de Azure
Artículo • 01/06/2023
Microsoft Azure se ejecuta en centros de datos administrados y operados por Microsoft.

Estos centros de datos geográficamente dispersos cumplen los estándares del sector en
materia de seguridad y confiabilidad, como ISO/IEC 27001:2013 y NIST SP 800-53. El
personal de operaciones de Microsoft administra y supervisa los centros de datos. El
personal de operaciones tiene años de experiencia en la prestación de servicios en línea
más grandes del mundo con continuidad ininterrumpida.
Protección de la infraestructura de Azure

Esta serie de artículos proporciona información sobre lo que Microsoft hace para
proteger la infraestructura de Azure. Los artículos abordan lo siguiente:
Seguridad física
Disponibilidad
Componentes y límites
Arquitectura de red
Red de producción
SQL Database
Operaciones
Supervisión
Integridad
Protección de datos
Pasos siguientes
Obtenga información sobre cómo Microsoft Defender for Cloud puede ayudarle a
evitar amenazas y a detectarlas y responder a ellas con más visibilidad y control
sobre la seguridad de sus recursos de Azure.
Instalaciones de Azure, entornos locales
y seguridad física
Artículo • 25/03/2023
En este artículo se describe lo que hace Microsoft para proteger la infraestructura de

Azure.
Infraestructura de centros de datos

Azure está formada por una infraestructura de centros de datos distribuida
globalmente que da soporte a miles de servicios en línea y abarca más de 100
instalaciones de alta seguridad en todo el mundo.
La infraestructura está diseñada para acercar las aplicaciones a usuarios de todo el

mundo. De este modo, mantiene la residencia de los datos y ofrece a los clientes
opciones muy completas de cumplimiento normativo y resistencia. Azure tiene más de
60 regiones en todo el mundo y está disponible en 140 países o regiones.
Una región es un conjunto de centros de datos que están conectados entre sí mediante
una red masiva y resiliente. La red incluye distribución de contenido, equilibrio de carga,
redundancia y cifrado de capa de vínculo de datos de forma predeterminada para todo
el tráfico de Azure dentro de una región o que viaje de una región a otra. Con más
regiones globales que ningún otro proveedor de servicios en la nube, Azure la
flexibilidad de implementar aplicaciones donde sea necesario.
Las regiones de Azure se organizan por zonas geográficas. Una zona geográfica de
Azure garantiza que se cumplan los requisitos de residencia, soberanía, cumplimiento
normativo y resistencia de los datos dentro de las fronteras geográficas.
Las zonas geográficas permiten a los clientes con necesidades específicas de residencia
de datos y cumplimiento normativo mantener sus datos y aplicaciones cerca. Las zonas
geográficas son tolerantes a errores hasta el punto de resistir una interrupción total del
funcionamiento de una región gracias a su conexión con nuestra infraestructura de red
dedicada de alta capacidad.
Las zonas de disponibilidad son ubicaciones separadas físicamente dentro de una

región de Azure. Cada zona de disponibilidad consta de uno o varios centros de datos
equipados con alimentación, refrigeración y redes independientes. Las zonas de
disponibilidad permiten ejecutar aplicaciones críticas con alta disponibilidad y
replicación con baja latencia.
La siguiente ilustración muestra cómo la infraestructura global de Azure combina una
región con zonas de disponibilidad que estén dentro de los mismos límites de
residencia de datos para obtener alta disponibilidad, recuperación ante desastres y
copias de seguridad.
Los centros de datos distribuidos geográficamente permiten a Microsoft estar más cerca
de los clientes, para reducir la latencia de red y permitir conmutación por error y copia
de seguridad con redundancia geográfica.
Seguridad física
Microsoft diseña, crea y opera los centros de datos de forma que se controla
estrictamente el acceso físico a las áreas donde se almacenan los datos. Microsoft
reconoce la importancia de proteger los datos y se compromete a ayudar a proteger los
centros de datos que contienen sus datos. Contamos con toda una división en Microsoft
dedicada al diseño, creación y operación de las instalaciones físicas que dan soporte a
Azure. Este equipo se dedica a mantener una seguridad física de última generación.
Microsoft adopta un enfoque por capas para la seguridad física con el fin de reducir el
riesgo de que los usuarios no autorizados obtengan acceso físico a los datos y los
recursos del centro de datos. Los centros de datos administrados por Microsoft tienen
numerosas capas de protección: autorización del acceso en el perímetro de la
instalación, en el perímetro del edificio, dentro del edificio y en la planta del centro de
datos. Las capas de seguridad física son:
Solicitud de acceso y aprobación. Debe solicitar acceso antes de llegar al centro

de datos. Se le pedirá que proporcione una justificación comercial válida para su
visita, por ejemplo, con fines de cumplimiento o auditoría. Los empleados de
Microsoft aprueban las solicitudes según la necesidad de acceso. La autorización
por necesidad de acceso ayuda a reducir al mínimo el número de personas
necesarias para completar una tarea en los centros de datos. Una vez que
Microsoft concede el permiso, solo una persona tiene acceso al área del centro de
datos pertinente según la justificación empresarial aprobada. Los permisos se
limitan a un determinado período de tiempo y expiran.
Acceso de visitante. Las notificaciones de acceso temporal se almacenan dentro

del SOC controlado por el acceso y se inventarían al principio y al final de cada
turno. Todos los visitantes que tengan acceso aprobado al centro de datos tienen
en sus distintivos el texto Escort Only y deben permanecer siempre con sus
escoltas. A los visitantes con escolta no se les concede ningún nivel de acceso y
solo pueden realizar recorridos si acceden con sus escoltas. El escolta es la persona
responsable de revisar las acciones y el acceso de su visitante durante su visita al
centro de datos. Microsoft exige que los visitantes entreguen las tarjetas al salir de
cualquier instalación de Microsoft. A todos los distintivos de acceso de los
visitantes se les quita el nivel de acceso antes de que se reutilicen para futuras
visitas.
Perímetro de la instalación. Cuando llega a un centro de datos, se le pide que

vaya a un punto de acceso bien definido. Normalmente, una alta valla de acero y
hormigón rodea cada centímetro del perímetro. Hay cámaras alrededor de los
centros de datos, con un equipo de seguridad que supervisa los vídeos en todo
momento. Las patrullas de guardia de seguridad garantizan que la entrada y salida
estén restringidas a las áreas designadas. Tanto bolardos como otras medidas
protegen el exterior del centro de datos frente a posibles amenazas, incluido el
acceso no autorizado.
Entrada al edificio. La entrada al centro de datos está protegida por profesionales

de seguridad que han recibido rigurosos cursos de aprendizaje y comprobaciones
de antecedentes. Estos responsables de seguridad patrullan habitualmente el
centro de datos y supervisan los vídeos de las cámaras situadas dentro
continuamente.
Dentro del edificio. Después de entrar al edificio, debe pasar por una
autenticación en dos fases con datos biométricos para continuar avanzando por el
centro de datos. Si se valida la identidad, solo puede entrar en la parte del centro
de datos a la que se le ha concedido acceso. Puede permanecer allí solo durante el
tiempo aprobado.
Planta del centro de datos. Solo se le permite entrar en la planta para la que se le
haya autorizado. Deberá pasar por un detector de metales de cuerpo completo.
Para reducir el riesgo de que datos no autorizados entren o salgan del centro de
datos sin nuestro conocimiento, solo podrán entrar en el centro de datos los
dispositivos aprobados. Además, hay cámaras de vídeo que supervisan la parte
frontal y posterior de cada bastidor de servidores. Al salir de la planta del centro
de datos, debe pasar de nuevo por el arco de detección de metales para todo el
cuerpo. Para salir del centro de datos, deberá pasar por un examen de seguridad
adicional.
Revisiones de la seguridad física

Periódicamente se realizan revisiones de la seguridad física de las instalaciones para
garantizar que los centros de datos aborden correctamente los requisitos de seguridad
de Azure. El personal del proveedor de hospedaje del centro de datos no proporciona
administración de servicios de Azure. El personal no puede iniciar sesión en los sistemas
de Azure y no tiene acceso físico a la sala de colocación ni a las jaulas de Azure.
Dispositivos que contienen datos

Microsoft usa los procedimientos recomendados y una solución de borrado que cumple
la norma NIST 800-88 . En el caso de las unidades de disco duro que no se pueden
borrar, se usa un proceso de destrucción que las destruye y hace que sea imposible
recuperar la información. Este proceso de destrucción puede ser desintegración,
triturado, pulverización o incineración. Los métodos de eliminación se determinan en
función del tipo de recurso. Se conservan registros de la destrucción.
Eliminación de equipos
Al final del ciclo de vida de un sistema, el personal operativo de Microsoft sigue unos
rigurosos procedimientos de control de los datos y de eliminación del hardware que
garantizan que ningún elemento del hardware que contenga sus datos estará disponible
para terceros que no son de confianza. Se usa un enfoque de borrado seguro con las
unidades de disco duro que lo admitan. En el caso de unidades de disco duro que no se
pueden borrar, se usa un proceso de destrucción que las destruye y hace que sea
imposible recuperar la información. Este proceso de destrucción puede ser
desintegración, triturado, pulverización o incineración. Los métodos de eliminación se
determinan en función del tipo de recurso. Se conservan registros de la destrucción.
Todos los servicios de Azure usan servicios aprobados de almacenamiento de elementos
multimedia y administración de desechos.
Cumplimiento normativo
La infraestructura de Azure está diseñada y se administra para satisfacer un amplio
conjunto de normas internacionales y específicas del sector, tales como ISO 27001,
HIPAA, FedRAMP, SOC 1 y SOC 2. También se cumplen los estándares específicos del
país o la región, incluidos IRAP en Australia, G-Cloud en Reino Unido y MTCS en
Singapur. Auditorías de terceros rigurosas, como las del Instituto Británico de
Normalización, confirman la observancia de los estrictos controles de seguridad que
estos estándares exigen.
Para ver una lista completa de normas de cumplimiento que observa Azure, consulte las
ofertas de cumplimiento.
Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:
Disponibilidad de la infraestructura de Azure

Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
Disponibilidad de la infraestructura de
Azure
Artículo • 01/06/2023
En este artículo se proporciona información sobre las acciones de Microsoft para

proteger la infraestructura de Azure y proporcionar la máxima disponibilidad para los
datos de clientes. Azure proporciona una disponibilidad sólida basada en la amplia
redundancia lograda con la tecnología de virtualización.
Interrupciones temporales y desastres naturales

El equipo de infraestructura y operaciones de Microsoft Cloud diseña, compila, opera y
mejora la infraestructura en la nube. Este equipo garantiza que la infraestructura de
Azure ofrece alta disponibilidad y confiabilidad, elevada eficiencia y escalabilidad
inteligente. El equipo proporciona una nube más segura, privada y de confianza.
Los sistemas de alimentación ininterrumpida y los grandes bancos de baterías

garantizan que la electricidad siga siendo continua si se produce un corte de energía a
corto plazo. Los generadores de emergencia suministran energía de reserva para
apagones prolongados y mantenimiento planeado. Si se produce un desastre natural, el
centro de datos puede usar las reservas de combustible in situ.
Las redes de fibra óptica sólidas y de alta velocidad conectan los centros de datos con
otros centros importantes y usuarios de Internet. Calcule las cargas de trabajo de host
de los nodos más cerca de los usuarios para reducir la latencia, proporcionar
redundancia geográfica y aumentar la resistencia general del servicio. Un equipo de
ingenieros trabaja las 24 horas del día para garantizar que los servicios estén siempre
disponibles.
Microsoft garantiza una alta disponibilidad mediante la supervisión avanzada y la

respuesta a incidentes, el soporte técnico de servicios y la funcionalidad de conmutación
por error de copia de seguridad. Los centros de operaciones de Microsoft distribuidos
geográficamente operan ininterrumpidamente todos los días del año. La red de Azure
es una de las más grandes del mundo. La red de distribución de fibra óptica y contenido
conecta los centros de datos y los nodos perimetrales para garantizar un alto
rendimiento y una gran confiabilidad.
Recuperación ante desastres

Azure mantiene los datos durables en dos ubicaciones. Puede elegir la ubicación del
sitio de copia de seguridad. En la ubicación principal, Azure mantiene constantemente
tres réplicas en buen estado de los datos.
Disponibilidad de la base de datos

Azure garantiza que una base de datos sea accesible desde Internet mediante una
puerta de enlace de Internet con disponibilidad sostenida de la base de datos. La
supervisión evalúa el mantenimiento y el estado de las bases de datos activas en
intervalos de tiempo de cinco minutos.
Disponibilidad de almacenamiento
Azure ofrece almacenamiento mediante un servicio de almacenamiento muy durable y
escalable que proporciona puntos de conexión de conectividad. Esto significa que una
aplicación puede acceder directamente al servicio de almacenamiento. El servicio de
almacenamiento procesa las solicitudes de almacenamiento entrantes de forma
eficiente, con integridad transaccional.
Pasos siguientes
Instalaciones de Azure, entornos locales y seguridad física

Componentes y límites del sistema de
información de Azure
Artículo • 01/06/2023
En este artículo se proporciona una descripción general de la arquitectura y

administración de Azure. El entorno del sistema de Azure se compone de las siguientes
redes:
Red de producción de Microsoft Azure (red de Azure)

Red corporativa de Microsoft (red corporativa)
La responsabilidad de las operaciones y el mantenimiento de estas redes corresponde a

equipos de TI distintos.
Arquitectura de Azure
Azure es una plataforma de informática en la nube y una infraestructura para compilar,
implementar y administrar aplicaciones y servicios a través de una red de centros de
datos. Microsoft administra estos centros de datos. En función del número de recursos
que especifique, Azure crea máquinas virtuales (VM) basadas en las necesidades de los
recursos. Estas VM se ejecutan en un hipervisor de Azure, que está diseñado para su uso
en la nube y no es accesible al público.
En cada nodo de servidor físico de Azure hay un hipervisor que se ejecuta directamente
sobre el hardware. El hipervisor divide un nodo en un número variable máquinas
virtuales invitadas. Cada nodo tiene también una máquina virtual raíz, que ejecuta el
sistema operativo host. El Firewall de Windows está habilitado en cada VM. El usuario
define qué puertos son direccionables mediante la configuración del archivo de
definición de servicio. Estos puertos son los únicos abiertos y direccionables, interna o
externamente. El hipervisor y el sistema operativo raíz actúan como mediadores en todo
el tráfico y el acceso al disco y a la red.
En la capa de host, las VM de Azure ejecutan una versión personalizada y protegida de

Windows Server más reciente. Azure usa una versión de Windows Server que incluye
solo los componentes necesarios para hospedar las máquinas virtuales. Esto mejora el
rendimiento y reduce la superficie expuesta a ataques. El hipervisor, que no depende de
la seguridad del sistema operativo, impone los límites de la máquina.
Administración de Azure con los controladores de tejido

En Azure, las máquinas virtuales que se ejecutan en servidores físicos (hojas o nodos) se
agrupan en clústeres en un número aproximado de 1000. Un componente de software
de plataforma de escalado horizontal y redundante, llamado controlador de tejido (FC),
administra las máquinas virtuales por separado.
Cada FC administra el ciclo de vida de las aplicaciones que se ejecutan en su clúster,

aprovisiona y supervisa el estado del hardware bajo su control. Ejecuta operaciones
autónomas, como la reencarnación de instancias de máquina virtual en servidores con
estado correcto cuando determina que un servidor ha generado un error. El controlador
de tejido también realiza las operaciones de administración de aplicaciones, como la
implementación, actualización y escalado horizontal de las aplicaciones.
El centro de datos se divide en clústeres. Los clústeres aíslan los errores al nivel del
controlador de tejido, y evitan que ciertas clases de errores afecten a los servidores más
allá del clúster en el que se producen. Los controladores de tejido que atienden a un
clúster de Azure determinado se agrupan en un clúster de controlador de tejido.
Inventario de hardware
Durante el proceso de configuración de arranque el controlador de tejido prepara un
inventario de hardware y dispositivos de red de Azure. El hardware y los componentes
de red nuevos que ingresan en el entorno de producción de Azure deben seguir el
proceso de configuración de arranque. El FC es responsable de administrar todo el
inventario enumerado en el archivo de configuración datacenter.xml.
Imágenes del sistema operativo administrado por

controlador de tejido
El equipo del sistema operativo proporciona imágenes en forma de discos duros
virtuales que se implementan en todas los host y máquinas virtuales invitadas en el
entorno de producción de Azure. El equipo crea estas imágenes base siguiendo un
proceso automatizado de compilación sin conexión. La imagen base es una versión del
sistema operativo en la que el kernel y otros componentes principales se han
modificado y optimizado para admitir el entorno de Azure.
Hay tres tipos de imágenes de sistema operativo administrado por tejido:
Host: se trata de un sistema operativo personalizado que se ejecuta en las

máquinas virtuales de host.
Nativo: es un sistema operativo nativo que se ejecuta en inquilinos (por ejemplo,
Azure Storage). Este sistema operativo no tiene ningún hipervisor.
Invitado: es un sistema operativo invitado que se ejecuta en máquinas virtuales
invitadas.
Los sistemas operativos host y nativo administrados por controlador de tejido están
diseñados para su uso en la nube y no son accesibles públicamente.
Sistemas operativos host y nativo
Los sistemas operativos host y nativo son imágenes reforzadas de sistemas operativos
que hospedan a los agentes de tejido, y se ejecutan en un nodo de proceso (se ejecuta
como la primera máquina virtual en el nodo) y en los nodos de almacenamiento. La
ventaja de utilizar imágenes base optimizadas de host y nativo es que se reduce la
superficie expuesta por las API o los componentes no utilizados. Estos elementos
pueden suponer grandes riesgos de seguridad y aumentar la superficie del sistema
operativo. Los sistemas operativos de superficie reducida solo incluyen los componentes
necesarios para Azure.
Sistema operativo invitado

Los componentes internos de Azure que se ejecutan en las máquinas virtuales de
sistema operativo invitado, no tienen oportunidad de ejecutar el Protocolo de escritorio
remoto. Cualquier cambio realizado en los valores de configuración de referencia tiene
que pasar por el proceso de cambio y administración de versiones.
Centros de datos de Azure

El equipo Microsoft Cloud Infrastructure and Operations (MCIO) administra la
infraestructura física y las instalaciones de los centros de datos para todos los servicios
en línea de Microsoft. MCIO es principalmente responsable de administrar los controles
físicos y de entorno dentro de los centros de datos, así como de administrar y brindar
soporte técnico a los dispositivos de red perimetrales externos (como enrutadores
perimetrales y enrutadores de centros de datos). MCIO también es responsable de
configurar el hardware de servidor mínimo en bastidores en el centro de datos. Los
clientes no tienen ninguna interacción directa con Azure.
Administración de servicios y equipos de

servicio
El soporte técnico del servicio de Azure está a cargo de varios grupos de ingeniería,
conocidos como equipos de servicio. Cada uno de los equipos de servicio es
responsable de un área de soporte técnico para Azure. Cada equipo de servicio tiene
que tener un ingeniero disponible las 24 horas del día, los 7 días de la semana, para
investigar y resolver errores en el servicio. De manera predeterminada, los equipos de
servicio no tienen acceso físico al hardware que funciona en Azure.
Los equipos de servicio son:
Plataforma de aplicaciones
Azure Compute
Red de Azure
Servicios de ingeniería en la nube
ISSD: Seguridad
Autenticación multifactor
SQL Database
Storage
Tipos de usuarios
Los empleados (o contratistas) de Microsoft se consideran usuarios internos. Todos los
demás usuarios se consideran usuarios externos. Todos los usuarios internos de Azure
tienen un estado de empleado clasificado con un nivel de confidencialidad que define
su acceso a los datos del cliente (con acceso o sin acceso). En la tabla siguiente se
describen los privilegios de usuario en Azure (permiso de autorización una vez que se
realiza la autenticación):
Role Interno Nivel de Privilegios autorizados y Tipo de

o confidencialidad funciones desempeñadas acceso
externo
externo
Ingeniero de Interno Sin acceso a los Administrar la seguridad física de Acceso

centro de datos datos de clientes las instalaciones. Llevar a cabo persistente
de Azure patrullas dentro y fuera del centro al entorno.
de datos y supervisar todos los
puntos de entrada. Acompañar al
personal sin autorización que
proporciona servicios generales
(como comidas o limpieza) o
trabajos de TI en el centro de
datos desde su entrada hasta su
salida del centro de datos. Realizar
la supervisión y el mantenimiento
de rutina del hardware de red.
Llevar a cabo la administración de
incidentes y el trabajo break-fix
utilizando una variedad de
herramientas. Realizar la
supervisión y el mantenimiento de
rutina del hardware físico en los
centros de datos. Acceder al
entorno a petición de los
propietarios de las instalaciones.
Capacidad para llevar a cabo
investigaciones forenses, registro
de informe de incidentes, y para
exigir requisitos obligatorios de
aprendizaje de seguridad y
directivas. Propiedad operativa y
mantenimiento de las
herramientas de seguridad
críticas, como escáneres y
recopilación de registros.
Evaluación de Interno Acceso a los Administrar las comunicaciones Acceso

prioridades en datos de clientes entre los equipos de MCIO, Just-In-
los incidentes soporte técnico e ingeniería. Time al
de Azure Evaluar los incidentes de la entorno,
(ingenieros de plataforma, los problemas de con acceso
respuesta implementación y las solicitudes persistente
rápida) de servicio. limitado a
sistemas
que no
son de
clientes.
externo
Ingenieros de Interno Acceso a los Implementar y actualizar los Acceso

implementación datos de clientes componentes de la plataforma, el Just-In-
de Azure software y los cambios de Time al
configuración programados en entorno,
apoyo de Azure. con acceso
persistente
limitado a
sistemas
que no
son de
clientes.
Soporte técnico Interno Acceso a los Depurar y diagnosticar los errores Acceso
de interrupción datos de clientes e interrupciones de la plataforma Just-In-
de clientes de para los inquilinos de proceso Time al
Azure individuales y las cuentas de entorno,
(inquilino) Azure. Analizar los errores. con acceso
Impulsar las correcciones críticas persistente
en la plataforma o el cliente e limitado a
impulsar mejoras técnicas en el sistemas
soporte técnico. que no
son de
clientes.
Ingenieros de Interno Acceso a los Diagnosticar y mitigar el Acceso

sitio activo de datos de clientes mantenimiento de la plataforma Just-In-
Azure mediante herramientas de Time al
(ingenieros de diagnóstico. Impulsar correcciones entorno,
supervisión) e para los controladores de con acceso
incidente volumen, reparar elementos que persistente
son resultado de las limitado a
interrupciones y ayudar en las sistemas
acciones de restauración de que no
interrupciones. son de
clientes.
Clientes de Externo N/D N/D N/D

Azure
Azure utiliza identificadores únicos para autenticar a usuarios de la organización y

clientes (o procesos que actúan en nombre de usuarios de la organización). Esto se
aplica a todos los recursos y dispositivos que forman parte del entorno de Azure.
Autenticación interna de Azure

Las comunicaciones entre los componentes internos de Azure están protegidas con
cifrado TLS. En la mayoría de los casos, los certificados X.509 son autofirmados. Los
certificados con conexiones a las que podría accederse desde fuera de la red de Azure
son una excepción al igual que los certificados para los controladores de tejido. Una
entidad emisora (CA) de Microsoft, respaldada por una CA raíz de confianza, emite los
certificados de los FC. Esto permite que las claves públicas de FC se sustituyan
fácilmente. Además, las herramientas de desarrollador de Microsoft usan claves públicas
de controlador de tejido. Cuando los desarrolladores envían nuevas imágenes de
aplicación, estas se cifran con una clave pública de controlador de tejido con el fin de
proteger los secretos insertados.
Autenticación de dispositivos de hardware de Azure

El controlador de tejido mantiene un conjunto de credenciales (claves o contraseñas)
que se usan para autenticarse en varios dispositivos de hardware bajo su control.
Microsoft utiliza un sistema para evitar el acceso a estas credenciales. De forma
específica, el transporte, la persistencia y el uso de estas credenciales está diseñado para
evitar que los desarrolladores, los administradores y el personal y servicios de copia de
seguridad de Azure tengan acceso a información confidencial o privada.
Microsoft usa cifrado basado en la clave pública de identidad maestra del controlador
de tejido. Esto se produce durante los tiempos de configuración y reconfiguración del
controlador de tejido, para transferir las credenciales usadas para acceder a dispositivos
de hardware de red. Cuando el controlador de tejido necesita las credenciales, las
recupera y descifra.
Dispositivos de red
El equipo de red de Azure configura las cuentas de servicio de red para permitir que un
cliente de Azure se autentique en los dispositivos de red (enrutadores, conmutadores y
equilibradores de carga).
Administración segura del servicio

El personal de operaciones de Azure tiene que usar estaciones de trabajo de
administración seguras (SAW). Los clientes pueden implementar controles similares
mediante el uso de estaciones de trabajo de acceso con privilegios. Con las SAW, el
personal administrativo utiliza una cuenta administrativa asignada individualmente que
es independiente de la cuenta estándar del usuario. La estación de trabajo de
administración segura (SAW) se basa en dicha práctica de separación de cuentas, y
proporciona una estación de trabajo de confianza para las cuentas confidenciales.
Pasos siguientes

Artículo • 01/06/2023
La arquitectura de red de Azure proporciona conectividad de Internet a los centros de

datos de Azure. Todas las cargas de trabajo implementadas (IaaS, PaaS y SaaS) en Azure
aprovechan la red de centro de datos de Azure.
Topología de red
La arquitectura de red de un centro de datos de Azure consta de los siguientes
componentes:
Red perimetral
Red de área extensa
Red de puertas de enlace regionales
Red del centro de datos
Componentes de red
Breve descripción de los componentes de la red.
Red perimetral
Punto de demarcación entre las redes de Microsoft y otras redes (por ejemplo,
Internet, red empresarial).
Proporciona conexión a Internet y emparejamiento de ExpressRoute a Azure.
Red de área extensa

Red troncal inteligente de Microsoft que abarca todo el mundo.
Proporciona conectividad entre recursos de Azure .
Puerta de enlace regional

Punto de agregación de todos los centros de datos de una región de Azure.
Proporciona conectividad masiva entre centros de datos dentro de una región
de Azure (por ejemplo, varios cientos de terabits por centro de datos).
Red del centro de datos

Proporciona conectividad entre servidores en el centro de datos con un exceso
de demanda de ancho de banda bajo.
Los componentes de red anteriores están diseñados para proporcionar la máxima

disponibilidad a fin de admitir un negocio de nube siempre disponible y siempre activo.
La redundancia está diseñada e integrada en la red desde el aspecto físico hasta el
modo de control del protocolo.
Resistencia de red de centro de datos

Vamos a ilustrar el principio de diseño de resistencia mediante una red de centro de
datos.
La red del centro de datos es una versión modificada de una red Clos , lo que
proporciona un ancho de banda de dos secciones elevado para el tráfico de escala en la
nube. La red se construye mediante un gran número de dispositivos de mercancía para
reducir el impacto que causa un error de hardware individual. Estos dispositivos se
ubican estratégicamente en diferentes ubicaciones físicas con dominios de alimentación
y enfriamiento independientes para reducir el impacto de un evento del entorno. En el
plano de control, todos los dispositivos de red se ejecutan como el modo de
enrutamiento de nivel 3 del modelo OSI, lo que elimina el problema histórico del bucle
de tráfico. Todas las rutas de acceso entre los distintos niveles están activas para
proporcionar una redundancia y ancho de banda altos mediante el enrutamiento
multiruta de costo equivalente (ECMP).
En el diagrama siguiente se muestra que la red del centro de datos se construye

mediante diferentes niveles de dispositivos de red. Las barras del diagrama representan
grupos de dispositivos de red que proporcionan redundancia y conectividad de ancho
de banda elevado.
Pasos siguientes

Artículo • 06/04/2023
Entre los usuarios de la red de producción de Azure se incluyen clientes externos que
acceden a sus propias aplicaciones de Azure, así como el personal interno del servicio
de soporte técnico de Azure que administra la red de producción. En este artículo se
describen los métodos de acceso de seguridad y los mecanismos de protección para
establecer conexiones a la red de producción de Azure.
Enrutamiento de Internet y tolerancia a errores

Una infraestructura del Servicio de nombres de dominio (DNS) de Azure interna y
externa, redundante de forma global, y combinada con varios clústeres de servidores
DNS primarios y secundarios, proporciona tolerancia a errores. Al mismo tiempo, se
usan controles de seguridad de red de Azure adicionales, como NetScaler, para evitar
ataques de denegación de servicio distribuido (DDoS) y proteger la integridad de los
servicios de Azure DNS.
Los servidores de Azure DNS se encuentran en varios centros de datos. La

implementación de Azure DNS incorpora una jerarquía de servidores DNS principales y
secundarios para resolver públicamente los nombres de dominio de cliente de Azure.
Normalmente, los nombres de dominio se resuelven en una dirección CloudApp.net,
que encapsula la dirección IP Virtual (VIP) del servicio del cliente. Exclusiva de Azure, la
VIP correspondiente a la dirección IP dedicada (DIP) interna de la traducción del
inquilino se realiza mediante los equilibradores de carga de Microsoft responsables de
dicha VIP.
Azure se hospeda en centros de datos de Azure distribuidos geográficamente en

Estados Unidos, y se basa en plataformas de enrutamiento de última generación que
implementan estándares de arquitectura sólidos y escalables. Algunas de las
características destacadas son:
Ingeniería de tráfico basada en conmutación de etiquetas multiprotocolo (MPLS)

que proporciona un uso eficaz de los vínculos y degradación correcta del servicio
si se produce una interrupción.
Las redes se implementan con arquitecturas de redundancia de "necesidad más
uno" (N+1) o superior.
Externamente, los centros de datos funcionan con circuitos dedicados de red de
alto ancho de banda que conectan globalmente y de manera redundante las
propiedades con más de 1200 proveedores de servicios de Internet en varios
puntos de emparejamiento. Esta conexión proporciona más de 2000 gigabytes por
segundo (GBps) de capacidad perimetral.
Dado que Microsoft posee sus propios circuitos de red entre los centros de datos, estos
atributos ayudan a la oferta de Azure a lograr más de un 99,9 % de disponibilidad de
red sin necesidad de proveedores externos de servicios de Internet tradicionales.
Conexión a la red de producción y firewalls

asociados
La directiva de flujo de tráfico de Internet de la red de Azure dirige el tráfico a la red de
producción de Azure ubicada en el centro de datos regional más cercano dentro de
Estados Unidos. Puesto que los centros de datos de producción de Azure mantienen
una arquitectura de red y hardware coherentes, la siguiente descripción del flujo de
tráfico se aplica de manera uniforme a todos los centros de datos.
Una vez que el tráfico de Internet de Azure se enruta al centro de datos más cercano, se
establece una conexión a los enrutadores de acceso. Estos enrutadores de acceso sirven
para aislar el tráfico entre los nodos de Azure y las VM con instancias de cliente. Los
dispositivos de la infraestructura de red en las ubicaciones de acceso y de borde son los
puntos limítrofes donde se aplican los filtros de entrada y salida. Estos enrutadores se
configuran a través de una lista de control de acceso (ACL) en capas para filtrar el tráfico
de red no deseado y aplicar límites de velocidad de tráfico, si es necesario. El tráfico
permitido por ACL se enruta a los equilibradores de carga. Los enrutadores de
distribución están diseñados para permitir solo las direcciones IP aprobadas por
Microsoft, proporcionar protección contra la suplantación de identidad y establecer
conexiones TCP establecidas mediante ACL.
Los dispositivos de equilibrio de carga externos se encuentran detrás de los enrutadores

de acceso para realizar la traducción de direcciones de red (NAT), de direcciones IP
enrutables a través de Internet a direcciones IP internas de Azure. Asimismo, los
dispositivos también enrutan paquetes a puertos y direcciones IP de producción interna
válidos, y funcionan como mecanismo de protección para limitar la exposición del
espacio de direcciones de red de producción interna.
De manera predeterminada, Microsoft aplica el protocolo seguro de transferencia de

hipertexto (HTTPS) para todo el tráfico que se transmite a los navegadores web del
cliente, incluidos los inicios de sesión y todo el tráfico posterior. El uso de TLS v1.2
permite un túnel seguro para que el tráfico fluya. Las ACL en enrutadores de acceso y
núcleo aseguran que el origen del tráfico sea coherente con lo que se espera.
Una diferencia importante en esta arquitectura en comparación con la arquitectura de
seguridad tradicional, es que hay no hay firewalls de hardware dedicados, dispositivos
especializados de detección y prevención de intrusiones, ni otros dispositivos de
seguridad que se encuentran normalmente antes de que se establezcan las conexiones
con el entorno de producción de Azure. Habitualmente, los clientes esperan estos
dispositivos de firewall de hardware en la red de Azure; sin embargo, no se emplea
ninguno en Azure. Casi exclusivamente, estas características de seguridad están
integradas en el software que se ejecuta en el entorno de Azure para proporcionar
mecanismos sólidos de seguridad de varias capas, incluidas funcionalidades de firewall.
Además, el ámbito de los límites y la expansión asociada de dispositivos de seguridad
críticos es más fácil de administrar e inventariar, tal como se muestra en la ilustración
anterior, ya que lo administra el software que se ejecuta en Azure.
Características principales de seguridad y

firewall
Azure implementa sólidas características de seguridad y firewall de software en varios
niveles para aplicar las características de seguridad que se esperan normalmente en un
entorno tradicional, y así poder proteger el límite de autorización de seguridad
principal.
Características de seguridad de Azure

Azure implementa firewalls de software basados en host dentro de la red de
producción. Varias características principales de seguridad y firewall residen dentro del
entorno principal de Azure. Estas características de seguridad reflejan una estrategia de
defensa en profundidad en el entorno de Azure. Los firewalls siguientes se encargan de
proteger los datos del cliente en Azure:
Firewall de hipervisor (filtro de paquetes) : este firewall se implementa en el hipervisor

y se configura mediante un agente de controlador de tejido (FC). Este firewall protege al
inquilino que se ejecuta dentro de la VM frente accesos no autorizados. De forma
predeterminada, cuando se crea una VM, se bloquea todo el tráfico y, a continuación, el
agente de FC agrega reglas y excepciones al filtro para permitir el tráfico autorizado.
Existen dos categorías de reglas que se programan aquí:
Reglas de infraestructura o configuración de la máquina: De forma

predeterminada, se bloquea toda comunicación. Existen excepciones que permiten
a una VM enviar y recibir comunicaciones de Protocolo de configuración dinámica
de host (DHCP) e información de DNS, y enviar tráfico a la salida de Internet
"pública" a otras máquinas virtuales dentro del clúster de FC y del servidor de
activación de SO. Dado que la lista de destinos de salida permitidos de las
máquinas virtuales no incluye subredes de enrutador de Azure y otras propiedades
de Microsoft, las reglas funcionan como capa de defensa.
Reglas del archivo de configuración de roles: define las ACL de entrada según el
modelo de servicio de los inquilinos. Por ejemplo, si un inquilino tiene un front-
end web en el puerto 80 en una determinada VM, el puerto 80 está abierto a todas
las direcciones IP. Si la VM tiene un rol de trabajo en ejecución, rol de trabajo
estará abierto únicamente para la VM dentro del mismo inquilino.
Firewall de host nativo: Azure Service Fabric y Azure Storage se ejecutan en un sistema
operativo nativo que no tiene hipervisor y, por tanto, el firewall de Windows se
configura con los dos conjuntos de reglas anteriores.
Firewall de host: el firewall del host protege la partición del host, que ejecuta el
hipervisor. Las reglas se programan para permitir que solo el FC y los cuadros de salto
se comuniquen con la partición del host en un puerto específico. Las otras excepciones
son para permitir la respuesta DHCP y las respuestas DNS. Azure usa un archivo de
configuración de la máquina, que tiene la plantilla de reglas de firewall para la partición
del host. También existe una excepción de firewall de host que permite que las VM se
comuniquen con los componentes del host, el servidor de conexión y el servidor de
metadatos, a través de protocolos y puertos específicos.
Firewall de invitado: es la parte del firewall de Windows del sistema operativo invitado,
que el cliente puede configurar en las máquinas virtuales y en el almacenamiento del
cliente.
Las características adicionales de seguridad integradas en las funcionalidades de Azure

incluyen lo siguiente:
Componentes de infraestructura a los que se les asignan direcciones IP que son de

IP dedicadas (DIP). Un atacante en Internet no puede dirigir tráfico a esas
direcciones porque no podrían comunicarse con Microsoft. Los enrutadores de la
puerta de enlace de Internet filtran los paquetes destinados únicamente a las
direcciones internas, por lo que no podrían entrar a la red de producción. Los
únicos componentes que aceptan el tráfico dirigido a VIP son los equilibradores de
carga.
Los firewalls que se implementan en todos los nodos internos tienen tres puntos
principales a tener en cuenta sobre la arquitectura de seguridad de un escenario
determinado:
Los firewalls se colocan detrás del equilibrador de carga y aceptan paquetes
desde cualquier lugar. Estos paquetes están diseñados para ser expuestos al
exterior y corresponden a los puertos abiertos en un firewall perimetral
tradicional.
Asimismo, los firewalls solo aceptan paquetes de un conjunto limitado de
direcciones. Este punto forma parte de la estrategia defensiva exhaustiva contra
ataques DDoS. Dichas conexiones se autentican criptográficamente.
Solo se puede obtener acceso a los firewalls desde ciertos nodos internos. Estos
nodos solo aceptan paquetes de una lista enumerada de direcciones IP de
origen, que son todas DIP dentro de la red de Azure. Por ejemplo, un ataque en
la red corporativa podría dirigir las solicitudes a estas direcciones, pero se
bloquearían los ataques, a menos que la dirección de origen del paquete fuera
una de las que están incluidas en la lista enumerada dentro de la red de Azure.
El enrutador de acceso en el perímetro bloquea los paquetes salientes
dirigidos a una dirección que está dentro de la red de Azure, debido a sus
rutas estáticas configuradas.
Pasos siguientes
Para más información sobre lo que hace Microsoft para proteger la infraestructura de
Azure, consulte:

Características de seguridad de Azure
SQL Database
Artículo • 03/09/2023
Azure SQL Database ofrece un servicio de base de datos relacional en Azure. Para
proteger los datos de los clientes y proporcionar características sólidas de seguridad
que los clientes esperan de un servicio de base de datos relacional, SQL Database tiene
sus propios conjuntos de funcionalidades de seguridad. Estas funcionalidades se basan
en los controles que se heredan de Azure.
Funcionalidades de seguridad
Uso del protocolo TDS

Azure SQL Database solo admite el protocolo de flujo TDS, que requiere que la base de
datos sea accesible solo a través del puerto predeterminado de TCP/1433.
Firewall de Azure SQL Database

Para ayudar a proteger los datos de los clientes, Azure SQL Database incluye una
función de cortafuegos que, por defecto, impide todo acceso a SQL Database.
El firewall de puerta de enlace puede limitar las direcciones, lo que permite que los
clientes tengan control pormenorizado sobre intervalos específicos de direcciones IP
aceptables. El firewall otorga acceso según la dirección IP de origen de cada solicitud.
Los clientes pueden configurar el firewall desde un portal de administración o mediante

programación con la API REST de Azure SQL Database Management. El firewall de
puerta de enlace de Azure SQL Database impide, de forma predeterminada, todo acceso
de los clientes a Azure SQL Database. Los clientes deben configurar el acceso mediante
listas de control de acceso (ACL) para permitir conexiones de Azure SQL Database por
protocolos, números de puertos y direcciones de Internet de origen y destino.
DoSGuard
DosGuard, un servicio de puerta de enlace de SQL Database, reduce los ataques por
denegación de servicio (DoS). DoSGuard realiza un seguimiento activo de inicios de
sesión erróneos desde direcciones IP. Si se producen varios inicios de sesión fallidos
desde una dirección IP en un periodo de tiempo, se bloquea el acceso de la dirección IP
a cualquier recurso del servicio durante un periodo de tiempo predefinido.
Además, la puerta de enlace de Azure SQL Database realiza los siguiente:
Negociaciones de capacidad de canal seguro para implementar conexiones

cifradas validadas por TDS FIPS 140-2 al conectarse a los servidores de bases de
datos.
Inspección de paquetes TDS con estado al aceptar conexiones de los clientes. La
puerta de enlace valida la información de conexión. La puerta de enlace valida la
información de conexión y pasa los paquetes TDS al servidor físico adecuado
según el nombre de la base de datos especificado en la cadena de conexión.
El principio general de seguridad de red de la oferta de Azure SQL Database es permitir

únicamente la conexión y la comunicación necesarias para que el servicio funcione.
Todos los otros puertos, protocolos y conexiones se bloquean de manera
predeterminada. Las redes de área local virtual (VLAN) y las ACL se usan para restringir
las comunicaciones de red por protocolos, números de puerto y redes de origen y
destino.
Los mecanismos aprobados para implementar las ACL basadas en red incluyen: ACL en
enrutadores y equilibradores de carga. Estos mecanismos son gestionados por las redes
de Azure, el cortafuegos de la máquina virtual invitada y las reglas del cortafuegos de la
puerta de enlace de Azure SQL Database configuradas por el cliente.
Segregación de datos y aislamiento de clientes

La red de producción de Azure está estructurada de modo que los componentes del
sistema accesibles públicamente estén separados de los recursos internos. Existen
límites físicos y lógicos entre los servidores web, lo que proporciona acceso a Azure
Portal orientado al público y la infraestructura virtual subyacente de Azure, donde
residen las instancias de las aplicaciones de los clientes y los datos de los clientes.
Toda la información accesible públicamente se administra dentro de la red de

producción de Azure. La red de producción es:
Sujeto a mecanismos de autenticación en dos fases y protección de límites

Usa el firewall y el conjunto de características de seguridad descritos en la sección
anterior
Usa funciones de aislamiento de datos indicadas en las secciones siguientes
Sistemas no autorizados y aislamiento de FC

Puesto que el controlador de tejido (FC) es el orquestador central del tejido de Azure,
existen controles importantes para mitigar las amenazas, sobre todo desde los FA
potencialmente comprometidos dentro de las aplicaciones de los clientes. La FC no
reconoce ningún hardware cuya información de dispositivo (por ejemplo, la dirección
MAC) no esté precargada en la FC. Los servidores DHCP en FC tienen listas configuradas
de direcciones MAC de los nodos que están dispuestas a arrancar. Incluso si se conectan
sistemas no autorizados, no se incorporan al inventario del tejido y, por lo tanto, no se
conectan ni están autorizados para comunicarse con ningún sistema en el inventario del
tejido. Esto reduce el riesgo de que sistemas no autorizados se comuniquen con el FC y
obtengan acceso a la VLAN y Azure.
Aislamiento de VLAN
La red de producción de Azure se divide lógicamente en tres redes VLAN principales:
La red VLAN principal: interconecta nodos de cliente que no son de confianza.

La red VLAN FC: contiene controladores de tejido (FC) de confianza y sistemas
auxiliares.
La red VLAN de dispositivo: contiene dispositivos de red y otra infraestructura de
confianza.
Filtrado de paquetes
El IPFilter y los firewalls de software implementados en el sistema operativo raíz y el
sistema operativo invitado de los nodos aplican restricciones de conectividad y evitan el
tráfico no autorizado entre las máquinas virtuales.
Hipervisor, sistema operativo raíz y máquinas virtuales

invitadas
El hipervisor y el SO raíz gestionan el aislamiento del SO raíz de las máquinas virtuales
invitadas y de las máquinas virtuales invitadas entre sí.
Tipos de reglas en firewalls

Una regla se define como:
{IP de Src, puerto de Src, IP de destino, puerto de destino, protocolo de destino,

entrada/salida, con estado/sin estado, tiempo de espera de flujo con estado}.
Los paquetes de carácter inactivo síncrono (SYN) solo pueden entrar o salir si alguna de
las reglas lo permite. Para TCP, Azure usa reglas sin estado, donde el principio es que
solo permite que todos los paquetes que no sean SYN entren o salgan de la máquina
virtual. La premisa de seguridad es que cualquier pila de hosts es resistente a ignorar un
paquete no SYN si no ha visto un paquete SYN previamente. El propio protocolo TCP es
con estado y, en combinación con la regla sin estado basada en SYN, logra un
comportamiento general de una implementación con estado.
Para el Protocolo de datagramas de usuario (UDP), Azure usa una regla con estado.
Cada vez que un paquete UDP coincide con una regla, se crea un flujo inverso en la otra
dirección. Este flujo tiene un tiempo de espera integrado.
Los clientes son responsables de configurar sus propios firewalls además de lo que
ofrece Azure. Aquí los clientes pueden definir las reglas para el tráfico entrante y
saliente.
Administración de la configuración de producción

Los equipos de operaciones respectivos en Azure y Azure SQL Database se encargan del
mantenimiento de las configuraciones de seguridad estándar. Todos los cambios de
configuración en los sistemas de producción se documentan y registran a través de un
sistema de seguimiento central. Los cambios de hardware y software se registran a
través del sistema de seguimiento central. Los cambios de red relacionados con ACL se
registran mediante un servicio de administración de ACL.
Todos los cambios de configuración en Azure se desarrollan y prueban en el entorno de

ensayo y, más adelante, se implementan en el entorno de producción. Las
compilaciones de software se revisan como parte de las pruebas. Las comprobaciones
de seguridad y privacidad se revisan como parte de los criterios de la lista de
comprobación de entrada. El equipo de implementación correspondiente implementa
los cambios en intervalos programados. El personal del equipo de implementación
correspondiente revisa y aprueba las versiones antes de implementarlas en producción.
Los cambios se supervisan para comprobar que sean correctos. En un escenario de

error, el cambio se revierte a su estado anterior o se implementa una revisión para
corregir el error con la aprobación del personal designado. Source Depot, Git, TFS,
Master Data Services (MDS), Runners, supervisión de seguridad de Azure, el FC y la
plataforma de WinFabric se usan para administrar, aplicar y comprobar de manera
centralizada las opciones de configuración en el entorno virtual de Azure.
De forma similar, los cambios de hardware y de red cuentan con pasos de validación
establecidos para evaluar el cumplimiento de los requisitos de compilación. Las
versiones se revisan y autorizan a través de un comité de evaluación de cambios (CAB)
coordinado de los respectivos grupos a través de la pila.
Pasos siguientes
Azure, consulte:

Administración y funcionamiento de la
red de producción de Azure
Artículo • 29/08/2023
En este artículo se describe el modo en que Microsoft administra y opera con la red de
producción de Azure para proteger los centros de datos de Azure.
Supervisión, registro e informe

La administración y el funcionamiento de la red de producción de Azure es un esfuerzo
coordinado entre los equipos de operaciones de Azure y Azure SQL Database. Los
equipos usan varias herramientas de supervisión de rendimiento de sistemas y de
aplicaciones en el entorno. Y usan las herramientas adecuadas para supervisar
dispositivos de red, servidores, servicios y procesos de aplicación.
Para garantizar la ejecución segura de los servicios que se ejecutan en el entorno de

Azure, los equipos de operaciones implementan varios niveles de supervisión, registro y
generación de informes, incluidas las siguientes acciones:
Principalmente, Microsoft Monitoring Agent (MA) recopila información de

registros de supervisión y diagnóstico desde muchos lugares, incluido el
controlador de tejido (FC) y el sistema operativo raíz, y la escribe en los archivos de
registro. Finalmente, el agente inserta un subconjunto reducido de la información
en una cuenta de almacenamiento de Azure configurada previamente. Además, el
servicio de supervisión y diagnóstico independiente lee distintos datos de registro
de supervisión y diagnóstico y resume la información. El servicio de supervisión y
diagnóstico escribe la información en un registro integrado. Azure usa la
supervisión de seguridad de Azure personalizada, que es una extensión del sistema
de supervisión de Azure. Tiene componentes que observan, analizan y notifican
eventos relativos a la seguridad desde varios lugares de la plataforma.
La plataforma Windows Fabric de Azure SQL Database proporciona servicios de

administración, implementación, desarrollo y control operativo de Azure SQL
Database. La plataforma ofrece servicios de implementación distribuidos y de
varios pasos, supervisión del mantenimiento, reparaciones automáticas y
cumplimiento de las versiones de servicio. Ofrece los siguientes servicios:
Funcionalidades de modelado de servicios con entorno de desarrollo de alta
fidelidad (los clústeres de centros de datos son escasos y caros).
Flujos de trabajo de implementación y actualización de un solo clic para el
arranque y el mantenimiento del servicio.
Informes de mantenimiento con flujos de trabajo de reparación automáticos
para habilitar la recuperación automática.
Supervisión, alertas y utilidades de depuración en tiempo real en todos los
nodos de un sistema distribuido.
Recopilación centralizada de datos operativos y métricas para análisis
distribuido de la causa principal e información del servicio.
Herramientas operativas para implementación, administración de cambios y
supervisión.
Los scripts de plataforma Windows Fabric y guardián de Azure SQL Database se
ejecutan continuamente y realizan la supervisión en tiempo real.
Si se produce cualquier anomalía, se activa el proceso de respuesta ante incidentes,

seguido por el equipo de evaluación de incidentes de Azure. Se notifica al personal de
soporte técnico de Azure adecuado para responder al incidente. El seguimiento y la
resolución de problemas se documentan y administran en un sistema centralizado de
vales. Las métricas de tiempo de actividad del sistema están disponibles en el acuerdo
de confidencialidad (NDA) y a petición.
Red corporativa y acceso multifactor a

producción
La base de usuarios de la red corporativa incluye personal de soporte técnico de Azure.
La red corporativa admite funciones corporativas internas e incluye el acceso a las
aplicaciones internas que se usan para la asistencia al cliente de Azure. La red
corporativa está separada tanto de forma lógica como física de la red de producción de
Azure. El personal de Azure tiene acceso a la red corporativa con equipos portátiles y
estaciones de trabajo de Azure. Todos los usuarios deben tener una cuenta de Azure
Active Directory (Azure AD), incluido un nombre de usuario y una contraseña, para
acceder a los recursos de la red corporativa. El acceso a la red corporativa usa cuentas
de Azure AD, que se envían a todo el personal, los contratistas y los proveedores de
Microsoft, y se administra mediante Microsoft Information Technology. Los
identificadores de usuario únicos distinguen al personal según su estado de empleo en
Microsoft.
El acceso a las aplicaciones internas de Azure se controla mediante la autenticación con

Servicios de federación de Active Directory (AD FS). AD FS es un servicio hospedado por
Microsoft Information Technology que proporciona autenticación de los usuarios de la
red corporativa a través de la aplicación de un token seguro y notificaciones de usuario.
AD FS permite que las aplicaciones internas de Azure autentiquen usuarios en el
dominio de Microsoft Corporate Active Directory. Para acceder a la red de producción
desde el entorno de la red corporativa, los usuarios deben autenticarse mediante la
autenticación multifactor.
Pasos siguientes
Azure, consulte:

Supervisión de la infraestructura de
Azure
Artículo • 29/08/2023
Configuración y administración de cambios

Azure revisa y actualiza anualmente los valores de configuración y las configuraciones
de línea de base de los dispositivos de hardware, software y red. Los cambios se
desarrollan, prueban y aprueban antes de pasar al entorno de producción desde un
entorno de desarrollo o pruebas.
El equipo de seguridad y cumplimiento de Azure, y también los equipos de servicio, se

encarga de revisar las configuraciones de línea de base necesarias para los servicios
basados en Azure. Una revisión del equipo de servicio forma parte de las pruebas que
tienen lugar antes de la implementación del servicio en producción.
Administración de vulnerabilidades
La administración de actualizaciones de seguridad ayuda a proteger los sistemas frente
a las vulnerabilidades conocidas. Azure utiliza sistemas de implementación integrados
para administrar la distribución e instalación de actualizaciones de seguridad de
software de Microsoft. Azure también es capaz de aprovechar los recursos de Microsoft
Security Response Center (MSRC). MSRC identifica, supervisa, responde y resuelve los
incidentes de seguridad y las vulnerabilidades de la nube de manera ininterrumpida.
Examen de vulnerabilidades
El examen de vulnerabilidades se ejecuta en sistemas operativos de servidor, bases de
datos y dispositivos de red. Los exámenes de vulnerabilidades se realizan de forma
trimestral como mínimo. Azure contrata asesores independientes para realizar pruebas
de penetración del límite de Azure. También se llevan a cabo ejercicios de simulacro de
ataques regularmente y los resultados se usan para realizar mejoras de seguridad.
Supervisión de protección
El equipo de seguridad de Azure ha definido los requisitos para una supervisión activa.
Los equipos de servicio configuran herramientas de supervisión activas según estos
requisitos. Las herramientas de supervisión activas incluyen Microsoft Monitoring Agent
(MMA) y System Center Operations Manager. Estas herramientas están configuradas
para proporcionar alertas de tiempo al personal de seguridad de Azure en situaciones
que requieren acción inmediata.
Administración de incidentes
Microsoft implementa un proceso de administración de incidentes de seguridad para
facilitar una respuesta coordinada frente a incidentes, en caso de que estos se
produzcan.
Si Microsoft detecta cualquier acceso no autorizado a los datos de un cliente

almacenados en su equipo o en sus instalaciones, o si detecta un acceso no autorizado
a dichos equipos o instalaciones que provoca la pérdida, revelación o alteración de los
datos del cliente, Microsoft lleva a cabo las acciones siguientes:
Notifica inmediatamente al cliente el incidente de seguridad.

Investiga rápidamente el incidente de seguridad y proporciona al cliente
información detallada sobre dicho incidente.
Toma medidas razonables e inmediatas para mitigar los efectos y minimizar el
daño producido como consecuencia del incidente de seguridad.
Se ha establecido un marco de administración de incidentes con roles definidos y

responsabilidades asignadas. El equipo de administración de incidentes de seguridad de
Azure es responsable de administrar los incidentes de seguridad, solicitando la
implicación de equipos especialistas en los casos que sea necesario. Los responsables de
operaciones de Azure están encargados de supervisar la investigación y resolución de
los incidentes de seguridad y privacidad.
Pasos siguientes
Azure, consulte:

Integridad de la infraestructura de
Azure
Artículo • 01/06/2023
Instalación de software
Todos los componentes de la pila de software que se instalan en el entorno de Azure se
crean de forma personalizada siguiendo el proceso Ciclo de vida de desarrollo de
seguridad (SDL) de Microsoft. Todos los componentes de software, como las imágenes
del sistema operativo (SO) y SQL Database, se implementan como parte del proceso de
administración de versiones y cambios. El sistema operativo que se ejecuta en todos los
nodos es una versión personalizada. La versión exacta la elige el controlador de tejido
(FC) de acuerdo con el rol que pretende que desempeñe el sistema operativo. Además,
el sistema operativo host no permite la instalación de ningún componente de software
no autorizado.
Algunos componentes de Azure se implementan como clientes de Azure en una

máquina virtual invitada que se ejecuta en un sistema operativo invitado.
Detección de virus en las compilaciones

Las compilaciones de software de Azure, lo que incluye el sistema operativo, deben
someterse a una detección de virus con la herramienta antivirus Endpoint Protection.
Cada detección de virus crea un registro dentro del directorio de compilación asociado,
donde se detalla lo que se examinó y los resultados del examen. El análisis de virus
forma parte del código fuente de la compilación de todos los componentes de Azure. El
código no pasa a producción hasta que los resultados indican que está limpio y solo si
el proceso de detección se ha llevado a cabo correctamente. Si se observan problemas,
se congela la compilación. La compilación se envía a los equipos de seguridad de
Microsoft Security para identificar dónde entró el código "falso" en la compilación.
Entorno bloqueado y cerrado

De forma predeterminada, los nodos de infraestructura Azure y las máquinas virtuales
invitadas no tienen ninguna cuenta de usuario creada en ellas. Además, las cuentas de
administrador predeterminadas de Windows también están deshabilitadas. Los
administradores de Azure Live Support pueden, con la autenticación adecuada, iniciar
sesión en estas máquinas y administrar la red de producción de Azure para reparaciones
de emergencia.
Autenticación de Azure SQL Database

Al igual que con cualquier implementación de SQL Server, la administración de cuentas
de usuario debe estar estrictamente controlada. Azure SQL Database admite solo la
autenticación de SQL Server. Para complementar el modelo de seguridad de datos del
cliente, también deben usarse cuentas de usuario con contraseñas seguras y
configuradas con derechos específicos.
Listas ACL y firewalls entre la red corporativa

de Microsoft y un clúster de Azure
Las listas de control de acceso (ACL) y los firewalls entre la plataforma de servicios y la
red corporativa de Microsoft protegen las instancias de SQL Database del acceso no
autorizado. Además, solo los usuarios de los intervalos de direcciones IP de la red
corporativa de Microsoft pueden acceder al punto de conexión de administración de la
plataforma Windows Fabric.
Listas ACL y firewalls entre nodos de un clúster

de SQL Database
Como parte de la fuerte estrategia de defensa, se han implementado listas ACL y un
firewall entre los nodos de un clúster de SQL Database. Toda la comunicación dentro del
clúster de la plataforma Windows Fabric, así como todo el código en ejecución, es de
confianza.
Agentes de supervisión personalizados

SQL Database emplea agentes de supervisión personalizados (MA), también conocidos
como guardianes, para supervisar el mantenimiento del clúster de SQL Database.
Protocolos web
Supervisión y reinicio de instancias de rol

Azure garantiza que todos los roles en ejecución (roles web accesibles desde Internet, o
roles de trabajo de procesamiento de back-end) implementados se sometan a una
supervisión sostenida de su mantenimiento. La supervisión del estado garantiza que
proporcionan de forma eficaz los servicios para los que se han aprovisionado. En el caso
de que un rol no sea correcto, ya sea por un error crítico en la aplicación hospedada o
por un problema de configuración subyacente dentro de la propia instancia del rol, el
FC detecta el problema dentro de la instancia de rol e inicia un estado de corrección.
Conectividad de proceso
Azure garantiza que la aplicación o el servicio implementados sean accesibles a través
de protocolos estándar basados en web. Las instancias virtuales de los roles web
accesibles desde Internet tendrán conectividad externa a Internet y los usuarios de la
web podrán acceder a ellas directamente. Con el fin de proteger la confidencialidad e
integridad de las operaciones que los roles de trabajo realizan en nombre de las
instancias virtuales del rol web de acceso público, las instancias virtuales de rol de
trabajo de procesamiento de back-end tienen conectividad externa a Internet, pero el
usuario web externo no puede acceder directamente a ellas.
Pasos siguientes
Azure, consulte:

Artículo • 29/08/2023
El personal de operaciones y soporte técnico de Microsoft no tiene libre acceso a los

datos de los clientes, ya que se les deniega de forma predeterminada. Cuando se
concede el acceso a los datos relacionados con un caso de soporte técnico, solo se
concede mediante un modelo Just-in-Time (JIT) usando directivas que se auditan y
aprueban en función de las directivas de cumplimiento y privacidad. Los requisitos de
control de acceso se establecen mediante la directiva de seguridad de Azure siguiente:
No hay acceso a los datos de clientes de manera predeterminada.

Ninguna cuenta de usuario o administrador en las máquinas virtuales de cliente.
Concesión del privilegio mínimo necesario para completar la tarea; auditoría y
registro de las solicitudes de acceso.
Azure asigna al personal de soporte técnico cuentas de Active Directory corporativa

únicas. Azure se basa en Microsoft Corporate Active Directory, administrado por
Microsoft Information Technology (MSIT), para controlar el acceso a los sistemas de
información clave. Se requiere la autenticación multifactor y solo se concede el acceso
desde consolas seguras.

Azure proporciona a los clientes una fuerte seguridad de los datos, tanto de manera
predeterminada como opcional del cliente.
Segregación de datos: Azure es un servicio multiinquilino, lo que significa que las

implementaciones y máquinas virtuales de varios clientes se almacenan en el mismo
hardware físico. Azure usa un aislamiento lógico para separar los datos de cada cliente
de los del resto. La segregación ofrece las ventajas de escala económicas de los servicios
multiinquilino, a la vez que evita rigurosamente que los clientes tengan acceso a los
datos de otros.
Protección de datos en reposo: los clientes son responsables de garantizar que los
datos almacenados en Azure se cifren según sus propios estándares. Azure facilita una
amplia gama de funcionalidades de cifrado, por lo que ofrece a los clientes la
flexibilidad de poder elegir la solución que mejor se ajusta a sus necesidades. Azure Key
Vault le permite a los clientes mantener de forma fácil el control de las claves que usan
los servicios y las aplicaciones en la nube para cifrar datos. Azure Disk Encryption
permite a los clientes cifrar máquinas virtuales. El cifrado del servicio Azure Storage
permite cifrar todos los datos que se colocan en la cuenta de almacenamiento de un
cliente.
Protección de datos en tránsito: Microsoft ofrece una serie de opciones que los clientes
pueden usar para proteger los datos en tránsito internamente, dentro de la red de
Azure, y externamente, a través de Internet, dirigidos al usuario final. Entre ellas se
incluyen la comunicación a través de redes privadas virtuales (mediante el cifrado
IPsec/IKE), Seguridad de la capa de transporte (TLS) 1.2 o posterior (a través de
componentes de Azure, como Application Gateway o Azure Front Door), protocolos
directamente en las máquinas virtuales de Azure (como Windows IPsec o SMB) y mucho
más.
Además, el "cifrado de forma predeterminada" con MACsec (un estándar de IEEE en la

capa de enlace de datos) está habilitado para todo el tráfico de Azure que viaja entre los
centros de datos de Azure con el fin de garantizar la confidencialidad y la integridad de
los datos de los clientes.
Data redundancy (Redundancia de datos): Microsoft ayuda a garantizar que los datos
están protegidos si se produce un ciberataque o daños físicos en un centro de datos.
Los clientes pueden optar por:
Consideraciones sobre el almacenamiento en el país o región por motivos de

cumplimiento o latencia.
Almacenamiento fuera del país o la región por motivos de seguridad o de
recuperación ante desastres.
Los datos pueden replicarse en un área geográfica seleccionada para redundancia, pero
no se transmitirán fuera de ella. Los clientes tienen varias opciones para la replicación de
datos, incluido el número de copias y el número y la ubicación de los centros de datos
de replicación.
Al crear la cuenta de almacenamiento, seleccione una de las siguientes opciones de

replicación:
Almacenamiento con redundancia local (LRS) : El almacenamiento con

redundancia local mantiene tres copias de sus datos. LRS se replica tres veces
dentro de una única instalación de una sola región. LRS protege los datos frente a
errores comunes del hardware, pero no frente a errores de una única instalación.
Almacenamiento con redundancia de zona (ZRS) : El almacenamiento con
redundancia de zona mantiene tres copias de los datos. ZRS se replica tres veces
entre dos o tres instalaciones para proporcionar mayor durabilidad que LRS. La
replicación se produce en una única región o entre dos regiones. ZRS ayuda a
garantizar la durabilidad de sus datos dentro de una sola región.
Almacenamiento con redundancia geográfica (GRS) : El almacenamiento con
redundancia geográfica está habilitado para su cuenta de almacenamiento de
manera predeterminada cuando la crea. GRS mantiene seis copias de sus datos.
Con GRS, los datos se replican tres veces dentro de la región primaria. Los datos se
replican también tres veces en una región secundaria a cientos de kilómetros de
distancia de la región primaria, lo que proporciona el nivel más alto de durabilidad.
En caso de que se produzca un error en la región primaria, Azure Storage conmuta
por error a la región secundaria. GRS ayuda a garantizar la durabilidad de sus
datos en dos regiones distintas.
Destrucción de datos: cuando los clientes eliminan datos o abandonan Azure, Microsoft
sigue estándares estrictos para la eliminación de datos, así como la destrucción física del
hardware retirado. Microsoft ejecuta una eliminación completa de los datos a solicitud
del cliente y a la finalización del contrato. Para más información, consulte
Administración de datos en Microsoft .
Propiedad de los datos del cliente

Microsoft no inspecciona, aprueba ni supervisa las aplicaciones que los clientes
implementan en Azure. Además, Microsoft no conoce qué tipo de datos los clientes
eligen almacenar en Azure. Microsoft no reclama la propiedad de los datos a través de
la información del cliente escrita en Azure.
Administración de registros
Azure ha establecido requisitos internos de retención de registros para los datos de
back-end. Los clientes son responsables de identificar sus propios requisitos de
retención de registros. Para los registros almacenados en Azure, el cliente es
responsable de extraer sus datos y conservar el contenido fuera de Azure durante un
período de retención especificado por el cliente.
Azure permite a los clientes exportar datos e informes de auditoría desde el producto.
Las exportaciones se guardan localmente para conservar la información durante un
período de retención definido por el cliente.
Detección electrónica (eDiscovery)

Los clientes de Azure son responsables de cumplir con requisitos de eDiscovery en su
uso de los servicios de Azure. Si los clientes de Azure deben conservar sus datos de
cliente, los datos se pueden exportar y guardar localmente. Además, los clientes pueden
solicitar las exportaciones de los datos al departamento de Asistencia al cliente de
Azure. Además de permitir a los clientes exportar sus datos, Azure lleva a cabo tareas
internas exhaustivas de registro y supervisión.
Pasos siguientes
Azure, consulte:

Información general sobre la integridad
y seguridad de la plataforma
Artículo • 01/06/2023
La flota de Azure se compone de millones de servidores (hosts) y a diario se siguen

agregando miles de ellos. Miles de hosts también se someten a mantenimiento a diario
mediante reinicios, actualizaciones del sistema operativo o reparaciones. Antes de que
un host pueda unirse a la flota y comenzar a aceptar cargas de trabajo de los clientes,
Microsoft verifica que el host se encuentre en un estado seguro y confiable. Esta
comprobación garantiza que no se han producido cambios malintencionados o
involuntarios en los componentes de la secuencia de arranque durante los flujos de
trabajo de la cadena de suministro o el mantenimiento.
Protección de hardware y firmware de Azure

En esta serie de artículos se describe cómo Microsoft garantiza la integridad y la
seguridad de los hosts a través de varias fases de su ciclo de vida, desde la fabricación
hasta la retirada. Los artículos abordan lo siguiente:
Seguridad de firmware
Integridad del código de plataforma
Arranque seguro UEFI
Atestación de host y de arranque medido
Proyecto Cerberus
Cifrado en reposo
Seguridad de Hypervisor
Pasos siguientes
Aprenda de qué manera Microsoft se asocia activamente dentro del ecosistema de
hardware en la nube para impulsar las mejoras de seguridad de firmware
continuas.

Artículo • 01/06/2023
En este artículo se describe la forma en que Microsoft protege el ecosistema de

hardware en la nube y las cadenas de suministro.
Protección del ecosistema de hardware en la

nube
Microsoft se asocia activamente dentro del ecosistema de hardware en la nube para
impulsar las mejoras de seguridad continuas. Para ello:
Colabora con asociados de hardware y firmware de Azure (como fabricantes de

componentes e integradores de sistemas) para cumplir los requisitos de seguridad
de hardware y firmware de Azure.
Permite a los asociados realizar una evaluación y mejora continua de la seguridad

de sus productos mediante los requisitos definidos por Microsoft en áreas como:
Arranque seguro del firmware
Recuperación segura del firmware
Actualización segura del firmware
Criptografía del firmware
Hardware bloqueado
Telemetría de depuración granular
Compatibilidad del sistema con el hardware TPM 2.0 para habilitar el arranque
medido
Participa en el proyecto de seguridad Open Compute Project (OCP) y realiza

contribuciones al mismo a través del desarrollo de especificaciones. Las
especificaciones fomentan la coherencia y claridad del diseño y arquitectura
seguros en el ecosistema.
７ Nota
Un ejemplo de la contribución al proyecto de seguridad OCP es la

especificación de arranque seguro de hardware .
Protección de cadenas de suministro de
hardware y firmware
También es preciso que los proveedores de hardware de la nube de Azure sigan los
requisitos y procesos de seguridad de la cadena de suministro desarrollados por
Microsoft. Los procesos de desarrollo e implementación de hardware y firmware son
necesarios para seguir los procesos del ciclo de vida de desarrollo de la seguridad
(SDL) de Microsoft, como:
Modelado de amenazas
Revisiones del diseño seguro
Revisiones del firmware y pruebas de penetración
Entornos de desarrollo y pruebas seguros
Administración de vulnerabilidades de seguridad y respuesta a incidentes
Pasos siguientes
Para más información sobre lo que se hace para fomentar la seguridad y la integridad
de la plataforma, vea:

Arranque seguro
Proyecto Cerberus
Cifrado en reposo
Artículo • 01/06/2023
Un desafío importante para el funcionamiento de un sistema complejo como

Microsoft Azure es garantizar que solo se ejecuta software autorizado en el sistema. El
software no autorizado presenta varios riesgos para cualquier empresa:
Riesgos de seguridad, como herramientas de ataque dedicadas, malware

personalizado y software de terceros con vulnerabilidades conocidas
Riesgos de cumplimiento cuando el proceso de administración de cambios
aprobado no se usa para traer software nuevo
Riesgo de calidad del software desarrollado externamente, que puede no cumplir
los requisitos operativos de la empresa
En Azure, nos enfrentamos al mismo desafío y a una complejidad considerable. Tenemos

miles de servidores que ejecutan software desarrollado y mantenido por miles de
ingenieros. Esto representa una gran superficie de ataque que no se puede administrar
solo a través de procesos empresariales.
Adición de una puerta de autorización

Azure usa un completo proceso de ingeniería que implementa puertas sobre la
seguridad, el cumplimiento y la calidad del software que implementamos. Este proceso
incluye el control de acceso al código fuente y la realización de revisiones de código del
mismo nivel y de análisis estáticos de vulnerabilidades de seguridad, de acuerdo con el
Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft y la realización de
pruebas funcionales y de calidad. Debemos garantizar que el software que
implementamos ha fluido a lo largo de este proceso. La integridad del código nos
permite ofrecer esa garantía.
Integridad del código como una puerta de

autorización
La integridad de código es un servicio de nivel de kernel que empezó a estar disponible
a partir de Windows Server 2016. La integridad del código puede aplicar una directiva
de control de ejecución estricta cuando se carga un controlador o una biblioteca
vinculada dinámicamente (DLL), se ejecuta un archivo binario ejecutable o se ejecuta un
script. Existen sistemas similares, como DM-Verity, para Linux. Una directiva de
integridad de código consta de un conjunto de indicadores de autorización, ya sea
certificados de firma de código o hashes de archivo SHA256 , que el kernel hace
coincidir antes de cargar o ejecutar un archivo binario o un script.
La integridad de código permite a un administrador del sistema definir una directiva

que solo autoriza los archivos binarios y scripts firmados por certificados determinados
o que coinciden con los hash SHA256 especificados. El kernel aplica esta directiva
impidiendo que se ejecute todo aquello que no cumpla la directiva establecida.
Un problema con una directiva de integridad de código es que, a menos que la directiva
sea perfectamente correcta, puede bloquear el software crítico en producción y
provocar una interrupción. Dada esta preocupación, puede que se pregunte por qué no
es suficiente usar la supervisión de seguridad para detectar cuándo se ha ejecutado
software no autorizado. La integridad del código tiene un modo de auditoría que, en
lugar de impedir la ejecución, puede alertar de cuando se ejecuta software no
autorizado. Sin duda, las alertas pueden agregar mucho valor a la hora de abordar los
riesgos de cumplimiento, pero, en el caso de los riesgos de seguridad como
ransomware o malware personalizado, retrasar la respuesta incluso unos segundos
puede ser la diferencia entre la protección y un adversario que obtiene un apoyo
persistente en su conjunto de dispositivos. En Azure, hemos invertido significativamente
en administrar cualquier riesgo de integridad de código que contribuya a una
interrupción que afecta al cliente.
Proceso de compilación
Como se ha descrito anteriormente, el sistema de compilación de Azure tiene un amplio
conjunto de pruebas para garantizar que los cambios de software son seguros y
compatibles. Una vez que una compilación ha progresado a través de la validación, el
sistema de compilación la firma mediante un certificado de compilación de Azure. El
certificado indica que la compilación ha superado todo el proceso de administración de
cambios. La prueba final en la que se somete la compilación se denomina Validación de
firma de código (CSV). CSV confirma que los archivos binarios recién creados cumplen la
directiva de integridad de código antes de implementarlos en producción. Esto nos
proporciona confianza en el hecho de que no provocaremos ninguna interrupción del
cliente debido a que los archivos binarios no están firmados correctamente. Si CSV
encuentra un problema, la compilación se interrumpe y se llama a los ingenieros
pertinentes para investigar y corregir el problema.
Seguridad durante la implementación

Aunque realicemos CSV para cada compilación, todavía existe la posibilidad de que
algún cambio o incoherencia en producción pueda provocar una interrupción
relacionada con la integridad del código. Por ejemplo, una máquina puede ejecutar una
versión anterior de la directiva de integridad de código o puede estar en un estado
incorrecto que produzca falsos positivos en la integridad del código. (A escala de Azure,
lo hemos visto todo). Por lo tanto,debemos continuar protegiéndonos contra el riesgo
de una interrupción durante la implementación.
Todos los cambios en Azure se deben implementar mediante una serie de fases. La
primera de ellas son instancias de prueba internas de Azure. La siguiente fase solo se
usa para atender a otros equipos de productos de Microsoft. La fase final atiende a
clientes de terceros. Cuando se implementa un cambio, se pasa a cada una de las fases
correspondientes y el proceso se detiene para medir el estado de la fase. Si se encuentra
que el cambio no tiene ningún impacto negativo, se pasa a la fase siguiente. Si se realiza
un cambio no correcto en una directiva de integridad de código, el cambio se detecta
durante esta implementación por fases y se revierte.
Respuesta a los incidentes

Incluso con esta protección por capas, todavía es posible que algún servidor de la flota
bloquee el software autorizado correctamente y cause algún problema a los clientes, lo
que representa uno de nuestros peores escenarios. Nuestra capa final de defensa es la
investigación humana. Cada vez que la integridad del código bloquea un archivo,
genera una alerta para que los ingenieros de llamadas lo investiguen. La alerta nos
permite iniciar investigaciones de seguridad e intervenir, si el problema es un indicador
de un ataque real, un falso positivo u otra situación que afecta al cliente. De este modo,
se minimiza el tiempo necesario para mitigar los problemas relacionados con la
integridad del código.
Pasos siguientes
Obtenga información sobre cómo Windows 10 usa la integridad de código configurable.
Arranque seguro
Proyecto Cerberus
Cifrado en reposo
Arranque seguro
Artículo • 01/06/2023
Arranque seguro es una característica de Unified Extensible Firmware Interface (UEFI)

que requiere que todos los componentes de software y firmware de bajo nivel se
comprueben antes de que se carguen. Durante el arranque, Arranque seguro de UEFI
comprueba la firma de cada parte del software de arranque, lo que incluye
controladores de firmware UEFI (también conocidos como ROM de opciones), las
aplicaciones de Extensible Firmware Interface (EFI) y los controladores y archivos
binarios del sistema operativo. Si las firmas son válidas o el fabricante de equipos
originales (OEM) confía en ellas, la máquina arranca y el firmware proporciona el control
al sistema operativo.
Componentes y proceso
Arranque seguro se basa en estos componentes críticos:
Clave de plataforma (PK): establece confianza entre el propietario de la plataforma

(Microsoft) y el firmware. La mitad pública es PKpub, mientras que la mitad privada
es PKpriv.
Base de datos de claves de inscripción de claves (KEK): establece confianza entre el
sistema operativo y el firmware de la plataforma. La mitad pública es KEKpub,
mientras que la mitad privada es KEKpriv.
Base de datos de firmas (db): contiene los códigos hash de los firmantes de
confianza (claves públicas y certificados) de los módulos del código de firmware y
software autorizados para interactuar con el firmware de la plataforma.
Base de datos de firmas revocadas (dbx): contiene los códigos hash revocados de
los módulos de código que se han identificado como malintencionados,
vulnerables, en peligro o que no son de confianza. Si un hash está en la base de
datos de firmas y en la base de datos de firmas revocadas, tiene prioridad esta
última.
En la siguiente ilustración y proceso se explican cómo se actualizan estos componentes:

El fabricante de equipos originales almacena los códigos hash de Arranque seguro en la
RAM no volátil (NV-RAM) de la máquina en el momento de la fabricación.
1. La base de datos de firmas (db) se rellena con los firmantes o los hash de imagen
de las aplicaciones UEFI, los cargadores del sistema operativo (como el cargador
de sistema operativo de Microsoft o el administrador de arranque) y los
controladores de UEFI de confianza.
2. La base de datos de firmas revocadas (dbx) se rellena con códigos hash de
módulos que ya no son de confianza.
3. La base de datos de claves de inscripción de claves (KEK) se rellena con claves de
firma que se pueden utilizar para actualizar la base de datos de firmas y la base de
datos de firmas revocadas. Las bases de datos se pueden editar mediante
actualizaciones que se firman con la clave correcta, o bien a través de
actualizaciones realizadas por un usuario autorizado presente físicamente
mediante menús de firmware.
4. Después de que se hayan agregado las bases de datos db, dbx y KEK, y de que la
validación del firmware y de las pruebas haya finalizado, el OEM bloquea el
firmware, para que no pueda editarse, y genera una clave de plataforma (PK), que
se puede usar para firmar las actualizaciones del KEK o para desactivar Arranque
seguro.
Durante cada fase del proceso de arranque, se calculan los códigos hash del firmware,
cargador de arranque, sistema operativo, controladores de kernel y otros artefactos de
la cadena de arranque, y se comparan con los valores aceptables. No se permite cargar
firmware y software que se detecte que no son de confianza. Por consiguiente, se
pueden bloquear la inyección de malware de bajo nivel o los ataques de malware de
prearranque.
Arranque seguro en la flota de Azure

En la actualidad, todos los equipos que se incorporan e implementan en la flota de
proceso de Azure para hospedar las cargas de trabajo de los clientes vienen de fábrica
con Arranque seguro habilitado. Los procesos y las herramientas de destino están en
marcha durante todas las fases de la creación del hardware y en la canalización de
integración para asegurarse de que la habilitación de Arranque seguro no se revierta
accidentalmente ni de forma malintencionada.
La validación de que los códigos hash db y dbx son correctos garantiza que:
El cargador de arranque está presente en una de las entradas de la base de datos.

La firma del cargador es válida.
El host arranca con software de confianza.
Mediante la validación de las firmas de KEKpub y PKpub podemos confirmar que solo
las entidades de confianza tienen permiso para modificar las definiciones de qué
software se considera de confianza. Por último, al garantizar que el arranque seguro está
activo, es posible validar que se aplican estas definiciones.
Pasos siguientes
Proyecto Cerberus
Cifrado en reposo
Atestación del host y arranque medido
Artículo • 01/06/2023
En este artículo se describe cómo Microsoft garantiza la integridad y la seguridad de los

hosts mediante la atestación del host y el arranque medido.
Arranque medido
El Módulo de plataforma segura (TPM) es un componente de auditoría seguro desde el
punto de vista criptográfico y a prueba de alteraciones con firmware suministrado por
un tercero de confianza. El registro de configuración de arranque contiene medidas
encadenadas por hash anotadas en sus Registros de configuración de la plataforma
(PCR) de cuando el host realizó por última vez la secuencia de arranque. En la siguiente
ilustración se muestra este proceso de registro. Para crear cadenas de hash, se agrega
una medida a la que se ha aplicado un algoritmo hash a otra medida con hash, se
ejecuta el algoritmo hash en la unión, y así sucesivamente.
La atestación se lleva a cabo cuando un host aporta una prueba de su estado de

configuración mediante su registro de configuración de arranque (TCGLog). La
falsificación de un registro de arranque es difícil porque el TPM no expone valores de
PCR que no sean las operaciones de lectura y extensión. Además, las credenciales
proporcionadas por el servicio de atestación del host están selladas para valores
específicos de PCR. El uso del encadenamiento por hash hace que sea imposible a nivel
computacional suplantar o anular la protección de las credenciales fuera de banda.
Servicio de atestación del host
El servicio de atestación del host es una medida preventiva que comprueba que las
máquinas host sean de confianza antes de que se les permita interactuar con los datos o
las cargas de trabajo del cliente. Para efectuar tales comprobaciones, este servicio valida
la declaración de cumplimiento (prueba verificable del cumplimiento del host) que envía
cada host con una directiva de atestación (definición del estado seguro). La integridad
de este sistema está garantizada por una raíz de confianza que proporciona un TPM.
El servicio de atestación del host está presente en todos los clústeres de Azure dentro
de un entorno de bloqueo especializado. El entorno bloqueado incluye otros servicios
de equipo selector que participan en el protocolo de arranque de la máquina host. Una
infraestructura de clave pública (PKI) actúa como intermediario para validar la
procedencia de las solicitudes de atestación y como emisor de identidades (en función
de la atestación correcta del host). Las credenciales posteriores a la atestación emitidas
al host de atestación están selladas para su identidad. Solo el host solicitante puede
quitar el sello a las credenciales y aprovecharlas para obtener permisos incrementales.
Esto evita ataques de tipo "man in-middle" y de suplantación de identidad.
Si un host de Azure llega de fábrica con una configuración incorrecta de seguridad o se

ha alterado en el centro de datos, su TCGLog contiene indicadores de peligro que el
servicio de atestación del host marcó tras la siguiente atestación, lo que produce un
error de esta operación. Los errores de atestación impiden que la flota de Azure confíe
en el host infractor. Esta prevención bloquea de forma efectiva todas las
comunicaciones hacia el host y desde allí y desencadena un flujo de trabajo de
incidentes. Para determinar las causas principales y las posibles señales de peligro, se
realiza una investigación y un análisis detallado posterior. Solo una vez que se completa
el análisis se corrige el host y tiene la oportunidad de unirse a la flota de Azure y
ocuparse de las cargas de trabajo de los clientes.
La siguiente es una arquitectura de alto nivel del servicio de atestación del host:
Medidas de atestación
Estos son ejemplos de las muchas mediciones capturadas hoy.
Arranque seguro y claves de arranque seguro

Al validar que la base de datos de firmas y los resúmenes de la base de datos de firmas
revocadas son correctos, el servicio de atestación del host garantiza que el agente
cliente tiene en cuenta el software adecuado. Mediante la validación de las firmas de la
base de datos de claves de inscripción de claves públicas y la clave de plataforma
pública, el servicio de atestación del host confirma que solo las entidades de confianza
tienen permiso para modificar las definiciones del software que se considera de
confianza. Por último, al garantizar que el arranque seguro está activo, el servicio de
atestación del host valida que se aplican estas definiciones.
Controles de depuración
Los depuradores son herramientas eficaces para los desarrolladores. No obstante, el
acceso sin restricciones a los comandos de depuración de memoria y otros comandos
de depuración podría debilitar la protección de los datos y la integridad del sistema si
se proporciona a una entidad que no es de confianza. El servicio de atestación del host
garantiza que cualquier tipo de depuración está deshabilitada en las máquinas de
producción.
Integridad del código

El arranque seguro de UEFI garantiza que solo se puede ejecutar software de bajo nivel
de confianza durante la secuencia de arranque. Sin embargo, las mismas
comprobaciones se deben aplicar también en el entorno posterior al arranque a los
controladores y otros ejecutables con acceso en modo kernel. Para ello, se usa una
directiva de integridad del código (CI) para definir qué controladores, archivos binarios y
otros ejecutables se consideran de confianza mediante la especificación de firmas
válidas y no válidas. Estas directivas se aplican. Las infracciones de la directiva generan
alertas al equipo de respuesta a incidentes de seguridad para que los investiguen.
Pasos siguientes
Arranque seguro
Proyecto Cerberus
Cifrado en reposo
Proyecto Cerberus
Artículo • 01/06/2023
Cerberus es una raíz de confianza de hardware compatible con la normativa 800-193 del
NIST con una identidad que no se puede clonar. Cerberus protege la integridad del
software para aumentar la seguridad de la infraestructura de Azure.
Habilitación de un anclaje de confianza

Cada chip de Cerberus tiene una identidad criptográfica única que se establece
mediante una cadena de certificados firmada con raíz a una entidad de certificación (CA)
de Microsoft. Las medidas obtenidas de Cerberus se pueden usar para validar la
integridad de los componentes, como:
administrador de flujos de trabajo

Controlador de administración de placa base (BMC)
Todos los periféricos, incluida la tarjeta de interfaz de red y el sistema en chip
(SoC)
Este anclaje de confianza ayuda a defender el firmware de la plataforma de:
Los binarios de firmware en peligro que se ejecutan en la plataforma

El malware y los hackers que aprovechan los errores del sistema operativo, la
aplicación o el hipervisor
Ciertos tipos de ataques de la cadena de suministro (fabricación, ensamblado,
tránsito)
Intrusos malintencionados con privilegios administrativos o acceso al hardware
Atestación de Cerberus
Cerberus autentica la integridad del firmware de los componentes de servidor mediante
un manifiesto de firmware de la plataforma (PFM). PFM define una lista de versiones de
firmware autorizadas y proporciona una medida de la plataforma al servicio de
atestación del host de Azure. El servicio de atestación del host valida las medidas y toma
una determinación para permitir que solo los hosts de confianza se unan a la flota de
Azure y hospeden las cargas de trabajo de los clientes.
Junto con el servicio de atestación del host, las funcionalidades de Cerberus mejoran y
promueven una infraestructura de producción de Azure de alta seguridad.
７ Nota
Para más información, consulte la información de Proyecto Cerberus en GitHub.
Pasos siguientes
Arranque seguro
Atestación del host y arranque medido
Cifrado en reposo
Cifrado en reposo de datos de Azure
Artículo • 25/03/2023
Microsoft Azure incluye herramientas para proteger los datos de acuerdo con las
necesidades de seguridad y cumplimiento de su empresa. Este documento se centra en:
Cómo se protegen los datos en reposo en Microsoft Azure.

Describir los distintos componentes que forman parte de la implementación de
Revisar las ventajas y desventajas de los distintos enfoques clave de protección de
la administración.
El cifrado en reposo es un requisito de seguridad habitual. En Azure, las organizaciones

pueden cifrar datos en reposo sin el riesgo o el costo de una solución de administración
de claves personalizada. Las organizaciones tienen la opción de permitir a Azure
administrar completamente el cifrado en reposo. Además, las organizaciones tienen
varias opciones para administrar con detenimiento el cifrado y las claves de cifrado.
¿Qué es el cifrado en reposo?

El cifrado es la codificación segura de los datos usados para proteger la confidencialidad
de la información. Los diseños del cifrado en reposo de Azure utilizan cifrado asimétrico
para cifrar o descifrar rápidamente grandes cantidades de datos según un modelo
conceptual sencillo:
Se usa una clave de cifrado simétrico para cifrar datos mientras se escriben en el
almacenamiento.
La misma clave de cifrado se utiliza para descifrar los datos tal y como se
prepararon para su uso en la memoria.
Se pueden particionar datos y se pueden usar claves diferentes para cada
partición.
Las claves deben almacenarse en una ubicación segura con el control de acceso
basado en identidades y directivas de auditoría. Las claves de cifrado de datos que
se almacenan fuera de ubicaciones seguras se cifran con una clave de cifrado de
claves que se conserva en una ubicación segura.
En la práctica, los escenarios de control y administración de la clave, así como las

convicciones de escala y disponibilidad, requieren construcciones adicionales. A
continuación se describen los componentes y conceptos del cifrado en reposo de
Microsoft Azure.
Propósito del cifrado en reposo
El cifrado en reposo proporciona protección de datos para los datos almacenados (en
reposo). Los ataques contra los datos en reposo incluyen intentos de obtener acceso
físico al hardware en el que se almacenan los datos y, a continuación, poner en peligro
los datos contenidos. En este tipo de ataque, la unidad del disco duro de un servidor
puede utilizarse de forma incorrecta durante el mantenimiento permitiendo a un
atacante eliminar la unidad de disco duro. Más adelante el atacante tendría que poner el
disco duro en un equipo bajo su control para intentar obtener acceso a los datos.
El cifrado en reposo está diseñado para evitar que el atacante obtenga acceso a los
datos sin cifrar asegurándose de que los datos se cifran en el disco. Si un atacante
obtiene una unidad de disco duro con datos cifrados pero no las claves de cifrado, el
atacante debe anular el cifrado para leer los datos. Este ataque es mucho más complejo
y consume más recursos que el acceso a datos no cifrados en una unidad de disco duro.
Por este motivo, el cifrado en reposo es muy recomendable y es un requisito de alta
prioridad para muchas organizaciones.
También se requiere el cifrado en reposo por necesidad de la organización de los

esfuerzos de cumplimiento y gobierno de datos. Las normas gubernamentales y del
sector, como HIPAA, PCI y FedRAMP, diseñan las medidas de seguridad específicas a
través de los requisitos de cifrado y la protección de datos. El cifrado en reposo es una
medida obligatoria necesaria para el cumplimiento de algunas de esas regulaciones.
Para más información sobre el enfoque de Microsoft en relación con la validación de
FIPS 140-2, consulte Publicación del estándar federal de procesamiento de información
(FIPS) 140-2.
Además de satisfacer los requisitos de cumplimiento y regulatorios, el cifrado en reposo

proporciona protección de defensa en profundidad. Microsoft Azure proporciona una
plataforma compatible para servicios, aplicaciones y datos. También proporciona
servicios completos y seguridad física, control de acceso a los datos y auditoría. Sin
embargo, es importante proporcionar medidas de seguridad "superpuestas" adicionales
en caso de que se produzca un error en una de las otras medidas de seguridad y el
cifrado en reposo proporciona dicha medida de seguridad.
Microsoft se compromete con el cifrado en las opciones de reposo a través de servicios

en la nube y proporcionando a los clientes el control de las claves de cifrado y los
registros de uso de claves. Además, Microsoft está trabajando para conseguir cifrar
todos los datos en reposo de los clientes de forma predeterminada.
Componentes del cifrado en reposo de Azure

Como se describe anteriormente, el objetivo del cifrado en reposo es que los datos que
se guardan en el disco se cifren con una clave de cifrado secreta. Para lograr la creación
de una clave segura para el objetivo, se debe proporcionar almacenamiento, control del
acceso y administración de las claves del cifrado. Aunque los detalles pueden variar, las
implementaciones del cifrado en reposo de los servicios de Azure se pueden describir
en los términos en los que se ilustran en el diagrama siguiente.
Azure Key Vault

La ubicación del almacenamiento de las claves de cifrado y el control de acceso a esas
claves es fundamental para un modelo de cifrado en reposo. Las claves deben ser muy
seguras pero fáciles de administrar por parte de los usuarios especificados y deben estar
disponibles para servicios concretos. Para los servicios de Azure, Azure Key Vault es la
solución de almacenamiento de claves recomendada y proporciona una experiencia de
administración habitual en los servicios. Las claves se almacenan y administran en los
almacenes de claves, y se puede proporcionar acceso a Key Vault a los usuarios o
servicios. Azure Key Vault admite la creación del cliente de claves o importación de
claves de cliente para su uso en escenarios de clave de cifrado administrada por el
cliente.

Los permisos para usar las claves almacenadas en Azure Key Vault, además de para
administrar o tener acceso a ellas para el cifrado en reposo y el descifrado, se pueden
dar a las cuentas de Azure Active Directory.
Cifrado de sobres con una jerarquía de claves

Se usa más de una clave de cifrado en una implementación de cifrado en reposo.
Almacenar una clave de cifrado en Azure Key Vault garantiza el acceso de clave segura y
la administración central de claves. Sin embargo, el acceso local del servicio a las claves
de cifrado es más eficaz para el cifrado y descifrado masivo que la interacción con Key
Vault para cada operación de datos, lo que permite un cifrado más seguro y un mejor
rendimiento. Si se limita el uso de una clave de cifrado única, se reduce el riesgo de que
la clave se encuentre en peligro y el costo de volver a cifrar cuando se debe reemplazar
una clave. Los modelos de cifrado en reposo de Azure usan el cifrado de sobres, donde
una clave de cifrado de claves cifra una clave de cifrado de datos. Este modelo forma
una jerarquía de claves que puede abordar mejor los requisitos de rendimiento y
seguridad:
Clave de cifrado de datos (DEK) : una clave AES256 simétrica que se usa para cifrar
una partición o bloque de datos, a veces también se denomina simplemente Clave
de datos. Un único recurso puede tener muchas particiones y muchas claves de
cifrado de datos. Cifrar cada bloque de datos con una clave diferente dificulta los
ataques de análisis criptográficos. Y mantener las DEK en el entorno local del
servicio de cifrado y descifrado de datos maximiza el rendimiento.
Clave de cifrado de claves (KEK) : una clave de cifrado que se usa para cifrar las
claves de cifrado de datos mediante el cifrado de sobres, también conocida como
ajuste. El uso de una clave de cifrado de claves que siempre permanece en Key
Vault permite a las propias claves de cifrado de datos cifrarse y controlarse. La
entidad que tiene acceso a la KEK puede ser diferente de la entidad que requiere la
DEK. Una entidad puede adaptar el acceso a la DEK para limitar el acceso de cada
DEK a una partición específica. Como la KEK es necesaria para descifrar las DEK, los
clientes pueden borrar criptográficamente las DEK y los datos si deshabilitan la
KEK.
Los proveedores de recursos y las instancias de aplicación almacenan las claves de

cifrado de datos cifradas como metadatos. Solo una entidad con acceso a la clave de
cifrado de claves puede descifrar estas claves de cifrado de datos. Se admiten diferentes
modelos de almacenamiento de claves. Para más información, vea los modelos de
cifrado de datos.
Cifrado en reposo en servicios en la nube de

Microsoft
Los Servicios en la nube de Microsoft se utilizan en los tres modelos de la nube: IaaS,
PaaS, SaaS. A continuación encontrará ejemplos de cómo encajan en cada modelo:
Servicios de software, que se conocen como software como servicio o SaaS, que
tienen las aplicaciones proporcionadas por la nube, como Microsoft 365.
Servicios de plataforma en los que los clientes usan la nube en sus aplicaciones
para tareas como las de almacenamiento, análisis y funcionalidad de bus de
servicio.
Servicios de infraestructura o infraestructura como servicio (IaaS) en los que el
cliente implementa sistemas operativos y aplicaciones que se hospedan en la nube
y, posiblemente, saca provecho de otros servicios en la nube.
Cifrado en reposo para clientes de SaaS

Los clientes del software como servicio (SaaS) suelen tener el cifrado en reposo
habilitado o disponible en cada servicio. Microsoft 365 dispone de varias opciones para
que los clientes comprueben o habiliten el cifrado en reposo. Para información sobre los
servicios de Microsoft 365, consulte Cifrado en Microsoft 365.
Cifrado en reposo para clientes PaaS

Los datos del cliente de la plataforma como servicio (PaaS) residen normalmente en un
servicio de almacenamiento como Blob Storage, pero también pueden estar guardados
en caché o almacenados en el entorno de ejecución de la aplicación, como una máquina
virtual. Para ver las opciones disponibles del cifrado en reposo, examine la tabla
Modelos de cifrado de datos: servicios compatibles para las plataformas de aplicación y
almacenamiento que usa.
Cifrado en reposo para clientes de IaaS

Los clientes de la infraestructura como servicio (IaaS) pueden tener una variedad de
servicios y aplicaciones en uso. Los servicios de IaaS pueden habilitar el cifrado en
reposo en sus discos duros virtuales y máquinas virtuales que se hospedan en Azure
mediante Azure Disk Encryption.
Almacenamiento cifrado
Al igual que PaaS, las soluciones IaaS pueden sacar provecho de otros servicios de Azure
que almacenan los datos que se cifran en reposo. En estos casos, puede habilitar el
cifrado en el soporte del cifrado en reposo como proporciona cada servicio consumido
de Azure. La tabla Modelos de cifrado de datos: servicios compatibles enumera las
principales plataformas de aplicación, servicios y almacenamiento y el modelo de
cifrado en reposo admitido.
Compute de cifrado
Todos los discos, instantáneas e imágenes administrados están cifrados mediante
Storage Service Encryption con una clave administrada por servicio. Una solución de
cifrado en reposo más completa requiere que los datos no se conserven nunca en un
formato no cifrado. Al procesar los datos en una máquina virtual, los datos se pueden
conservar en el archivo de paginación de Windows o el archivo de intercambio de Linux,
un archivo de volcado o en un registro de aplicaciones. Para asegurarse de que estos
datos se cifran en reposo, las aplicaciones IaaS pueden usar Azure Disk Encryption en
una máquina virtual de IaaS de Azure (Windows o Linux) y un disco virtual.
Cifrado de datos en reposo personalizado
Se recomienda que siempre que sea posible, las aplicaciones IaaS saquen provecho de
las opciones de cifrado en reposo y Azure Disk Encryption proporcionadas por los
servicios de Azure consumidos. En algunos casos, como requisitos de cifrado irregulares
o almacenamiento que no se basa en Azure, un desarrollador de una aplicación de IaaS
podría necesitar implementar el cifrado en reposo. Las soluciones de los desarrolladores
de IaaS podrían integrarse mejor con las expectativas de administración y del cliente de
Azure mediante el aprovechamiento de ciertos componentes de Azure. En concreto, los
desarrolladores deben usar el servicio Azure Key Vault para proporcionar
almacenamiento seguro de claves, así como proporcionar a sus clientes opciones de
administración de claves coherentes con la mayoría de los servicios de la plataforma de
Azure. Además, las soluciones personalizadas deben usar identidades de servicio
administradas por Azure para permitir que las cuentas de servicio accedan a las claves
de cifrado. Para encontrar información para desarrolladores sobre Azure Key Vault y las
identidades de servicio administradas, consulte sus respectivos SDK.
Compatibilidad con modelo de cifrado de

proveedores de recursos de Azure
Los servicios de Microsoft Azure admitir uno o más modelos de cifrado en reposo. Para
algunos servicios, sin embargo, podrían no ser aplicables uno o varios de los modelos
de cifrado. Para los servicios que admiten escenarios clave administrados por el cliente,
puede que estos solo admitan un subconjunto de los tipos de clave que admite Azure
Key Vault para las claves de cifrado de claves. Además, los servicios pueden liberar
compatibilidad para estos escenarios y tipos de claves en distintas programaciones. Esta
sección describe el soporte del cifrado en reposo en el momento de redactar este
artículo para cada uno de los servicios de almacenamiento de datos principales de
Azure.
Azure Disk Encryption
Cualquier cliente mediante las características de la infraestructura de Azure como
servicio (IaaS) puede lograr el cifrado en reposo para sus discos y máquinas virtuales de
IaaS y discos mediante Azure Disk Encryption. Para obtener más información sobre
Azure Disk Encryption, vea Azure Disk Encryption para VM Linux o Azure Disk Encryption
para máquinas virtuales Windows.
Almacenamiento de Azure
Todos los servicios de Azure Storage (Blob Storage, Queue Storage, Table Storage y
Azure Files) admiten el cifrado en reposo en el lado servidor; algunos servicios admiten
además el cifrado de las claves administradas por el cliente y el cifrado del lado cliente.
Lado servidor: de forma predeterminada, todos los servicios de Azure Storage

admiten el cifrado en el lado servidor mediante claves administradas por el
servicio, lo que es transparente para la aplicación. Para más información, consulte
Cifrado del servicio Azure Storage para datos en reposo. Azure Blob Storage y
Azure Files también admiten las claves RSA de 2048 bits administradas por el
cliente en Azure Key Vault. Para más información, consulte Cifrado del servicio
Storage mediante claves administradas por el cliente en Azure Key Vault.
Lado cliente: Azure Blobs, Tables y Queues admiten el cifrado en el lado cliente.
Cuando se usa el cifrado del lado cliente, los clientes cifran los datos y los cargan
como un blob cifrado. El cliente se encarga de la administración de claves.
Consulte Cifrado del lado de cliente y Azure Key Vault para Microsoft Azure
Storage para más información.
Azure SQL Database
Azure SQL Database admite actualmente el cifrado en reposo para escenarios de cifrado
en el lado cliente y en el lado servicio administrados por Microsoft.
Actualmente, la compatibilidad con el cifrado del servidor se proporciona a través de

una característica de SQL denominada Cifrado de datos transparente. Una vez que un
cliente de Azure SQL Database habilita la clave TDE, se crea y administra
automáticamente para él. El cifrado en reposo puede habilitarse en los niveles de base
de datos y servidor. Desde junio de 2017, el cifrado de datos transparente (TDE) se
habilita de forma predeterminada en las bases de datos recién creadas. Azure SQL
Database admite claves RSA de 2048 bits administradas por el cliente en Azure Key
Vault. Para más información, consulte Cifrado de datos transparente con BYOK (Bring
Your Own Key) para Azure SQL Database y Azure SQL Data Warehouse.
Se admite el cifrado del lado cliente de los datos de Azure SQL Database a través de la
característica Always Encrypted. Always Encrypted utiliza una clave que el cliente crea y
almacena. Los clientes pueden almacenar la clave maestra en el almacén de certificados
de Windows, Azure Key Vault, o un módulo de seguridad de hardware. Al usar SQL
Server Management Studio, los usuarios de SQL eligen qué clave les gustaría usar para
cifrar cada columna.
Conclusión
La protección de datos del cliente almacenados dentro de los servicios de Azure es de
gran importancia para Microsoft. Todos los servicios hospedados en Azure se
comprometen a proporcionar opciones de cifrado en reposo. Los servicios de Azure
admiten claves administradas por el servicio, claves administradas por el cliente o
cifrado del lado cliente. Los servicios de Azure están mejorando ampliamente la
disponibilidad del cifrado en reposo y se planean nuevas opciones para la versión
preliminar y la versión de disponibilidad general en los próximos meses.
Pasos siguientes
Consulte los modelos de cifrado de datos para obtener más información sobre las
claves administradas por el servicio y las claves administradas por el cliente.
Obtenga información sobre cómo usa Azure el cifrado doble para mitigar las
amenazas que incluye el cifrado de datos.
Conozca lo que hace Microsoft para garantizar la integridad y seguridad de la
plataforma de los hosts que atraviesan las canalizaciones de compilación,
integración, operacionalización y reparación de hardware y firmware.
Seguridad del hipervisor en la flota de
Azure
Artículo • 01/06/2023
El sistema de hipervisor de Azure se basa en Windows Hyper-V. El sistema de hipervisor

permite al administrador del equipo especificar las particiones invitadas que tienen
espacios de direcciones independientes. Los espacios de direcciones independientes
permiten cargar un sistema operativo y las aplicaciones que funcionan en paralelo del
sistema operativo (host) que se ejecuta en la partición raíz del equipo. El sistema
operativo host (también conocido como partición raíz con privilegios) tiene acceso
directo a todos los dispositivos físicos y periféricos del sistema (controladores de
almacenamiento, adaptaciones de redes). El sistema operativo host permite a las
particiones invitadas compartir el uso de estos dispositivos físicos mediante la
exposición de "dispositivos virtuales" a cada partición invitada. Así, un sistema operativo
que se ejecuta en una partición invitada tiene acceso a los dispositivos periféricos
virtualizados que proporcionan los servicios de virtualización que se ejecutan en la
partición raíz.
El hipervisor de Azure se ha compilado teniendo en cuenta los siguientes objetivos de

seguridad:
Objetivos Source
Aislamiento Una directiva de seguridad dicta que no haya ninguna transferencia de información
entre máquinas virtuales. Esta restricción requiere capacidades de Virtual Machine
Manager (VMM) y hardware para aislamiento de memoria, dispositivos, la red y
recursos administrados como los datos guardados.
Integridad Para lograr la integridad global del sistema, se establece y mantiene la integridad
de VMM de los componentes individuales del hipervisor.
Integridad La integridad del hipervisor depende de la integridad del hardware y el software en

de los que se basa. Aunque el hipervisor no tiene control directo sobre la integridad
plataforma de la plataforma, Azure se basa en mecanismos de hardware y firmware como el
chip Cerberus para proteger y detectar la integridad de la plataforma subyacente.
Se evita que los invitados y VMM se ejecuten si la integridad de la plataforma está
en peligro.
Acceso Las funciones de administración solo las ejercen los administradores autorizados
restringido que se conectan a través de conexiones seguras. Los mecanismos de control de
acceso basado en rol de Azure (RBAC de Azure) aplican un principio de privilegios
mínimos.
Objetivos Source
Auditoría Azure habilita la capacidad de auditoría para capturar y proteger los datos sobre lo
que ocurre en un sistema para que se puedan inspeccionar más adelante.
El enfoque de Microsoft de proteger el hipervisor de Azure y el subsistema de

virtualización se puede desglosar en las tres categorías siguientes.
Límites de seguridad fuertemente definidos

aplicados por el hipervisor
El hipervisor de Azure aplica varios límites de seguridad entre:
Particiones "invitadas" virtualizadas y la partición con privilegios ("host")

Varios invitados
Él mismo y el host
Él mismo y todos los invitados
La confidencialidad, la integridad y la disponibilidad de los límites de seguridad del

hipervisor están garantizadas. Los límites defienden frente a una serie de ataques, como
las pérdidas de información de canal lateral, la denegación de servicio y la elevación de
privilegios.
El límite de seguridad del hipervisor también proporciona segmentación entre inquilinos

para el tráfico de red, los dispositivos virtuales, el almacenamiento, los recursos de
proceso y todos los demás recursos de máquina virtual.
Mitigaciones de vulnerabilidades de seguridad

de defensa en profundidad
En el improbable caso de que un límite de seguridad tenga una vulnerabilidad, el
hipervisor de Azure incluye varias capas de mitigaciones, que incluyen:
Aislamiento del proceso basado en host que hospeda componentes entre

máquinas virtuales
Seguridad basada en la virtualización (VBS) para garantizar la integridad de los
componentes de modo kernel y usuario desde un entorno seguro
Varios niveles de mitigaciones de vulnerabilidades de seguridad. Las mitigaciones
incluyen la selección aleatoria del diseño del espacio de direcciones (ASLR), la
Prevención de ejecución de datos (DEP), la protección de código arbitraria, la
integridad del flujo de control y la prevención de datos dañados
Inicialización automática de variables de pila en el nivel de compilador
API de kernel que inicializan en cero automáticamente las asignaciones del
montón de kernel realizadas por Hyper-V
Estas mitigaciones están diseñadas para que el desarrollo de una vulnerabilidad de

seguridad para una vulnerabilidad entre máquinas virtuales sea inviable.
Sólidos procesos de garantía de seguridad

La superficie expuesta a ataques relacionada con el hipervisor incluye redes de software,
dispositivos virtuales y todas las superficies entre máquinas virtuales. Se realiza un
seguimiento de la superficie expuesta a ataques por medio de la integración de
compilación automatizada, que desencadena revisiones de seguridad periódicas.
Todas las superficies expuestas a ataques de las máquinas virtuales son modeladas
frente a amenazas, revisadas, analizadas y probadas en busca de infracciones de los
límites de seguridad por parte del equipo RED. Microsoft tiene un Programa de
recompensas que concede un premio por las vulnerabilidades relevantes detectadas
en las versiones de producto válidas de Microsoft Hyper-V.
７ Nota
Obtenga más información sobre los sólidos procesos de garantía de seguridad de

Hyper-V.
Pasos siguientes
Arranque seguro
Proyecto Cerberus
Cifrado en reposo
Aislamiento en la nube pública de Azure
Artículo • 20/10/2023
Azure permite ejecutar aplicaciones y máquinas virtuales (VM) en una infraestructura

física compartida. Una de las motivaciones económicas principales para ejecutar
aplicaciones en un entorno de nube es la capacidad de distribuir el costo de los recursos
compartidos entre varios clientes. Esta práctica de multiinquilino mejora la eficiencia al
multiplexar los recursos entre los distintos clientes a un bajo costo. Lamentablemente,
también presenta el riesgo del uso compartido de servidores físicos y otros recursos de
infraestructura al ejecutar aplicaciones confidenciales y máquinas virtuales que pueden
pertenecer a un usuario arbitrario y potencialmente malintencionado.
En este artículo se describe cómo Azure proporciona aislamiento contra usuarios

malintencionados y no malintencionados y cómo sirve como guía para el diseño de
soluciones en la nube, ya que ofrece a los arquitectos diversas opciones de aislamiento.
Aislamiento en el nivel de inquilino

Una de las principales ventajas de la informática en la nube es el concepto de una
infraestructura común compartida por varios clientes simultáneamente, dando lugar a
economías de escala. Este concepto se denomina multiinquilinato. Microsoft trabaja
continuamente para asegurarse de que la arquitectura multiinquilino de Microsoft Cloud
Azure admita las normas de seguridad, confidencialidad, privacidad, integridad y
disponibilidad.
En un área de trabajo habilitada en la nube, un inquilino puede definirse como un

cliente o una organización que posee y administra una instancia específica de ese
servicio en la nube. Con la plataforma de identidad proporcionada por Microsoft Azure,
un inquilino es simplemente una instancia dedicada de Microsoft Entra ID que su
organización recibe y posee cuando se suscribe a un servicio en la nube de Microsoft.
Cada directorio de Microsoft Entra es distinto e independiente de otros directorios de

Microsoft Entra. Del mismo modo que un edificio de oficinas para empresas es un activo
seguro dedicado específicamente a su organización, un directorio de Microsoft Entra se
ha diseñado también para ser un activo seguro para el uso exclusivo de su organización.
La arquitectura de Microsoft Entra aísla los datos del cliente y la información de
identidad para evitar contactos cruzados. Esto significa que los usuarios y los
administradores de un directorio de Microsoft Entra no tendrán acceso a los datos de
otro directorio, ya sea de manera involuntaria o malintencionada.
Inquilinato de Azure
El inquilinato de Azure (suscripción de Azure) hace referencia a una relación
"cliente/facturación" y a un único inquilino en Microsoft Entra ID. El aislamiento en el
nivel de inquilino en Microsoft Azure se logra con Microsoft Entra ID y los controles de
acceso basados en roles de Azure que ofrece. Cada suscripción de Azure está asociada a
un directorio de Microsoft Entra.
Los usuarios, grupos y aplicaciones de ese directorio pueden administrar los recursos en
la suscripción de Azure. Puede asignar estos derechos de acceso con Azure Portal, las
herramientas de la línea de comandos de Azure o las API de administración de Azure.
Un inquilino de Microsoft Entra está aislado lógicamente mediante límites de seguridad
de forma que ningún cliente puede acceder o poner en riesgo los coinquilinos, ya sea
de forma malintencionada o por accidente. Microsoft Entra ID se ejecuta en servidores
sin sistema operativo, aislados en un segmento de red separado donde el filtrado de
paquetes de nivel de host y Firewall de Windows bloquean el tráfico y las conexiones no
deseadas.
El acceso a los datos de Microsoft Entra ID requiere autenticación del usuario

mediante un servicio de token de seguridad (STS). El sistema de autorización usa la
información sobre la existencia, estado habilitado y rol del usuario se usa para
determinar si el acceso solicitado al inquilino de destino está autorizado para este
usuario en esta sesión.
Los inquilinos son contenedores separados y no hay ninguna relación entre ellos.
No hay acceso entre inquilinos a menos que un administrador lo conceda

mediante federación o el aprovisionamiento de cuentas de usuario de otros
inquilinos.
El acceso físico a los servidores que componen el servicio Microsoft Entra y el
acceso directo a los sistemas back-end de Microsoft Entra están restringidos.
Los usuarios de Microsoft Entra no tienen acceso a los recursos ni las ubicaciones
físicas y, por lo tanto, no pueden omitir las comprobaciones lógicas de directiva de
Azure RBAC que se indican a continuación.
Por razones de diagnóstico y mantenimiento, se necesita y utiliza un modelo de

operaciones que emplee un sistema de elevación de privilegios Just-In-Time. Microsoft
Entra Privileged Identity Management (PIM) presenta el concepto de administrador
apto. Los administradores aptos deben ser usuarios que necesiten acceso con privilegios
de vez en cuando, pero no todos los días. El rol está inactivo hasta que el usuario
necesita acceso, luego realiza un proceso de activación y se convierte en un
administrador activo durante una cantidad de tiempo predeterminada.
Microsoft Entra ID hospeda a cada inquilino en su propio contenedor protegido, con

directivas y permisos solo para el contenedor, que el inquilino administra y del que es
propietario.
El concepto de contenedores de inquilino está profundamente relacionado con el

servicio de directorio en todas las capas, desde los portales hasta el almacenamiento
persistente.
Aunque se almacenan metadatos de varios inquilinos de Microsoft Entra en el mismo

disco físico, no hay relación entre los contenedores salvo la que se define en el servicio
de directorio, que a su vez viene determinada por el administrador del inquilino.
Control de acceso basado en roles de Azure (RBAC de
Azure)
El control de acceso basado en roles de Azure (RBAC de Azure) ayuda a compartir varios
componentes disponibles dentro de una suscripción de Azure, y proporciona una
administración de acceso detallada en Azure. RBAC de Azure le permite separar las
tareas dentro de su organización y conceder acceso en función de lo que los usuarios
necesitan para realizar sus tareas. En lugar de proporcionar a todos los empleados
permisos no restringidos en los recursos o la suscripción de Azure, puede permitir solo
determinadas acciones.
RBAC de Azure cuenta con tres roles básicos que se aplican a todos los tipos de recurso:
propietario tiene acceso completo a todos los recursos y cuenta con el derecho a
delegar este acceso a otros.
colaborador puede crear y administrar todos los tipos de recursos de Azure pero
no puede conceder acceso a otros.
lector solo puede ver los recursos existentes de Azure.
El resto de los roles de Azure permiten la administración de recursos específicos de

Azure. Por ejemplo, el rol de colaborador de máquina virtual permite al usuario crear y
administrar máquinas virtuales. No otorga acceso a la instancia de Azure Virtual
Network ni a la subred a la que se conecta la máquina virtual.
Roles integrados de Azure enumera los roles disponibles en Azure. Especifica las
operaciones y el ámbito de cada rol integrado que se concede a los usuarios. Si quiere
definir sus propios roles para tener un mayor control, consulte Custom Roles in Azure
RBAC(Roles personalizados en RBAC de Azure).
A continuación se mencionan algunas otras funcionalidades de Microsoft Entra ID:
Microsoft Entra ID habilita SSO para las aplicaciones SaaS, independientemente de

donde estén hospedadas. Algunas aplicaciones están federadas con Microsoft
Entra ID y otras usan SSO con contraseña. Las aplicaciones federadas también
pueden admitir aprovisionamiento de usuarios y almacén de contraseñas .
El acceso a datos en Azure Storage se controla mediante la autenticación. Cada

cuenta de almacenamiento tiene una clave principal (clave de la cuenta de
almacenamiento, o SAK) y una clave secreta secundaria (la firma de acceso
compartido, o SAS).
Microsoft Entra ID proporciona identidad como servicio a través de la federación

(mediante los Servicios de federación de Active Directory [AD FS]), sincronización y
replicación de directorios locales.
La autenticación multifactor de Microsoft Entra exige a los usuarios que

comprueben los inicios de sesión mediante una aplicación móvil, una llamada de
teléfono o un mensaje de texto. Se puede usar con Microsoft Entra ID como ayuda
para proteger los recursos locales con Servidor Multi-Factor Authentication, y
también con aplicaciones y directorios personalizados mediante el SDK.
Microsoft Entra Domain Services permite unir máquinas virtuales de Azure a un

dominio de Active Directory sin implementar controladores de dominio. Puede
conectarse a estas máquinas virtuales con sus credenciales corporativas de Active
Directory y administrar las máquinas virtuales unidas a un dominio mediante una
directiva de grupo para aplicar una base de referencia de seguridad en todas sus
máquinas virtuales de Azure.
Azure Active Directory B2C proporciona un servicio de administración de

identidades global y de alta disponibilidad para aplicaciones de consumo que se
escalan a cientos de millones de identidades. Se puede integrar en plataformas
móviles y web. Los consumidores pueden iniciar sesión en todas las aplicaciones
con experiencias personalizables usando sus cuentas de redes sociales existentes o
mediante la creación de credenciales.
Aislamiento de los administradores de Microsoft y
eliminación de datos
Microsoft aplica medidas seguras para proteger los datos contra el acceso inadecuado o
el uso por parte de personas no autorizadas. Estos controles y procesos operativos
están detallados en los términos de los servicios en línea , que recoge los
compromisos contractuales que controlan el acceso a los datos.
Los ingenieros de Microsoft no tienen acceso de forma predeterminada a los datos

en la nube. En su lugar, se les concede acceso, bajo la supervisión de la
administración, solo cuando es necesario. El acceso se controla y registra
cuidadosamente y se revoca tan pronto como deje de ser necesario.
Microsoft puede contratar a otras empresas para que proporcionen servicios
limitados en su nombre. Los subcontratistas pueden tener acceso a los datos de
los clientes solo para ofrecer el servicio para el cual han sido contratados y se les
prohíbe utilizarlos para cualquier otro propósito. Además, están contractualmente
obligados a mantener la confidencialidad de la información de nuestros clientes.
Los servicios de negocios con certificaciones auditadas como la ISO/IEC 27001 se

verifican con regularidad por Microsoft y otras empresas de auditoría acreditadas, que
llevan a cabo auditorías de muestra para certificar que el acceso se produce solo con
fines legítimos de la empresa. Siempre puede tener acceso a sus propios datos de
cliente en cualquier momento y por cualquier motivo.
Si se elimina algún dato, Microsoft Azure eliminará los datos, incluidas las copias en
memoria caché y las copias de seguridad. Para los servicios incluidos en el ámbito, la
eliminación se realizará 90 días después del final del período de retención. (Los servicios
incluidos en el ámbito se definen en los términos del procesamiento de datos, en los
términos de los servicios en línea .)
Si una unidad de disco utilizada para el almacenamiento sufre un error de hardware, se

borra o destruye de un modo seguro antes de que Microsoft la devuelva al fabricante
para su reemplazo o reparación. Los datos de la unidad se sobrescriben para asegurarse
de que no se puedan recuperar de ninguna forma.
Aislamiento de proceso
Microsoft Azure proporciona diversos servicios de computación en la nube que incluyen
una amplia selección de instancias y servicios de proceso que se pueden escalar vertical
y horizontalmente para satisfacer las necesidades de su aplicación o de su empresa.
Estos servicios e instancias de proceso ofrecen aislamiento en varios niveles para
proteger los datos, sin sacrificar la flexibilidad en la configuración que los clientes
demandan.
Tamaños de máquinas virtuales aislados

Azure Compute ofrece tamaños de máquinas virtuales que están aislados para un tipo
concreto de hardware y dedicados a un solo cliente. Los tamaños aislados viven y
funcionan en una generación de hardware específica y quedarán en desuso cuando se
retire la generación de hardware o esté disponible una nueva generación de hardware.
Los tamaños de las máquinas virtuales aisladas se ajustan mejor a las cargas de trabajo
que requieren un alto grado de aislamiento de las cargas de trabajo de otros clientes.
Esto a veces es necesario para cumplir los requisitos normativos y de cumplimiento.
Usar un tamaño aislado garantiza que la máquina virtual es la única que se ejecuta en
esa instancia de servidor específica.
Además, dado que las VM de tamaño aislado son más grandes, los clientes puede elegir
subdividir aún más los recursos de estas VM mediante la compatibilidad de Azure con
máquinas virtuales anidadas .
Las ofertas de máquinas virtuales aisladas actuales incluyen:
Standard_E80ids_v4
Standard_E80is_v4
Standard_E104i_v5
Standard_E104is_v5
Standard_E104id_v5
Standard_E104ids_v5
Standard_M192is_v2
Standard_M192ims_v2
Standard_M192ids_v2
Standard_M192idms_v2
Standard_F72s_v2
Standard_M128ms
７ Nota
Los tamaños de máquina virtual aislada tienen una duración limitada debido a la
degradación del hardware.
Desuso de los tamaños de VM aislados

Los tamaños de VM aislados tienen una duración limitada de hardware. Azure emite
recordatorios de 12 meses antes de la fecha de desuso oficial de los tamaños y
proporciona una oferta aislada actualizada para que la tenga en cuenta. Se ha
anunciado la retirada de los siguientes tamaños.
Size Fecha de retirada del aislamiento
Standard_DS15_v2 15 de mayo de 2021
Standard_D15_v2 15 de mayo de 2021
Standard_G5 15 de febrero de 2022
Standard_GS5 15 de febrero de 2022
Standard_E64i_v3 15 de febrero de 2022
Standard_E64is_v3 15 de febrero de 2022
Preguntas más frecuentes
P: ¿Se retirará el tamaño o solo la característica de

"aislamiento"?
R: si un tamaño se publica como aislado pero no tiene "i" en el nombre, la característica
de aislamiento de los tamaños de VM se retira a menos que se comunique lo contrario.
Los tamaños con "i" en el nombre quedarán en desuso.
P: ¿Hay un tiempo de inactividad cuando la máquina

virtual se encuentra en un hardware no aislado?
R: en el caso de los tamaños de máquina virtual, donde solo el aislamiento está en
desuso, pero no el tamaño, no se necesita realizar ninguna acción y no habrá tiempo de
inactividad. En caso contrario, si se requiere aislamiento, el anuncio incluye el tamaño de
reemplazo recomendado. La selección del tamaño de reemplazo requiere que nuestros
clientes cambien el tamaño de sus máquinas virtuales.
P: ¿Hay alguna diferencia de costo por cambiar a una

máquina virtual no aislada?
R. : No
P: ¿Cuándo se van a retirar los otros tamaños aislados?
R: se envían recordatorios 12 meses antes de que el tamaño aislado esté oficialmente en
desuso. Nuestro anuncio más reciente incluye la retirada de la característica de
aislamiento de Standard_G5, Standard_GS5, Standard_E64i_v3 y Standard_E64i_v3.
P: Soy un cliente de Azure Service Fabric que se basa en

los niveles de durabilidad Silver o Gold. ¿Me afectará este
cambio?
R. : No. Las garantías proporcionadas por los niveles de durabilidad de Service Fabric
seguirán funcionando incluso después de este cambio. Si necesita aislamiento de
hardware físico por otras razones, es posible que tenga que realizar una de las acciones
descritas anteriormente.
P: ¿Cuáles son los hitos para la retirada del aislamiento

D15_v2 o DS15_v2?
R. :
Date Acción
15 de mayo de 20201 Anuncio de retirada de aislamiento de D/DS15_v2
15 de mayo de 2021 Se ha quitado la garantía de aislamiento de D/DS15_v2
1 Los clientes ya existentes que usen estos tamaños recibirán un anuncio por correo
electrónico con instrucciones detalladas sobre los pasos a seguir.
P: ¿Cuáles son los hitos para la retirada del aislamiento de

G5, Gs5, E64i_v3 y E64is_v3?
R. :
Date Acción
15 de febrero de 20211 Anuncio de retirada de aislamiento de G5/GS5/E64i_v3/E64is_v3
28 de febrero de 2022 Garantía de aislamiento de G5/GS5/E64i_v3/E64is_v3 eliminada
1
Los clientes ya existentes que usen estos tamaños recibirán un anuncio por correo
electrónico con instrucciones detalladas sobre los pasos a seguir.
Pasos siguientes
Los clientes también puede elegir subdividir aún más los recursos de estas máquinas
virtuales aisladas mediante la compatibilidad de Azure para máquinas virtuales
anidadas .
Hosts dedicados
Además de los hosts aislados descritos en la sección anterior, Azure también ofrece
hosts dedicados. Los hosts dedicados de Azure son un servicio que proporciona
servidores físicos capaces de hospedar una o varias máquinas virtuales, y que están
dedicados a una única suscripción de Azure. Los hosts dedicados ofrecen aislamiento
del hardware a nivel de servidor físico. No se colocarán otras máquinas virtuales en los
hosts. Los hosts dedicados se implementan en los mismos centros de datos y
comparten la misma red y la misma infraestructura de almacenamiento subyacente que
otros hosts no aislados. Para obtener más información, consulte la introducción
detallada a los hosts dedicados de Azure.
Aislamiento de Hyper-V y sistema operativo raíz entre la

máquina virtual raíz y las máquinas virtuales invitadas
La plataforma de proceso de Azure se basa en la virtualización, lo que significa que todo
el código del cliente se ejecuta en una máquina virtual de Hyper-V. En cada nodo de
Azure (o punto de conexión de red), hay un hipervisor que se ejecuta directamente
sobre el hardware y divide un nodo en un número variable de máquinas virtuales
invitadas.
Cada nodo tiene también una máquina virtual raíz especial, que ejecuta el sistema
operativo host. Un límite crítico es el aislamiento de la máquina virtual raíz de las
máquinas virtuales invitadas y de las máquinas virtuales invitadas entre sí, administrado
por el hipervisor y el sistema operativo raíz. El emparejamiento del hipervisor y el
sistema operativo raíz aprovecha las décadas de experiencia de Microsoft en seguridad
del sistema operativo y su aprendizaje más reciente en Hyper-V para proporcionar un
aislamiento sólido de las máquinas virtuales invitadas.
La plataforma de Azure usa un entorno virtualizado. Las instancias de usuario funcionan

como máquinas virtuales independientes que no tienen acceso a un servidor host físico.
El hipervisor de Azure actúa como un microkernel y pasa todas las solicitudes de acceso
al hardware desde las máquinas virtuales invitadas hasta el host para procesarlas
mediante una interfaz de memoria compartida denominada VM Bus. Esto impide que
los usuarios obtengan acceso de lectura/escritura/ejecución sin procesar en el sistema y
reduce el riesgo de compartir recursos del sistema.
Algoritmo avanzado de selección de ubicación de la

máquina virtual y protección frente a ataques de canal
lateral
Cualquier ataque entre máquinas virtuales conlleva dos pasos: situar una máquina
virtual controlada por el adversario en el mismo host que una de las máquinas virtuales
víctimas y, a continuación, romper el límite de aislamiento para robar información
confidencial de la víctima o afectar a su rendimiento por codicia o vandalismo. Microsoft
Azure proporciona protección frente a ambos pasos mediante el uso de un algoritmo
avanzado de selección de ubicación de máquinas virtuales y protección frente a todos
los ataques de canal lateral conocidos, incluidos los ataques de máquinas virtuales
vecinas que puedan generar ruido.
Controlador de tejido de Azure

El controlador de tejido de Azure es responsable de asignar recursos de infraestructura
a cargas de trabajo de inquilinos y administra las comunicaciones unidireccionales
desde el host hasta las máquinas virtuales. El algoritmo de selección de ubicación de
máquinas virtuales del controlador de tejido de Azure es muy sofisticado y casi
imposible de predecir en el nivel de host físico.
El hipervisor de Azure fuerza la separación de la memoria y el proceso entre las

máquinas virtuales y enruta de forma segura el tráfico de red a los inquilinos del sistema
operativo invitado. Esto elimina la posibilidad de cualquier ataque de canal lateral en el
nivel de máquina virtual.
En Azure, la máquina virtual raíz es especial: ejecuta un sistema operativo reforzado

llamado sistema operativo raíz que hospeda un agente de tejido. Los agentes de tejido
sirven a su vez para administrar agentes de invitado (GA) en los sistemas operativos de
invitado en las VM de los clientes. Los agentes de tejido también administran los nodos
de almacenamiento.
El conjunto del hipervisor de Azure, el sistema operativo raíz y los agentes de tejido, y
las máquinas virtuales y los agentes de invitado componen un nodo de proceso. Los
agentes de tejido son administrados por un controlador de tejido que se encuentra
fuera de los nodos de proceso y almacenamiento (los clústeres de proceso y
almacenamiento se administran mediante controladores de tejido diferentes). Si un
cliente actualiza el archivo de configuración de la aplicación mientras se está
ejecutando, el controlador de tejido se comunica con el agente de tejido que, a
continuación, se pone en contacto con los agentes de invitado, los cuales notifican a la
aplicación del cambio de configuración. Si se produce un error de hardware, el
controlador de tejido encontrará automáticamente hardware disponible y reiniciará la
máquina virtual en este.
La comunicación desde un controlador de tejido con un agente es unidireccional. El

agente implementa un servicio protegido por SSL que solo responde a las solicitudes
realizadas desde el controlador. No puede iniciar conexiones con el controlador ni con
otros nodos internos con privilegios. El controlador de tejido trata todas las respuestas
como si no fueran de confianza.
El aislamiento se extiende desde la máquina virtual raíz a las máquinas virtuales

invitadas y a las máquinas virtuales invitadas entre sí. Los nodos de proceso también
están aislados de los nodos de almacenamiento para mejorar la protección.
El hipervisor y el sistema operativo host proporcionan filtros de paquetes de red para
ayudar a garantizar que las máquinas virtuales que no son de confianza no puedan
generar tráfico simulado o recibir tráfico no dirigido a ellas, para dirigir tráfico a puntos
de conexión protegidos de la infraestructura, y para enviar y recibir tráfico de difusión
inadecuado.
Reglas adicionales configuradas por el agente del

controlador de tejido para aislar la máquina virtual
De forma predeterminada, cuando se crea una máquina virtual, se bloquea todo el
tráfico y luego el agente del controlador de tejido configura el filtro de paquetes para
agregar reglas y excepciones a fin de permitir el tráfico autorizado.
Se programan dos categorías de reglas:
Reglas de infraestructura o configuración de la máquina: De forma

predeterminada, se bloquea toda comunicación. Existen excepciones para permitir
que una máquina virtual envíe y reciba tráfico DHCP y DNS. Las máquinas virtuales
también pueden enviar tráfico a la Internet "pública" y a otras máquinas virtuales
de la instancia de Azure Virtual Network y al servidor de activación del sistema
operativo. La lista de destinos de salida permitidos de las máquinas virtuales no
incluye subredes de enrutador de Azure, administración de Azure y otras
propiedades de Microsoft.
Archivo de configuración de roles: define las listas de control de acceso (ACL) de
entrada según el modelo de servicio del inquilino.
Aislamiento de VLAN
Hay tres redes VLAN en cada clúster:
La red VLAN principal: interconecta nodos de cliente que no son de confianza.
La red VLAN FC: contiene controladores de tejido (FC) de confianza y sistemas
auxiliares
La red VLAN de dispositivo: contiene dispositivos de red y otra infraestructura de
confianza
Se permite la comunicación desde la VLAN FC a la VLAN principal, pero no se puede

iniciar desde la VLAN principal hacia la VLAN FC. La comunicación también está
bloqueada desde la VLAN principal hacia la VLAN de dispositivo. Esto asegura que
incluso si un nodo que ejecuta código del cliente se ve comprometido, no puede atacar
nodos ni de la VLAN FC ni de las VLAN de dispositivo.
Aislamiento de almacenamiento
Aislamiento lógico entre Compute y Storage

Como parte fundamental de su diseño, Microsoft Azure separa las máquinas virtuales de
proceso y las de almacenamiento. Esta separación permite escalar la computación y el
almacenamiento de forma independiente, facilitando así el multiinquilinato y el
aislamiento.
Por tanto, Azure Storage se ejecuta en hardware independiente sin conectividad de red
con Azure Compute, excepto en el nivel lógico. Esto significa que, cuando se crea un
disco virtual, no se asigna espacio en disco para toda su capacidad. En su lugar, se crea
una tabla que asigna direcciones en el disco virtual a las áreas en el disco físico y la tabla
está inicialmente vacía. La primera vez que un cliente escribe datos en el disco virtual,
se asigna espacio en el disco físico y se coloca un puntero a este en la tabla.
Aislamiento con Storage Access Control

Azure Storage Access Control tiene un modelo de control de acceso simple. Cada
suscripción de Azure puede crear una o más cuentas de almacenamiento. Cada cuenta
de almacenamiento tiene una única clave secreta que se utiliza para controlar el acceso
a todos los datos de esa cuenta de almacenamiento.
El acceso a los datos de Azure Storage (incluidas las tablas) se puede controlar con un
token SAS (Firma de acceso compartido), que concede acceso de ámbito. El token SAS
se crea mediante una plantilla de consulta (URL) firmada con la SAK (Clave de la cuenta
de almacenamiento). Esta URL firmada se puede entregar a otro proceso (delegado),
que puede completar los detalles de la consulta y hacer la petición al servicio de
almacenamiento. Un token SAS le permite conceder acceso temporal a los clientes sin
revelar la clave secreta de la cuenta de almacenamiento.
Esto significa que puede conceder permisos limitados a los clientes a objetos en su
cuenta de almacenamiento durante un período específico y con un conjunto
determinado de permisos. Se pueden conceder estos permisos limitados sin tener que
compartir las claves de acceso de su cuenta.
Aislamiento del almacenamiento en el nivel de dirección

IP
Puede establecer firewalls y definir un intervalo de direcciones IP para los clientes de
confianza. Con un intervalo de direcciones IP, solo los clientes que tengan una dirección
IP dentro del intervalo definido podrán conectarse a Azure Storage.
Los datos de almacenamiento de IP se pueden proteger contra usuarios no autorizados

mediante un mecanismo de red que se utiliza para asignar un túnel de tráfico dedicado
al almacenamiento de IP.
Cifrado
Azure ofrece los siguientes tipos de cifrado para proteger los datos:
Cifrado en reposo
El cifrado en tránsito es un mecanismo para proteger datos cuando se transmiten a

través de redes. Con Azure Storage, puede proteger los datos mediante:
Cifrado de nivel de transporte, como HTTPS para transferir datos a Azure Storage o
desde este servicio.
Cifrado en el cable, como el cifrado SMB 3.0 para recursos compartidos de Azure
File.
Cifrado de cliente, para cifrar los datos antes de transferirlos a Storage y
descifrarlos una vez transferidos desde este servicio.
Cifrado en reposo
Para muchas organizaciones, el cifrado de los datos en reposo es un paso obligatorio en

lo que respecta a la privacidad de los datos, el cumplimiento y la soberanía de los datos.
Hay tres características de Azure que proporcionan cifrado de datos "en reposo":
Cifrado del servicio de almacenamiento permite solicitar que el servicio de

almacenamiento cifre automáticamente los datos al escribirlos en Azure Storage.
Cifrado de cliente también proporciona la característica de cifrado en reposo.
máquinas virtuales Windows.
Para más información, consulte Información general sobre las opciones de cifrado de
disco administrado.

Azure Disk Encryption para VM de Linux y Azure Disk Encryption para VM de Windows
le ayudan a abordar la seguridad de la organización y los requisitos de cumplimiento
mediante el cifrado de sus discos de VM (incluidos los discos de arranque y de datos)
con claves y políticas que controla en Azure Key Vault .
La solución Cifrado de discos para Windows se basa en la tecnología de Cifrado de

unidad BitLocker de Microsoft, y la solución de Linux se basa en dm-crypt .
La solución admite los siguientes escenarios para las máquinas virtuales IaaS cuando se
habilitan en Microsoft Azure:
Integración con Azure Key Vault

VM de nivel estándar: VM IaaS de las series A, D, DS, G, GS, etc.
Habilitación del cifrado en máquinas virtuales IaaS Linux y Windows
Deshabilitación del cifrado en las unidades de datos y del sistema operativo en
máquinas virtuales IaaS Windows
Deshabilitación del cifrado en unidades de datos en máquinas virtuales IaaS Linux
Habilitación del cifrado en máquinas virtuales IaaS que ejecutan el sistema
operativo cliente de Windows
Habilitación del cifrado en volúmenes con rutas de montaje
Habilitación del cifrado en máquinas virtuales Linux configuradas con
seccionamiento de disco (RAID) mediante mdadm
Habilitación del cifrado en máquinas virtuales Linux mediante el uso de LVM
(administrador de discos lógicos) en los discos de datos
Habilitación del cifrado en máquinas virtuales con Windows configuradas
mediante Espacios de almacenamiento
Se admiten todas las regiones públicas de Azure.
La solución no admite los siguientes escenarios, características y tecnologías en la

versión:
Máquinas virtuales IaaS de nivel básico

Deshabilitación del cifrado en una unidad del sistema operativo para máquinas
virtuales IaaS Linux
Máquinas virtuales IaaS creadas con el método clásico de generación de máquinas
virtuales
Integración con el Servicio de administración de claves local
Azure Files (sistema de archivos compartido), Network File System (NFS),
volúmenes dinámicos y máquinas virtuales Windows configuradas con sistemas
RAID basadas en software
Aislamiento de Azure SQL Database

SQL Database es un servicio de bases de datos relacionales de Microsoft Cloud que usa
el motor de Microsoft SQL Server líder del mercado, lo que le permite controlar cargas
de trabajo críticas. SQL Database ofrece aislamiento de datos predecible en el nivel de
cuenta, basado en región o área geográfica, o basado en red, todo ello con una
administración prácticamente inexistente.
Modelo de aplicación de SQL Database

Microsoft Azure SQL Database es un servicio de base de datos relacional en la nube que
se basa en la tecnología de SQL Server. Proporciona un servicio de base de datos de alta
disponibilidad, escalable y multiinquilino, hospedado por Microsoft en la nube.
Desde la perspectiva de las aplicaciones, SQL Database proporciona la siguiente

jerarquía: Cada nivel tiene independencia de niveles de uno a varios.
Cuenta y suscripción son conceptos de la plataforma de Microsoft Azure para asociar la

facturación y la administración.
Las bases de datos y los servidores lógicos con SQL Server son conceptos específicos de
SQL Database y se administran mediante SQL Database, y se proporcionan mediante las
interfaces de OData y TSQL, o bien a través de Azure Portal.
Los servidores de SQL Database no son instancias físicas ni de máquinas virtuales, sino
que son colecciones de bases de datos que comparten administración y directivas de
seguridad almacenadas en una base de datos llamada "maestra lógica".
Las bases de datos “maestras lógicas” incluyen:
Inicios de sesión SQL usados para conectarse al servidor

Reglas de firewall
No se garantiza que la información relacionada con la facturación y uso de las bases de

datos que se encuentren en el mismo servidor estén en la misma instancia física del
clúster, sino que las aplicaciones deben indicar el nombre de la base de datos de
destino al conectarse.
Desde la perspectiva del cliente, se crea un servidor en una región geográfica, mientras
que la creación real del servidor se produce en uno de los clústeres de la región.
Aislamiento mediante topología de red

Cuando se crea un servidor y se registra su nombre DNS, el nombre DNS apunta a la
dirección "VIP de puerta de enlace" del centro de datos específico en el que se sitúa el
servidor.
Detrás de la dirección VIP (dirección IP virtual), tenemos una colección de servicios de

puerta de enlace sin estado. En general, las puertas de enlace se ven involucradas
cuando hay necesidades de coordinación entre varios orígenes de datos (base de datos
maestra, base de datos de usuario, etc). Los servicios de puerta de enlace implementan
lo siguiente:
Proxy de conexión TDS. Esto incluye ubicar la base de datos de usuario en el
clúster back-end, implementar la secuencia de inicio de sesión y, a continuación,
reenviar los paquetes TDS al back-end y de vuelta.
Administración de bases de datos. Esto incluye la implementación de una
colección de flujos de trabajo para realizar operaciones de base de datos CREATE,
ALTER y DROP. Las operaciones de base de datos se pueden invocar mediante el
rastreo de paquetes TDS o mediante API de OData explícitas.
Operaciones de usuario, de inicio de sesión, CREATE, ALTER y DROP
Operaciones de administración del servidor a través de OData API
La capa situada detrás de las puertas de enlace se denomina "back-end". Ahí es donde
se almacenan todos los datos en modo de alta disponibilidad. Cada parte de los datos
se dice que pertenece a una "partición" o "unidad de conmutación por error", cada una
de las cuales tiene al menos tres réplicas. El motor de SQL Server almacena y replica las
réplicas, que se administran mediante un sistema de conmutación por error,
habitualmente conocido como "tejido".
Por lo general, el sistema back-end no tiene comunicaciones salientes a otros sistemas
como precaución de seguridad. Eso se reserva para los sistemas de la capa front-end
(puerta de enlace). Las máquinas de la capa de puerta de enlace tienen privilegios
limitados en las máquinas back-end para minimizar la superficie de ataque como un
mecanismo de defensa en profundidad.
Aislamiento por función y acceso de la máquina

SQL Database consta de varios servicios que se ejecutan en diferentes funciones de la
máquina. SQL Database se divide en la base de datos en la nube "back-end" y entornos
(puerta de enlace y administración) "front-end", con el principio general de que el
tráfico solo entra en el back-end, no sale de él. El entorno front-end puede comunicarse
con cualquier otro servicio exterior y, en general, solo tiene permisos limitados en el
entorno back-end (los suficientes para llamar a los puntos de entrada que necesita
invocar).
Aislamiento de red
La implementación de Azure tiene varios niveles de aislamiento de red. El siguiente
diagrama muestra los diferentes niveles de aislamiento de red que Azure proporciona a
los clientes. Estos niveles son nativos en la plataforma de Azure y también son
características definidas por el cliente. En la entrada desde Internet, DDoS de Azure
proporciona aislamiento frente a ataques a gran escala contra Azure. En el siguiente
nivel de aislamiento están las direcciones IP públicas (puntos de conexión) definidas por
el cliente que se usan para determinar el tráfico que puede pasar desde el servicio en la
nube a la red virtual. El aislamiento de la red virtual de Azure nativa garantiza un
aislamiento completo de todas las demás redes y que el tráfico solo fluya a través de los
métodos y las rutas de acceso configurados por el usuario. Estas rutas de acceso y
métodos son el siguiente nivel, en el que se pueden usar NSG, UDR y dispositivos de red
virtual para crear límites de aislamiento y así proteger las implementaciones de
aplicaciones en la red protegida.
Aislamiento del tráfico: una red virtual es el límite para aislamiento del tráfico en la
plataforma Azure. Las máquinas virtuales de una red virtual no se pueden comunicar
directamente con las máquinas virtuales de otra red virtual, incluso si las dos redes
virtuales las creó el mismo cliente. El aislamiento consiste en una propiedad
fundamental que garantiza que las máquinas virtuales del cliente y la comunicación
sigan siendo privadas en una red virtual.
Subred ofrece un nivel de aislamiento adicional de la red virtual basado en un intervalo

de direcciones IP. Direcciones IP en la red virtual, puede dividir una red virtual en varias
subredes por organización y seguridad. Las instancias de rol de PaaS y máquinas
virtuales implementadas en subredes (iguales o distintas) dentro de una red virtual
pueden comunicarse entre sí sin ninguna configuración adicional. También puede
configurar grupos de seguridad de red (NSG) para permitir o denegar el tráfico de red a
una instancia de máquina virtual en función de las reglas configuradas en la lista de
control de acceso (ACL) del NSG. Los NSG se pueden asociar con las subredes o las
instancias individuales de máquina virtual dentro de esa subred. Cuando un NSG está
asociado a una subred, las reglas de la ACL se aplican a todas las instancias de la
máquina virtual de esa subred.
Pasos siguientes
Más información sobre opciones de aislamiento de red para máquinas Windows
en redes virtuales de Azure . Esto incluye el escenario de front-end y back-end
clásico en el que las máquinas de una determinada red o subred de back-end
pueden permitir conectarse solo a determinados clientes u otros equipos a un
punto de conexión en particular, en función de una lista de direcciones IP
autorizadas.
Más información sobre aislamiento de máquinas virtuales de Azure. Azure
Compute ofrece tamaños de máquinas virtuales que están aislados para un tipo
concreto de hardware y dedicados a un solo cliente.
Información general sobre seguridad de
administración de identidades de Azure
Artículo • 01/06/2023
La administración de identidades es el proceso de autenticación y autorización de las

entidades de seguridad. También implica controlar información acerca de esas entidades
de seguridad (identidades). Las entidades de seguridad (identidades) pueden incluir
servicios, aplicaciones, usuarios, grupos, etc. Las soluciones de administración de
identidades y acceso de Microsoft ayudan al departamento de TI a proteger el acceso a
las aplicaciones y los recursos en el centro de datos corporativo y en la nube. Esta
protección permite que haya más niveles de validación, como Multi-Factor
Authentication y las directivas de acceso condicional. La supervisión de actividades
sospechosas mediante auditorías, alertas e informes de seguridad avanzados contribuye
a minimizar los posibles problemas de seguridad. Azure Active Directory Premium
ofrece un inicio de sesión único (SSO) para miles de aplicaciones de software como
servicio (SaaS) en la nube y acceso a aplicaciones web que se ejecutan de forma local.
Si aprovecha las ventajas en materia de seguridad de Azure Active Directory (Azure AD),
podrá:
Crear y administrar una identidad única para cada usuario en toda la empresa
híbrida, lo que mantiene los usuarios, grupos y dispositivos sincronizados.
Proporcionar acceso de SSO a las aplicaciones, incluidas miles de aplicaciones SaaS
preintegradas.
Habilitar la seguridad del acceso de las aplicaciones mediante la aplicación de
Multi-Factor Authentication basado en reglas para las aplicaciones locales y en la
nube.
Proporcionar un acceso remoto seguro a las aplicaciones web locales a través del
proxy de la aplicación de Azure AD.
El objetivo de este artículo es proporcionar una visión general de las principales

características de seguridad de Azure que contribuyen a la administración de
identidades. Además, se incluyen vínculos a artículos que ofrecen detalles de cada una
de estas características para que pueda tener más información al respecto.
El artículo se centra en las siguientes funcionalidades de administración de identidades

de Azure principales:

Proxy inverso
Control de acceso basado en roles de Azure (RBAC de Azure)
Supervisión de seguridad, alertas e informes basados en aprendizaje automático
Administración de identidades híbridas/Azure AD Connect
Revisiones de acceso de Azure AD

SSO significa tener acceso a todas las aplicaciones y los recursos que necesita para
hacer negocios, al iniciar sesión una sola vez con una única cuenta de usuario. Una vez
que ha iniciado sesión, puede tener acceso a todas las aplicaciones que necesite sin
tener que autenticarse (por ejemplo, escribiendo una contraseña) una segunda vez.
Muchas organizaciones confían en las aplicaciones SaaS, como Microsoft 365, Box y
Salesforce para impulsar la productividad del usuario. Tradicionalmente, el personal de
TI tenía que crear y actualizar individualmente cuentas de usuario en cada aplicación
SaaS y los usuarios tenían que recordar una contraseña para cada aplicación SaaS.
Azure AD extiende los entornos de Active Directory locales a la nube, lo que permite a
los usuarios usar su cuenta de organización principal para iniciar sesión no solo en sus
dispositivos unidos a dominios y recursos de la empresa, sino también en todas las
aplicaciones web y SaaS necesarias para su trabajo.
Los usuarios no solo no tienen que administrar varios conjuntos de nombres de usuario
y contraseñas, sino que se puede aprovisionar o desaprovisionar el acceso a las
aplicaciones automáticamente en función de los grupos de la organización y de su
estado de empleado. Azure AD introduce controles de gobernanza de acceso y
seguridad con los que puede gestionar de forma centralizada el acceso de los usuarios a
través de aplicaciones SaaS.
Más información:
Introducción al inicio de sesión único

Vídeo sobre los aspectos básicos de la autenticación
Serie de inicios rápidos sobre la administración de aplicaciones
Proxy inverso
El proxy de aplicación de Azure AD permite publicar aplicaciones locales (como sitios de
SharePoint , Outlook Web App y aplicaciones basadas en IIS ) en la red privada y
proporciona un acceso seguro a los usuarios externos a la red. El proxy de aplicación
ofrece acceso remoto y de SSO para muchos tipos de aplicaciones web locales, junto
con las miles de aplicaciones SaaS que Azure AD admite. Los empleados pueden iniciar
sesión en sus aplicaciones desde casa, en sus propios dispositivos, y autenticarse a
través de este proxy basado en la nube.
Más información:
Habilitación del proxy de la aplicación de Azure AD

Publicación de aplicaciones mediante el proxy de aplicación de Azure AD
Inicio de sesión único con el proxy de aplicación
Uso del acceso condicional
Multi-Factor Authentication de Azure AD es un método de autenticación que requiere el
uso de más de un método de verificación y que agrega una segunda capa de seguridad
crítica a las transacciones y los inicios de sesión del usuario. Multi-Factor Authentication
le ayudará a proteger el acceso a los datos y las aplicaciones, además de satisfacer la
demanda de los usuarios de un proceso de inicio de sesión simple. Proporciona
autenticación sólida mediante diversas opciones de verificación: llamadas telefónicas,
mensajes de texto, notificaciones de aplicaciones móviles, códigos de verificación y
tokens OAuth de terceros.
Consulte Funcionamiento de Azure AD Multi-Factor Authentication para obtener más

información
Azure RBAC
RBAC de Azure es un sistema de autorización basado en Azure Resource Manager que
proporciona administración pormenorizada del acceso a los recursos de Azure. RBAC de
Azure permite controlar de forma pormenorizada el nivel de acceso que tienen los
usuarios. Por ejemplo, puede limitar a un usuario para que solo administre redes
virtuales y otro usuario para que administre todos los recursos de un grupo de recursos.
Azure incluye varios roles integrados que puede usar. A continuación se enumeran
cuatros roles integrados fundamentales. Los tres primeros se aplican a todos los tipos
de recursos.
Propietario: tiene acceso total a todos los recursos, incluido el derecho a delegar
este acceso a otros.
Colaborador: puede crear y administrar todos los tipos de recursos de Azure, pero
no puede conceder acceso a otros.
Lector: puede ver los recursos existentes de Azure.
Administrador de acceso de usuario: permite administrar el acceso de los usuarios
a los recursos de Azure.
Más información:
¿Qué es el control de acceso basado en rol de Azure (RBAC)?

Roles integrados en los recursos de Azure
Supervisión de seguridad, alertas e informes

basados en aprendizaje automático
La supervisión de seguridad, las alertas y los informes basados en aprendizaje
automático que identifican patrones de acceso incoherentes, pueden ayudarle a
proteger su negocio. Puede usar los informes de acceso y uso de Azure AD para
proporcionar visibilidad de la integridad y la seguridad del directorio de la organización.
Con esta información, un administrador de directorios puede determinar mejor dónde
puede haber posibles riesgos de seguridad de modo que pueda planear
adecuadamente la mitigación de estos riesgos.
En Azure Portal, los informes se dividen en las siguientes categorías:
Informes de anomalías: contienen eventos de inicio de sesión que se consideran

anómalos. Nuestro objetivo es que sea consciente de dicha actividad y que pueda
tomar una decisión sobre si un evento es sospechoso.
Informes de aplicaciones integradas: proporciona información sobre cómo se
usan en la organización las aplicaciones en la nube. Azure AD ofrece integración
con miles de aplicaciones en la nube.
Informes de errores: indican errores que se pueden producir al aprovisionar
cuentas en aplicaciones externas.
Informes específicos del usuario: muestran los datos de actividad de dispositivo o
de inicio de sesión de un usuario concreto.
Registros de actividad: contienen un registro de todos los eventos auditados en
las últimas 24 horas, los últimos 7 días o los últimos 30 días, así como los cambios
en la actividad del grupo y la actividad de registro y de restablecimiento de
contraseña.
Consulte la guía de informes de Azure Active Directory para obtener más información
Administración de identidades y acceso de
consumidores
Azure AD B2C es un servicio de administración de identidades global y de alta
disponibilidad para aplicaciones orientadas al consumidor que se puede escalar hasta
cientos de millones de identidades. Se puede integrar en plataformas móviles y web. Los
consumidores pueden conectarse a todas sus aplicaciones con una experiencia
totalmente personalizable, usando sus cuentas de las redes sociales o mediante
credenciales nuevas.
En el pasado, los desarrolladores de aplicaciones que querían registrar clientes e iniciar

sesión en sus aplicaciones tenían que escribir su propio código. Y usaban bases de datos
o sistemas locales para almacenar nombres de usuario y contraseñas. Azure AD B2C
ofrece a su organización una manera mejor de integrar la administración de identidades
de consumidor en las aplicaciones gracias a la ayuda de una plataforma segura basada
en estándares y un amplio conjunto de directivas extensibles.
El uso de Azure AD B2C permite a los consumidores registrarse en las aplicaciones con
sus cuentas de redes sociales existentes (Facebook, Google, Amazon, LinkedIn) o
creando unas credenciales (dirección de correo electrónico y contraseña o nombre de
usuario y contraseña).
Más información:
¿Qué es Azure Active Directory B2C?

Azure Active Directory B2C: Tipos de aplicaciones
El registro de dispositivos de Azure AD es la base de los escenarios de acceso
condicional basado en dispositivos. Cuando se registra un dispositivo, el Registro de
dispositivos de Azure AD le proporciona una identidad que se utiliza para autenticar el
dispositivo cuando el usuario inicia sesión. El dispositivo autenticado y los atributos del
dispositivo pueden utilizarse para aplicar directivas de acceso condicional tanto a las
aplicaciones que se hospedan en la nube como en el entorno local.
Cuando se combina con una solución de administración de dispositivos móviles como

Intune, los atributos del dispositivo en Azure AD se actualizan con información adicional
sobre este. Luego se pueden crear reglas de acceso condicional que exijan que el acceso
desde los dispositivos cumpla las normas de seguridad y cumplimiento.
Más información:
Introducción al Registro de dispositivos de Azure Active Directory
Registro automático de dispositivos en Azure AD para dispositivos Windows
unidos a un dominio

Mediante Azure AD Privileged Identity Management, puede administrar, controlar y
supervisar las identidades con privilegios y el acceso a los recursos en Azure AD y otros
servicios en línea de Microsoft, como Microsoft 365 y Microsoft Intune.
En ocasiones, los usuarios tienen que realizar operaciones con privilegios en recursos de
Azure o Microsoft 365, o bien en otras aplicaciones SaaS. Esta necesidad suele acarrear
que las organizaciones tienen que dar a los usuarios acceso con privilegios permanente
en Azure AD. Este acceso es un riesgo de seguridad cada vez mayor para los recursos
hospedados en la nube, ya que las organizaciones no pueden supervisar
suficientemente lo que los usuarios hacen con sus privilegios de administrador. Además,
si una cuenta de usuario con acceso privilegiado se ve comprometida, esa vulneración
podría afectar a la seguridad global de la organización en la nube. Azure AD Privileged
Identity Management le ayuda a mitigar este riesgo.
Con Azure AD Privileged Identity Management, podrá:
Ver los usuarios que son administradores de Azure AD.

Habilitar el acceso administrativo Just-In-Time (JIT) a petición para servicios de
Microsoft como Microsoft 365 e Intune.
Obtener informes sobre el historial de acceso de administrador y los cambios en
las asignaciones de administrador.
Obtener alertas sobre el acceso a un rol con privilegios.
Más información:
¿Qué es Azure AD Privileged Identity Management?

Asignación de roles de directorio de Azure AD en PIM
Azure AD Identity Protection es un servicio de seguridad que proporciona una vista
consolidada de las detecciones de riesgo y las vulnerabilidades potenciales que afectan
a las identidades de su organización. Identity Protection aprovecha las funcionalidades
de detección de anomalías de Azure AD existentes, que están disponibles a través de los
informes de actividades anómalas de Azure AD. Identity Protection también incluye
nuevos tipos de detección de riesgo que pueden detectar anomalías en tiempo real.
Consulte Azure AD Identity Protection para obtener más información
Administración de identidades híbridas/Azure

AD Connect
Las soluciones de identidad de Microsoft abarcan funcionalidades locales y de nube, de
manera que se crea una sola identidad de usuario para la autenticación y la autorización
en todos los recursos, sin importar su ubicación. A esto le llamamos identidad híbrida.
Azure AD Connect es la herramienta de Microsoft diseñada para satisfacer y lograr sus
objetivos de identidad híbrida. Esto le permite proporcionar una identidad común a los
usuarios de aplicaciones de Microsoft 365, Azure y SaaS integradas con Azure AD.
Ofrece las siguientes características:
Synchronization
Integración de federación y AD FS
Autenticación de paso a través
Supervisión del estado
Más información:
Notas del producto sobre identidad híbrida

Revisiones de acceso de Azure AD

Las revisiones de acceso de Azure Active Directory (Azure AD) permiten a las
organizaciones administrar de forma eficiente la pertenencia a grupos, el acceso a las
aplicaciones empresariales y las asignaciones de roles con privilegios.
Consulte Revisiones de acceso de Microsoft Entra para obtener más información

Procedimientos recomendados para la
administración de identidades y la
seguridad del control de acceso en
Azure
Artículo • 29/08/2023
En este artículo, se trata un conjunto de procedimientos recomendados para la

seguridad del control de acceso y la administración de identidades en Azure. Estos
procedimientos recomendados proceden de nuestra experiencia con Azure AD y las
experiencias de clientes como usted.
Para cada procedimiento recomendado, explicaremos:
Qué es el procedimiento recomendado

Por qué le conviene habilitar este procedimiento recomendado
Cuál podría ser el resultado si no habilita el procedimiento recomendado
Alternativas posibles al procedimiento recomendado
Cómo aprender a habilitar el procedimiento recomendado
Este artículo sobre procedimientos recomendados para la seguridad del control de

acceso y la administración de identidades en Azure se basa en una opinión consensuada
y en las funcionalidades y conjuntos de características de la plataforma de Azure que
existen en el momento de su publicación.
Este artículo se escribió con el fin de proporcionar una guía general para obtener una
postura de seguridad más sólida después de la implementación guiada por nuestra lista
de comprobación "Cinco pasos para asegurar su infraestructura de identidad", que le
guía por los servicios y características principales.
Las opiniones y las tecnologías cambian con el tiempo, por lo que se actualizará de
forma periódica para reflejar esos cambios.
Los procedimientos recomendados para la seguridad del control de acceso y la

administración de identidades en Azure que se describen en este artículo son:
Tratar las amenazas como el perímetro de seguridad principal

Centralizar la administración de identidades
Administrar inquilinos conectados
Habilitar el inicio de sesión único
Activar el acceso condicional
Planeación de mejoras de seguridad rutinarias
Habilitación de la administración de contraseñas
Exigir a los usuarios la verificación multifactor
Uso del control de acceso basado en rol
Menor exposición de las cuentas con privilegios
Controlar las ubicaciones donde se encuentran los recursos
Uso de Azure AD para la autenticación de almacenamiento
Tratar las amenazas como el perímetro de

seguridad principal
Muchos consideran que la identidad es el perímetro principal para la seguridad. Se trata
de un cambio desde el enfoque tradicional de seguridad de red. Los perímetros de red
continúan volviéndose más porosos y esa defensa perimetral no puede ser tan eficaz
como lo era antes de la explosión de dispositivos y aplicaciones en la nube de BYOD.
Azure Active Directory (Azure AD) es la solución de Azure para la administración de

identidades y de acceso. Azure AD es un servicio de administración de identidades y
directorios multiinquilino basado en la nube de Microsoft. Combina servicios de
directorio fundamentales, la administración del acceso a las aplicaciones y la protección
de identidades en una única solución.
En las siguientes secciones se enumeran los procedimientos recomendados de

seguridad de acceso e identidades con Azure AD.
Procedimiento recomendado: Centre los controles y las detecciones de seguridad en

torno a las identidades de usuario y servicio. Detalles: Use Azure AD para colocar los
controles e identidades.
Centralizar la administración de identidades

En un escenario de identidad híbrida, se recomienda integrar los directorios en el
entorno local y en la nube. La integración permite al equipo de TI administrar las
cuentas desde una ubicación, independientemente de donde se crea una cuenta. La
integración también hace que los usuarios sean más productivos, ya que proporciona
una identidad común para tener acceso a recursos de la nube y del entorno local.
Procedimiento recomendado: establecer una única instancia de Azure AD. La

coherencia y un único origen autoritativo aumentarán la claridad y disminuirán los
riesgos de seguridad de los errores humanos y la complejidad de la configuración.
Detalles: designe un solo directorio de Azure AD como origen de autoridad de cuentas
corporativas y de la organización.
Procedimiento recomendado: Integración de los directorios locales con Azure AD.

Detalles: use Azure AD Connect para sincronizar el directorio local con el directorio en la
nube.
７ Nota
Existen factores que afectan al rendimiento de una instancia de Azure AD

Connect. Asegúrese de que Azure AD Connect tiene capacidad suficiente para
impedir que los sistemas con un rendimiento deficiente obstaculicen la seguridad y
productividad. Las organizaciones grandes o complejas (organizaciones que
aprovisionan más de 100 000 objetos) deben seguir las recomendaciones para
optimizar su implementación de Azure AD Connect.
Procedimiento recomendado: no sincronizar las cuentas de Azure AD que tienen

privilegios elevados en la instancia de Active Directory existente.
Detalles: no cambie el valor predeterminado de la configuración de Azure AD Connect
que filtra estas cuentas. Esta configuración reduce el riesgo de que un adversario pase
de la nube a los recursos locales (lo que podría crear un incidente de primera magnitud).
Procedimiento recomendado: Activación de la sincronización de hashes de contraseñas.

Detalles: la sincronización de hash de contraseñas es una característica que sirve para
sincronizar hash de contraseñas de usuario de una instancia de Active Directory local
con otra de Azure Active Directory (Azure AD) basada en la nube. Esta sincronización
ayuda a protegerse de la reutilización de credenciales filtradas obtenidas en ataques
anteriores.
Aunque decida usar la federación con Servicios de federación de Active Directory (AD
FS) u otros proveedores de identidades, si quiere, puede configurar la sincronización de
hashes de contraseñas para tener una opción alternativa si los servidores locales sufren
un error o dejan de estar disponibles temporalmente. Esta sincronización permite que
los usuarios inicien sesión en el servicio con la misma contraseña que usan para iniciar
sesión en su instancia local de Active Directory. También permite que Identity Protection
detecte las credenciales que están en peligro mediante la comparación de los hash de
contraseña sincronizados con contraseñas que se sepa que están en peligro, si un
usuario ha usado su misma dirección de correo electrónico y contraseña en otros
servicios que no estén conectados a Azure AD.
Para más información, consulte Implementación de la sincronización de hash de

contraseñas con la sincronización de Azure AD Connect.
Procedimiento recomendado: Para el desarrollo de nuevas aplicaciones, usar Azure AD
para la autenticación.
Detalles: use las capacidades adecuadas para admitir la autenticación:
Azure AD para los empleados.

B2B de Azure AD para los usuarios invitados y socios externos.
Azure AD B2C para controlar el modo en que los clientes se suscriben, inician
sesión y administran sus perfiles al usar las aplicaciones.
Las organizaciones que no integren la identidad del entorno local con la identidad en la
nube pueden tener mayor sobrecarga para administrar cuentas. Esta sobrecarga
aumenta la probabilidad de que haya errores e infracciones de seguridad.
７ Nota
Debe elegir en qué directorios van a residir las cuentas críticas y si la estación de
trabajo de administración empleada se administra mediante servicios en la nube
nuevos o mediante procesos ya existentes. Usar los procesos de aprovisionamiento
de identidades y administración existentes puede reducir algunos riesgos, pero
también puede crear el riesgo de que un atacante ponga en peligro una cuenta
local y pase a la nube. Es posible que desee usar una estrategia diferente para
distintos roles (por ejemplo, administradores de TI frente a administradores de
unidades de negocio). Tiene dos opciones. La primera es crear cuentas de Azure AD
que no estén sincronizadas con la instancia local de Active Directory. Una su
estación de trabajo de administración a Azure AD, que se puede administrar y
donde se pueden aplicar revisiones mediante Microsoft Intune. La segunda consiste
en usar cuentas de administrador existentes mediante la sincronización de la
instancia de Active Directory local. Use estaciones de trabajo existentes en el
dominio de Active Directory para la administración y seguridad.
Administrar inquilinos conectados

Su organización de seguridad necesita visibilidad para evaluar los riesgos y determinar
si se siguen las directivas de la organización, así como cualquier requisito normativo.
Debe asegurarse de que su organización de seguridad tiene visibilidad en todas las
suscripciones conectadas al entorno de producción y a la red (a través de Azure
ExpressRoute o VPN de sitio a sitio). Un administrador global en Azure AD puede elevar
su acceso al rol Administrador de acceso de usuario y ver todas las suscripciones y los
grupos administrados conectados al entorno.
Vea Elevación de los privilegios de acceso para administrar todas las suscripciones y los
grupos de administración de Azure para asegurarse de que usted y su grupo de
seguridad pueden ver todas las suscripciones o grupos de administración conectados al
entorno. Deberá quitar este acceso con privilegios elevados después de haber evaluado
los riesgos.
Habilitar el inicio de sesión único

En un mundo donde la nube y la movilidad son lo primero, resulta útil habilitar el inicio
de sesión único (SSO) en dispositivos, aplicaciones y servicios desde cualquier sitio, de
modo que los usuarios puedan ser productivos en cualquier momento y lugar. Cuando
es necesario administrar varias soluciones de identidad, esto supone un problema
administrativo no solo para TI, sino también para los usuarios que tendrán que recordar
varias contraseñas.
Mediante el uso de la misma solución de identidad para todas las aplicaciones y los
recursos, podrá disfrutar del SSO. Además, los usuarios podrán usar el mismo conjunto
de credenciales para iniciar sesión y acceder a los recursos que necesitan, con
independencia de dónde se ubiquen estos recursos, tanto si es en el entorno local como
en la nube.
Procedimiento recomendado: habilitar SSO.

Detalles: Azure AD extiende Active Directory del entorno local a la nube. Los usuarios
pueden usar su cuenta profesional o educativa principal para los dispositivos unidos a
un dominio, los recursos de la empresa y todas las aplicaciones web y SaaS que
necesitan para realizar su trabajo. Los usuarios no tienen que recordar varios nombres
de usuario y contraseñas y el acceso a las aplicaciones por parte de los usuarios se
puede aprovisionar (o desaprovisionar) automáticamente, en función de su pertenencia
a los grupos de la organización y de su estado como empleado. Además, puede
controlar el acceso de las aplicaciones de la galería o de sus propias aplicaciones locales
que ha desarrollado y publicado mediante el proxy de la aplicación de Azure AD.
Use el SSO para permitir que los usuarios accedan a sus aplicaciones SaaS en función de
su cuenta profesional o educativa en Azure AD. Esto no solo es aplicable a las
aplicaciones para SaaS de Microsoft, sino también a otras aplicaciones, como Google
Apps y Salesforce. Puede configurar su aplicación de modo que use Azure AD como un
proveedor de identidades basado en SAML. Como control de seguridad, Azure AD no
emite ningún token que permita a los usuarios iniciar sesión en la aplicación, a menos
que se les conceda acceso mediante Azure AD. Puede concederles acceso directamente
o a través de un grupo al cual pertenezcan.
Las organizaciones que no crean ninguna identidad común para establecer el SSO para
sus usuarios y aplicaciones están más expuestas a escenarios donde los usuarios tienen
varias contraseñas. Estos escenarios aumentan la probabilidad de que los usuarios
reutilicen las contraseñas o usen contraseñas débiles.
Activar el acceso condicional

Los usuarios pueden acceder a los recursos de su organización mediante diversos
dispositivos y aplicaciones desde cualquier lugar. Como administrador de TI, quiere
asegurarse de que estos dispositivos cumplan los estándares de seguridad y
cumplimiento. Ya no es suficiente con centrarse en quién puede acceder a un recurso.
Para equilibrar la seguridad y la productividad, también debe pensar en cómo se accede

a un recurso antes de que pueda tomar una decisión de control de acceso. Con el
acceso condicional de Azure AD, puede abordar este requisito. Con el acceso
condicional, puede tomar decisiones de control de acceso automatizadas en función de
las condiciones para acceder a las aplicaciones en la nube.
Procedimiento recomendado: Administración y control del acceso a los recursos

corporativos.
Detalles: configure las directivas de acceso condicional comunes de Azure AD en
función del grupo, la ubicación y la confidencialidad de las aplicaciones SaaS y las
aplicaciones conectadas a Azure AD.
Procedimiento recomendado: bloquear los protocolos de autenticación heredados.

Detalles: Los atacantes aprovechan a diario los puntos débiles de protocolos anteriores,
especialmente en ataques de difusión de contraseña. Configure el acceso condicional
para que bloquear los protocolos heredados.
Planeación de mejoras de seguridad rutinarias

La seguridad está en constante evolución y es importante integrar en su plataforma de
administración de identidades y la nube una manera de mostrar periódicamente el
crecimiento y descubrir nuevas formas de proteger su entorno.
La puntuación de seguridad de la identidad es un conjunto de controles de seguridad

recomendados que Microsoft publica para ofrecer una puntuación numérica que mide
objetivamente su postura de seguridad y ayuda a planear futuras mejoras de seguridad.
También puede comparar su puntuación con las de otros sectores, así como con sus
propias tendencias a lo largo del tiempo.
Procedimiento recomendado: Planee revisiones y mejoras de seguridad rutinarias
basadas en los procedimientos recomendados del sector.
Detalles: Use la característica de puntuación de seguridad de la identidad para clasificar
las mejoras a lo largo del tiempo.
Habilitación de la administración de
contraseñas
Si tiene varios inquilinos o quiere permitir que los usuarios restablezcan su propia
contraseña , es importante utilizar directivas de seguridad adecuadas para evitar un
uso inadecuado.
Procedimiento recomendado: Configuración del autoservicio de restablecimiento de

contraseña (SSPR) para los usuarios.
Detalles: use la característica de autoservicio de restablecimiento de contraseña de
Azure AD.
Procedimiento recomendado: Supervisar cómo se usa realmente SSPR o si se puede

usar.
Detalles: supervise los usuarios que se registran mediante el informe de actividad de
registro de restablecimiento de contraseña de Azure AD. La característica de creación de
informes que proporciona Azure AD le ayuda a responder preguntas mediante informes
creados previamente. Si está debidamente protegido por licencia, también puede crear
consultas personalizadas.
Procedimiento recomendado: ampliar las directivas de contraseña basadas en la nube a

la infraestructura local.
Detalles: mejore las directivas de contraseña en la organización realizando en el entorno
local las mismas comprobaciones de cambios de contraseña que las que se efectúan en
la nube. Instale Protección con contraseña de Azure AD en agentes de Windows Server
Active Directory de forma local para ampliar las listas de contraseñas prohibidas a la
infraestructura existente. Los usuarios y administradores que cambien, establezcan o
restablezcan contraseñas locales deben cumplir la misma directiva de contraseñas que
los usuarios que solo están en la nube.

Se recomienda exigir la verificación en dos pasos a todos los usuarios. Esto incluye a los
administradores y otras personas de su organización, ya que el hecho de que su cuenta
esté en peligro puede tener un impacto significativo (por ejemplo, los directores
financieros).
Existen varias opciones para exigir la verificación en dos pasos. La mejor opción para
usted depende de sus objetivos, la edición de Azure AD que ejecuta y su programa de
licencias. Consulte Exigencia de verificación en dos pasos para un usuario para
determinar la mejor opción para usted. Puede encontrar más información sobre
licencias y precios en las páginas de precios de Azure AD y Azure AD Multi-Factor
Authentication .
A continuación, se indican las opciones y ventajas para habilitar la verificación en dos

pasos:
Opción 1: Habilite MFA para todos los usuarios y métodos de inicio de sesión con los
valores predeterminados de seguridad de Azure AD
Ventaja: Esta opción le permite aplicar de forma rápida y sencilla MFA para todos los
usuarios de su entorno con una directiva estricta para:
Desafiar a cuentas administrativas y mecanismos de inicio de sesión administrativo;

Solicitar el desafío de MFA a través de Microsoft Authenticator para todos los
usuarios;
Restringir los protocolos de autenticación heredados.
Este método está disponible para todos los niveles de licencia, pero no se puede
mezclar con las directivas de acceso condicional existentes. Puede encontrar más
información en los valores predeterminados de seguridad de Azure AD.
Opción 2: habilitar Multi-factor Authentication mediante el cambio de estado de

usuario.
Ventaja: este es el método tradicional para exigir la verificación en dos pasos. Funciona
tanto con Azure AD Multi-Factor Authentication en la nube como en el Servidor
Azure AD Multi-Factor Authentication. El uso de este método requiere que los usuarios
realicen la verificación en dos pasos cada vez que inicien sesión, e invalida las directivas
de acceso condicional.
Para averiguar dónde debe habilitarse Multi-Factor Authentication, consulte ¿Qué

versión de Azure AD MFA es adecuada en mi organización?
Opción 3: habilitar Multi-Factor Authentication con la directiva de acceso condicional.

Ventaja: esta opción permite solicitar la verificación en dos pasos en condiciones
específicas mediante el uso del acceso condicional. Las condiciones específicas pueden
ser el inicio de sesión del usuario desde distintas ubicaciones, dispositivos no confiables
o aplicaciones que considere de riesgo. Definir condiciones específicas donde exija la
verificación en dos pasos le permite evitar pedirla constantemente a los usuarios, lo cual
puede ser una experiencia desagradable para el usuario.
Esta es la forma más flexible de habilitar la verificación en dos pasos para los usuarios.
Habilitar la directiva de acceso condicional solo funciona con Azure AD Multi-Factor
Authentication en la nube y es una característica premium de Azure AD. Puede
encontrar más información sobre este método en Implementación de Azure AD Multi-
Factor Authentication en la nube.
Opción 4: habilitar Multi-Factor Authentication con directivas de acceso condicional

mediante la evaluación de directivas de acceso condicional basadas en riesgos.
Ventaja: esta opción le permite:
Detectar posibles vulnerabilidades que afectan a las identidades de la

organización.
Configurar respuestas automatizadas a acciones sospechosas detectadas que están
relacionadas con las identidades de la organización.
Investigar incidentes sospechosos y tomar las medidas adecuadas para resolverlos.
Este método utiliza la evaluación de riesgos de Azure AD Identity Protection para

determinar si se requiere la verificación en dos pasos en función de los riesgos del
usuario y el inicio de sesión para todas las aplicaciones en la nube. Este método requiere
una licencia de Azure Active Directory P2. Para obtener más información sobre este
método, consulte Azure Active Directory Identity Protection.
７ Nota
La opción 2, en la que se habilita Multi-Factor Authentication al cambiar el estado

del usuario, invalida las directivas de acceso condicional. Dado que las opciones de
3 y 4 usan directivas de acceso condicional, no puede usar la opción 2 con ellas.
Las organizaciones que no agregan capas de protección de la identidad adicionales,

como la verificación en dos pasos, son más susceptibles a ataques de robo de
credenciales. Un ataque de robo de credenciales puede poner en peligro la seguridad
de los datos.
Uso del control de acceso basado en rol

La administración de acceso de los recursos en la nube es importantísima en cualquier
organización que use la nube. El control de acceso basado en rol de Azure (Azure RBAC)
ayuda a administrar quién tiene acceso a los recursos de Azure, qué puede hacer con
esos recursos y a qué áreas puede acceder.
Designar grupos o roles individuales responsables de funciones específicas de Azure

ayuda a evitar la confusión que puede desembocar en errores humanos y de
automatización que suponen riesgos de seguridad. En organizaciones que quieren
aplicar directivas de seguridad para el acceso a los datos, es imperativo restringir el
acceso en función de los principios de seguridad necesidad de saber y mínimo
privilegio .
El equipo de seguridad necesita visibilidad en los recursos de Azure para evaluar y

corregir el riesgo. Si el equipo de seguridad tiene responsabilidades operativas, necesita
más permisos para realizar su labor.
Puede usar Azure RBAC para asignar permisos a los usuarios, los grupos y las
aplicaciones en un ámbito determinado. El ámbito de una asignación de roles puede ser
una suscripción, un grupo de recursos o un único recurso.
Procedimiento recomendado: repartir las tareas entre el equipo y conceder a los

usuarios únicamente el nivel de acceso que necesitan para realizar su trabajo. En lugar
de proporcionar a todos los empleados permisos no restringidos en los recursos o la
suscripción de Azure, permita solo determinadas acciones en un ámbito concreto.
Detalles: use roles integrados de Azure en Azure para asignar privilegios a los usuarios.
７ Nota
Los permisos específicos conllevan una complejidad y una confusión innecesarias, y

no hace más que alimentar una configuración "heredada" que es difícil de corregir
sin riesgo repercutir negativamente en algo. Evite asignar permisos específicos de
recursos. En su lugar, utilice grupos de administración para asignar permisos en
toda la compañía y grupos de recursos para asignar permisos en las suscripciones.
Evite asignar permisos específicos del usuario. En su lugar, asigne acceso a grupos
en Azure AD.
Procedimiento recomendado: conceder acceso a los equipos de seguridad a

responsabilidades de Azure para ver recursos de Azure y, así, poder evaluar y corregir
riesgos.
Detalles: conceda a los equipos de seguridad el rol de Azure RBAC Lector de seguridad.
Puede usar el grupo de administración raíz o el grupo de administración de segmento,
según el ámbito de responsabilidades:
Grupo de administración raíz para equipos responsables de todos los recursos de
la empresa.
Grupo de administración de segmento para equipos con un ámbito limitado
(normalmente, debido a límites organizativos legales o de otra índole).
Procedimiento recomendado: conceder los permisos adecuados a los equipos de

seguridad que tienen responsabilidades operativas directas.
Detalles: revise los roles integrados de Azure para la asignación de rol adecuado. Si los
roles integrados no satisfacen las necesidades específicas de la organización, puede
crear roles personalizados de Azure. Igual que los roles integrados, puede asignar roles
personalizados a usuarios, grupos y entidades de servicio en los ámbitos de suscripción,
grupo de recursos y recurso.
Procedimientos recomendados: conceda a Microsoft Defender for Cloud acceso a los

roles de seguridad que lo necesiten. Defender for Cloud permite a los equipos de
seguridad identificar y corregir rápidamente los riesgos.
Detalles: asigne a los equipos de seguridad con estas necesidades de seguridad el rol
de Azure Administrador de seguridad para ver directivas de seguridad, ver estados de
seguridad, editar directivas de seguridad, ver alertas y recomendaciones y descartar
alertas y recomendaciones. Para ello, puede usar el grupo de administración raíz o el
grupo de administración de segmento, según el ámbito de responsabilidades.
Es posible que las organizaciones que no apliquen el control de acceso a los datos
mediante el uso de funcionalidades como Azure RBAC estén concediendo más
privilegios de los necesarios a sus usuarios. Esto puede poner en peligro los datos al
permitir que los usuarios accedan a tipos de datos (por ejemplo, aquellos que son
críticos para la empresa) a los que no deberían tener acceso.
Menor exposición de las cuentas con

privilegios
La protección del acceso con privilegios es un primer paso esencial para proteger los
recursos empresariales. Minimizar el número de personas que tienen acceso a
información segura o a recursos reduce la posibilidad de que los usuarios
malintencionados obtengan acceso o de que un usuario autorizado, sin darse cuenta,
afecte a un recurso confidencial.
Las cuentas con privilegios son cuentas que administran los sistemas de TI. Estas
cuentas son el objetivo de los ciberatacantes, ya que les proporcionan acceso a los
datos y los sistemas de una organización. Para proteger el acceso con privilegios, debe
aislar las cuentas y los sistemas del riesgo de exposición a usuarios malintencionados.
Recomendamos el desarrollo y seguimiento de una hoja de ruta a fin de proteger el
acceso con privilegios de los ciberatacantes. Para obtener información acerca de cómo
crear una hoja de ruta detallada para proteger las identidades y el acceso que se
administran o notifican en Azure AD, Microsoft Azure, Microsoft 365 y otros servicios en
la nube, revise el artículo Protección del acceso con privilegios para las
implementaciones híbridas y en la nube en Azure AD.
A continuación, se resumen los procedimientos recomendados que se encuentran en el

artículo Protección del acceso con privilegios para las implementaciones híbridas y en la
nube en Azure AD:
Procedimiento recomendado: Administración, control y supervisión del acceso a las

cuentas con privilegios.
Detalles: active Azure AD Privileged Identity Management. Tras activar Privileged
Identity Management, recibirá mensajes de correo electrónico de notificación si se
producen cambios en el rol de acceso con privilegios. Estas notificaciones muestran una
advertencia anticipada cuando se agregan más usuarios a roles con privilegios elevados
en el directorio.
Procedimiento recomendado: garantizar que todas las cuentas de administrador críticas

son cuentas de Azure AD administradas. Detalles: quite las cuentas de consumidor de
los roles de administrador críticos (por ejemplo, cuentas Microsoft como hotmail.com,
live.com y outlook.com).
Procedimiento recomendado: Asegúrese de que todos los roles de administrador

críticos tienen una cuenta aparte para las tareas administrativas, a fin de evitar la
suplantación de identidad y otros ataques que pueden poner en peligro los privilegios
administrativos.
Detalles: cree una cuenta de administración aparte que tenga asignados los privilegios
necesarios para realizar las tareas administrativas. Bloquee el uso de estas cuentas
administrativas para herramientas de productividad diarias como el correo electrónico
de Microsoft 365 o la exploración web arbitraria.
Procedimiento recomendado: Identificación y clasificación de las cuentas que están en

roles con privilegios elevados.
Detalles: después de activar Azure AD Privileged Identity Management, vea los usuarios
que están en los roles de administrador global, con privilegios y otros con privilegios
elevados. Quite todas las cuentas que no sean necesarias en los roles y clasifique las
restantes que estén asignadas a roles de administrador:
Se asigna de forma individual a los usuarios administrativos y se puede usar para

fines no administrativos (por ejemplo, correo electrónico personal)
Asignadas individualmente a usuarios administrativos y designadas solo para fines
administrativos
Compartidas entre varios usuarios
Para los escenarios de acceso de emergencia
Para scripts automatizados
Para usuarios externos
Procedimiento recomendado: Implementar el acceso "Just-In-Time (JIT)" para reducir el

tiempo de exposición de privilegios aún más y aumentar la visibilidad sobre el uso de
cuentas con privilegios.
Detalles: Azure AD Privileged Identity Management le permite:
Limitar a los usuarios a aceptar solo sus privilegios JIT.

Asignar roles para una duración reducida con confianza de que los privilegios se
revocan automáticamente.
Procedimiento recomendado: Definición de un mínimo de dos de cuentas de acceso de

emergencia.
Detalles: las cuentas de acceso de emergencia ayudan a las organizaciones a restringir
el acceso con privilegios en un entorno de Azure Active Directory existente. Estas
cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas
de acceso de emergencia se limitan a situaciones en las que no se pueden usar las
cuentas administrativas normales. Las organizaciones deben limitar el uso de la cuenta
de emergencia a la cantidad de tiempo necesaria únicamente.
Evalúe las cuentas que están asignadas al rol de administrador global o que son aptas
para él. Si no ve que ninguna cuenta que se use solo en la nube mediante el dominio
*.onmicrosoft.com (destinado al acceso de emergencia), créelas. Para más información,
consulte Administración de cuentas administrativas de acceso de emergencia en Azure

AD.
Procedimiento recomendado: disponer de un proceso de "emergencia" por si surge

una.
Detalles: siga los pasos descritos en Protección del acceso con privilegios para las
implementaciones híbridas y en la nube en Azure AD.
Procedimiento recomendado: requerir que todas las cuentas de administrador críticas

no tengan contraseña (opción preferida) o requerir el uso de Multi-Factor
Authentication.
Detalles: use la aplicación Microsoft Authenticator para iniciar sesión en cualquier
cuenta de Azure AD sin utilizar una contraseña. Al igual que Windows Hello para
empresas, Microsoft Authenticator usa la autenticación basada en claves para habilitar
una credencial de usuario que está asociada a un dispositivo y usa una autenticación
biométrica o un PIN.
Requiera Azure AD Multi-Factor Authentication en el inicio de sesión para todos los

usuarios asignados de forma permanente a uno o varios de los roles de administrador
de Azure AD: administrador global, administrador de roles con privilegios, administrador
de Exchange Online y administrador de SharePoint Online. Habilite Multi-Factor
Authentication en sus cuentas de administrador y asegúrese de que todos los usuarios
con cuentas de administrador están registrados.
Procedimiento recomendado: en las cuentas de administrador críticas, tener una

estación de trabajo de administración donde no se permitan tareas de producción (por
ejemplo, las exploraciones o el correo electrónico). De este modo, protegerá las cuentas
de administrador de vectores de ataque que usan la exploración y el correo electrónico,
al tiempo que reducirá considerablemente el riesgo de que se produzca incidentes
importantes.
Detalles: use una estación de trabajo de administración. Elija el nivel de seguridad de la
estación de trabajo:
Los dispositivos de productividad con una protección elevada proporcionan

seguridad avanzada en operaciones de exploración y otras tareas de
productividad.
Las estaciones de trabajo con privilegios de acceso (PAW) proporcionan un
sistema operativo dedicado que está protegido de ataques de Internet y vectores
de amenazas al realizar tareas delicadas.
Procedimiento recomendado: desaprovisionar las cuentas de administrador de

empleados que dejen la organización.
Detalles: tenga implantado un proceso que deshabilite o elimine las cuentas de
administrador de los empleados que dejen la organización.
Procedimiento recomendado: probar con regularidad las cuentas de administrador

usando técnicas de ataque actuales.
Detalles: use el Simulador de ataques de Microsoft 365 o una oferta de terceros para
ejecutar escenarios de ataque realistas en su organización. Esto puede ayudar a detectar
a los usuarios vulnerables antes de que se produzca un ataque real.
Procedimiento recomendado: Pasos necesarios para mitigar las técnicas de ataque

usadas más frecuentemente.
Detalles: identifique las cuentas de Microsoft que tengan roles administrativos y que
deban cambiarse a cuentas profesionales o educativas
Asegúrese de que haya cuentas de usuario independientes y de que se lleve a cabo el
reenvío de correos electrónicos para las cuentas de administrador globales
Asegúrese de que las contraseñas de las cuentas administrativas hayan cambiado

recientemente.
Active la sincronización de hashes de contraseñas
Requiera Multi-Factor Authentication a los usuarios de todos los roles con privilegios, así
como a los usuarios expuestos
Obtención de la puntuación de seguridad de Microsoft 365 (si se usa Microsoft 365)
Revisión de la guía de seguridad de Microsoft 365 (si se usa Microsoft 365)
Configuración de la supervisión de la actividad de Microsoft 365 (si usa Microsoft 365)
Establezca los propietarios del plan de respuesta ante incidentes o emergencias
Proteja las cuentas administrativas con privilegios locales
Si no protege el acceso con privilegios, es posible que tenga demasiados usuarios en

roles con privilegios elevados y sea más vulnerables a ataques. Los actores
malintencionados, entre los que se incluyen ciberatacantes, a menudo tienen como
objetivo las cuentas de administrador y otros elementos con acceso privilegiado para
obtener acceso a datos confidenciales y a sistemas mediante el robo de credenciales.
Controlar las ubicaciones donde se crean los

recursos
Es muy importante permitir que los operadores de nube realicen tareas pero al mismo
tiempo impedir que transgredan las convenciones que son necesarias para administrar
los recursos de la organización. Las organizaciones que quieran controlar las
ubicaciones donde se crean los recursos deben codificarlas de forma segura.
Puede usar Azure Resource Manager para crear directivas de seguridad cuyas
definiciones describan las acciones o los recursos que se deniegan específicamente. Esas
definiciones de directivas se asignan en el ámbito deseado, como la suscripción, el
grupo de recursos o un recurso individual.
７ Nota
Las directivas de seguridad no son lo mismo que Azure RBAC. En realidad, usan
Azure RBAC para autorizar a los usuarios la creación de estos recursos.
Las organizaciones que no controlan cómo se crean los recursos son más susceptibles a
que los usuarios puedan hacer un mal uso del servicio y crear más recursos de los
necesarios. Dificultar el proceso de creación de recursos es un paso importante para
proteger escenarios en los que intervienen varios inquilinos.
Supervisión activa de actividades sospechosas

Un sistema de supervisión de identidades activo puede detectar un comportamiento
sospechoso y desencadenar una alerta para que se investigue. En la tabla siguiente se
muestran las funcionalidades de Azure AD que pueden ayudar a las organizaciones a
supervisar sus identidades:
Procedimiento recomendado: Tener un método de identificación:
Intentos para iniciar sesión sin realizar ningún seguimiento.

Ataques por fuerza bruta contra una cuenta determinada.
Intentos para iniciar sesión desde varias ubicaciones.
Inicios de sesión desde dispositivos infectados.
Direcciones IP sospechosas.
Detalles: use los informes de anomalías de Azure AD Premium. Contar con procesos y
procedimientos implementados para que los administradores de TI ejecuten dichos
informes diariamente o a petición (normalmente en un escenario de respuesta a
incidentes).
Procedimiento recomendado: Contar con un sistema de supervisión activo que le

informa de los riesgos y que puede ajustar el nivel de riesgo (alto, medio o bajo) a sus
requisitos empresariales.
Detalles: use Azure AD Identity Protection, que marca los riesgos actuales en su propio
panel y envía notificaciones de resumen diarias por correo electrónico. Para ayudar a
proteger las identidades de la organización, puede configurar directivas basadas en
riesgos que respondan automáticamente a problemas detectados si se alcanza un nivel
de riesgo específico.
Las organizaciones que no supervisen activamente sus sistemas de identidad corren el

riesgo de comprometer las credenciales de los usuarios. Si las organizaciones no saben
que están teniendo lugar actividades sospechosas a través de estas credenciales, no
podrán mitigar este tipo de amenaza.
Uso de Azure AD para la autenticación de
almacenamiento
Azure Storage admite la autenticación y autorización con Azure AD para Blob Storage y
Queue Storage. Con la autenticación de Azure AD, puede usar el control de acceso
basado en roles de Azure para conceder permisos específicos a usuarios, grupos y
aplicaciones hasta el ámbito de una cola o un contenedor de blobs individual.
Se recomienda usar Azure AD para autenticar el acceso al almacenamiento .
Paso siguiente
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más
procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.
Cinco pasos para asegurar su
infraestructura de identidad
Artículo • 01/06/2023
Si está leyendo este documento, es consciente de la importancia de la seguridad. Es

probable que ya tenga la responsabilidad de proteger su organización. Si necesita
convencer a otros de la importancia de la seguridad, envíeles el último informe sobre
defensa digital de Microsoft para que lo lean.
Este documento ayudará a conseguir una posición más segura gracias a las
funcionalidades de Azure Active Directory; para ello, deberá usar una lista de
comprobación de cinco pasos para mejorar la protección de su organización frente a los
ciberataques.
Esta lista de comprobación le ayudará a implementar rápidamente las acciones críticas

recomendadas para proteger su organización de inmediato; en ella se explica cómo:
Reforzar las credenciales

Reducir el área expuesta a ataques
Automatizar la respuesta frente a amenazas
Usar la inteligencia en la nube
Habilitar el autoservicio del usuario final
７ Nota
Muchas de las recomendaciones de este documento solo son válidas para aquellas
aplicaciones que estén configuradas para usar Azure Active Directory como
proveedor de identidades. La configuración de aplicaciones para el inicio de sesión
único garantiza las ventajas que ofrecen las políticas de credenciales, la detección
de amenazas, la auditoría, el registro y otras características que se agregan a esas
aplicaciones. La administración de aplicaciones de Azure AD es la base sobre la
que se establecen todas estas recomendaciones.
Las recomendaciones de este documento se basan en las especificaciones de la

puntuación de seguridad de identidades, una valoración automatizada de la
configuración de seguridad de las identidades de su inquilino de Azure AD. Las
organizaciones pueden usar la página Puntuación segura de identidad del portal de
Azure AD para detectar deficiencias en la configuración de seguridad actual y garantizar
que se siguen las actuales prácticas recomendadas por Microsoft para la seguridad. Si se
implementan todas las recomendaciones de la página de puntuación de seguridad, la
puntuación aumentará y se podrá supervisar el progreso. Asimismo, esto ayudará a
comparar su implementación con la de otras organizaciones de tamaño similar.
７ Nota
Algunas de las funcionalidades recomendadas en este documento están

disponibles para todos los clientes, mientras que otras requieren una suscripción a
Azure AD Premium. Revise Precios de Azure Active Directory y Lista de
comprobación de implementación de Azure AD para más información.
Antes de empezar: proteja sus cuentas con

privilegios con MFA
Antes de comenzar a trabajar con esta lista de comprobación, asegúrese de que no se
encontrará con problemas mientras lo hace. En Azure Active Directory, observamos
50 millones de ataques a contraseñas al día, pero solo el 20 % de los usuarios y el 30 %
de los administradores globales usan autenticaciones sólidas, como la autenticación
multifactor (MFA). Estas estadísticas se basan en los datos obtenidos a partir de agosto
de 2021. En Azure AD, los usuarios con roles con privilegios, como los administradores,
son la raíz de confianza para crear y administrar el resto del entorno. Implemente las
siguientes prácticas para minimizar los efectos de un riesgo.
Los atacantes que tomen el control de cuentas con privilegios pueden producir enormes
daños, por lo que es fundamental proteger estas cuentas antes de continuar. Habilite y
solicite que todos los administradores de la organización usen el servicio Azure AD
Multi-Factor Authentication (MFA) mediante los valores predeterminados de seguridad
de Azure AD o el acceso condicional. Es fundamental.
¿Todo listo? Comencemos con la lista de comprobación.
Paso 1: Refuerce sus credenciales

Aunque están apareciendo otros tipos de ataques, como el phishing en el
consentimiento y los ataques en identidades no humanas, los ataques basados en
contraseñas en identidades de usuario siguen siendo el vector más frecuente de riesgo
de identidad. Las campañas bien establecidas de phishing de objetivo definido y de
difusión de contraseñas llevadas a cabo por adversarios siguen realizándose de forma
efectiva contra organizaciones que aún no han implementado la autenticación
multifactor (MFA) u otras protecciones contra esta táctica común.
Como organización, debe asegurarse de que las identidades se validan y protegen

mediante MFA en todas partes. En 2020, el informe FBI IC3 Report identificó el
phishing como el principal tipo de delito de las quejas de las víctimas. El número de
informes se duplicó en comparación con el año anterior. El phishing supone una
amenaza significativa para las empresas y los usuarios, y el phishing de credenciales se
usó en muchos de los ataques más perjudiciales del año pasado. Azure Active Directory
(Azure AD) Multi-Factor Authentication (MFA) ayuda a proteger el acceso a datos y
aplicaciones, lo que proporciona otra capa de seguridad mediante una segunda forma
de autenticación. Las organizaciones pueden habilitar la autenticación multifactor con
acceso condicional para que la solución se ajuste a sus necesidades concretas. Consulte
esta guía de implementación para ver cómo planificar e implementar Azure AD MFA.
Asegúrese de que la organización use un método de

autenticación sólida
Para habilitar con facilidad el nivel básico de seguridad de identidad, puede usar la
habilitación de un solo clic con los valores predeterminados de seguridad de Azure AD.
Los valores predeterminados de seguridad imponen Azure AD MFA para todos los
usuarios de un inquilino y bloquean los inicios de sesión de los protocolos heredados en
todo el inquilino.
Si su organización tiene licencias de Azure AD P1 o P2, también puede usar el libro

Conditional Access insights and reporting para ayudarle a detectar brechas en la
configuración y la cobertura. A partir de estas recomendaciones, puede cerrar
fácilmente esta brecha mediante la creación de una directiva con la nueva experiencia
de plantillas de acceso condicional. Las plantillas de acceso condicional están diseñadas
para proporcionar un método sencillo de implementación de nuevas directivas que se
alinean con los procedimientos recomendados de Microsoft, lo que facilita la
implementación de directivas comunes para proteger las identidades y los dispositivos.
Comience a prohibir las contraseñas que sufren ataques

con más frecuencia y olvídese de la complejidad y las
reglas de expiración tradicionales.
Muchas organizaciones usan reglas tradicionales de complejidad y expiración de
contraseñas. La investigación de Microsoft ha demostrado que estas directivas hacen
que los usuarios elijan contraseñas que son más fáciles de adivinar, algo que también se
indica en la guía de NIST . Se recomienda utilizar la protección de contraseñas de
Azure AD, una característica de contraseña dinámica prohibida que utiliza el
comportamiento actual del atacante para evitar que los usuarios establezcan
contraseñas que puedan adivinarse fácilmente. Esta funcionalidad está siempre activada
cuando se crean usuarios en la nube, pero ahora también está disponible en las
organizaciones híbridas cuando implementan la protección con contraseña de Azure AD
para Windows Server Active Directory. Además, se recomienda quitar las directivas de
expiración. El cambio de contraseña no ofrece ventajas de contención, ya que los
ciberdelincuentes casi siempre usan las credenciales en cuanto las comprometen.
Consulte este artículo para cambiar la directiva de expiración de las contraseñas de la
organización.
Protéjase contra la filtración de credenciales y mejore la

resistencia contra las interrupciones
El método más sencillo y recomendado para permitir la autenticación en la nube para
los objetos de directorio local en Azure AD es habilitar la sincronización de hash de
contraseña (PHS). Si la organización utiliza una solución de identidad híbrida con
federación o autenticación de paso a través, debe habilitar la sincronización de hash de
contraseñas por estos dos motivos:
El informe Usuarios con credenciales filtradas de Azure AD advierte de los pares de

nombre de usuario y contraseña que se han expuesto públicamente. Se filtra un
volumen increíble de contraseñas a través del phishing, el malware y la
reutilización de contraseñas en sitios de terceros que luego se vulneran. Cuando
Microsoft encuentre muchas de estas credenciales filtradas, le indicará en este
informe si coinciden con las credenciales de la organización; sin embargo, para
ello, debe habilitar la sincronización de hash de contraseña o contar con
identidades solo en la nube.
Si se produce una interrupción en el entorno local, como un ataque de
ransomware, podrá cambiar a la autenticación en la nube mediante la
sincronización de hash de contraseña. Este método de autenticación de copias de
seguridad le permitirá continuar accediendo a las aplicaciones configuradas para la
autenticación con Azure Active Directory, incluido Microsoft 365. En este caso, el
personal de TI no necesitará recurrir a shadow IT ni a las cuentas de correo
electrónico personales para compartir los datos hasta que la interrupción del
entorno local se resuelva.
Las contraseñas nunca se almacenan en texto no cifrado o cifradas con un algoritmo

reversible en Azure AD. Para obtener más información sobre el proceso real de la
sincronización de hash de contraseña, consulte Descripción detallada de cómo funciona
la sincronización de hash de contraseñas.
Implementación del bloqueo inteligente de la extranet de

AD FS
El bloqueo inteligente ayuda a bloquear a los actores malintencionados que intentan
adivinar las contraseñas de los usuarios o que usan métodos de fuerza bruta para
acceder. El bloqueo inteligente puede reconocer los inicios de sesión que proceden de
usuarios válidos y tratarlos de forma distinta a los que provienen de atacantes y otros
orígenes desconocidos. Se impide el paso a los atacantes, mientras que los usuarios
pueden continuar con el acceso a sus cuentas y ser productivos. Las organizaciones que
configuran aplicaciones para que se autentiquen directamente en Azure AD se
benefician del bloqueo inteligente de Azure AD . Las implementaciones federadas que
usan AD FS 2016 y AD FS 2019 pueden habilitar ventajas similares mediante el bloqueo
de extranet de AD FS y el bloqueo inteligente de extranet.
Paso 2: Reducción del área expuesta a ataques

Dado el amplio número de contraseñas que se ven en riesgo, es fundamental minimizar
la superficie de ataque en su organización. Para ello, puede deshabilitar el uso de los
protocolos más antiguos y menos seguros, limitar los puntos de entrada de acceso,
trasladarse a la autenticación en la nube, ejercer un mayor control del acceso
administrativo a los recursos y adoptar los principios de seguridad de Confianza cero.
Uso de la autenticación en la nube

Las credenciales son un vector de ataque principal. Las prácticas incluidas en este blog
pueden reducir el área expuesta a ataques mediante la autenticación en la nube, la
implementación de MFA y el uso de métodos de autenticación sin contraseña. Puede
implementar métodos sin contraseña, como Windows Hello para empresas, el inicio de
sesión en el teléfono con la aplicación Microsoft Authenticator o FIDO.
Bloquear la autenticación heredada

Las aplicaciones que usan sus propios métodos heredados para autenticarse con Azure
AD y acceder a los datos de la empresa, representan otro riesgo para las organizaciones.
Varios ejemplos de aplicaciones que usan autenticación heredada son clientes POP3,
IMAP4 o SMTP. Las aplicaciones de autenticación heredada se autentican en nombre del
usuario e impiden que Azure AD realice evaluaciones de seguridad avanzadas. Por ello,
la autenticación alternativa y moderna reducirá los riesgos de seguridad, ya que admite
la autenticación multifactor y el acceso condicional.
Se recomiendan las siguientes acciones:
1. Descubra la autenticación heredada en su organización con los libros de análisis

de registros y los registros de inicio de sesión de Azure AD.
2. Configure SharePoint Online y Exchange Online para que usen una autenticación
moderna.
3. Si tiene licencias de Azure AD Premium, use directivas de acceso condicional para
bloquear la autenticación heredada. En el caso del nivel de servicio Azure AD Free,
use los valores predeterminados de seguridad de Azure AD.
4. Bloquee la autenticación heredada si usa AD FS.
5. Bloquee la autenticación heredada con Exchange Server 2019.
6. Deshabilite la autenticación heredada en Exchange Online.
Para más información, consulte el artículo Bloqueo de los protocolos de autenticación

heredados en Azure AD.
Bloquear los puntos de entrada de autenticación no

válidos
Al usar el principio de comprobación explícita, debe reducir el impacto de las
credenciales de usuario en riesgo cuando se produce un ataque. Para cada aplicación
del entorno, considere los casos de uso válidos: qué grupos, qué redes, qué dispositivos
y qué más elementos están autorizados y, a continuación, bloquee el resto. Mediante el
acceso condicional de Azure AD, puede controlar la manera en que los usuarios
autorizados acceden a aplicaciones y recursos, en función de las condiciones específicas
que defina.
Para más información sobre cómo usar el acceso condicional para las acciones de
usuario y las aplicaciones en la nube, vea Acceso condicional: aplicaciones, acciones y
contexto de autenticación en la nube.
Revisión y control de roles de administrador

Otro pilar de Confianza cero es la necesidad de minimizar la probabilidad de que una
cuenta en riesgo pueda funcionar con un rol con privilegios. Este control se puede
lograr mediante la asignación de la menor cantidad de privilegios a una identidad. Si no
está familiarizado con los roles de Azure AD, este artículo le ayudará a comprenderlos.
Los roles con privilegios de Azure AD deben ser cuentas solo en la nube para aislarlos
de cualquier entorno local y no se deben usar almacenes de contraseñas locales para
almacenar las credenciales.
Implementación de Privileged Identity Management

Privileged Identity Management (PIM) proporciona una activación de rol basada en
tiempo y en aprobación para mitigar los riesgos de tener unos permisos de acceso
excesivos, innecesarios o mal utilizados en los recursos importantes. Estos recursos
incluyen los de Azure Active Directory (Azure AD), Azure y los de otros servicios de
Microsoft Online Services, como Microsoft 365 o Microsoft Intune.
Azure AD Privileged Identity Management (PIM) le ayudará a minimizar los privilegios

de la cuenta gracias a que podrá hacer lo siguiente:
Identificar y administrar los usuarios asignados a roles administrativos.

Detectar los roles de privilegios excesivos o que no se usan, y que debe eliminar.
Establecer reglas para asegurarse de que los roles con privilegios estén protegidos
mediante la autenticación multifactor.
Establecer reglas para asegurarse de que los roles con privilegios se otorguen solo
el tiempo suficiente para realizar la tarea con privilegios.
Habilite Azure AD PIM, consulte a qué usuarios se les asignaron roles administrativos y
elimine las cuentas innecesarias de esos roles. En cuanto a los usuarios con privilegios
restantes, cambie su estado de "permanentes" a "válidos". Finalmente, establezca las
directivas apropiadas para asegurarse de que, cuando necesiten obtener acceso a esos
roles con privilegios, puedan hacerlo de forma segura con el control de cambios
necesario.
Los roles personalizados e integrados de Azure AD se basan en conceptos parecidos a
los roles que se encuentran en el sistema de control de acceso basado en rol para los
recursos de Azure (roles de Azure). La diferencia entre estos dos sistemas de control de
acceso basados en rol es:
El control de rol de Azure AD accede a recursos de Azure AD como los usuarios,

los grupos y las aplicaciones con Microsoft Graph API.
El control de rol de Azure accede a recursos de Azure como las máquinas virtuales
o el almacenamiento mediante Azure Resource Manager.
Ambos sistemas contienen definiciones de rol y asignaciones de roles que se usan igual.
Sin embargo, los permisos de rol de Azure AD no se pueden usar en los roles
personalizados de Azure ni viceversa. Como parte del proceso de implementación de la
cuenta con privilegios, siga los procedimientos recomendados para crear al menos dos
cuentas de emergencia y así asegurarse de que aún tiene acceso a Azure AD si se
bloquea su cuenta.
Para más información, consulte el artículo Planeación de una implementación de

Privileged Identity Management y protección del acceso con privilegios.
Restricción de las operaciones de consentimiento del

usuario
Es importante comprender las distintas experiencias de consentimiento de la aplicación
de Azure AD, los tipos de permisos y consentimiento, y sus implicaciones en la postura
de seguridad de la organización. Aunque permitir que los usuarios den su
consentimiento por su cuenta les permite adquirir fácilmente aplicaciones útiles que se
integran con Microsoft 365, Azure y otros servicios, puede representar un riesgo si no se
utiliza y supervisa con precaución.
Microsoft recomienda restringir el consentimiento del usuario para permitir el

consentimiento de los usuarios finales solo para las aplicaciones de publicadores
comprobados y únicamente para los permisos que usted seleccione. Si el
consentimiento del usuario final está restringido, se seguirán respetando las
concesiones de consentimiento anteriores, pero todas las operaciones de
consentimiento futuras tendrá que realizarlas un administrador. En casos restringidos,
los usuarios pueden solicitar el consentimiento del administrador a través de un flujo de
trabajo de solicitud de consentimiento del administrador integrado o a través de sus
propios procesos de soporte técnico. Antes de restringir el consentimiento del usuario
final, use nuestras recomendaciones para planear este cambio en su organización. En el
caso de las aplicaciones a las que quiere permitir el acceso a todos los usuarios,
considere la posibilidad de conceder consentimiento en nombre de todos los usuarios y
asegúrese de que aquellos que todavía no hayan dado su consentimiento de forma
individual puedan acceder a la aplicación. Si no quiere que estas aplicaciones estén
disponibles para todos los usuarios en todos los escenarios, use la asignación de
aplicaciones y el acceso condicional para restringir el acceso de los usuarios a
aplicaciones específicas.
Asegúrese de que los usuarios pueden solicitar la aprobación del administrador para las
nuevas aplicaciones a fin de reducir la fricción del usuario, minimizar el volumen de
soporte técnico y evitar que los usuarios se registren en las aplicaciones con
credenciales que no sean de Azure AD. Una vez que haya regulado las operaciones de
consentimiento, los administradores deben auditar los permisos de aplicación y
consentimiento con regularidad.
Para más información, consulte el artículo Marco de consentimiento de la plataforma de

identidad de Microsoft.
Paso 3: automatizar la respuesta a amenazas

Azure Active Directory tiene varias funcionalidades que interceptan ataques
automáticamente, y que le permiten eliminar la latencia entre la detección y la
respuesta. Puede reducir los costos y riesgos a la vez que reduce el tiempo que usan los
delincuentes para integrarse en su entorno. Estos son los pasos concretos que puede
tomar.
Para más información, consulte el artículo Procedimientos: Configuración y habilitación

de directivas de riesgo.
Implementación de la directiva de riesgo de inicio de

sesión
Un riesgo de inicio de sesión representa la probabilidad de que el propietario de la
identidad no haya autorizado una solicitud de autenticación determinada. Una directiva
basada en riesgos de inicio de sesión se puede implementar mediante la adición de una
condición de riesgo de inicio de sesión a las directivas de acceso condicional que evalúe
el nivel de riesgo en un usuario o grupo específico. En función del nivel de riesgo (alto /
medio / bajo), se puede configurar una política para bloquear el acceso o forzar la
autenticación multifactor. Se recomienda forzar la autenticación multifactor en inicios de
sesión de riesgo medio o superior.

Implementación de una directiva de seguridad de riesgo

de usuario
El riesgo de usuario indica la probabilidad de que la identidad de un usuario se haya
visto comprometida, y se calcula en función de las detecciones de riesgo de usuario que
están asociadas con la identidad del usuario. Una directiva basada en riesgos de usuario
se puede implementar mediante la incorporación de una condición de riesgo de usuario
a las directivas de acceso condicional que evalúe el nivel de riesgo en un usuario
específico. Según el nivel de riesgo (bajo, medio o alto), se puede configurar la directiva
para que bloquee el acceso o solicite un cambio de contraseña segura mediante la
autenticación multifactor. Microsoft le recomienda exigir un cambio de contraseña
seguro a aquellos usuarios de alto riesgo.

En la detección de riesgos del usuario se incluye una comprobación de si las

credenciales del usuario coinciden con las credenciales que han filtrado los
ciberdelincuentes. Para que funcione de forma óptima, es importante implementar la
sincronización de hash de contraseña con la sincronización de Azure AD Connect.
Integración de Microsoft 365 Defender con Azure AD

Identity Protection
Para que Identity Protection pueda realizar la mejor detección de riesgos posible, debe
obtener tantas señales como sea posible. Por lo tanto, es importante integrar el
conjunto completo de servicios de Microsoft 365 Defender:
Microsoft Defender para punto de conexión

Microsoft Defender para Office 365
Microsoft Defender for Identity
Microsoft Defender for Cloud Apps
Obtenga más información sobre la Protección contra amenazas de Microsoft y la
importancia de integrar distintos dominios en el breve vídeo que se incluye a
continuación.
https://www.microsoft.com/es-es/videoplayer/embed/RE4Bzww?
postJsllMsg=true&autoCaptions=es-es
Configuración de supervisión y alertas

Es importante supervisar y auditar los registros para detectar comportamientos
sospechosos. En Azure Portal, hay varias formas de integrar los registros de Azure AD
con otras herramientas, como Microsoft Sentinel, Azure Monitor y otras herramientas de
SIEM. Para obtener más información, consulte la Guía de operaciones de seguridad de
Paso 4: Uso de Cloud Intelligence

La auditoría, el registro de eventos y las alertas relacionados con la seguridad son
componentes importantes en una estrategia de protección de datos eficaz. Los registros
e informes de seguridad proporcionan un registro electrónico de actividades
sospechosas y le ayudan a detectar patrones que puedan indicar un acceso externo a la
red, así como ataques internos. Puede usar la auditoría para supervisar la actividad del
usuario y el cumplimiento normativo de documentos, realizar análisis forenses y mucho
más. Además, las alertas le proporcionarán notificaciones acerca de eventos de
seguridad. Asegúrese de que tiene una directiva de retención de registros para los
registros de inicio de sesión y los registros de auditoría de Azure AD mediante una
exportación a Azure Monitor o a una herramienta de SIEM.
Supervisar Azure AD
Las características y los servicios de Microsoft Azure proporcionan opciones de
seguridad de registro y auditoría que le ayudarán a identificar carencias en las directivas
y mecanismos de seguridad, y a resolver esas carencias para evitar infracciones. Puede
usar el registro y auditoría de Azure y usar los informes de actividades de la auditoría en
el portal de Azure Active Directory. Consulte la Guía de operaciones de seguridad de
Azure Active Directory para obtener más información sobre la supervisión de cuentas de
usuario, cuentas con privilegios, aplicaciones y dispositivos.
Supervisar Azure AD Connect Health en entornos

híbridos
En Supervisión de AD FS mediante Azure AD Connect Health, obtendrá más información
sobre los posibles problemas y la visibilidad de los ataques en la infraestructura de AD
FS. Ahora puede consultar los inicios de sesión de ADFS para proporcionar una mayor
profundidad a la supervisión. Azure AD Connect Health proporciona alertas con detalles,
pasos de resolución y enlaces a documentación relacionada y, además, analiza el uso de
varias métricas relacionadas con el tráfico de autenticación y supervisa y crea informes
de rendimiento. Use el Libro de direcciones IP de riesgo para ADFS, que puede ayudar a
identificar la norma del entorno y alertar cuando se produzca un cambio. Toda la
infraestructura híbrida debe supervisarse como un recurso de nivel 0. Puede encontrar
instrucciones detalladas de supervisión para estos recursos en la Guía de operaciones de
seguridad para infraestructura.
Supervisar eventos de Azure AD Identity Protection

Azure AD Identity Protection proporciona dos informes importantes que debe
supervisar a diario:
1. Los informes de inicios de sesión de riesgo ponen de manifiesto las actividades de

inicio de sesión de los usuarios que deben investigarse, ya que es posible que el
inicio de sesión no lo haya realizado el propietario legítimo.
2. Los informes de riesgo de usuarios ponen de manifiesto las cuentas de usuario
que podrían haberse visto comprometidas; por ejemplo, las cuentas en las que se
ha detectado una filtración de credenciales o donde el usuario ha iniciado sesión
desde una ubicación diferente, lo que indicaría que se ha producido un viaje que
no es posible.

Aplicaciones de auditoría y permisos consentidos

Es posible que los usuarios sean víctimas de un engaño y sean conducidos a
aplicaciones o sitios web comprometidos que podrían obtener acceso a la información
de perfil y los datos del usuario, como el correo electrónico. Un individuo
malintencionado podría usar los permisos consentidos que ha recibido para cifrar el
contenido del buzón y pedir un rescate para recuperar los datos. Los administradores
deben revisar y auditar los permisos proporcionados por los usuarios. Además de
auditar los permisos proporcionados por los usuarios, puede encontrar aplicaciones de
OAuth peligrosas o no deseadas en entornos Premium.
Paso 5: habilitar la autoayuda del usuario final

En la medida de lo posible, querrá equilibrar la seguridad con la productividad. Teniendo
en cuenta que está preparando el camino para conseguir asentar las bases para la
seguridad, puede limar las asperezas en su organización al dar más autoridad a sus
usuarios a la vez que se mantiene en guardia y reduce las sobrecargas operativas.
Implementar el restablecimiento de contraseña de

autoservicio
El autoservicio de restablecimiento de contraseña (SSPR) de Azure AD ofrece a los
administradores de TI un medio simple para permitir a los usuarios restablecer o
desbloquear sus contraseñas o cuentas sin la intervención del departamento de soporte
técnico o del administrador. El sistema incluye informes detallados del seguimiento de
los usuarios que restablecen sus contraseñas, además de notificaciones de alerta de
posibles abusos o usos indebidos.
Implementar el acceso a grupos y aplicaciones de

autoservicio
Azure AD puede permitir que los usuarios que no sean administradores administren el
acceso a los recursos mediante grupos de seguridad, grupos de Microsoft 365, roles de
aplicación y catálogos de paquetes de acceso. La administración de grupos de
autoservicio permite a los propietarios de grupos administrar sus propios grupos, sin
necesidad de tener asignado un rol como administrador. Los usuarios también pueden
crear y administrar grupos de Microsoft 365 sin depender de los administradores para
administrar sus solicitudes y los grupos no usados expiran automáticamente. La
administración de derechos de Azure AD habilita la delegación y visibilidad, con flujos
de trabajo de solicitud de acceso completos y la expiración automática. Puede delegar a
los usuarios que no son administradores la capacidad de configurar sus propios
paquetes de acceso para grupos, equipos, aplicaciones y sitios de SharePoint Online de
su propiedad, con directivas personalizadas para quien se necesita aprobar el acceso,
incluido el establecimiento, como aprobadores, de los administradores de los
empleados y los patrocinadores socios comerciales.
Implementar revisiones de acceso de Azure AD

Gracias a las revisiones de acceso de Azure AD, puede administrar la pertenencia a
paquete de acceso y grupos, obtener acceso a las aplicaciones de la empresa y asignar
funciones con privilegios para asegurarse de mantener un estándar de seguridad. La
supervisión habitual por parte de los usuarios, los propietarios de recursos y otros
revisores garantiza que los usuarios no conservan el acceso durante períodos de tiempo
prolongados cuando ya no lo necesitan.
Implementación del aprovisionamiento automático de

usuarios
El aprovisionamiento y el desaprovisionamiento son los procesos que garantizan la
coherencia de las identidades digitales en varios sistemas. Normalmente, estos procesos
se aplican como parte de la administración del ciclo de vida de la identidad.
El aprovisionamiento es el proceso de creación de una identidad en un sistema de
destino según determinadas condiciones. El desaprovisionamiento es el proceso de
eliminación de la identidad del sistema de destino cuando ya no se cumplen las
condiciones. La sincronización es el proceso que permite mantener actualizado el objeto
aprovisionado, de modo que el objeto de origen y el de destino sean similares.
Actualmente, Azure AD proporciona tres áreas de aprovisionamiento automatizado. Son

las siguientes:
Aprovisionamiento desde un sistema externo autoritativo sin directorios de

registro en Azure AD mediante el aprovisionamiento controlado por recursos
humanos
Aprovisionamiento desde Azure AD en aplicaciones mediante el aprovisionamiento
de aplicaciones
Aprovisionamiento entre Azure AD y Active Directory Domain Services mediante el
aprovisionamiento entre directorios
Puede obtener más información aquí: ¿Qué es el aprovisionamiento con Azure Active
Directory?.
Resumen
Existen muchos aspectos en una infraestructura de identidad segura, pero esta lista de
comprobación de cinco pasos le ayudará a lograr rápidamente una infraestructura de
identidad segura:
Reforzar las credenciales

Reducir el área expuesta a ataques
Automatizar la respuesta frente a amenazas
Usar la inteligencia en la nube
Habilitar el autoservicio del usuario final
Le agradecemos la seriedad con la que se toma la seguridad y esperamos que este

documento sea una hoja de ruta útil para conseguir una posición más segura para su
organización.
Pasos siguientes
Si necesita ayuda para planificar e implementar las recomendaciones, consulte los
planes de implementación del proyecto de Azure AD para obtener ayuda.
Si está seguro de que se han completado todos estos pasos, use la puntuación de
seguridad de la identidad de Microsoft, que le permitirá mantenerse al día con los
últimos procedimientos recomendados y las amenazas de seguridad.
Passwordless authentication options for
Microsoft Entra ID
Article • 10/23/2023
Features like multifactor authentication (MFA) are a great way to secure your
organization, but users often get frustrated with the additional security layer on top of
having to remember their passwords. Passwordless authentication methods are more
convenient because the password is removed and replaced with something you have,
plus something you are or something you know.
Authentication Something you have Something you are or know
Passwordless Windows 10 Device, phone, or security key Biometric or PIN
Each organization has different needs when it comes to authentication. Microsoft Global
Azure and Azure Government offer the following three passwordless authentication
options that integrate with Microsoft Entra ID:
Windows Hello for Business

Microsoft Authenticator
FIDO2 security keys
Windows Hello for Business

Windows Hello for Business is ideal for information workers that have their own
designated Windows PC. The biometric and PIN credentials are directly tied to the user's
PC, which prevents access from anyone other than the owner. With public key
infrastructure (PKI) integration and built-in support for single sign-on (SSO), Windows
Hello for Business provides a convenient method for seamlessly accessing corporate
resources on-premises and in the cloud.
The following steps show how the sign-in process works with Microsoft Entra ID:
1. A user signs into Windows using biometric or PIN gesture. The gesture unlocks the
Windows Hello for Business private key and is sent to the Cloud Authentication
security support provider, referred to as the Cloud AP provider.
2. The Cloud AP provider requests a nonce (a random arbitrary number that can be
used just once) from Microsoft Entra ID.
3. Microsoft Entra ID returns a nonce that's valid for 5 minutes.
4. The Cloud AP provider signs the nonce using the user's private key and returns the
signed nonce to the Microsoft Entra ID.
5. Microsoft Entra ID validates the signed nonce using the user's securely registered
public key against the nonce signature. Microsoft Entra ID validates the signature
and then validates the returned signed nonce. When the nonce is validated,
Microsoft Entra ID creates a primary refresh token (PRT) with session key that is
encrypted to the device's transport key and returns it to the Cloud AP provider.
6. The Cloud AP provider receives the encrypted PRT with session key. The Cloud AP
provider uses the device's private transport key to decrypt the session key and
protects the session key using the device's Trusted Platform Module (TPM).
7. The Cloud AP provider returns a successful authentication response to Windows.
The user is then able to access Windows as well as cloud and on-premises
applications without the need to authenticate again (SSO).
The Windows Hello for Business planning guide can be used to help you make decisions
on the type of Windows Hello for Business deployment and the options you'll need to
consider.
Microsoft Authenticator
You can also allow your employee's phone to become a passwordless authentication
method. You may already be using the Authenticator app as a convenient multi-factor
authentication option in addition to a password. You can also use the Authenticator App
as a passwordless option.
The Authenticator App turns any iOS or Android phone into a strong, passwordless
credential. Users can sign in to any platform or browser by getting a notification to their
phone, matching a number displayed on the screen to the one on their phone, and then
using their biometric (touch or face) or PIN to confirm. Refer to Download and install the
Microsoft Authenticator for installation details.
Passwordless authentication using the Authenticator app follows the same basic pattern
as Windows Hello for Business. It's a little more complicated as the user needs to be
identified so that Microsoft Entra ID can find the Authenticator app version being used:
1. The user enters their username.

2. Microsoft Entra ID detects that the user has a strong credential and starts the
Strong Credential flow.
3. A notification is sent to the app via Apple Push Notification Service (APNS) on iOS
devices, or via Firebase Cloud Messaging (FCM) on Android devices.
4. The user receives the push notification and opens the app.
5. The app calls Microsoft Entra ID and receives a proof-of-presence challenge and
nonce.
6. The user completes the challenge by entering their biometric or PIN to unlock
private key.
7. The nonce is signed with the private key and sent back to Microsoft Entra ID.
8. Microsoft Entra ID performs public/private key validation and returns a token.
To get started with passwordless sign-in, complete the following how-to:
Enable passwordless sign using the Authenticator app
FIDO2 security keys

The FIDO (Fast IDentity Online) Alliance helps to promote open authentication standards
and reduce the use of passwords as a form of authentication. FIDO2 is the latest
standard that incorporates the web authentication (WebAuthn) standard.
FIDO2 security keys are an unphishable standards-based passwordless authentication

method that can come in any form factor. Fast Identity Online (FIDO) is an open
standard for passwordless authentication. FIDO allows users and organizations to
leverage the standard to sign in to their resources without a username or password
using an external security key or a platform key built into a device.
Users can register and then select a FIDO2 security key at the sign-in interface as their
main means of authentication. These FIDO2 security keys are typically USB devices, but
could also use Bluetooth or NFC. With a hardware device that handles the
authentication, the security of an account is increased as there's no password that could
be exposed or guessed.
FIDO2 security keys can be used to sign in to their Microsoft Entra ID or Microsoft Entra
hybrid joined Windows 10 devices and get single-sign on to their cloud and on-
premises resources. Users can also sign in to supported browsers. FIDO2 security keys
are a great option for enterprises who are very security sensitive or have scenarios or
employees who aren't willing or able to use their phone as a second factor.
We have a reference document for which browsers support FIDO2 authentication with
Microsoft Entra ID, and best practices for developers wanting to support FIDO2 auth in
the applications they develop.
The following process is used when a user signs in with a FIDO2 security key:
1. The user plugs the FIDO2 security key into their computer.
2. Windows detects the FIDO2 security key.
3. Windows sends an authentication request.
4. Microsoft Entra ID sends back a nonce.
5. The user completes their gesture to unlock the private key stored in the FIDO2
security key's secure enclave.
6. The FIDO2 security key signs the nonce with the private key.
7. The primary refresh token (PRT) token request with signed nonce is sent to
Microsoft Entra ID.
8. Microsoft Entra ID verifies the signed nonce using the FIDO2 public key.
9. Microsoft Entra ID returns PRT to enable access to on-premises resources.
FIDO2 security key providers

The following providers offer FIDO2 security keys of different form factors that are
known to be compatible with the passwordless experience. We encourage you to
evaluate the security properties of these keys by contacting the vendor as well as the
FIDO Alliance .
Provider Biometric USB NFC BLE FIPS Certified
AuthenTrend
ACS
ATOS
Ciright
Composecure
Crayonic
Cryptnox
Ensurity
Excelsecu
Feitian
Fortinet
Giesecke + Devrient (G+D)
Google
GoTrustID Inc.
HID
HIDEEZ
Hypersecu
Hypr
Identiv
IDmelon Technologies Inc.
Kensington
KONA I
NeoWave
Nymi
Octatco
OneSpan Inc.
PONE Biometrics
Precision Biometric
RSA
Sentry
SmartDisplayer
Swissbit
Thales Group
Thetis
Token2 Switzerland
Token Ring
TrustKey Solutions
VinCSS
WiSECURE Technologies
Yubico
７ Note
If you purchase and plan to use NFC-based security keys, you need a supported
NFC reader for the security key. The NFC reader isn't an Azure requirement or
limitation. Check with the vendor for your NFC-based security key for a list of
supported NFC readers.
If you're a vendor and want to get your device on this list of supported devices, check
out our guidance on how to become a Microsoft-compatible FIDO2 security key vendor.
To get started with FIDO2 security keys, complete the following how-to:
Enable passwordless sign using FIDO2 security keys
Supported scenarios
The following considerations apply:
Administrators can enable passwordless authentication methods for their tenant.
Administrators can target all users or select users/Security groups within their
tenant for each method.
Users can register and manage these passwordless authentication methods in their
account portal.
Users can sign in with these passwordless authentication methods:

Authenticator app: Works in scenarios where Microsoft Entra authentication is
used, including across all browsers, during Windows 10 setup, and with
integrated mobile apps on any operating system.
Security keys: Work on lock screen for Windows 10 and the web in supported
browsers like Microsoft Edge (both legacy and new Edge).
Users can use passwordless credentials to access resources in tenants where they
are a guest, but they may still be required to perform MFA in that resource tenant.
For more information, see Possible double multi-factor authentication.
Users may not register passwordless credentials within a tenant where they are a
guest, the same way that they do not have a password managed in that tenant.
Unsupported scenarios
We recommend no more than 20 sets of keys for each passwordless method for any
user account. As more keys are added, the user object size increases, and you may
notice degradation for some operations. In that case, you should remove unnecessary
keys. For more information and the PowerShell cmdlets to query and remove keys, see
Using WHfBTools PowerShell module for cleaning up orphaned Windows Hello for
Business Keys . The topic uses /UserPrincipalName optional parameter to query only
keys for a specific user. The permissions required are to run as an administrator or the
specified user.
When you use PowerShell to create a CSV file with all of the existing keys, carefully
identify the keys that you need to keep, and remove those rows from the CSV. Then use
the modified CSV with PowerShell to delete the remaining keys to bring the account key
count under the limit.
It is safe to delete any key reported as "Orphaned"="True" in the CSV. An orphaned key
is one for a device that is not longer registered in Entra ID. If removing all Orphans still
doesn't bring the User account below the limit it is necessary to look at the "DeviceId"
and "CreationTime" columns to identify which keys to target for deletion. Be careful to
remove any row in the CSV for keys you want to keep. Keys for any DeviceID
corresponding to devices the user actively uses should be removed from the CSV before
the deletion step.
Choose a passwordless method

The choice between these three passwordless options depends on your company's
security, platform, and app requirements.
Here are some factors for you to consider when choosing Microsoft passwordless
technology:
Windows Hello for Business Passwordless sign- FIDO2 security keys

in with the
Authenticator app
Pre- Windows 10, version 1809 or Authenticator app Windows 10, version 1903
requisite later Phone (iOS and or later
Microsoft Entra ID Android devices) Microsoft Entra ID
Mode Platform Software Hardware
Systems PC with a built-in Trusted PIN and biometrics FIDO2 security devices that
and devices Platform Module (TPM) recognition on are Microsoft compatible
PIN and biometrics phone
Windows Hello for Business Passwordless sign- FIDO2 security keys
recognition
in with the
Authenticator app
User Sign in using a PIN or Sign in using a Sign in using FIDO2 security
experience biometric recognition (facial, mobile phone with device (biometrics, PIN, and
iris, or fingerprint) with fingerprint scan, NFC)
Windows devices. facial or iris User can access device
Windows Hello recognition, or PIN. based on organization
authentication is tied to the Users sign in to controls and authenticate
device; the user needs both work or personal based on PIN, biometrics
the device and a sign-in account from their using devices such as USB
component such as a PIN or PC or mobile phone. security keys and NFC-
biometric factor to access enabled smartcards, keys, or
corporate resources. wearables.
Enabled Password-less experience Password-less Password-less experience

scenarios with Windows device. anywhere solution for workers using
Applicable for dedicated using mobile phone. biometrics, PIN, and NFC.
work PC with ability for Applicable for Applicable for shared PCs
single sign-on to device and accessing work or and where a mobile phone
applications. personal is not a viable option (such
applications on the as for help desk personnel,
web from any public kiosk, or hospital
device. team)
Use the following table to choose which method will support your requirements and
users.
Persona Scenario Environment Passwordless technology
Admin Secure access to a device Assigned Windows Windows Hello for Business
for management tasks 10 device and/or FIDO2 security key
Admin Management tasks on Mobile or non- Passwordless sign-in with

non-Windows devices windows device the Authenticator app
Information Productivity work Assigned Windows Windows Hello for Business

worker 10 device and/or FIDO2 security key
Information Productivity work Mobile or non- Passwordless sign-in with

worker windows device the Authenticator app
Frontline Kiosks in a factory, plant, Shared Windows 10 FIDO2 Security keys

worker retail, or data entry devices
Next steps
To get started with passwordless in Microsoft Entra ID, complete one of the following
how-tos:
Enable FIDO2 security key passwordless sign-in

Enable phone-based passwordless sign-in with the Authenticator app
External Links
FIDO Alliance
FIDO2 CTAP specification
Autenticación con Azure AD
Artículo • 20/04/2023
La autenticación es un proceso que concede o deniega el acceso a un sistema mediante

la comprobación de la identidad del descriptor de acceso. Use un servicio de identidad
administrada para todos los recursos con el fin de simplificar la administración global
(por ejemplo, las directivas de contraseñas) y minimizar el riesgo de cometer descuidos
o errores humanos. Azure Active Directory (Azure AD) es un servicio integral de
administración de identidades y acceso de Azure.
Puntos clave
Use las identidades administradas para acceder a los recursos de Azure.
Mantiene sincronizados los directorios locales y en la nube, excepto para las
cuentas con privilegios elevados.
Use preferiblemente métodos sin contraseña u opte por métodos de contraseña
modernos.
Habilite el acceso condicional de Azure AD basado en atributos clave de seguridad
al autenticar a todos los usuarios, en especial para las cuentas con privilegios
elevados.
Uso de la autenticación basada en identidad

¿Cómo se autentica la aplicación durante la comunicación con los servicios de la
plataforma Azure?
Las identidades administradas permiten a los servicios de Azure autenticarse entre sí sin
presentar credenciales explícitas a través del código.
Managed Identities for Azure Resources es una característica de Azure Active Directory.
Cada servicio de Azure compatible con Managed Identities for Azure Resources está
sujeto a su propia escala de tiempo. Asegúrese de revisar el estado de disponibilidad de
las identidades administradas para el recurso y los problemas conocidos antes de
comenzar. Esta característica proporciona a los servicios de Azure una identidad de
sistema administrada automáticamente en Azure AD. Puede usar esta identidad para
autenticarse en cualquier servicio que admita la autenticación de Azure AD, incluido Key
Vault, sin necesidad de credenciales en el código. La característica de identidades
administradas para recursos de Azure se incluye gratuitamente en Azure AD con las
suscripciones de Azure, sin ningún costo adicional.
Hay dos tipos de identidades administradas:
Las identidades administradas asignadas por el sistema se habilitan directamente

en las instancias de servicio de Azure. Cuando se habilita la identidad, Azure crea
una identidad para la instancia del servicio en el inquilino de Azure AD de
confianza de la suscripción de la instancia. Una vez creada la identidad, las
credenciales se aprovisionan en la instancia. El ciclo de vida de una identidad
asignada por el sistema está vinculado directamente a la instancia de servicio de
Azure en que está habilitada. Si se elimina la instancia, Azure limpia
automáticamente las credenciales y la identidad en Azure AD.
Las identidades administrada asignadas por el usuario se crean como recursos de
Azure independientes. Mediante un proceso de creación, Azure crea una identidad
en el inquilino de Azure AD de confianza para la suscripción que se utiliza. Una vez
creada la identidad, esta puede asignarse a una o varias instancias de servicio de
Azure. El ciclo de vida de una identidad asignada por el usuario no se administra
junto con el ciclo de vida de las instancias de servicio de Azure a las que se asigna.
Efectúe la autenticación mediante los servicios de identidad en lugar de usar claves

criptográficas. En Azure, las identidades administradas eliminan la necesidad de
almacenar credenciales que podrían filtrarse involuntariamente. Cuando las identidades
administradas se habilitan para un recurso de Azure, se les asigna una identidad que el
usuario puede usar para obtener tokens de Azure AD. Para más información, consulte la
documentación de identidades administradas de Azure AD para recursos de Azure.
Por ejemplo, un clúster de Azure Kubernetes Service (AKS) necesita extraer imágenes de
Azure Container Registry (ACR). Para acceder a la imagen, el clúster debe conocer las
credenciales de ACR. El enfoque recomendado consiste en habilitar las identidades
administradas durante la configuración del clúster. Esa configuración asigna una
identidad al clúster y le permite obtener tokens de Azure AD.
Este enfoque es seguro porque Azure se ocupa de administrar las credenciales

subyacentes para el usuario.
En el ejemplo del clúster de AKS, la identidad está vinculada al ciclo de vida del
recurso. Cuando se elimina el recurso, Azure elimina automáticamente la identidad.
Azure AD administra la rotación periódica de secretos.
 Sugerencia
A continuación, se ofrecen los recursos para el ejemplo anterior:

: implementación de referencia de línea base segura de Azure Kubernetes
Service (AKS).
Las consideraciones de diseño se describen en Arquitectura de línea de base en un

clúster de Azure Kubernetes Service (AKS).
Acciones sugeridas
Revise la autenticación de la carga de trabajo e identifique las oportunidades de

convertir credenciales explícitas (por ejemplo, la cadena de conexión y la clave de
API) para usar identidades administradas.
Para todas las nuevas cargas de trabajo de Azure, normalice el uso de identidades
administradas cuando corresponda.
Más información
¿Qué son las identidades administradas de recursos de Azure?
¿Qué tipo de autenticación requieren las API de la aplicación?
No presuponga que las direcciones URL de API utilizadas por una carga de trabajo están
ocultas y no pueden quedar expuestas a atacantes. Por ejemplo, el código JavaScript de
un sitio web se puede ver. Una aplicación móvil se puede descompilar e inspeccionar.
Incluso en el caso de las API internas que solo se usan en el back-end, el requisito de
autenticación puede aumentar la dificultad del desplazamiento lateral si un atacante
accede a la red. Entre los mecanismos habituales, se incluyen claves de API, tokens de
autorización y restricciones de IP.
La identidad administrada puede contribuir a que una API sea más segura ya que
reemplaza el uso de entidades de servicio administradas por el usuario y puede solicitar
tokens de autorización.
¿Cómo se controla la autenticación de usuarios en la aplicación?
No use implementaciones personalizadas para administrar las credenciales de usuario.

En su lugar, use Azure AD u otros proveedores de identidades administradas, como el
servicio Azure B2C de la cuenta de Microsoft. Los proveedores de identidades
administradas proporcionan características de seguridad adicionales, como las
modernas medidas de protección con contraseña, la autenticación multifactor (MFA) y
los restablecimientos. En general, el método preferido son las medidas de protección sin
contraseña. Además, los protocolos actuales, como OAuth 2.0, usan la autenticación
basada en tokens, con un intervalo de tiempo limitado.
¿Los tokens de autenticación se almacenan en memoria caché de forma segura y se
cifran al compartir entre servidores web?
El código de la aplicación primero debe intentar obtener tokens de acceso de OAuth

silenciosamente desde una memoria caché antes de intentar adquirir un token del
proveedor de identidades para optimizar el rendimiento y maximizar la disponibilidad.
Los tokens se deben almacenar de forma segura y administrar como las demás
credenciales. Cuando sea necesario compartir tokens en los servidores de aplicaciones
(en lugar de que cada servidor adquiera y almacene en caché uno propio), deberá
usarse el cifrado.
Para más información, consulte Adquisición y almacenamiento en caché de tokens.
Elección de un sistema con compatibilidad

multiplataforma
Use un único proveedor de identidades para la autenticación en todas las plataformas
(sistemas operativos, proveedores de nube y servicios de terceros).
Azure AD puede usarse para la autenticación en Windows, Linux, Azure, Office 365,
otros proveedores de nube y servicios de terceros, como los proveedores de servicios.
Por ejemplo, mejore la seguridad de las máquinas virtuales Linux en Azure con la
integración con Azure AD. Para más información, consulte Inicio de sesión en una
máquina virtual Linux en Azure mediante la autenticación de Azure Active Directory.
Centralización de todos los sistemas de

identidad
Mantenga la identidad en la nube sincronizada con los sistemas de identidad existentes
para garantizar la coherencia y reducir los errores humanos.
La coherencia de las identidades en la nube y en el entorno local reducirá los errores

humanos y los riesgos de seguridad que implican. Los equipos que administran recursos
en ambos entornos necesitan un origen de autoridad coherente para lograr garantías de
seguridad. Para la supervisión, si se puede determinar la identidad sin un proceso de
asignación intermedio, la eficacia de la seguridad mejora.
La sincronización consiste en proporcionar a los usuarios una identidad en la nube en

función de su identidad local. Tanto si usan una cuenta sincronizada para la
autenticación como la autenticación federada, los usuarios deben tener una identidad
en la nube. Esta identidad se debe mantener y actualizar periódicamente. Las
actualizaciones pueden adoptar muchas formas, desde cambios en los títulos a cambios
de contraseña.
Para comenzar, evalúe la solución de identidad local de la organización y los requisitos

de los usuarios. Esta evaluación es importante, ya que define los requisitos técnicos
respecto a cómo se crean y mantienen las identidades de los usuarios en la nube. Para la
mayoría de las organizaciones, Active Directory se establece de forma local y será el
directorio local desde el que se sincronizarán los usuarios, pero esto no siempre es así.
Considere la posibilidad de usar Azure AD Connect para sincronizar Azure AD con su

directorio local. En el caso de los proyectos de migración, aplique el requisito de
completar esta tarea antes de que empiecen los proyectos de desarrollo y migración de
Azure.
） Importante
No sincronice cuentas con privilegios elevados con un directorio local. Si un

atacante obtiene el control total de los recursos locales, puede poner en peligro
una cuenta en la nube. Esta estrategia limitará el ámbito de un incidente. Para más
información, consulte Dependencias de cuenta de impacto crítico.
La sincronización se bloquea de forma predeterminada en la configuración

predeterminada de Azure AD Connect. Asegúrese de que no ha personalizado esta
configuración. Para información sobre el filtrado en Azure AD, consulte
Sincronización de Azure AD Connect: Configuración del filtrado.
Para más información, consulte los proveedores de identidades híbridos.
 Sugerencia
A continuación, se ofrecen los recursos para el ejemplo anterior:
Las consideraciones sobre el diseño se describen en Integración de dominios

locales de Active Directory con Azure AD.
Más información
Sincronización de los sistemas de identidad híbridos
Uso de la autenticación sin contraseña

Los atacantes analizan constantemente los intervalos IP de la nube pública en busca de
puertos de administración abiertos. Intentan aprovechar las credenciales débiles
(Difusión de contraseña) y las vulnerabilidades sin revisar en los protocolos de
administración como SSH y RDP. Impedir el acceso directo a Internet a las máquinas
virtuales detiene una configuración incorrecta o impide que una omisión se agrave.
Los métodos de ataque han evolucionado hasta el punto en el que las contraseñas por
sí solas no pueden proteger una cuenta de forma confiable. Las soluciones de
autenticación modernas, como la autenticación multifactor y sin contraseña, aumentan
la posición de seguridad a través de la autenticación segura.
Elimine el uso de contraseñas siempre que sea posible. Además, solicite el mismo juego
de credenciales para iniciar sesión y acceder a los recursos locales o en la nube. Este
requisito es fundamental para las cuentas que requieren contraseñas, como las cuentas
de administrador.
Con las características de autenticación y seguridad modernas de Azure AD, esa

contraseña básica se debe complementar o reemplazar con métodos de autenticación
más seguros. Cada organización tiene diferentes necesidades en cuanto a la
autenticación. Microsoft ofrece las tres opciones siguientes de autenticación sin
contraseña que se integran con Azure Active Directory (Azure AD):
Windows Hello para empresas

Aplicación Microsoft Authenticator
Claves de seguridad FIDO2
Se recomienda seguir un plan de cuatro fases para que el proceso sea sin contraseña:
Desarrollo de una oferta de reemplazo de contraseña

Reducción del área expuesta de la contraseña visible para el usuario
Transición a una implementación sin contraseña
Eliminación de contraseñas del directorio de identidades
Los métodos de autenticación siguientes están ordenados del costo más elevado o la
mayor dificultad de ataque (opciones más seguras/preferidas) al costo más bajo o la
menor dificultad de ataque:
Autenticación sin contraseña. Algunos ejemplos de este método incluyen Windows

Hello o la aplicación de autenticación.
MFA. Aunque este método es más eficaz que las contraseñas, es recomendable no
confiar en la autenticación multifactor basada en mensajes de texto SMS. Para más
información, consulte el artículo sobre la habilitación de Azure Active Directory
MFA por usuario para proteger los eventos de inicio de sesión.
Identidades administradas. Consulte Uso de la autenticación basada en identidad.
Los métodos afectan a todos los usuarios, pero debe aplicarse primero y con mayor
rigurosidad a las cuentas con privilegios administrativos.
La implementación de esta estrategia permite habilitar el inicio de sesión único en

dispositivos, aplicaciones y servicios. Al iniciar sesión una vez con una única cuenta de
usuario, puede conceder acceso a todas las aplicaciones y recursos según las
necesidades de la empresa. Los usuarios no tienen que administrar varios conjuntos de
nombres de usuario y contraseñas. Puede aprovisionar o desaprovisionar el acceso a la
aplicación automáticamente. Para más información, consulte Inicio de sesión único .
Acciones sugeridas
Desarrolle una estrategia sin contraseña que requiera MFA para todos los usuarios
sin afectar significativamente a las operaciones.
Asegúrese de que la directiva y los procesos exijan que las máquinas virtuales
restrinjan y supervisen la conectividad directa a Internet.
Más información
Estrategia sin contraseña

Eliminación de la conectividad directa a Internet de la máquina virtual (VM)
Uso de la protección de contraseñas moderna

Se trata de usar protecciones modernas con métodos que reducen el uso de
contraseñas. Los protocolos de autenticación modernos admiten controles seguros,
como MFA, y deben usarse en lugar de métodos de autenticación heredados. El uso de
métodos heredados aumenta el riesgo de exposición de credenciales.
La autenticación moderna es un método de administración de identidades que ofrece

una autenticación y autorización de usuario más seguras. Está disponible para
implementaciones híbridas de Office 365 de servidores de Skype Empresarial locales y
servidores Exchange locales, e implementaciones híbridas de Skype Empresarial de
dominio dividido.
La autenticación moderna es un término genérico para hacer referencia a una

combinación de métodos de autenticación y autorización entre un cliente (por ejemplo,
el portátil o el teléfono) y un servidor, así como algunas medidas de seguridad que se
basan en directivas de acceso con las que puede que ya esté familiarizado. Incluye:
Métodos de autenticación: MFA, autenticación con tarjeta inteligente, autenticación

basada en certificados de cliente.
Métodos de autorización: implementación de Microsoft de Open Authorization
(OAuth).
Directivas de acceso condicional: administración de aplicaciones móviles (MAM) y
acceso condicional de Azure Active Directory (Azure AD).
Revise las cargas de trabajo que no usan los protocolos de autenticación modernos y
realice la conversión siempre que sea posible. Además, estandarice el uso de protocolos
de autenticación modernos en todas las cargas de trabajo futuras.
En el caso de Azure, habilite las protecciones en Azure AD:
1. Configure Azure AD Connect para sincronizar los valores hash de contraseña. Para
más información, consulte Implementación de la sincronización de hash de
contraseñas con la sincronización de Azure AD Connect.
2. Elija si desea corregir de forma manual o automática los problemas detectados en

un informe. Para más información, consulte Comprobación de los riesgos de
identidad.
Para más información sobre la compatibilidad con las contraseñas modernas en

Azure AD, consulte los siguientes artículos:
¿Qué es Identity Protection?

Aplicación de Protección con contraseña de Azure AD local en Active Directory
Domain Services
Informe de seguridad sobre usuarios en riesgo
Informe de seguridad sobre inicios de sesión de riesgo
Para más información sobre cómo admitir contraseñas modernas en Office 365, consulte
el siguiente artículo:
¿Qué es la autenticación moderna?
Habilitar el acceso condicional

Las modernas aplicaciones basadas en la nube suelen ser accesibles a través de Internet,
por lo que el acceso basado en la ubicación de la red es inflexible y las contraseñas de
un solo factor son una responsabilidad. El acceso condicional describe la directiva de
autenticación para una decisión de acceso. Por ejemplo, si un usuario se conecta desde
un equipo corporativo administrado por InTune, es posible que no se le rete a realizar
MFA cada vez, pero si el usuario se conecta de repente desde un dispositivo diferente
en una ubicación geográfica diferente, se requerirá MFA.
Administre las solicitudes de acceso en función del nivel de confianza de los solicitantes
y la confidencialidad de los recursos de destino.
¿Existen requisitos de acceso condicional para la aplicación?
Las cargas de trabajo pueden quedar expuestas en la red pública de Internet, y los
controles de red basados en la ubicación no se aplicarán. Para habilitar el acceso
condicional, debe conocer las restricciones que son necesarias para el caso de uso. Por
ejemplo, se necesita MFA para el acceso remoto; y el filtrado basado en IP se puede usar
para habilitar la depuración ad hoc (se prefieren las VPN).
Configure el acceso condicional de Azure AD mediante la directiva de acceso para la

administración de Azure en función de sus necesidades operativas. Para más
información, consulte Administración del acceso a la administración de Azure con
acceso condicional.
El acceso condicional puede ser un modo eficaz de eliminar de forma progresiva la

autenticación heredada y los protocolos asociados. Las directivas deben aplicarse a
todos los administradores y a otras cuentas con un impacto crítico. Empiece a utilizar
métricas y registros para determinar los usuarios que todavía se autentican por medio
de clientes antiguos. A continuación, deshabilite los protocolos de nivel inferior que no
se usen y configure el acceso condicional para todos los usuarios que no utilicen
protocolos heredados. Por último, informe y proporcione directrices a los usuarios sobre
la actualización antes de bloquear completamente la autenticación heredada. Para más
información, consulte el artículo sobre la compatibilidad con el acceso condicional de
Azure AD para bloquear la autenticación heredada .
Acciones sugeridas
Implemente directivas de acceso condicional para esta carga de trabajo.
Más información sobre Acceso condicional de Azure AD.
Siguiente
Conceda o deniegue el acceso a un sistema mediante la comprobación de la identidad
del descriptor de acceso.
Autorización
Vínculos relacionados
Vuelva al artículo principal: Consideraciones sobre la administración de identidades
y acceso de Azure
Introducción a Azure Network Security
Artículo • 06/04/2023
La seguridad de red se puede definir como el proceso de protección de recursos contra

un acceso no autorizado o un ataque mediante la aplicación de controles para el tráfico
de red. El objetivo es asegurarse de que solo se permita el tráfico legítimo. Azure incluye
una sólida infraestructura de red que respalda sus requisitos de conectividad de
aplicaciones y servicios. La conectividad de red es posible entre recursos ubicados en
Azure, entre recursos locales y hospedados en Azure y entre Internet y Azure.
En este artículo se explican algunas de las opciones que Azure ofrece en el área de la
seguridad de red. Puede obtener información acerca de:
Redes de Azure
Control de acceso de red
Azure Firewall
Protección del acceso remoto y la conectividad local
Disponibilidad
Resolución de nombres
Arquitectura de red perimetral (DMZ)
Azure DDoS Protection
Azure Front Door
Traffic Manager
Detección de amenazas y supervisión
７ Nota
En el caso de las cargas de trabajo web, se recomienda encarecidamente usar la

protección contra DDoS de Azure y un firewall de aplicaciones web para
protegerse frente a posibles ataques DDoS. Otra opción es implementar Azure
Front Door junto con un firewall de aplicaciones web. Azure Front Door ofrece
protección de nivel de plataforma frente a ataques DDoS de nivel de red.
Redes de Azure
Es necesario que las máquinas virtuales de Azure estén conectadas a una instancia de
Azure Virtual Network. Una red virtual es una construcción lógica creada encima del
tejido de red físico de Azure. Cada red virtual está aislada de todas las demás redes
virtuales. Esto contribuye a garantizar que otros clientes de Azure no puedan obtener
acceso al tráfico de red de sus implementaciones.
Más información:
Información general sobre redes virtuales
Control de acceso de red

El control de acceso de red es el acto de limitar la conectividad entre subredes o
dispositivos específicos dentro de una red virtual. El objetivo del control de acceso de
red es limitar el acceso a las máquinas virtuales y los servicios a los usuarios y
dispositivos aprobados. Los controles de acceso se basan en decisiones que permiten o
deniegan la conexión a o desde la máquina virtual o el servicio.
Azure admite varios tipos de controles de acceso de red, como:
Control de capa de red

Control de capa de red

Toda implementación segura requiere alguna medida de control del acceso a la red. El
objetivo del control de acceso de red es restringir la comunicación de la máquina virtual
con los sistemas necesarios. Se bloquean los demás intentos de comunicación.
７ Nota
Los firewalls de Storage se tratan en el artículo Introducción a la seguridad de

Azure Storage
Reglas de seguridad de red (NSG)

Si necesita un control de acceso de nivel de red básico (basado en la dirección IP y los
protocolos TCP o UDP), puede usar los grupos de seguridad de red (NSG). Un grupo de
seguridad de red (NSG) es un firewall de filtrado de paquetes básico y con estado que le
permite controlar el acceso basado en una 5-tupla . Los NSG incluyen funcionalidad
para simplificar la administración y reducir las posibilidades de errores de configuración:
Las reglas de seguridad aumentada simplifican la definición de la regla de NSG y
permiten crear reglas complejas en lugar de tener que crear varias reglas sencillas
para lograr el mismo resultado.
Las etiquetas de servicio son etiquetas creadas por Microsoft que representan un
grupo de direcciones IP. Se actualizan dinámicamente para incluir los intervalos IP
que cumplen las condiciones que definen su inclusión en la etiqueta. Por ejemplo,
si quiere crear una regla que se aplique a todo Azure Storage en la región Este
puede usar Storage.EastUS
Los grupos de seguridad de la aplicación permiten implementar recursos en
grupos de aplicaciones y controlar el acceso a dichos recursos mediante la
creación de reglas que usan los grupos de aplicaciones. Por ejemplo, si ha
implementado servidores web en el grupo de aplicaciones "Webservers", puede
crear una regla que se aplique a un NSG que permita el tráfico 443 desde Internet
a todos los sistemas del grupo de aplicaciones "Webservers".
Los NSG no proporcionan inspección de nivel de aplicación ni controles de acceso

autenticados.
Más información:
Grupos de seguridad de red
Defender for Cloud: acceso JIT a máquinas virtuales

Microsoft Defender for Cloud puede administrar los grupos de seguridad de red de las
máquinas virtuales y bloquear el acceso a la máquina virtual hasta que un usuario con
los permisos adecuados del control de acceso basado en rol de Azure (Azure RBAC)
solicite acceso. Cuando el usuario está correctamente autorizado, Defender for Cloud
realiza modificaciones en los grupos de seguridad de red para permitir el acceso a los
puertos seleccionados durante el tiempo especificado. Cuando expira el tiempo, los NSG
se restauran a su estado seguro anterior.
Más información:
Acceso Just-in-Time en Microsoft Defender for Cloud
Puntos de conexión del servicio
Los puntos de conexión de servicio son otra forma de controlar el tráfico. Puede limitar
la comunicación con los servicios admitidos a únicamente las redes virtuales a través de
una conexión directa. El tráfico desde la red virtual al servicio de Azure especificado
permanece en la red troncal de Microsoft Azure.
Más información:
Puntos de conexión de servicio

La capacidad de controlar el comportamiento de enrutamiento en las redes virtuales es
fundamental. Si el enrutamiento no está configurado correctamente, las aplicaciones y
los servicios hospedados en la máquina virtual podrían conectarse a dispositivos no
autorizados, incluyendo sistemas que son propiedad de atacantes potenciales o que
están operados por ellos.
Las redes de Azure ofrecen la posibilidad de personalizar el comportamiento de

enrutamiento del tráfico de red en las redes virtuales. Gracias a ello, puede modificar las
entradas de tabla de enrutamiento predeterminadas en la red virtual. El control del
comportamiento de enrutamiento le ayuda a garantizar que todo el tráfico procedente
de un determinado dispositivo o grupo de dispositivos entra o sale de la red virtual a
través de una ubicación específica.
Por ejemplo, suponga que tiene un dispositivo de seguridad de red virtual en la red
virtual. Quiere asegurarse de que todo el tráfico que entra y sale de la red virtual pase
por el dispositivo de seguridad virtual. Para ello, puede configurar rutas definidas por el
usuario (UDR) en Azure.
La tunelización forzada es un mecanismo que puede usar para tener la seguridad de

que no se permite que sus servicios inicien una conexión con dispositivos en Internet.
Tenga en cuenta que este proceso no es lo mismo que aceptar conexiones entrantes y
luego responder a ellas. En este caso, los servidores web de front-end tienen que
responder a las solicitudes de los hosts de Internet, así que se permite que el tráfico
cuyo origen es Internet entre en estos servidores web y que dichos servidores
respondan.
Lo que no quiere es permitir que un servidor web front-end inicie una solicitud saliente.
Estas solicitudes pueden representar un riesgo para la seguridad porque estas
conexiones podrían usarse para descargar software malintencionado. Incluso si quiere
que estos servidores de front-end inicien solicitudes salientes a Internet, puede que
quiera obligarles a que pasen por los proxies web locales. Así podrá aprovechar las
ventajas del filtrado y el registro de direcciones URL.
En su lugar, y para evitar esto, querrá usar la tunelización forzada. Cuando se habilita la
tunelización forzada, todas las conexiones a Internet tienen que pasar a la fuerza por la
puerta de enlace local. Puede configurar la tunelización forzada aprovechando las rutas
que definió el usuario.
Más información:
¿Qué son las rutas definidas por el usuario y el reenvío IP?

Aunque los grupos de seguridad de red y la tunelización forzada proporcionan un nivel
de seguridad en las capas de red y transporte del modelo OSI , habrá ocasiones en las
que quiera habilitar la seguridad en niveles más altos que la red.
Por ejemplo, sus requisitos de seguridad podrían incluir:
Autenticación y autorización antes de permitir el acceso a la aplicación

Detección de intrusiones y respuesta a estas
Inspección de la capa de aplicación para comprobar la existencia de protocolos de
alto nivel
Filtrado para direcciones URL
Antimalware y antivirus de nivel de red
Protección contra robots
Control de acceso a las aplicaciones
Protección adicional de DDoS (por encima de la protección de DDoS que
proporciona el mismo tejido de Azure)
Puede tener acceso a estas características de seguridad de red mejoradas mediante el

uso de una solución de socio de Azure. Para encontrar las soluciones de seguridad de
red más actuales de los asociados de Azure, visite Azure Marketplace y busque
"seguridad" y "seguridad de red".
Azure Firewall
Azure Firewall se ofrece en tres SKU: Estándar, Prémium y Básico. Azure Firewall Estándar
ataques mediante la búsqueda de patrones específicos. Azure Firewall Básico es una
SKU simplificada que proporciona el mismo nivel de seguridad que la SKU estándar,
pero sin las funcionalidades avanzadas.
Más información:
¿Qué es Azure Firewall?
Protección del acceso remoto y la conectividad

local
La instalación, la configuración y la administración de los recursos de Azure se han de
realizar de forma remota. Además, puede que quiera implementar soluciones de TI
híbrida que tengan componentes locales y en la nube pública de Azure. Estos
escenarios requieren acceso remoto seguro.
Las redes de Azure admiten los siguientes escenarios de acceso remoto seguro:
Conexión de estaciones de trabajo individuales a una red virtual.

Conexión de la red local a una red virtual con una VPN.
Conexión de la red local a una red virtual con un vínculo WAN dedicado.
Conexión de redes virtuales entre sí.
Conexión de estaciones de trabajo individuales a una red

virtual.
También es posible que quiera que determinados desarrolladores o miembros del
personal de operaciones administren máquinas virtuales y servicios en Azure. Por
ejemplo, supongamos que necesita obtener acceso a una máquina virtual en una red
virtual. Pero la directiva de seguridad no permite el acceso remoto de RDP o SSH a
máquinas virtuales individuales. En este caso, puede usar una conexión VPN de punto a
sitio.
La conexión VPN de punto a sitio le permite configurar una conexión privada y segura
entre el usuario y la red virtual. Cuando se establece la conexión VPN, el usuario puede
aplicar el protocolo de RDP o SSH a través del vínculo VPN en cualquier máquina virtual
de la red virtual. (Se presupone que el usuario puede autenticarse y que está
autorizado). VPN de punto a sitio admite:
El protocolo de túnel de sockets seguro (SSTP), que es un protocolo VPN propio

basado en SSL. Una solución de VPN basada en SSL puede penetrar firewalls,
puesto que la mayoría de ellos abre el puerto TCP 443, que utiliza TLS/SSL. El
protocolo SSTP solo se admite en dispositivos Windows. Azure es compatible con
todas las versiones de Windows que tienen SSTP (Windows 7 y versiones
posteriores).
La conexión VPN IKEv2, una solución de VPN con protocolo de seguridad de

Internet basada en estándares. La conexión VPN IKEv2 puede utilizarse para la
conexión desde dispositivos Mac (versión de OSX 10.11 y versiones posteriores).
OpenVPN
Más información:
Configuración de una conexión punto a sitio a una red virtual mediante PowerShell
Conexión de la red local a una red virtual con una VPN.

Quizás quiera conectar la red corporativa completa, o algunas de sus partes, a una red
virtual. Esto es habitual en escenarios de TI híbridos donde las organizaciones amplían
su centro de datos local a Azure. En muchos casos, las organizaciones hospedan partes
de un servicio en Azure y otras partes de forma local. Por ejemplo, pueden hacerlo
cuando una solución incluye servidores web de front-end en Azure y bases de datos de
back-end locales. Estos tipos de conexiones "entre locales" también permiten que la
administración de recursos ubicados en Azure sea más segura y obtienen escenarios
como la ampliación de controladores de dominio de Active Directory a Azure.
Una manera de lograr esto es usar una VPN de sitio a sitio. La diferencia entre una VPN
de sitio a sitio y una VPN de punto a sitio es que la última conecta un dispositivo a una
red virtual. Una VPN de sitio a sitio conecta toda una red (por ejemplo, una red local) a
una red virtual. Las VPN de sitio a sitio a una red virtual emplean el protocolo VPN de
modo de túnel IPsec de alta seguridad.
Más información:
Crear una red virtual con una conexión VPN de sitio a sitio mediante Azure Portal y
Azure Resource Manager
Acerca de VPN Gateway
Conexión de la red local a una red virtual con un vínculo

WAN dedicado.
Las conexiones VPN de punto a sitio y de sitio a sitio son eficaces para permitir la
conectividad entre locales. Sin embargo, algunas organizaciones consideran que
presentan las siguientes desventajas:
Las conexiones VPN mueven los datos a través de Internet. Como consecuencia,
estas conexiones se exponen a posibles problemas de seguridad relacionados con
el movimiento de los datos a través de una red pública. Además, no se puede
garantizar la confiabilidad y disponibilidad de las conexiones a Internet.
Es posible que las conexiones VPN a redes virtuales no tengan el ancho de banda
necesario para algunas aplicaciones y fines, ya que agotan el límite en torno a los
200 Mbps.
Las organizaciones que necesitan el más alto nivel de seguridad y disponibilidad para
sus conexiones entre locales, suelen usar vínculos WAN dedicados para la conexión a
sitios remotos. Azure ofrece la posibilidad de usar un vínculo WAN dedicado que se
puede emplear para conectar la red local a una red virtual. Azure ExpressRoute,
ExpressRoute Direct y ExpressRoute Global Reach permiten esto.
Más información:
Información técnica de ExpressRoute

ExpressRoute Direct
ExpressRoute Global Reach
Conexión de redes virtuales entre sí.

Es posible utilizar varias redes virtuales en las implementaciones. Hay muchas razones
para hacer esto. Es posible que quiera simplificar la administración o aumentar la
seguridad. Con independencia de los motivos o razones para colocar los recursos en
diferentes redes virtuales, puede haber ocasiones en que quiera que los recursos de
cada una de las redes se conecten entre sí.
Una opción sería conectar los servicios en una red virtual con los servicios de otra
creando un "bucle de retroceso" a través de Internet. La conexión comienza en una red
virtual, pasa por Internet y vuelve a la red virtual de destino. Esta opción expone la
conexión a los problemas de seguridad inherentes a cualquier comunicación basada en
Internet.
Una opción mejor podría ser crear una VPN de sitio a sitio que se conecte entre dos
redes virtuales. Este método usa el mismo protocolo de modo de túnel IPSec que la
conexión VPN de sitio a sitio entre locales mencionada anteriormente.
La ventaja de esta opción, es que la conexión VPN se establece a través del tejido de red
de Azure y no mediante una conexión a través de Internet. Gracias a ello, tiene un nivel
adicional de seguridad en comparación con las VPN de sitio a sitio que se conectan a
través de Internet.
Más información:
Configuración de una conexión entre dos redes virtuales mediante Azure Resource
Manager y PowerShell
Otra manera de conectar las redes virtuales es el Emparejamiento de VNET. Esta

característica permite conectar dos redes de Azure para que la comunicación entre ellas
se realice a través de la infraestructura de red troncal de Microsoft sin ni siquiera pasar a
través de Internet. El Emparejamiento de VNET puede conectar dos redes virtuales
dentro de la misma región o dos redes virtuales entre regiones de Azure. Los NSG
pueden utilizarse para limitar la conectividad entre diferentes sistemas o subredes.
Disponibilidad
La disponibilidad es un componente clave de cualquier programa de seguridad. Si los
usuarios y los sistemas no pueden acceder a lo que necesitan a través de la red, el
servicio puede considerarse en peligro. Azure ofrece tecnologías de red que admiten los
siguientes mecanismos de alta disponibilidad:
Equilibrio de carga basado en HTTP

Equilibrio de carga de nivel de red
Equilibrio de carga global
El equilibrio de carga es un mecanismo diseñado para distribuir equitativamente las

conexiones entre varios dispositivos. Los objetivos del equilibrio de carga son:
Para aumentar la disponibilidad. Cuando se equilibra la carga de las conexiones

entre varios dispositivos, uno o más de los dispositivos pueden dejar de estar
disponibles sin comprometer el servicio. Los servicios que se ejecuten en los
dispositivos en línea restantes pueden seguir proporcionando contenido desde el
servicio.
Para aumentar el rendimiento. Cuando se equilibra la carga de las conexiones
entre varios dispositivos, un solo dispositivo no tiene que asumir toda la carga de
la operación de procesamiento. En su lugar, las demandas de procesamiento y
memoria para el suministro de contenido se reparten entre varios dispositivos.
Equilibrio de carga basado en HTTP

Las organizaciones que ejecutan servicios basados en web, a menudo necesitan tener un
equilibrador de carga basado en HTTP en esos servicios web. Con ello, se garantizan
unos niveles adecuados de rendimiento y alta disponibilidad. Normalmente, los
equilibradores de carga basados en una red se basan en los protocolos de capa de
transporte y de red. Por otro lado, los equilibradores de carga basados en HTTP toman
decisiones en función de las características del protocolo HTTP.
Azure Application Gateway se encarga de proporcionar equilibrio de carga basado en

HTTP a los servicios basados en la web. Application Gateway admite:
Afinidad de sesión basada en cookies. Esta funcionalidad garantiza que las

conexiones establecidas con uno de los servidores detrás del equilibrador de carga
permanezcan intactas entre el cliente y el servidor. Gracias a ello, las transacciones
permanecen estables.
Descarga TLS. Cuando un cliente se conecta con el equilibrador de carga, dicha
sesión se cifra mediante el protocolo HTTPS (TLS). Sin embargo, para aumentar el
rendimiento, tiene la opción de usar el protocolo HTTP para realizar una conexión
entre el equilibrador de carga y el servidor web que está detrás de ese equilibrador
de carga. Esto se conoce como "descarga TLS" porque los servidores web que hay
detrás del equilibrador de carga no experimentan la sobrecarga del procesador
implicada en el cifrado. Por lo tanto, deberían poder atender las solicitudes con
mayor rapidez.
Enrutamiento de contenido basado en direcciones URL. Esta característica hace
posible que el equilibrador de carga tome decisiones sobre dónde reenviar las
conexiones en función de la dirección URL de destino. Este método proporciona
mucha más flexibilidad que las soluciones que toman decisiones sobre el equilibrio
de carga según las direcciones IP.
Más información:
Introducción a Application Gateway
Equilibrio de carga de nivel de red

A diferencia del equilibrio de carga basado en HTTP, el equilibrio de carga de nivel de
red toma las decisiones en función de la dirección IP y los números de puerto (TCP o
UDP). Puede beneficiarse del equilibrio de carga de nivel de red en Azure gracias a
Azure Load Balancer. Algunas características clave de Azure Load Balancer son:
El equilibrio de carga de nivel de red basado en la dirección IP y los números de

puerto.
La compatibilidad con cualquier protocolo de nivel de aplicación.
La posibilidad de equilibrar la carga en máquinas virtuales e instancias de rol de
servicios en la nube de Azure.
Se puede usar en aplicaciones y máquinas virtuales accesibles desde Internet
(equilibrio de carga externo) y no accesibles desde Internet (equilibrio de carga
interno).
La supervisión de puntos de conexión, que se utiliza para determinar si alguno de
los servicios que hay detrás del equilibrador de carga ha dejado de estar
disponible.
Más información:
Información general sobre el equilibrador de carga interno
Equilibrio de carga global

Algunas organizaciones querrán el nivel más alto de disponibilidad posible. Una manera
de lograr este objetivo es hospedar aplicaciones en centros de datos distribuidos
globalmente. Cuando una aplicación está hospedada en centros de datos repartidos por
todo el mundo, una región geopolítica entera puede dejar de estar disponible, pero la
aplicación puede seguir funcionando.
Esta estrategia de equilibrio de carga también puede producir mejoras en el

rendimiento. Puede dirigir las solicitudes para el servicio en el centro de datos que esté
más próximo al dispositivo con el que está realizando la solicitud.
En Azure, puede conseguir los beneficios del equilibrio de carga global mediante el
Administrador de tráfico de Azure.
Más información:
¿Qué es el Administrador de tráfico?
Resolución de nombres
La resolución de nombres es una función crítica para todos los servicios hospedados en
Azure. Desde una perspectiva de la seguridad, poner en peligro esta función puede dar
lugar a que un atacante redirija las solicitudes de sus sitios al sitio de dicho individuo.
Proteger la resolución de nombres es un requisito de todos los servicios hospedados en
la nube.
Hay dos tipos de resolución de nombres que debe abordar:
Resolución de nombres interna. Los servicios de las redes virtuales, las redes
locales o ambos usan esta opción. Los nombres que se usan para la resolución de
nombres interna no son accesibles a través de Internet. Para lograr una seguridad
óptima, es importante que el esquema de la resolución de nombres interna no sea
accesible a usuarios externos.
Resolución de nombres externa. La usan personas y dispositivos que se encuentran
fuera del alcance de las redes locales y virtuales. Son los nombres que son visibles
en Internet y que se usan para dirigir la conexión a los servicios basados en la
nube.
Para la resolución de nombres interna, tiene dos opciones:
Un servidor DNS de red virtual. Cuando crea una nueva red virtual, se crea un
servidor DNS automáticamente. Este servidor DNS puede resolver los nombres de
las máquinas ubicadas en esa red virtual. Dicho servidor DNS no es configurable y
lo administra el administrador de tejido de Azure, por lo que puede ayudarle a
proteger la resolución de nombres.
Traiga su propio servidor DNS. Tiene la opción de colocar un servidor DNS de su
elección en una red virtual. Este podría ser un servidor DNS integrado de Active
Directory o una solución de servidor DNS dedicada que proporcione un socio de
Azure que puede obtener en Azure Marketplace.
Más información:
Información general sobre redes virtuales

Manage DNS Servers used by a virtual network (Administrar los servidores DNS
que use una red virtual)
En cuanto a la resolución de nombres externa, tiene dos opciones:
Hospedar su propio servidor DNS externo en el entorno local.

Hospedar su propio servidor DNS externo con un proveedor de servicios.
Muchas organizaciones de gran tamaño hospedan sus propios servidores DNS en el

entorno local. Pueden hacerlo porque tienen la experiencia en redes y la presencia
global para ello.
En la mayoría de los casos, es mejor hospedar los servicios de resolución de nombres

DNS con un proveedor de servicios. Estos proveedores de servicios cuentan con la
experiencia en redes y la presencia global para garantizar una disponibilidad muy alta
de los servicios de resolución de nombres. La disponibilidad es esencial para los
servicios DNS, ya que si se produce un error en los servicios de resolución de nombres,
nadie podrá establecer comunicación con los servicios accesibles desde Internet.
Azure proporciona una solución DNS externa de alta disponibilidad y elevado

rendimiento en forma de Azure DNS. Esta solución de resolución de nombres externa
aprovecha la infraestructura de DNS de Azure en todo el mundo. Le permite hospedar
un dominio en Azure con las mismas credenciales, API, herramientas y facturación que
los demás servicios de Azure. Al ser parte de Azure, también hereda los fuertes controles
de seguridad incorporados en la plataforma.
Más información:
Introducción a Azure DNS

Las zonas privadas de Azure DNS le permiten configurar nombres DNS privados
para los recursos de Azure en lugar de los nombres asignados automáticamente
sin necesidad de agregar una solución DNS personalizada.
Arquitectura de red perimetral

Muchas organizaciones de gran tamaño usan redes perimetrales para segmentar sus
redes y crear una zona de protección entre Internet y sus servicios. La parte perimetral
de la red se considera una zona de baja seguridad y ningún recurso de alto valor se
coloca en ese segmento de red. Por lo general, verá dispositivos de seguridad de red
que tienen una interfaz de red en el segmento de red perimetral. Otra interfaz de red se
conecta a una red que tiene máquinas virtuales y servicios que aceptan las conexiones
entrantes de Internet.
Puede diseñar redes perimetrales de diferentes maneras. La decisión de implementar

una red perimetral y qué tipo de red perimetral usará, si decide usar una, depende de
los requisitos de seguridad de la red.
Más información:
Redes perimetrales para las zonas de seguridad
Azure DDoS Protection

Los ataques por denegación de servicio distribuido (DDoS) son uno de los problemas de
seguridad y disponibilidad más extendidos a los que se enfrentan los clientes que
mueven sus aplicaciones a la nube. Un ataque DDoS intenta agotar los recursos de una
aplicación haciendo que esta no esté disponible para los usuarios legítimos. Los ataques
DDoS pueden ir dirigidos a cualquier punto de conexión que sea públicamente
accesible a través de Internet.
Las características de DDoS Protection incluyen:
Integración de plataforma nativa: integrado de forma nativa en Azure. Incluye la

configuración a través de Azure Portal. DDoS Protection entiende sus recursos y la
configuración de los mismos.
Protección inmediata: la configuración simplificada protege de inmediato todos
los recursos de una red virtual desde el momento en que se habilita DDoS
Protection. No se requiere intervención ni definición del usuario. DDoS Protection
mitiga instantánea y automáticamente el ataque, una vez detectado.
Supervisión continua del tráfico: los patrones de tráfico de la aplicación se
supervisan de forma ininterrumpida en busca de indicadores de ataques DDoS. La
mitigación se realiza cuando se sobrepasan las directivas de protección.
Informes de mitigación de ataques Los informes de mitigación de ataques usan
datos de flujo de red agregados para brindar información detallada sobre los
ataques dirigidos a sus recursos.
Registros de flujo de mitigación de ataques Los registros de flujo de mitigación
de ataques le permiten revisar el tráfico descartado, el tráfico reenviado y otros
datos de ataque en tiempo real durante un ataque de DDoS.
Ajuste adaptable: la generación de perfiles de tráfico inteligente va conociendo
con el tiempo el tráfico de la aplicación y selecciona y actualiza el perfil que resulta
más adecuado para el servicio. El perfil se ajusta a medida que el tráfico cambia
con el tiempo. Protección de capa 3 a capa 7: proporciona protección contra DDoS
de pila completa cuando se usa con un firewall de aplicaciones web.
Escala de mitigación amplia: se pueden mitigar más de 60 tipos de ataque
diferentes con capacidad global para protegerse contra los ataques DDoS más
conocidos.
Métricas de ataques: con Azure Monitor se puede acceder a un resumen de
métricas de cada ataque.
Alertas de ataques: las alertas se pueden configurar en el inicio y la detención de
un ataque y a lo largo de la duración del ataque mediante métricas de ataque
integradas. Las alertas se integran en el software operativo, como los registros de
Microsoft Azure Monitor, Splunk, Azure Storage, el correo electrónico y Azure
Portal.
Garantía de costo: créditos para servicio de escalado horizontal de aplicaciones y
transferencia de datos para ataques de DDoS documentados.
Capacidad de respuesta rápida ante DDoS Los clientes de DDoS Protection ahora
tienen acceso al equipo de Rapid Response durante un ataque activo. DDR ayuda
con la realización de una investigación sobre los ataques, la personalización de
mitigaciones durante un ataque y la publicación de análisis sobre tales ataques.
Más información:
Información general sobre la protección contra DDoS
Azure Front Door

Azure Front Door Service le permite definir, administrar y supervisar el enrutamiento
global del tráfico web. Optimiza el enrutamiento del tráfico para obtener un mejor
rendimiento y alta disponibilidad. Azure Front Door permite crear reglas de firewall de
aplicaciones web (WAF) personalizadas para el control de acceso con el fin de proteger
la carga de trabajo HTTP/HTTPS frente a técnicas de explotación basadas en direcciones
IP de cliente, código de país y parámetros HTTP. Además, Front Door también le
permite crear reglas de limitación de velocidad para enfrentar el tráfico de bots
malintencionados, lo que incluye la descarga TLS y el procesamiento de niveles de
aplicación por solicitud HTTP/HTTPS.
La propia plataforma de Front Door se protege mediante una protección contra DDoS
de nivel de infraestructura de Azure. Para lograr una mayor protección, se puede
habilitar Azure DDoS Protección de red en las redes virtuales y proteger los recursos
contra ataques de nivel de red (TCP/UDP) a través de la optimización automática y la
mitigación. Front Door es un proxy inverso de nivel 7, solo permite que el tráfico web
pase a los servidores back-end y bloquea otros tipos de tráfico de forma
predeterminada.
７ Nota
En el caso de las cargas de trabajo web, se recomienda encarecidamente usar la

protección contra DDoS de Azure y un firewall de aplicaciones web para
protegerse frente a posibles ataques DDoS. Otra opción es implementar Azure
Front Door junto con un firewall de aplicaciones web. Azure Front Door ofrece
protección de nivel de plataforma frente a ataques DDoS de nivel de red.
Más información:
Para más información sobre todo el conjunto de funcionalidades de Azure Front

Door, puede revisar la información general sobre Azure Front Door.
Azure Traffic Manager

Azure Traffic Manager es un equilibrador de carga de tráfico basado en DNS que le
permite distribuir el tráfico de forma óptima a servicios de regiones de Azure globales,
al tiempo que proporciona una alta disponibilidad y capacidad de respuesta. Traffic
Manager usa DNS para dirigir las solicitudes del cliente al punto de conexión de servicio
más adecuado en función de un método de enrutamiento del tráfico y el
mantenimiento de los puntos de conexión. Un punto de conexión es cualquier servicio
accesible desde Internet hospedado dentro o fuera de Azure. Traffic Manager supervisa
los puntos de conexión y no dirige el tráfico a ningún punto de conexión que no esté
disponible.
Más información:
Información general sobre Azure Traffic Manager
Detección de amenazas y supervisión

Azure proporciona funcionalidades para ayudarle en esta área clave con la detección
temprana, la supervisión y la capacidad de recopilar y revisar el tráfico de red.
Azure Network Watcher

Gracias a Azure Network Watcher no solo puede solucionar problemas, también tendrá
en sus manos un conjunto completamente nuevo de herramientas para poder identificar
problemas de seguridad.
La vista del grupo de seguridad le ayudará a cumplir los requisitos de seguridad y

auditoría de las máquinas virtuales. Use esta característica para realizar auditorías
mediante programación y así comparar las directivas de línea de base que haya definido
la organización con las reglas efectivas de cada una de sus máquinas virtuales. Esto
puede ayudarle a identificar cualquier cambio en la configuración.
La captura de paquetes le permite capturar el tráfico de red hacia y desde la máquina

virtual. Puede recopilar estadísticas de red y solucionar problemas de aplicaciones, lo
que puede ser una ventaja inestimable a la hora de investigar intrusiones de red.
También puede usar esta característica junto con Azure Functions para iniciar las
capturas de red en respuesta a alertas específicas de Azure.
Para obtener más información sobre Network Watcher y cómo comenzar a probar
algunas de las funcionalidades en los laboratorios, eche un vistazo a la introducción
sobre la supervisión de Azure Network Watcher.
７ Nota
Para obtener las notificaciones más recientes sobre la disponibilidad y el estado de

este servicio, consulte la página de actualizaciones de Azure .

ellas, y proporciona mayor visibilidad y control sobre la seguridad de sus recursos de
Azure. Proporciona administración de directivas y supervisión de la seguridad integrada
en las suscripciones de Azure, ayuda a detectar las amenazas que podrían pasar
desapercibidas y funciona con un amplio conjunto de soluciones de seguridad.
Defender for Cloud le ayuda a optimizar y controlar la seguridad de la red al:
Proporcionar recomendaciones de seguridad de la red.

Supervisar el estado de la configuración de seguridad de la red.
Alertar de las amenazas basadas en la red, tanto en los niveles de red como en el
punto de conexión.
Más información:
Introducción a Microsoft Defender for Cloud
Virtual Network TAP

Azure Virtual Network TAP (punto de acceso del terminal) permite transmitir
continuamente el tráfico de red de la máquina virtual a un recopilador de paquetes de
red o a una herramienta de análisis. Un asociado de la aplicación virtual de red
proporciona el recopilador o la herramienta de análisis de la herramienta. Puede usar el
mismo recurso de Virtual Red TAP para agregar tráfico de diferentes interfaces de red en
la misma suscripción o en suscripciones distintas.
Más información:
Virtual network TAP
Registro
El registro en el nivel de red es una función clave en cualquier escenario de seguridad
de red. En Azure, puede registrar la información obtenida de los grupos de seguridad de
red (NSG) a fin de obtener información del registro de nivel de red. Con el registro de
NSG, obtiene información de:
Registros de actividad. Use estos registros para ver todas las operaciones enviadas
a las suscripciones de Azure. Estos registros están habilitados de forma
predeterminada y se pueden ver en Azure Portal. Anteriormente se les llamaba
registros de "auditoría" o "registros operativos".
Registros de eventos. Estos registros proporcionan información sobre las reglas de
NSG que se aplicaron.
Registro de contadores. Estos registros le permiten saber cuántas veces se aplica
cada regla de NSG para denegar o permitir el tráfico.
También puede usar Microsoft Power BI, una eficaz herramienta de visualización de
datos, para ver y analizar estos registros. Más información:
Registros de Azure Monitor para grupos de seguridad de red (NSG)

Procedimientos recomendados de
seguridad de la red de Azure
Artículo • 08/03/2023
En este artículo se aborda un conjunto de procedimientos recomendados de Azure que

sirven para mejorar la seguridad de la red. Estos procedimientos recomendados se
derivan de nuestra experiencia con las redes en Azure, y las experiencias de clientes
como usted.
Para cada procedimiento recomendado, en este artículo se explica:
Qué es el procedimiento recomendado

Por qué le conviene habilitar este procedimiento recomendado
Cuál podría ser el resultado si no habilita el procedimiento recomendado
Alternativas posibles al procedimiento recomendado
Cómo aprender a habilitar el procedimiento recomendado
Estos procedimientos recomendados de seguridad de la red de Azure se basan en las

funcionalidades y los conjuntos de características de la plataforma Azure existentes
cuando se redactó. Las opiniones y las tecnologías cambian con el tiempo, por lo que
este artículo se actualizará con regularidad para reflejar esos cambios.
Uso de controles de red sólidos

Puede conectar las máquinas virtuales y los dispositivos de Azure a otros dispositivos
en red, colocándolos en redes virtuales de Azure. Esto es, puede conectar tarjetas de
interfaz de red virtual a una red virtual para posibilitar las comunicaciones basadas en
TCP/IP entre dispositivos habilitados para la red. Las máquinas virtuales conectadas a
una red virtual de Azure pueden conectarse a dispositivos en la misma red virtual, en
distintas redes virtuales, en Internet o, incluso, en sus propias redes locales.
Al planear la red y la seguridad de la red, se recomienda centralizar lo siguiente:
La administración de funciones de red centrales como ExpressRoute, el

aprovisionamiento de redes virtuales y subredes y la asignación de direcciones IP.
El gobierno de elementos de seguridad de red como las funciones de aplicación
virtual de red del tipo ExpressRoute, el aprovisionamiento de redes virtuales y
subredes y la asignación de direcciones IP.
Si usa un conjunto común de herramientas de administración para supervisar la red y la

seguridad de la red, tendrá una visibilidad clara de ambos aspectos. Una estrategia de
seguridad sencilla y unificada reduce los errores, ya que permite una mejor comprensión
del lado humano y aumenta la confiabilidad de la automatización.
Segmentación lógica de subredes

Las redes virtuales de Azure son similares a una LAN de red local. La idea detrás de una
red virtual de Azure es crear una sola red basada en espacios privados de direcciones IP
en la que pueden colocar todas las máquinas virtuales de Azure. Los espacios de
direcciones IP privados están en los intervalos de clase A (10.0.0.0/8), B (172.16.0.0/12) y
C (192.168.0.0/16).
Los procedimientos recomendados para segmentar lógicamente las subredes son:
Procedimiento recomendado: no asigne reglas de permiso con intervalos muy amplios

(por ejemplo, permita de 0.0.0.0 a 255.255.255.255).
Detalles: asegúrese de que los procedimientos de solución de problemas no fomentan
ni permiten configurar estos tipos de reglas. Estas reglas de permiso dan una falsa
sensación de seguridad y, a menudo, son detectadas y explotadas por equipos de
operaciones clandestinas.
Procedimiento recomendado: segmentar el mayor espacio de direcciones en las

subredes.
Detalles: use los principios de subred basado en CIDR para crear las subredes.
Procedimiento recomendado: crear controles de acceso de red entre subredes. El

enrutamiento entre subredes se realizará automáticamente y no es necesario configurar
manualmente las tablas de enrutamiento. Sin embargo, el valor predeterminado es que
no hay ningún control de acceso a la red entre las subredes creadas una red de Azure
Virtual Network.
Detalles: use un grupo de seguridad de red para protegerse del tráfico no solicitado en
subredes de Azure. Los grupos de seguridad de red (NSG) son dispositivos de
inspección de paquetes sencillos y con estado. Los NSG utilizan el método tupla 5 (IP de
origen, puerto de origen, dirección IP de destino, puerto de destino y protocolo de nivel
4) para crear reglas de permiso o denegación del tráfico de red. Puede permitir o
denegar el tráfico hacia y desde una sola dirección IP, hacia y desde varias direcciones IP
o, incluso, hacia y desde subredes enteras.
Al usar grupos de seguridad de red para controlar el acceso a la red entre subredes,
puede establecer recursos que pertenezcan a la misma zona de seguridad o rol en sus
propias subredes.
Procedimiento recomendado: evitar el uso de redes virtuales y subredes pequeñas para
garantizar la simplicidad y la flexibilidad. Detalles: La mayoría de las organizaciones
agregan más recursos de lo planeado inicialmente, y volver a asignar direcciones
requiere un esfuerzo enorme. Si se usan subredes pequeñas, el valor de seguridad que
se obtiene es limitado, y asignar un grupo de seguridad de red a cada subred supone
una sobrecarga. Defina subredes amplias para asegurarse de que dispone de flexibilidad
para crecer.
Procedimiento recomendado: simplificar la administración de reglas de grupos de

seguridad de red mediante la definición de grupos de seguridad de aplicaciones.
Detalles: defina un grupo de seguridad de aplicaciones para las listas de direcciones IP
que crea que puedan cambiar en el futuro o que vayan a usarse en varios grupos de
seguridad de red. Procure dar un nombre claro a los grupos de seguridad de
aplicaciones para que otros comprendan su contenido y finalidad.
Adoptar un método de Confianza cero

Las redes basadas en el perímetro funcionan bajo el supuesto de que se puede confiar
en todos los sistemas dentro de una red. Sin embargo, los empleados de hoy en día
acceden a los recursos de la organización desde cualquier lugar en una gran variedad
de dispositivos y aplicaciones, lo que hace que los controles de seguridad perimetral
sean irrelevantes. Las directivas de control de acceso que se centran únicamente en
quién puede acceder a un recurso no son suficientes. Para dominar el equilibrio entre
seguridad y productividad, los administradores de seguridad también deben tener en
cuenta el modo en que se accede a los recursos.
Las redes deben evolucionar de las defensas tradicionales porque pueden ser
vulnerables a diversas infracciones: un atacante puede poner en peligro un único punto
de conexión dentro del límite de confianza y, tras ello, expandir rápidamente un punto
de apoyo en toda la red. Las redes de Confianza cero eliminan el concepto de
confianza según la ubicación de red dentro de un perímetro. En su lugar, las
arquitecturas de Confianza cero usan notificaciones de confianza de usuario y
dispositivo para obtener acceso a los datos y los recursos de la organización. En las
nuevas iniciativas, adopte métodos de Confianza cero que validen la confianza en el
momento del acceso.
Los procedimientos recomendados son:
Procedimiento recomendado: conceder acceso condicional a recursos en función del

dispositivo, la identidad, la garantía, la ubicación de red y otros muchos aspectos.
Detalles: el acceso condicional de Azure AD permite aplicar los controles de acceso
adecuados poniendo en marcha decisiones de control de acceso automatizado según
las condiciones necesarias. Para más información, vea Administración el acceso a la
administración de Azure con acceso condicional.
Procedimiento recomendado: habilitar el acceso a los puertos solo tras la aprobación

del flujo de trabajo.
Detalles: puede usar el acceso a VM Just-In-Time en Microsoft Defender for Cloud para
bloquear el tráfico entrante a las VM de Azure, lo que reduce la exposición a ataques al
mismo tiempo que proporciona un acceso sencillo para conectarse a las máquinas
virtuales cuando sea necesario.
Procedimiento recomendado: conceder permisos temporales para realizar tareas con

privilegios, lo que impide que usuarios malintencionados o sin autorización obtengan
acceso después de que el permiso haya expirado. El acceso se concede solo cuando los
usuarios lo necesitan.
Detalles: use el acceso Just-In-Time en Azure AD Privileged Identity Management o en
una solución de terceros para conceder permisos para realizar tareas con privilegios.
Confianza cero es la próxima evolución en seguridad de red. El estado de los ataques

cibernéticos condiciona a las organizaciones a adquirir una mentalidad de "presunción
de infracción", pero este método no debería limitar nada. Las redes de Confianza cero
protegen los recursos y los datos corporativos, al tiempo que garantizan que las
organizaciones pueden crear un área de trabajo moderna mediante tecnologías que
permiten a los empleados ser productivos en cualquier momento, lugar y modo.
Control del comportamiento de enrutamiento

Cuando coloca una máquina virtual en una instancia de Azure Virtual Network,
observará que la máquina virtual puede conectarse a cualquier otra máquina virtual de
la misma red virtual, incluso si las otras máquinas virtuales están en subredes diferentes.
Esto es posible porque hay una colección de rutas del sistema que están habilitadas de
forma predeterminada y que permiten este tipo de comunicación. Estas rutas
predeterminadas permiten que las máquinas virtuales de la misma red virtual inicien
conexiones entre sí y con Internet (solo para comunicaciones salientes a Internet).
Si bien las rutas del sistema predeterminadas son útiles para muchos escenarios de
implementación, habrá veces en las que preferirá personalizar la configuración de
enrutamiento para las implementaciones. Puede configurar la dirección del próximo
salto para que acceda a destinos específicos.
Igualmente le recomendamos que configure las rutas definidas por el usuario al

implementar un dispositivo de seguridad para una red virtual. Trataremos esta
recomendación en la sección dedicada a proteger los recursos de serviciow críticos de
Azure únicamente en las redes virtuales.
７ Nota
Las rutas definidas por el usuario no son necesarias, y las rutas del sistema
predeterminadas funcionan en la mayoría de lo casos.
Uso de aplicaciones de red virtual

Los grupos de seguridad de red y el enrutamiento definido por el usuario pueden
proporcionar un cierto grado de seguridad de red en las capas de red y de transporte
del modelo OSI . Aún así, es posible que en algunas situaciones quiera o necesite
habilitar la seguridad en los niveles altos de la pila. En tales situaciones, se recomienda
implementar aplicaciones de seguridad de la red virtual proporcionadas por asociados
de Azure.
Las aplicaciones de seguridad de la red de Azure pueden proporcionar niveles de

seguridad mejorados que los que proporcionan los controles de nivel de red. Las
funcionalidades de seguridad de red correspondientes a los dispositivos de seguridad
de la red virtual incluyen:
Firewalls
Detección y prevención de intrusiones
Administración de vulnerabilidades
Control de aplicaciones
Detección de anomalías basadas en la red
Filtrado de web
Antivirus
Protección de redes de robots (botnets)
Para encontrar los dispositivos de seguridad de red virtual de Azure, vaya a Azure
Marketplace y búsquelos mediante las palabras clave "seguridad" y "seguridad de
red".
Implementar redes perimetrales para las zonas

de seguridad
Una red perimetral (también conocida como DMZ) es un segmento de red físico o
lógico que está diseñado para proporcionar un nivel de seguridad adicional entre los
recursos e Internet. Los dispositivos de control de acceso de red especializados que se
encuentran en el borde de una red perimetral solo permiten el tráfico deseado en la red
virtual.
Las redes perimetrales son útiles porque permiten centrar la administración, supervisión,
registro y generación de informes sobre los dispositivos del control de acceso a la red
en el borde de la instancia de Azure Virtual Network. Una red perimetral es donde se
suelen habilitar la protección de denegación de servicio distribuido (DDoS), los sistemas
de detección y prevención de intrusiones (IDS/IPS), las reglas y directivas de firewall, el
filtrado web, el antimalware de la red, etc. Los dispositivos de seguridad de la red se
sitúan entre Internet y la instancia de Azure Virtual Network, y tienen una interfaz en
ambas redes.
Aunque este es el diseño básico de una red perimetral, existen muchos diseños
diferentes, como la configuración opuesta, el triple alojamiento o el múltiple
alojamiento.
Según el concepto de Confianza cero mencionado anteriormente, se recomienda que

considere la posibilidad de usar una red perimetral en todas las implementaciones de
alta seguridad para mejorar el nivel de control de acceso y seguridad de red de los
recursos de Azure. Puede usar Azure o una solución de terceros para proporcionar una
capa extra de seguridad entre sus recursos e Internet:
Controles nativos de Azure. Azure Firewall y Azure Web Application Firewall

ofrecen ventajas de seguridad básicas. Las ventajas son un firewall como servicio
con estado completo, alta disponibilidad integrada, escalabilidad en la nube sin
restricciones, filtrado de FQDN, compatibilidad con conjuntos de reglas principales
de OWASP y configuración y ajustes sencillos.
Ofertas de terceros. Busque en Azure Marketplace un firewall de próxima
generación (NGFW) y otras ofertas de terceros que proporcionen herramientas de
seguridad conocidas y niveles de seguridad de red mejorados. La configuración
podría ser más compleja, pero una oferta de terceros podría permitirle usar los
conjuntos de habilidades y capacidades existentes.
Uso de vínculos WAN dedicados para evitar la

exposición en Internet
Muchas organizaciones han elegido la ruta de TI híbrida. Con la TI híbrida, algunos de
los recursos de información de la compañía están en Azure, mientras que otros siguen
siendo locales. En muchos casos, algunos componentes de un servicio se ejecutan en
Azure, mientras que otros componentes siguen siendo locales.
En un escenario de TI híbrida, suele haber algún tipo de conectividad entre locales. Esta
conectividad entre locales permite a la empresa conectar sus redes locales con las redes
virtuales de Azure. Hay dos soluciones de conectividad entre locales:
VPN de sitio a sitio. Es una tecnología de confianza y bien establecida, pero que
realiza la conexión a través de Internet. Además, el ancho de banda está limitado a
un máximo de aproximadamente 1,25 Gbps. VPN de sitio a sitio es una opción
conveniente en algunos escenarios.
Azure ExpressRoute. se recomienda que use ExpressRoute para la conectividad
entre locales. ExpressRoute le permite ampliar sus redes locales en la nube de
Microsoft a través de una conexión privada que facilita un proveedor de
conectividad. Mediante ExpressRoute, se pueden establecer conexiones con
servicios en la nube de Microsoft, como Azure, Microsoft 365 y Dynamics 365.
ExpressRoute es un vínculo de WAN dedicada entre su ubicación local o un
proveedor de hospedaje de Microsoft Exchange. Al tratarse de una conexión de
telecomunicaciones, los datos no viajan a través de Internet y, por tanto, no se
exponen a los posibles riesgos inherentes a este tipo de comunicaciones.
La ubicación de la conexión de ExpressRoute puede afectar a la capacidad del firewall, la

escalabilidad, la confiabilidad y la visibilidad del tráfico de red. Será necesario identificar
dónde debe terminar ExpressRoute en las redes existentes (locales). Puede:
Finalizar al margen del firewall (el paradigma de red perimetral). Use esta
recomendación si necesita tener visibilidad del tráfico, si tiene que seguir
realizando un procedimiento ya existente de aislamiento de los centros de datos o
si solamente va a colocar recursos de extranet en Azure.
Terminarlo dentro del firewall (paradigma de extensión de red). Esta es la
recomendación predeterminada. En todos los demás casos, se recomienda tratar
Azure como otro centro de datos.
Optimización del rendimiento y el tiempo de

actividad
Si un servicio está inactivo, no puede accederse a la información. Si el rendimiento es
tan bajo que no se pueden utilizar los datos, podemos considerar que los datos son
inaccesibles. Por lo tanto, desde una perspectiva de seguridad, necesitamos hacer todo
lo posible para asegurarnos de que nuestros servicios tienen un rendimiento y un
tiempo de actividad óptimos.
Un método popular y eficaz para mejorar la disponibilidad y el rendimiento es usar el

equilibrio de carga. El equilibrio de carga es un método para distribuir el tráfico de la
red entre los servidores que forman parte de un servicio. Por ejemplo, si tiene servidores
web front-end que forman parte de su servicio, puede usar el equilibrio de carga para
distribuir el tráfico entre ellos.
Esta distribución del tráfico aumenta la disponibilidad, ya que si uno de los servidores
web deja de estar disponible, el equilibrio de carga deja de enviarle tráfico y lo redirige
a los servidores que aún están en línea. El equilibrio de carga también mejora el
rendimiento, ya que la sobrecarga del procesador, la red y la memoria para atender a las
solicitudes se distribuye entre todos los servidores con carga equilibrada.
Se recomienda usar el equilibrio de carga siempre que se pueda y, según sea adecuado
para los servicios. Estos son los escenarios en el nivel de Azure Virtual Network y el nivel
global, junto con las opciones de equilibrio de carga para cada uno.
Escenario: ahora tiene una aplicación que:
Requiere solicitudes de la misma sesión de usuario o cliente para llegar a la misma

máquina virtual de back-end. Ejemplos de esto serían las aplicaciones del carro de
la compra y los servidores de correo web.
Esto solo se acepta con una conexión segura, por lo que la comunicación sin cifrar
con los servidores no es una opción aceptable.
Es necesario que varias solicitudes HTTP en la misma conexión TCP de ejecución
prolongada se enruten a servidores de back-end diferentes o su carga se equilibre
entre estos.
Opción de equilibrio de carga: use Azure Application Gateway, que es un equilibrador

de carga del tráfico de web HTTP. Application Gateway admite el cifrado TLS de un
extremo a otro y la terminación TLS en la puerta de enlace. A continuación, los
servidores web pueden librarse de la sobrecarga de cifrado y descifrado y del tráfico
que fluye sin encriptar a los servidores de back-end.
Escenario: es necesario equilibrar la carga de las conexiones entrantes de Internet entre

los servidores situados en una instancia de Azure Virtual Network. Los escenarios surgen
cuando:
Tiene aplicaciones sin estado que acepten solicitudes entrantes de Internet.

No se requieren sesiones permanentes o descargas de TLS. Las sesiones
temporales son un método que se usa con el equilibrio de carga de la aplicación,
para lograr la afinidad del servidor.
Opción de equilibrio de carga: use Azure Portal para crear un equilibrador de carga
externo que distribuya las solicitudes entrantes entre varias máquinas virtuales para
proporcionar un mayor nivel de disponibilidad.
Escenario: tendrá que equilibrar la carga de las conexiones de las máquinas virtuales
que no estén en Internet. En la mayoría de los casos, los dispositivos se encargan de
iniciar en una instancia de Azure Virtual Network las conexiones que se aceptan para el
equilibrio de carga, como instancias de SQL Server o servidores web internos.
Opción de equilibrio de carga: use Azure Portal para crear un equilibrador de carga
interno que distribuya las solicitudes entrantes entre varias máquinas virtuales para
proporcionar un mayor nivel de disponibilidad.
Escenario: necesita conseguir un equilibrio de carga global ya que:
Tiene una solución en la nube que se distribuye ampliamente en varias regiones y

requiere el nivel más alto de tiempo de actividad (o disponibilidad) posible.
Necesita el nivel más alto de tiempo de actividad para asegurarse de que el
servicio está disponible incluso si todo un centro de datos deja de funcionar.
Opción de equilibrio de carga: use Azure Traffic Manager. Traffic Manager le permite
equilibrar la carga de las conexiones a los servicios, en función de la ubicación del
usuario.
Por ejemplo, si el usuario realiza una solicitud a su servicio desde la Unión Europea, la
conexión se dirige a los servicios situados en un centro de datos de la Unión Europea.
Esta parte del equilibrio de carga global del Administrador de tráfico ayuda a mejorar el
rendimiento, ya que la conexión al centro de datos más cercano es más rápida que a los
centros de datos que están lejos.
Deshabilitar el acceso RDP/SSH a las máquinas

virtuales
Es posible acceder a Azure Virtual Machines mediante Escritorio remoto (RDP) y el
protocolo Secure Shell (SSH). Estos protocolos le permiten administrar máquinas
virtuales desde ubicaciones remotas y son los protocolos estándar que se usan en el
procesamiento de los centros de datos.
El posible problema de seguridad al usar estos protocolos a través de Internet, es que

los atacantes pueden utilizar diversas técnicas de fuerza bruta para obtener acceso a
Azure Virtual Machines. Una vez que los atacantes obtienen acceso, pueden utilizar la
máquina virtual como punto de inicio para poner en peligro otros equipos de la red
virtual o incluso atacar dispositivos en red fuera de Azure.
Por este motivo, se recomienda deshabilitar el acceso directo de RDP y SSH a Azure
Virtual Machines desde Internet. Cuando se deshabilita el acceso directo de RDP y SSH
desde Internet, tiene otras opciones que puede utilizar para acceder a estas máquinas
virtuales y así administrarlas de forma remota.
Escenario: habilite una conexión de un solo usuario a una instancia de Azure Virtual
Network a través de Internet.
Opción: VPN de punto a sitio es otro término para una conexión cliente/servidor de
VPN con acceso remoto. Una vez establecida la conexión de punto a sitio, el usuario
podrá usar RDP o SSH para conectarse a cualquier máquina virtual situada en la
instancia de Azure Virtual Network a la que el usuario se conectó mediante la VPN de
punto a sitio. Con esto, se supone que el usuario tiene permiso para obtener acceso a
dichas máquinas virtuales.
La VPN de punto a sitio es más segura que las conexiones de RDP o SSH directas, ya
que el usuario tiene que autenticarse dos veces antes de conectarse a una máquina
virtual. En primer lugar, el usuario debe autenticarse (y ser autorizado) para poder
establecer la conexión VPN de punto a sitio. En segundo lugar, el usuario debe
autenticarse (y ser autorizado) para poder establecer la sesión RDP o SSH.
Escenario: permitir que los usuarios de la red local se conecten a máquinas virtuales en
Azure Virtual Network.
Opción: una VPN de sitio a sitio conecta toda una red a otra a través de Internet. Puede
usar una VPN de sitio a sitio para conectar su red local a una instancia de Azure Virtual
Network. Los usuarios de su red local se pueden conectar mediante el protocolo RDP o
SSH, a través de la conexión VPN de sitio a sitio. No debe permitir el acceso directo de
RDP o SSH a través de Internet.
Escenario: use un vínculo WAN dedicado para ofrecer una funcionalidad similar a la VPN
de sitio a sitio.
Opción: use ExpressRoute. Proporciona funcionalidades similares a la VPN de sitio a
sitio. Las principales diferencias son:
El vínculo WAN dedicado no recorre Internet.

Los vínculos WAN dedicados suelen ser más estables y eficaces.
Proteja los recursos de servicio de Azure

críticos únicamente en las redes virtuales
Use Azure Private Link para acceder a los servicios PaaS de Azure (por ejemplo, Azure
Storage y SQL Database) y a través de un punto de conexión privado de la red virtual.
Los puntos de conexión privados permiten proteger los recursos de servicio de Azure
críticos únicamente para las redes virtuales. El tráfico desde la red virtual al servicio de
Azure siempre permanece en la red troncal de Microsoft Azure. La exposición de la red
virtual a la red pública de Internet ya no es necesaria para consumir los servicios PaaS de
Azure.
Azure Private Link proporciona las ventajas siguientes:
Seguridad mejorada para los recursos de servicio de Azure: Con Azure Private
Link, se pueden proteger los recursos del servicio de Azure para la red virtual
mediante puntos de conexión privados. Si protege los recursos del servicio para un
punto de conexión privado en una red virtual, mejorará la seguridad al quitar
totalmente el acceso público a través de Internet a estos recursos y al permitir el
tráfico solo desde el punto de conexión privado.
Acceso privado a recursos de servicios de Azure en la plataforma Azure: Conecte
la red virtual a los servicios de Azure con puntos de conexión privados. No es
necesario tener una dirección IP pública. La plataforma Private Link administrará la
conectividad entre el consumidor y los servicios a través de la red troncal de Azure.
Acceso desde redes locales y emparejadas: acceda a los servicios que se ejecutan
en Azure desde el entorno local a través del emparejamiento privado de
ExpressRoute, los túneles VPN y las redes virtuales emparejadas mediante puntos
de conexión privados. No es necesario configurar el emparejamiento de Microsoft
para ExpressRoute ni atravesar Internet para llegar hasta el servicio. Private Link
proporciona una manera segura de migrar cargas de trabajo a Azure.
Protección contra la pérdida de datos: un punto de conexión privado se asigna a
una instancia de un recurso de PaaS en lugar de al servicio entero. Los
consumidores solo pueden conectarse al recurso específico. Se bloquea el acceso a
cualquier otro recurso del servicio. Este mecanismo proporciona protección contra
los riesgos de pérdida de datos.
Alcance global: conéctese de forma privada a los servicios que se ejecutan en
otras regiones. La red virtual del consumidor puede estar en la región A y puede
conectarse a los servicios de la región B.
Sencillo de configurar y administrar: ya no necesita direcciones IP públicas y
reservadas en sus redes virtuales para proteger los recursos de Azure a través de
una dirección IP del firewall. No hay ningún dispositivo NAT o de puerta de enlace
necesario para configurar los puntos de conexión privados. Los puntos de
conexión privados se pueden configurar a través de un flujo de trabajo sencillo. En
el lado del servicio, también puede administrar las solicitudes de conexión en el
recurso del servicio de Azure con facilidad. Azure Private Link funciona también
para los consumidores y los servicios que pertenecen a distintos inquilinos de
Para obtener más información sobre los puntos de conexión privados y sobre los
servicios de Azure y las regiones para las que están disponibles los puntos de conexión
privados, consulte Azure Private Link.
Pasos siguientes
Consulte Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
Procedimientos recomendados
fundamentales de Azure DDoS
Protection
Artículo • 25/03/2023
En las siguientes secciones se proporcionan instrucciones preceptivas para crear

servicios resistentes a los ataques de DDoS en Azure.
Diseño para seguridad

Asegúrese de que la seguridad es prioritaria durante todo el ciclo de vida de una
aplicación, desde su diseño e implementación hasta la implementación y las
operaciones. Las aplicaciones pueden tener errores que permiten que un volumen
relativamente bajo de solicitudes usen una cantidad excesiva de recursos y produzcan
una interrupción del servicio.
Para proteger un servicio que se ejecuta en Microsoft Azure, debe conocer bien la
arquitectura de su aplicación y centrarse en los cinco pilares de la calidad del software.
Debe conocer los volúmenes de tráfico típicos, el modelo de conectividad entre la
aplicación y otras aplicaciones, y los puntos de conexión del servicio expuestos a la red
pública de Internet.
Es de vital importancia garantizar que una aplicación sea lo suficientemente resistente

para tratar con un ataque de denegación de servicio dirigido a la propia aplicación. La
seguridad y la privacidad están integradas en la plataforma Azure, comenzando por el
ciclo de vida del desarrollo de la seguridad (SDL) . El SDL aborda la seguridad en cada
fase de desarrollo y se asegura de que Azure se actualice continuamente para que sea
aún más seguro.
Diseño para escalabilidad

La escalabilidad representa el grado en que un sistema puede controlar el aumento de
la carga. Debe diseñar sus aplicaciones de modo que se puedan escalar horizontalmente
para satisfacer la demanda de una carga mayor, específicamente en caso de un ataque
de DDoS. Si la aplicación depende de una única instancia de un servicio, crea un único
punto de error. El aprovisionamiento de varias instancias hace que el sistema sea más
resistente y más escalable.
Para Azure App Service, seleccione un Plan de App Service que ofrezca varias instancias.
Para Azure Cloud Services, configure cada uno de los roles para utilizar varias instancias.
En el caso de Azure Virtual Machines, asegúrese de que la arquitectura de las máquinas
virtuales incluya más de una máquina virtual y que cada una de ellas se incluya en un
conjunto de disponibilidad. Se recomienda usar conjuntos de escalado de máquinas
virtuales para contar con funcionalidades de escalado automático.
Defensa en profundidad
La idea que subyace a la defensa en profundidad es administrar los riesgos con diversas
estrategias defensivas. Disponer en niveles la defensa de la seguridad en una aplicación
reduce las probabilidades de éxito de un ataque. Se recomienda que implemente
diseños seguros para sus aplicaciones con las funcionalidades integradas de la
plataforma Azure.
Por ejemplo, el riesgo de ataques aumenta con el tamaño (área expuesta) de la

aplicación. Puede reducir el área expuesta mediante una lista de aprobación para cerrar
el espacio de direcciones IP expuesto y los puertos de escucha que no sean necesarios
en los equilibradores de carga (Azure Load Balancer y Azure Application Gateway). Los
grupos de seguridad de red (NSG) constituyen otra manera de reducir el área expuesta
a ataques. Puede usar etiquetas de servicio y grupos de seguridad de la aplicación para
minimizar la complejidad de la creación de reglas de seguridad y configurar la
seguridad de la red como una extensión natural de la estructura de una aplicación.
Además, puede usar Azure DDoS Solution para Microsoft Sentinel para identificar los
orígenes ofensivos de DDoS y bloquearlos para que no puedan lanzar otros ataques
sofisticados, como el robo de datos.
Debe implementar los servicios de Azure en una red virtual siempre que sea posible.
Este procedimiento permite que los recursos del servicio se comuniquen mediante
direcciones IP privadas. De forma predeterminada, el tráfico de los servicios Azure desde
una red virtual usa direcciones IP públicas como direcciones IP de origen. Con los
puntos de conexión de servicio, el tráfico del servicio cambia para usar direcciones
privadas de red virtual como direcciones IP de origen al acceder al servicio de Azure
desde una red virtual.
Con frecuencia vemos ataques a los recursos locales de un cliente, además de a los
recursos en Azure. Si conecta un entorno local a Azure, se recomienda que reduzca al
mínimo la exposición de los recursos locales a la red pública de Internet. Para usar las
funcionalidades de escalado y protección contra DDoS de Azure puede implementar
entidades públicas bien conocidas en Azure. Como estas entidades de acceso público
suelen ser destinatarias de ataques de DDoS, al colocarlas en Azure se reduce el
impacto en los recursos locales.
Pasos siguientes
Más información sobre la continuidad empresarial.
Línea de base de seguridad de Azure
para Azure DDoS Protection
Artículo • 22/09/2023
Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 de La prueba

comparativa de seguridad en la nube de Microsoft a Azure DDoS Protection. El punto de
referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre
cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa
mediante los controles de seguridad definidos por el banco de pruebas de seguridad en
la nube de Microsoft y las instrucciones relacionadas aplicables a Azure DDoS
Protection.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante

Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección
Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en

esta línea de base para ayudarle a medir el cumplimiento de los controles y
recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas
recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar
determinados escenarios de seguridad.
７ Nota
Se han excluido las características no aplicables a Azure DDoS Protection. Para ver
cómo Azure DDoS Protection se asigna por completo a la prueba comparativa de
seguridad en la nube de Microsoft, consulte el archivo completo de asignación de
línea de base de seguridad de Azure DDoS Protection .
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure DDoS
Protection, lo que puede dar lugar a mayores consideraciones de seguridad.
Atributo de comportamiento del servicio Value
Categoría de productos Redes, seguridad
El cliente puede acceder a HOST/OS. Sin acceso

El servicio se puede implementar en la red virtual del cliente. False
Almacena contenido de cliente en reposo False
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de
Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de

Azure Policy. Más información.
Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True False Customer
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy
auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear
alertas cuando se detecte una desviación de la configuración en los recursos.
Referencia: Directiva de protección de DDOS
Registro y detección de amenazas

Para obtener más información, consulte la prueba comparativa de seguridad en la nube
de Microsoft: Registro y detección de amenazas.
LT-4: Habilitación del registro para la investigación de

seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas

y registros específicos del servicio mejorados. El cliente puede configurar estos registros
de recursos y enviarlos a su propio receptor de datos, como una cuenta de
almacenamiento o un área de trabajo de Log Analytics. Más información.
True False Customer
Guía de configuración: configure los registros de diagnóstico de DDoS, incluidas las

notificaciones, los informes de mitigación y los registros de flujo de mitigación.
Referencia: Visualización y configuración del registro de diagnóstico de DDoS
Pasos siguientes
Consulte la introducción al banco de pruebas de seguridad en la nube de
Microsoft.
Obtenga más información sobre las líneas de base de seguridad de Azure.
Evitar las entradas DNS pendientes y la adquisición de
subdominios
Artículo • 25/03/2023
En este artículo se describe la amenaza de seguridad común de la adquisición de subdominios y los pasos que puede
seguir para mitigarla.
¿Qué es una adquisición de subdominios?

Las adquisiciones de subdominios son una amenaza común muy grave para las organizaciones que crean y eliminan
muchos recursos con regularidad. Una adquisición de subdominios puede producirse cuando tiene un registro DNS que
apunta a un recurso de Azure desaprovisionado. Estos registros DNS también se conocen como entradas "DNS
pendientes". Los registros CNAME son especialmente vulnerables a esta amenaza. Las adquisiciones de subdominios
permiten a los actores malintencionados redirigir el tráfico destinado al dominio de una organización a un sitio que realiza
una actividad malintencionada.
El siguiente es un escenario común de adquisición de subdominio:
1. CREACIÓN:
a. Permite aprovisionar un recurso de Azure con un nombre de dominio completo (FQDN) de app-contogreat-dev-
001.azurewebsites.net .
b. Puede asignar un registro CNAME en la zona DNS con el subdominio greatapp.contoso.com que enruta el tráfico a
su recurso de Azure.
2. DESAPROVISIONAMIENTO
a. El recurso de Azure se desaprovisiona o se elimina cuando ya no se necesita.
En este momento, el registro CNAME greatapp.contoso.com debe quitarse de la zona DNS. Si no se quita el registro
CNAME, se anuncia como un dominio activo pero no enruta el tráfico a un recurso activo de Azure. Esta es la
definición de un registro de DNS "pendiente".
b. El subdominio pendiente, greatapp.contoso.com , ahora es vulnerable y se puede adquirir mediante su asignación

a otro recurso de suscripción de Azure.
3. ADQUISICIÓN:
a. Con las herramientas y los métodos de disponibilidad general, un actor de amenaza detecta el subdominio
pendiente.
b. Este actor aprovisiona un recurso de Azure con el mismo FQDN del recurso que se ha controlado previamente. En
este ejemplo, app-contogreat-dev-001.azurewebsites.net .
c. El tráfico que se envía al subdominio greatapp.contoso.com ahora se enruta al recurso del actor malintencionado
en el que se controla el contenido.
Riesgos de la adquisición de subdominios
Cuando un registro DNS apunta a un recurso que no está disponible, el propio registro debería quitarse de la zona DNS. Si
no se ha eliminado, es un registro "DNS pendiente" y genera la posibilidad de que se produzca la adquisición de
subdominios.
Las entradas DNS pendientes permiten a los actores de amenazas tomar el control del nombre DNS asociado para
hospedar un servicio o un sitio web malintencionado. Las páginas y los servicios malintencionados del subdominio de una
organización pueden dar lugar a:
Pérdida de control sobre el contenido del subdominio: prensa negativa sobre la incapacidad de la organización
para proteger su contenido, así como perjuicios para la marca y pérdida de confianza.
Recopilación de cookies de visitantes confiados: es habitual que las aplicaciones web expongan cookies de sesión a
subdominios (*.contoso.com), de modo que cualquier subdominio puede acceder a estas. Los actores de amenazas
pueden usar la adquisición de subdominios para crear una página de aspecto auténtico, engañar a los usuarios
confiados para que la visiten y recopilar sus cookies (incluso las cookies seguras). Una idea equivocada habitual es
que el uso de certificados SSL protege su sitio y las cookies de los usuarios de una adquisición. Sin embargo, un
actor de amenaza puede usar el subdominio secuestrado para solicitar y recibir un certificado SSL válido. Los
certificados SSL válidos les conceden acceso a las cookies seguras y pueden aumentar aún más la legitimidad
aparente del sitio malintencionado.
Campañas de suplantación de identidad (phishing) : los subdominios de aspecto auténtico se pueden usar en
campañas de suplantación de identidad. Esto se aplica a los sitios malintencionados y a los registros MX, que
permitirían que el actor de amenaza recibiera correos electrónicos dirigidos a un subdominio legítimo de una marca
segura.
Más riesgos: los sitios malintencionados se pueden usar para escalar a otros ataques clásicos, como XSS, CSRF,
omisión de CORS, etc.
Identificación de las entradas DNS pendientes

Para identificar las entradas DNS de la organización que podrían estar pendientes, utilice las herramientas de PowerShell
"Get-DanglingDnsRecords" hospedadas en GitHub de Microsoft.
Esta herramienta ayuda a los clientes de Azure a mostrar todos los dominios con un CNAME asociado a un recurso de
Azure existente creado en sus suscripciones o inquilinos.
Si los CNAME están en otros servicios DNS y apuntan a recursos de Azure, proporcione el CNAME en un archivo de
entrada a la herramienta.
La herramienta admite los recursos de Azure que se muestran en la tabla siguiente. La herramienta extrae, o toma como
entradas, todo el CNAME del inquilino.
Servicio Tipo FQDNproperty Ejemplo
Azure Front microsoft.network/frontdoors properties.cName abc.azurefd.net

Door
Azure Blob microsoft.storage/storageaccounts properties.primaryEndpoints.blob abc.blob.core.windows.net

Storage
Azure CDN microsoft.cdn/profiles/endpoints properties.hostName abc.azureedge.net
Direcciones IP microsoft.network/publicipaddresses properties.dnsSettings.fqdn abc.EastUs.cloudapp.azure.com

públicas
Administrador microsoft.network/trafficmanagerprofiles properties.dnsConfig.fqdn abc.trafficmanager.net

de tráfico de
Azure
Azure microsoft.containerinstance/containergroups properties.ipAddress.fqdn abc.EastUs.azurecontainer.io

Container
Instances
Azure API microsoft.apimanagement/service properties.hostnameConfigurations.hostName abc.azure-api.net

Management
Azure App microsoft.web/sites properties.defaultHostName abc.azurewebsites.net

Service
Azure App microsoft.web/sites/slots properties.defaultHostName abc-def.azurewebsites.net

Service - Slots
Requisitos previos
Ejecute la consulta como un usuario que tenga:
al menos acceso de nivel de lector a las suscripciones de Azure

acceso de lectura al gráfico de recursos de Azure
Si es un administrador global del inquilino de su organización, eleve los privilegios de su cuenta para que tenga acceso a
toda la suscripción de su organización mediante las instrucciones del artículo Elevación de los privilegios de acceso para
administrar todas las suscripciones y los grupos de administración de Azure.
 Sugerencia
Azure Resource Graph tiene límites paginación y límites de ancho de banda que debe tener en cuenta si tiene un
entorno de Azure de gran tamaño.
Más información sobre el trabajo con grandes conjuntos de datos de recursos de Azure.
La herramienta usa el procesamiento por lotes de suscripciones para evitar estas limitaciones.
Ejecute el script.
Obtenga más información sobre el script de PowerShell, Get-DanglingDnsRecords.ps1y descárguelo desde GitHub:
https://aka.ms/Get-DanglingDnsRecords .
Corrección de las entradas DNS pendientes

Revise las zonas DNS e identifique los registros CNAME que están pendientes o que se han adquirido. Si se detecta que
los subdominios están pendientes o se han adquirido, quite los subdominios vulnerables y mitigue los riesgos con los
siguientes pasos:
1. En la zona DNS, quite todos los registros CNAME que señalen a los FQDN de los recursos que ya no se aprovisionan.
2. Para permitir que el tráfico se enrute a los recursos del control, aprovisione recursos adicionales con los FQDN
especificados en los registros CNAME de los subdominios pendientes.
3. Revise el código de aplicación para ver las referencias a subdominios específicos y actualice las referencias de
subdominios incorrectas o no actualizadas.
4. Investigue si se ha producido algún riesgo y tome medidas según los procedimientos de respuesta a incidentes de la
organización. A continuación encontrará sugerencias y procedimientos recomendados para investigar este problema.
Si la lógica de la aplicación es tal que los secretos como las credenciales de OAuth se enviaron al subdominio
pendiente, o la información confidencial de la privacidad se envió a los subdominios pendientes, esos datos podrían
haberse expuesto a terceros.
5. Comprenda por qué el registro CNAME no se quitó de la zona DNS cuando se canceló el aprovisionamiento del
recurso y realice los pasos necesarios para asegurarse de que los registros DNS se actualicen correctamente cuando
se desaprovisionan los recursos de Azure en el futuro.
Evitación de los registros DNS pendientes

Asegurarse de que su organización ha implementado procesos para evitar las entradas DNS pendientes y las adquisiciones
de subdominios resultantes es una parte fundamental del programa de seguridad.
Algunos servicios de Azure ofrecen características que ayudan a crear medidas preventivas y se detallan a continuación.
Otros métodos para evitar este problema se deben establecer a través de las prácticas recomendadas de la organización o
de los procedimientos operativos estándar.
Habilitación de Microsoft Defender para App Service

La plataforma integrada de protección de cargas de trabajo en la nube (CWPP) de Microsoft Defender for Cloud, ofrece
una amplia variedad de planes para proteger sus cargas de trabajo y recursos híbridos, de varias nubes y de Azure.
El plan de Microsoft Defender para App Service incluye la detección de DNS pendiente. Con este plan habilitado, recibirá
alertas de seguridad si retira un sitio web de App Service pero no quita su dominio personalizado del registrador de DNS.
La protección contra DNS pendiente de Microsoft Defender para la nube está disponible tanto si los dominios se
administran con Azure DNS como con un registrador de dominios externo y se aplica a App Service en Windows y en
Linux.
Obtenga más información sobre esta y otras ventajas de este plan de Microsoft Defender en Introducción a
Microsoft Defender para App Service.
Uso de registros de alias de Azure DNS

Los registros de alias de Azure DNS pueden evitar referencias pendientes mediante un acoplamiento del ciclo de vida de
un registro DNS con un recurso de Azure. Por ejemplo, considere un registro DNS que se califica como un registro de alias
que apunte a una dirección IP pública o a un perfil de Traffic Manager. Si elimina los recursos subyacentes, el registro de
alias de DNS se convierte en un conjunto de registros vacío. Ya no hace referencia al recurso eliminado. Es importante
tener en cuenta que se aplican límites a lo que se puede proteger con los registros de alias. Actualmente, esta lista se
limita a lo siguiente:
Azure Front Door

Perfiles de Traffic Manager
Puntos de conexión de Azure Content Delivery Network (CDN)
Direcciones IP públicas
A pesar de las ofertas de servicio limitadas actualmente, se recomienda usar registros de alias para defenderse de la
adquisición de subdominios siempre que sea posible.
Obtenga más información sobre las funcionalidades de los registros de alias de Azure DNS.
Uso de la comprobación de dominio personalizado de Azure App Service

Al crear entradas DNS para Azure App Service, cree un registro TXT asuid.{subdominio} con el identificador de
comprobación de dominio. Cuando existe un registro TXT de este tipo, ninguna otra suscripción a Azure puede validar el
dominio personalizado es decir, adquirirlo.
Estos registros no impiden que alguien cree la instancia de Azure App Service con el mismo nombre que en la entrada
CNAME. Sin la capacidad de demostrar la propiedad del nombre de dominio, los actores de amenazas no pueden recibir
tráfico ni controlar el contenido.
Obtenga más información sobre cómo asignar un nombre DNS personalizado existente a Azure App Service.
Compilación y automatización de procesos para mitigar la amenaza

A menudo, los desarrolladores y los equipos de operaciones deben ejecutar procesos de limpieza para evitar las amenazas
de DNS pendientes. Los procedimientos siguientes le ayudarán a asegurarse de que su organización evita sufrir esta
amenaza.
Creación de procedimientos para la prevención:
Instruya a los desarrolladores de aplicaciones para que redirijan las direcciones siempre que eliminen recursos.
Incluya "Quitar entrada DNS" en la lista de comprobaciones necesarias al retirar un servicio.
Incluya bloqueos de eliminación en los recursos que tengan una entrada DNS personalizada. Un bloqueo de
eliminación sirve como indicador para quitar la asignación antes de desaprovisionar el recurso. Medidas como
esta solo pueden funcionar si se combinan con programas educativos internos.
Creación de procedimientos para la detección:
Revise los registros DNS con regularidad para asegurarse de que todos los subdominios están asignados a
recursos de Azure:
Existentes: consulte las zonas DNS para ver los recursos que apuntan a subdominios de Azure, como
*.azurewebsites.net o *.cloudapp.azure.com (consulte la lista de referencia de los dominios de Azure).
De su propiedad: confirme que posee todos los recursos a los que se dirigen sus subdominios DNS.
Mantenga un catálogo de servicios de los puntos de conexión de nombre de dominio completo (FQDN) de Azure
y los propietarios de la aplicación. Para compilar el catálogo de servicios, ejecute el siguiente script de consulta de
Azure Resource Graph. Este script proyecta la información del punto de conexión de FQDN de los recursos a los
que tiene acceso y los envía a un archivo CSV. Si tiene acceso a todas las suscripciones de su inquilino, el script
tiene en cuenta todas estas suscripciones, tal y como se muestra en el siguiente script de ejemplo. Para limitar los
resultados a un conjunto específico de suscripciones, edite el script como se muestra.
Creación de procedimientos para la corrección:
Cuando se encuentran entradas DNS pendientes, su equipo debe investigar si se ha producido algún riesgo.
Investigue por qué la dirección no se reenrutó al retirar el recurso.
Elimine el registro DNS si ya no está en uso o apunte al recurso de Azure (FQDN) correcto que pertenece a su
organización.
Limpieza de punteros DNS o reclamación del DNS

Tras la eliminación del recurso del servicio en la nube clásico, el DNS correspondiente se reserva durante de acuerdo con
las directivas de Azure DNS. Durante el período de reserva, se prohibirá la reutilización del DNS EXCEPTO para las
suscripciones que pertenecen al inquilino de Azure AD de la suscripción que posee originalmente el DNS. Una vez
expirada la reserva, cualquier suscripción puede reclamar el DNS. Al tomar reservas de DNS, el cliente tiene tiempo para 1)
limpiar cualquier asociación o puntero a dicho DNS o 2) reclamar el DNS en Azure. La recomendación sería eliminar las
entradas DNS no deseadas al principio. El nombre DNS que se reserva se puede obtener anexando el nombre del servicio
en la nube a la zona DNS de esa nube.
Public: cloudapp.net
Mooncake: chinacloudapp.cn
Fairfax: usgovcloudapp.net
BlackForest: azurecloudapp.de
Por ejemplo, un servicio hospedado en Public llamado "test" tendría el DNS "test.cloudapp.net".
Ejemplo: La suscripción "A" y la suscripción "B" son las únicas suscripciones que pertenecen al inquilino "AB" de Azure AD.
La suscripción "A" contiene un servicio en la nube clásico "test" con el nombre DNS "test.cloudapp.net". Tras la eliminación
del servicio en la nube, se toma una reserva en el nombre DNS "test.cloudapp.net". Durante el período de reserva, solo la
suscripción "A" o la suscripción "B" podrán reclamar el nombre DNS "test.cloudapp.net" mediante la creación de un
servicio en la nube clásico denominado "test". No se permitirá que otras suscripciones lo reclamen. Una vez transcurrido el
periodo de reserva, cualquier suscripción de Azure podrá reclamar "test.cloudapp.net".
Pasos siguientes
Para obtener más información sobre los servicios relacionados y las características de Azure que puede usar para
defenderse de la adquisición de subdominios, consulte las páginas siguientes.
Habilitación de Microsoft Defender para App Service: para recibir alertas cuando se detectan entradas de DNS
pendientes.
Impedir que los registros DNS queden pendientes con Azure DNS
Uso de un identificador de comprobación de dominio al agregar dominios personalizados en Azure App Service
Inicio rápido: Ejecutar la primera consulta de Resource Graph con Azure PowerShell
Implementación de una red
híbrida segura
Azure Firewall Azure Load Balancer Azure Virtual Machines Azure Virtual Network
Esta arquitectura de referencia muestra una red híbrida segura que extiende una red
local a Azure. La arquitectura implementa una red perimetral, también llamada DMZ
entre la red local y una red virtual de Azure. Todo el tráfico entrante y saliente pasa a
través de Azure Firewall.
Architecture
Descargue un archivo Visio de esta arquitectura.
Componentes
La arquitectura consta de los siguientes aspectos:
Red local. Una red de área local privada implementada en una organización.
Red virtual de Azure. La red virtual hospeda los componentes de soluciones y

otros recursos que se ejecutan en Azure.
Las rutas de red virtual definen el flujo de tráfico IP dentro de la red virtual de
Azure. En el diagrama, hay dos tablas de rutas definidas por el usuario.
En la subred de puerta de enlace, el tráfico se enruta a través de la instancia de

Azure Firewall.
７ Nota
Según los requisitos de la conexión VPN, puede configurar las rutas del
Protocolo de puerta de enlace de borde (BGP) para implementar las reglas de
reenvío que dirigen el tráfico a través de la red local.
Puerta de enlace. La puerta de enlace proporciona conectividad entre los

enrutadores de la red local y la red virtual. La puerta de enlace se coloca en su
propia subred.
Azure Firewall. Azure Firewall es un firewall administrado como servicio. La

instancia de Firewall se coloca en su propia subred.
Grupos de seguridad de red. Use grupos de seguridad para restringir el tráfico de

red dentro de la red virtual.
Azure Bastion. Azure Bastion permite iniciar sesión en las máquinas virtuales de la
red virtual mediante SSH o el protocolo de Escritorio remoto (RDP) sin exponer las
máquinas virtuales directamente a Internet. Use Bastion para administrar las
máquinas virtuales de la red virtual.
Bastion requiere una subred dedicada llamada AzureBastionSubnet.
Posibles casos de uso

Esta arquitectura requiere una conexión a su centro de datos local, mediante una puerta
de enlace VPN o una conexión ExpressRoute. Los usos habituales de esta arquitectura
incluyen:
Aplicaciones híbridas donde una parte de las cargas de trabajo se ejecutan de

forma local y otra parte en Azure.
Infraestructura que requiere un control pormenorizado sobre el tráfico que entra
en una red virtual de Azure desde un centro de datos local.
Aplicaciones que deben auditar el tráfico saliente. La auditoría suele ser un
requisito de regulación de muchos sistemas comerciales y puede ayudar a evitar la
revelación de información privada.
Recomendaciones
Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a
menos que tenga un requisito concreto que las invalide.
Recomendaciones de control de acceso

Use el control de acceso basado en rol de Azure (Azure RBAC) para administrar los
recursos de la aplicación. Considere la posibilidad de crear los siguientes roles
personalizados:
Un rol de DevOps con permisos para administrar la infraestructura de la aplicación,

implementar los componentes de las aplicaciones y supervisar y reiniciar las
máquinas virtuales.
Un rol de administrador de TI centralizado para administrar y supervisar los

recursos de red.
Un rol de administrador de TI de seguridad para administrar los recursos de red

seguros, como el firewall.
El rol de administrador de TI no debería tener acceso a los recursos de firewall. El acceso

debería limitarse al rol de administrador de TI de seguridad.
Recomendaciones para grupos de recursos

Los recursos de Azure, como las máquinas virtuales, las redes virtuales y los
equilibradores de carga, se pueden administrar fácilmente agrupándolos en grupos de
recursos. Asigne roles de Azure a cada grupo de recursos para restringir el acceso.
Se recomienda crear los grupos de recursos siguientes:
Un grupo de recursos que contenga la red virtual (excepto las máquinas virtuales),
los grupos de seguridad de red y los recursos de puerta de enlace para conectarse
a la red local. Asigne el rol de administrador de TI centralizado a este grupo de
recursos.
Un grupo de recursos que contenga las máquinas virtuales para la instancia de
Azure Firewall y las rutas definidas por el usuario para la subred de puerta de
enlace. Asigne el rol de administrador de TI de seguridad a este grupo de recursos.
Separe los grupos de recursos para cada red virtual de radios que contenga el
equilibrador de carga y las máquinas virtuales.
Recomendaciones de redes
Para aceptar el tráfico entrante desde Internet, agregue una regla de traducción de
direcciones de red de destino (DNAT) a Azure Firewall.
Dirección de destino = dirección IP pública de la instancia de firewall.

Dirección traducida = dirección IP privada dentro de la red virtual.
Aplique tunelización forzada a todo el tráfico saliente de Internet a través de la red local
mediante el túnel VPN de sitio a sitio para enrutar a Internet con la traducción de
direcciones de red (NAT). Este diseño evita la pérdida accidental de la información
confidencial y se permite la inspección y auditoría de todo el tráfico saliente.
No bloquee completamente el tráfico de Internet de los recursos de las subredes de red

de radio. Si bloquea el tráfico, impedirá que estos recursos usen los servicios PaaS de
Azure que se basan en direcciones IP públicas, como el registro de diagnóstico de
máquina virtual, la descarga de extensiones de máquina virtual y otras funciones. Los
diagnósticos de Azure también requieren que los componentes puedan leer y escribir
en una cuenta de Azure Storage.
Compruebe que el tráfico saliente de Internet se realiza correctamente a través de

tunelización forzada. Si utiliza una conexión VPN con el servicio de acceso remoto y
enrutamiento en un servidor local, use una herramienta como WireShark .
Considere la posibilidad de usar Application Gateway o Azure Front Door para la

terminación SSL.
Consideraciones
Estas consideraciones implementan los pilares del marco de buena arquitectura de
Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad
de una carga de trabajo. Para más información, consulte Marco de buena arquitectura
de Microsoft Azure.
Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar con el
fin de satisfacer de manera eficiente las demandas que los usuarios hayan ejercido
sobre ella. Para obtener más información, vea Resumen del pilar de eficiencia del
rendimiento.
Para información detallada sobre los límites de ancho de banda de VPN Gateway,
consulte SKU de puerta de enlace. Para anchos de banda mayores, considere la
posibilidad de actualizar a una puerta de enlace de ExpressRoute. ExpressRoute
proporciona hasta 10 GB/s de ancho de banda con una latencia inferior que una
conexión VPN.
Para más información sobre la escalabilidad de las puertas de enlace de Azure, consulte
las secciones de consideraciones de escalabilidad en:
Implementación de una arquitectura de red híbrida con Azure y una VPN local
Implementación de una arquitectura de red híbrida con Azure ExpressRoute
Para más información sobre la administración de redes virtuales y grupos de seguridad

de red a escala, consulte Tutorial: Creación de una red radial para crear nuevas
topologías de red virtual radiales (e incorporar las existentes) para la administración
central de las reglas de conectividad y NSG.
Confiabilidad
La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos
con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.
Si usa Azure ExpressRoute para proporcionar conectividad entre la red local y la red
virtual, configure una puerta de enlace VPN para proporcionar conmutación por error si
la conexión ExpressRoute no está disponible.
Para obtener información sobre cómo mantener la disponibilidad de las conexiones de

VPN y ExpressRoute, consulte las consideraciones de disponibilidad en:
Implementación de una arquitectura de red híbrida con Azure y una VPN local
Implementación de una arquitectura de red híbrida con Azure ExpressRoute
Excelencia operativa
La excelencia operativa abarca los procesos de las operaciones que implementan una
aplicación y la mantienen en ejecución en producción. Para más información, consulte
Introducción al pilar de excelencia operativa.
Si la conectividad de la puerta de enlace desde la red local a Azure está inactiva, puede
acceder a las máquinas virtuales de la red virtual de Azure a través de Azure Bastion.
La subred de cada nivel de la arquitectura de referencia está protegido por las reglas de
NSG. Debe crear una regla para abrir el puerto 3389 para el acceso del Protocolo de
escritorio remoto (RDP) en las máquinas virtuales Windows o el puerto 22 para el acceso
de shell seguro (SSH) en las máquinas virtuales Linux. Otras herramientas de supervisión
y administración pueden requerir reglas para abrir puertos adicionales.
Si está usando ExpressRoute para proporcionar conectividad entre el centro de datos

local y Azure, use Azure Connectivity Toolkit (AzureCT) para supervisar y solucionar
problemas de conexión.
En el artículo sobre la implementación de una arquitectura de red híbrida con Azure y
una VPN local, puede encontrar más información sobre la supervisión y administración
de conexiones VPN y ExpressRoute.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y
sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.
Esta arquitectura de referencia implementa varios niveles de seguridad.
Enrutamiento de todas las solicitudes de usuario locales a través de

Azure Firewall
La ruta definida por el usuario en la subred de puerta de enlace bloquea todas las
solicitudes de usuario distintas de las recibidas desde el entorno local. La ruta pasa las
solicitudes permitidas al firewall. Las solicitudes se pasan a los recursos de las redes
virtuales de radio si las reglas de firewall lo permiten. Puede agregar otras rutas, pero
debe asegurarse de que no omiten accidentalmente el firewall ni bloquean el tráfico
administrativo destinado a la subred de administración.
Uso de grupos de seguridad de red para bloquear o pasar el tráfico

a subredes de la red virtual radial
El tráfico hacia subredes de recursos de redes virtuales de radio y desde estas se

restringe mediante grupos de seguridad de red. Si necesita expandir las reglas de NSG a
fin de permitir un mayor acceso a estos recursos, sopese estos requisitos con respecto a
los riesgos de seguridad. Cada nueva ruta de entrada representa una oportunidad para
que se produzca la pérdida accidental o intencionada de datos o la aplicación resulte
dañada.
Protección frente a DDOS

Azure DDoS Protection Standard, combinado con los procedimientos recomendados de
diseño de aplicaciones, proporciona características mejoradas de mitigación de DDoS
para ofrecer una mejor defensa frente a los ataques DDoS. Debe habilitar Azure DDOS
Protection Standard en cualquier red virtual perimetral.
Uso de AVNM para crear reglas de administración de

seguridad de base de referencia
AVNM permite crear bases de referencia de reglas de seguridad, que pueden tener
prioridad sobre las reglas del grupo de seguridad de red. Las reglas de administración
de seguridad se evalúan antes que las reglas del grupo de seguridad de red y tienen la
misma naturaleza, admiten la priorización, las etiquetas de servicio y los protocolos L3-
L4. AVNM permite que el departamento de TI central aplique una línea base de reglas
de seguridad, al tiempo que permite una independencia de reglas de NSG adicionales
por parte de los propietarios de la red virtual de radio. Para facilitar el lanzamiento
controlado de cambios en las reglas de seguridad, la característica de implementación
de AVNM le permite librarse sin problemas de los cambios importantes de estas
configuraciones en los entornos radiales.
Acceso de DevOps
Use Azure RBAC para restringir las operaciones que DevOps puede realizar en cada
nivel. Al conceder permisos, use el principio de los privilegios mínimos. Registre todas
las operaciones administrativas y realice auditorías periódicas para asegurarse de que
los cambios de configuración se habían planeado.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y
mejorar las eficiencias operativas. Para más información, vea Información general del
pilar de optimización de costos.
Puede usar la calculadora de precios de Azure para calcular los costos. Se describen
otras consideraciones en la sección de optimización de costos Marco de buena
arquitectura de Microsoft Azure.
Estas son las consideraciones de costo de los servicios que se usan en esta arquitectura.
Azure Firewall
En esta arquitectura, Azure Firewall se implementa en la red virtual para controlar el
tráfico entre la subred de la puerta de enlace y los recursos de las redes virtuales de
radio. De esta manera, Azure Firewall es rentable porque se usa como una solución
compartida utilizada por varias cargas de trabajo. Estos son los modelos de precios de
Azure Firewall:
Tarifa fija por hora de implementación.

Datos procesados por GB para admitir el escalado automático.
En comparación con las aplicaciones virtuales de red (NVA), con Azure Firewall puede
ahorrar hasta un 30 o 50 %. Para más información, consulte Azure Firewall frente a
aplicación virtual de red .
Azure Bastion
Azure Bastion se conecta de forma segura a la máquina virtual a través de RDP y SSH sin
necesidad de configurar una dirección IP pública en la máquina virtual.
La facturación de Bastion es comparable a una máquina virtual básica de bajo nivel

configurada como un jumpbox. Bastion es más rentable que un jumpbox, ya que tiene
características de seguridad integradas y no incurre en costos adicionales para el
almacenamiento y la administración de un servidor independiente.
Azure Virtual Network

Azure Virtual Network es gratis. A cada suscripción se le permite crear un máximo de 50
redes virtuales en todas las regiones. Todo el tráfico que produce dentro de los límites
de una red virtual es gratis. Por ejemplo, las máquinas virtuales de la misma red virtual
que se comuniquen entre sí no incurren en cargos de tráfico de red.
Equilibrador de carga interno

El equilibrio de carga básico entre máquinas virtuales que residen en la misma red
virtual es gratuito.
En esta arquitectura, los equilibradores de carga internos se usan para equilibrar la

carga del tráfico dentro de una red virtual.
Implementación de este escenario

Esta implementación crea dos grupos de recursos: la primera contiene una red local
ficticia, la segunda un conjunto de redes con topología en estrella tipo hub-and-spoke.
La red local ficticia y la red del centro de conectividad están conectadas mediante
puertas de enlace de Azure Virtual Network para formar una conexión de sitio a sitio.
Esta configuración es muy similar al modo en que conectaría su centro de datos local a
Azure.
Esta implementación puede tardar hasta 45 minutos en completarse. El método de

implementación recomendado consiste en usar la opción de portal que se indica a
continuación.
Azure Portal
Use el botón siguiente para implementar la referencia mediante Azure Portal.
Una vez completada la implementación, compruebe la conectividad de sitio a sitio

examinando los recursos de conexión recién creados. En Azure Portal, busque
"conexiones" y observe el estado de cada conexión.
Se puede acceder a la instancia de IIS que se encuentra en la red radial desde la

máquina virtual ubicada en la red local ficticia. Cree una conexión a la máquina virtual
mediante el host de Azure Bastion incluido, abra un explorador web y vaya a la dirección
del equilibrador de carga de la red de la aplicación.
Para obtener información detallada y ver otras opciones de implementación, consulte

las plantillas de Azure Resource Manager (plantillas de ARM) que se usaron para
implementar esta solución: Red híbrida segura.
Pasos siguientes
Centro de datos virtual: Una perspectiva de la red.
Documentación de Azure Security Center.
Recursos relacionados
Conexión de una red local a Azure mediante ExpressRoute.
Configuración de conexiones ExpressRoute y de sitio a sitio coexistentes con
PowerShell
Extensión de una red local mediante ExpressRoute.
Microsoft Antimalware para Azure
Cloud Services y Virtual Machines
Artículo • 29/04/2023
Microsoft Antimalware para Azure es una protección gratuita en tiempo real que ayuda
a identificar y eliminar virus, spyware y otro software malintencionado. Genera alertas
cuando software no deseado o malintencionado intenta instalarse o ejecutarse en los
sistemas de Azure.
La solución se basa en la misma plataforma antimalware que Microsoft Security

Essentials (MSE), Microsoft Forefront Endpoint Protection, Microsoft System Center
Endpoint Protection, Microsoft Intune y Microsoft Defender for Cloud. Microsoft
Antimalware para Azure es una solución de un único agente dirigida a entornos de
aplicaciones e inquilinos, concebida para ejecutarse en segundo plano sin intervención
humana. La protección puede implementarse en función de las necesidades de sus
cargas de trabajo de aplicaciones, con configuración de protección básica
predeterminada o personalizada avanzada que incluye la supervisión antimalware.
Al implementar y habilitar Microsoft Antimalware para Azure en sus aplicaciones, están

disponibles las siguientes características principales:
Protección en tiempo real: supervisa la actividad en Cloud Services y Virtual

Machines para detectar y bloquear la ejecución de malware.
Análisis programado: realiza un análisis periódico para detectar malware, lo que
incluye programas que se ejecutan activamente.
Corrección de malware: actúa automáticamente sobre el malware detectado y
elimina o pone en cuarentena los archivos malintencionados y limpia las entradas
del Registro malintencionadas.
Actualizaciones de firmas: instala automáticamente las últimas firmas de
protección (definiciones de virus) para garantizar que la protección está
actualizada con una frecuencia determinada previamente.
Actualizaciones de Antimalware Engine: actualiza automáticamente el motor de
Microsoft Antimalware.
Actualizaciones de la plataforma Antimalware: actualiza automáticamente la
plataforma de Microsoft Antimalware.
Protección activa: envía a Microsoft Azure informes de metadatos de telemetría
sobre las amenazas detectadas y los recursos sospechosos para garantizar una
respuesta rápida a las amenazas en constante evolución, y para permitir la entrega
sincrónica de firmas en tiempo real a través de Microsoft Active Protection System
(MAPS).
Informes de ejemplos: proporciona informes de ejemplos al servicio Microsoft
Antimalware que ayudan a mejorar el servicio y permiten la solución de problemas.
Exclusiones : permite a los administradores de aplicaciones y servicios configurar
las exclusiones de archivos, procesos y unidades.
Recopilación de eventos antimalware: registra el estado del servicio de
antimalware, las actividades sospechosas y las acciones de corrección adoptadas
en el registro de eventos del sistema operativo y los recopila en la cuenta de Azure
Storage del cliente.
７ Nota
Microsoft Antimalware también se puede implementar mediante Microsoft

Defender for Cloud. Para más información, vea Instalación de Endpoint Protection
en Microsoft Defender for Cloud.
Architecture
La solución Microsoft Antimalware para Azure incluye el cliente y el servicio de
Microsoft Antimalware, el modelo de implementación clásica de Antimalware, los
cmdlets de PowerShell para Antimalware y la extensión Azure Diagnostics. Microsoft
Antimalware es compatible con las familias de sistemas operativos Windows Server 2008
R2, Windows Server 2012 y Windows Server 2012 R2. No se admite en el sistema
operativo de Windows Server 2008 y tampoco es compatible en Linux.
El cliente y servicio de Microsoft Antimalware se instala de forma predeterminada en un

estado deshabilitado en todas las familias de sistemas operativos invitados compatibles
con Azure en la plataforma de Cloud Services. El cliente y el servicio de Microsoft
Antimalware no se instalan de forma predeterminada en la plataforma de Virtual
Machines, sino que está disponible como una característica opcional en Azure Portal y
en la configuración de máquinas virtuales de Visual Studio en Extensiones de seguridad.
Si usa Azure App Service en Windows, el servicio subyacente que hospeda la aplicación
web tiene Microsoft Antimalware habilitado. Esto se utiliza para proteger la
infraestructura de Azure App Service y no se ejecuta en el contenido del cliente.
７ Nota
El Antivirus de Microsoft Defender es el antimalware integrado habilitado en

Windows Server 2016 y versiones posteriores. La extensión de Antimalware para
máquinas virtuales de Azure todavía se puede agregar a una máquina virtual de
Azure de Windows Server 2016 (y versiones posteriores) con Antivirus de Microsoft
Defender. En este escenario, la extensión aplica las directivas de configuración
opcionales que va a usar Antivirus de Microsoft Defender. La extensión no
implementa ningún otro servicio antimalware. Para obtener más información,
consulte la sección Ejemplos de este artículo para obtener más detalles.
Flujo de trabajo de Microsoft Antimalware

El administrador de servicios de Azure puede habilitar Antimalware para Azure con una
configuración predeterminada o personalizada para Máquinas virtuales y Cloud Services
mediante las siguientes opciones:
Virtual Machines: en Azure Portal, en Extensiones de seguridad

Máquinas virtuales: mediante la configuración de máquinas virtuales de Visual
Studio en el Explorador de servidores
Virtual Machines y Cloud Services: con el modelo de implementación clásica de
Antimalware
Virtual Machines y Cloud Services: mediante los cmdlets de PowerShell para
Antimalware
Azure Portal o los cmdlets de PowerShell insertan el archivo del paquete de extensiones
de Antimalware en el sistema de Azure en una ubicación fija predeterminada. El agente
invitado de Azure (o el agente de tejido) inicia la extensión de Antimalware y aplicar los
valores de configuración de Antimalware proporcionados como entrada. Este paso
habilita el servicio Antimalware con valores de configuración predeterminados o
personalizados. Si no se proporciona ninguna configuración personalizada, el servicio
Antimalware se habilita con la configuración predeterminada. Para obtener más
información, consulte la sección Ejemplos de este artículo para obtener más detalles.
Una vez en ejecución, el cliente de Microsoft Antimalware descarga de Internet las

definiciones más recientes de firmas y del motor de protección y las carga en el sistema
de Azure. El servicio Microsoft Antimalware escribe eventos relacionados con el servicio
en el registro de eventos del SO del sistema, en el origen de eventos "Microsoft
Antimalware". Los eventos incluyen, entre otros, el estado de mantenimiento, protección
y corrección del cliente Antimalware, valores de configuración nuevos y antiguos,
actualizaciones del motor y definiciones de firmas.
Puede habilitar la supervisión Antimalware para que en el servicio en la nube o la

máquina virtual se escriban los eventos del registro de eventos Antimalware a medida
que se generan en la cuenta de almacenamiento de Azure. El servicio Antimalware usa la
extensión de diagnósticos de Azure para recopilar eventos antimalware del sistema de
Azure en tablas de la cuenta de Azure Storage del cliente.
El flujo de trabajo de implementación, que incluye pasos de configuración y opciones

admitidas para los escenarios anteriores, se documenta en la sección Escenarios de
implementación de Antimalware de este documento.
７ Nota
Sin embargo, puede usar las plantillas de Azure Resource Manager o las API o
PowerShell para implementar conjuntos de escalado de máquinas virtuales con la
extensión antimalware de Microsoft. Para instalar una extensión en una máquina
virtual que ya se esté ejecutando, puede usar el script de ejemplo de Python
vmssextn.py . Este script obtiene la configuración de extensión existente del
conjunto de escalado y agrega una extensión a la lista de extensiones actuales de
los conjuntos de escalado de máquinas virtuales.
Configuración predeterminada y personalizada de

Antimalware
Si no se proporcionan valores de configuración personalizados, se aplican los valores de
configuración predeterminados para habilitar Antimalware para Azure Cloud Services y
Virtual Machines. Los valores de configuración predeterminados se han optimizado
previamente para ejecutarse en el entorno de Azure. Opcionalmente, puede personalizar
estos valores de configuración predeterminados para adaptarlos a la implementación de
su aplicación o servicio de Azure y aplicarlos en otros escenarios de implementación.
En la tabla siguiente se resumen las opciones de configuración disponibles para el

servicio Antimalware. La configuración predeterminada se marca en la columna
etiquetada como "Predeterminada".
Escenarios de implementación de Antimalware
Los escenarios para habilitar y configurar Antimalware, incluida la supervisión de Azure
Cloud Services y Virtual Machines, se tratan en esta sección.
Virtual Machines: habilitación y configuración de

Antimalware
Implementación mientras crea una máquina virtual mediante Azure

Portal
Siga estos pasos para habilitar y configurar Microsoft Antimalware en Azure Virtual
Machines mediante Azure Portal mientras aprovisiona una máquina virtual:
1. Inicie sesión en Azure Portal .

2. Para crear una nueva máquina virtual, vaya a Máquinas virtuales, seleccione
Agregar y elija Windows Server.
3. Seleccione la versión de Windows Server que quiera usar.
4. Seleccione Crear.
5. Proporcione un Nombre, un Nombre de usuario, una Contraseña y cree un nuevo

grupo de recursos o elija un grupo de recursos existente.
6. Seleccione Aceptar.
7. Seleccione un tamaño de máquina virtual.
8. En la sección siguiente, realice las elecciones adecuadas para sus necesidades,
seleccione la sección Extensiones.
9. Seleccione Agregar extensión.
10. En Nuevo recurso, elija Microsoft Antimalware.
11. Seleccione Crear
12. En la sección Instalar extensión se puede configurar el archivo, las ubicaciones y
las exclusiones del proceso, así como otras opciones de análisis. Elija Aceptar.
13. Elija Aceptar.
14. En la sección Configuración, elija Aceptar.
15. En la pantalla Crear, elija Aceptar.
Consulte esta plantilla de Azure Resource Manager para ver la implementación de la

extensión de VM de Antimalware para Windows.
Implementación mediante la configuración de máquinas virtuales

de Visual Studio
Para habilitar y configurar el servicio Microsoft Antimalware con Visual Studio:
1. Conéctese a Microsoft Azure en Visual Studio.
2. Elija su máquina virtual en el nodo Virtual Machines del Explorador de servidores.

3. Haga clic con el botón derecho en configurar para ver la página de configuración
de máquinas virtuales.
4. Seleccione la extensión Microsoft Antimalware en la lista desplegable bajo

Extensiones instaladas y haga clic en Agregar para realizar la configuración
predeterminada de Antimalware.
5. Para personalizar la configuración predeterminada de Antimalware, seleccione

(resalte) la extensión Antimalware en la lista de extensiones instaladas y haga clic
en Configurar.
6. Reemplace la configuración predeterminada de Antimalware por la configuración

personalizada en formato JSON admitido en el cuadro de texto Configuración
pública y haga clic en Aceptar.
7. Haga clic en el botón Actualizar para insertar las actualizaciones de configuración

en la máquina virtual.
７ Nota
La configuración de Virtual Machines de Visual Studio para Antimalware solo

admite el formato JSON. Para obtener más información, consulte la sección
Ejemplos de este artículo para obtener más detalles.
Implementación mediante cmdlets de PowerShell
Una aplicación o un servicio de Azure puede habilitar y configurar Microsoft

Antimalware para Azure Virtual Machines mediante cmdlets de PowerShell.
Para habilitar y configurar Microsoft Antimalware mediante cmdlets de PowerShell:
1. Configure el entorno de PowerShell: consulte la documentación en

https://github.com/Azure/azure-powershell .
2. Use el cmdlet Set-AzureVMMicrosoftAntimalwareExtension para habilitar y
configurar Microsoft Antimalware para su máquina virtual.
７ Nota
La configuración de Azure Virtual Machines para Antimalware solo admite el

formato JSON. Para obtener más información, consulte la sección Ejemplos de este
artículo para obtener más detalles.
Habilitación y configuración de Antimalware mediante

cmdlets de PowerShell
Una aplicación o un servicio de Azure puede habilitar y configurar Microsoft
Antimalware para Azure Cloud Services mediante cmdlets de PowerShell. Microsoft
Antimalware se instala con un estado deshabilitado en la plataforma de Cloud Services y
requiere la acción de una aplicación de Azure para habilitarlo.

2. Use el cmdlet Set-AzureServiceExtension para habilitar y configurar
Microsoft Antimalware para su servicio en la nube.
Para obtener más información, consulte la sección Ejemplos de este artículo para
obtener más detalles.
Cloud Services y Virtual Machines: configuración

mediante cmdlets de PowerShell
Una aplicación o un servicio de Azure puede recuperar la configuración de Microsoft
Antimalware para Cloud Services y Virtual Machines mediante cmdlets de PowerShell.
Para recuperar la configuración de Microsoft Antimalware mediante cmdlets de

PowerShell:

2. Para Virtual Machines: use el cmdlet Get-AzureVMMicrosoftAntimalwareExtension
para obtener la configuración de antimalware.
3. Para Cloud Services: use el cmdlet Get-AzureServiceExtension para obtener la
configuración de antimalware.
Ejemplos
Eliminación de la configuración de Antimalware mediante

cmdlets de PowerShell
Una aplicación o un servicio de Azure puede quitar la configuración Antimalware, y
cualquier configuración de supervisión de Antimalware asociada, de las extensiones
pertinentes del servicio de diagnóstico y del servicio Antimalware de Azure asociadas al
servicio en la nube o la máquina virtual.
Para quitar Microsoft Antimalware mediante cmdlets de PowerShell:

2. Para Virtual Machines: use el cmdlet Remove-
AzureVMMicrosoftAntimalwareExtension.
3. Para Cloud Services: use el cmdlet Remove-AzureServiceExtension.
Para habilitar la recopilación de eventos antimalware de una máquina virtual mediante

el Portal de vista previa de Azure:
1. Haga clic en cualquier parte de la lente Supervisión en la hoja Máquina Virtual.

2. Haga clic en el comando Diagnóstico en la hoja Métrica.
3. Seleccione Estado activado y marque la opción para el sistema de eventos de
Windows.
4. . Puede desactivar todas las demás opciones de la lista o dejarlas habilitadas,
según las necesidades de su servicio de aplicación.
5. Las categorías de eventos antimalware "Error", "Advertencia", "Informativo", etc., se
capturan en la cuenta de Azure Storage.
Los eventos Antimalware se recopilan de los registros del sistema de eventos de

Windows y se colocan en la cuenta de Azure Storage. Puede configurar la cuenta de
almacenamiento de la máquina virtual para la recopilación de eventos Antimalware
seleccionando la cuenta de almacenamiento adecuada.
Habilitación y configuración de Antimalware con cmdlets

de PowerShell para máquinas virtuales de Azure Resource
Manager
Para habilitar y configurar Microsoft Antimalware para máquinas virtuales de Azure
Resource Manager mediante cmdlets de PowerShell:
1. Configure el entorno de PowerShell con esta documentación de GitHub.

2. Use el cmdlet Set-AzureRmVMExtension para habilitar y configurar Microsoft
Antimalware para su máquina virtual.
Están disponibles los ejemplos de código siguientes:
Implementación de Microsoft Antimalware en máquinas virtuales de ARM

Incorporación de Microsoft Antimalware a los clústeres de Azure Service Fabric
Habilitación y configuración de Antimalware para soporte
extendido del servicio en la nube de Azure (CS-ES)
mediante cmdlets de PowerShell

2. Use el cmdlet New-AzCloudServiceExtensionObject para habilitar y configurar
Microsoft Antimalware para la máquina virtual del servicio en la nube.
El ejemplo de código siguiente está disponible:
Adición de Microsoft Antimalware a un servicio en la nube de Azure mediante

soporte extendido (CS-ES)
Habilitación y configuración de Antimalware con cmdlets

de PowerShell para servidores habilitados para Azure Arc
Para habilitar y configurar Microsoft Antimalware para servidores habilitados para Azure
Arc mediante cmdlets de PowerShell:
1. Configure el entorno de PowerShell con esta documentación de GitHub.

2. Use el cmdlet New-AzConnectedMachineExtension para habilitar y configurar
Microsoft Antimalware para los servidores habilitados para Azure Arc.
Están disponibles los ejemplos de código siguientes:
Adición de Microsoft Antimalware para servidores habilitados para Azure Arc
Pasos siguientes
Consulte los ejemplos de código para habilitar y configurar Microsoft Antimalware para
máquinas virtuales de Azure Resource Manager (ARM).
Habilitación y configuración de
Microsoft Antimalware para máquinas
virtuales de Azure Resource Manager
Artículo • 01/06/2023
Puede habilitar y configurar Microsoft Antimalware para máquinas virtuales de Azure

Resource Manager. En este artículo se proporcionan ejemplos de código con cmdlets de
PowerShell.
Implementación de Microsoft Antimalware en

máquinas virtuales de Azure Resource Manager
７ Nota
Antes de ejecutar este ejemplo de código, debe quitar las marcas de comentario de
las variables e indicar los valores adecuados.
PowerShell
# Script to add Microsoft Antimalware extension to Azure Resource Manager

VMs
# Specify your subscription ID
$subscriptionId= " SUBSCRIPTION ID HERE "
# specify location, resource group, and VM for the extension
$location = " LOCATION HERE " # eg., “Southeast Asia” or “Central US”
$resourceGroupName = " RESOURCE GROUP NAME HERE "
$vmName = " VM NAME HERE "
# Enable Antimalware with default policies

$settingString = ‘{"AntimalwareEnabled": true}’;
# Enable Antimalware with custom policies
# $settingString = ‘{
# "AntimalwareEnabled": true,
# "RealtimeProtectionEnabled": true,
# "ScheduledScanSettings": {
# "isEnabled": true,
# "day": 0,
# "time": 120,
# "scanType": "Quick"
# },
# "Exclusions": {
# "Extensions": ".ext1,.ext2",
# "Paths":"",
# "Processes":"sampl1e1.exe, sample2.exe"
# },
# "SignatureUpdates": {
# "FileSharesSources": “”,
# "FallbackOrder”: “”,
# "ScheduleDay": 0,
# "UpdateInterval": 0,
# },
# "CloudProtection": true
#
# }’;
# Login to your Azure Resource Manager Account and select the Subscription
to use
Login-AzureRmAccount
Select-AzureRmSubscription -SubscriptionId $subscriptionId

# retrieve the most recent version number of the extension
$allVersions= (Get-AzureRmVMExtensionImage -Location $location -
PublisherName “Microsoft.Azure.Security” -Type “IaaSAntimalware”).Version
$versionString = $allVersions[($allVersions.count)-1].Split(“.”)[0] + “.” +
$allVersions[($allVersions.count)-1].Split(“.”)[1]
# set the extension using prepared values
# ****—-Use this script till cmdlets address the -SettingsString format
issue we observed ****—-
Set-AzureRmVMExtension -ResourceGroupName $resourceGroupName -Location
$location -VMName $vmName -Name "IaaSAntimalware" -Publisher
“Microsoft.Azure.Security” -ExtensionType “IaaSAntimalware” -
TypeHandlerVersion $versionString -SettingString $settingString
Incorporación de Microsoft Antimalware a los

clústeres de Azure Service Fabric
Azure Service Fabric usa conjuntos de escalado de máquinas virtuales de Azure para
crear los clústeres de Service Fabric. En la actualidad, la plantilla de conjuntos de
escalado de máquinas virtuales que se usa para crear los clústeres de Service Fabric no
está habilitada con la extensión de Antimalware. Por tanto, Antimalware debe habilitarse
por separado en los conjuntos de escalado. A medida que lo habilita, todos los nodos
creados en los conjuntos de escalado de máquinas virtuales heredan y obtienen la
extensión automáticamente.
En el ejemplo de código siguiente se muestra cómo puede habilitar la extensión de

Antimalware de IaaS con los cmdlets de PowerShell de AzureRmVmss.
７ Nota
PowerShell
# Script to add Microsoft Antimalware extension to VM Scale Set(VMSS) and

Service Fabric Cluster(in turn it used VMSS)
# Login to your Azure Resource Manager Account and select the Subscription
to use
Login-AzureRmAccount
# Specify your subscription ID
$subscriptionId="SUBSCRIPTION ID HERE"
Select-AzureRmSubscription -SubscriptionId $subscriptionId
# Specify location, resource group, and VM Scaleset for the extension
$location = "LOCATION HERE" # eg., “West US or Southeast Asia” or “Central
US”
$resourceGroupName = "RESOURCE GROUP NAME HERE"
$vmScaleSetName = "YOUR VM SCALE SET NAME"
# Configuration.JSON configuration file can be customized as per MSDN

documentation: https://msdn.microsoft.com/en-us/library/dn771716.aspx
$settingString = ‘{"AntimalwareEnabled": true}’;
# $settingString = ‘{
# "AntimalwareEnabled": true,
# "RealtimeProtectionEnabled": true,
# "ScheduledScanSettings": {
# "isEnabled": true,
# "day": 0,
# "time": 120,
# "scanType": "Quick"
# },
# "Exclusions": {
# "Extensions": ".ext1,.ext2",
# "Paths":"",
# "Processes":"sampl1e1.exe, sample2.exe"
# } ,
# "SignatureUpdates": {
# "FileSharesSources": “”,
# "FallbackOrder”: “”,
# "ScheduleDay": 0,
# "UpdateInterval": 0,
# },
# "CloudProtection": true
# }’;
# retrieve the most recent version number of the extension

$allVersions= (Get-AzureRmVMExtensionImage -Location $location -
PublisherName “Microsoft.Azure.Security” -Type “IaaSAntimalware”).Version
$versionString = $allVersions[($allVersions.count)-1].Split(“.”)[0] + “.” +
$allVersions[($allVersions.count)-1].Split(“.”)[1]
$VMSS = Get-AzureRmVmss -ResourceGroupName $resourceGroupName -
VMScaleSetName $vmScaleSetName
Add-AzureRmVmssExtension -VirtualMachineScaleSet $VMSS -Name
“IaaSAntimalware” -Publisher “Microsoft.Azure.Security” -Type
“IaaSAntimalware” -TypeHandlerVersion $versionString
Update-AzureRmVmss -ResourceGroupName $resourceGroupName -Name
$vmScaleSetName -VirtualMachineScaleSet $VMSS
Adición de Microsoft Antimalware a un servicio

en la nube de Azure mediante soporte
extendido
En el ejemplo de código siguiente se muestra cómo puede agregar Microsoft
Antimalware al servicio en la nube de Azure mediante soporte extendido (CS-ES) o
configurarlo, a través de cmdlets de PowerShell.
７ Nota
PowerShell
# Create Antimalware extension object, where file is the AntimalwareSettings

$xmlconfig = [IO.File]::ReadAllText("C:\path\to\file.xml")
$extension = New-AzCloudServiceExtensionObject -Name
"AntimalwareExtension" -Type "PaaSAntimalware" -Publisher
"Microsoft.Azure.Security" -Setting $xmlconfig -TypeHandlerVersion "1.5" -
AutoUpgradeMinorVersion $true
# Get existing Cloud Service

$cloudService = Get-AzCloudService -ResourceGroup "ContosOrg" -
CloudServiceName "ContosoCS"
# Add Antimalaware extension to existing Cloud Service extension object

$cloudService.ExtensionProfile.Extension =
$cloudService.ExtensionProfile.Extension + $extension
# Update Cloud Service

$cloudService | Update-AzCloudService
Este es un ejemplo del archivo XML de configuración privada
<?xml version="1.0" encoding="utf-8"?>

<AntimalwareConfig
xmlns:i="http://www.w3.org/2001/XMLSchema-instance">
<AntimalwareEnabled>true</AntimalwareEnabled>
<RealtimeProtectionEnabled>true</RealtimeProtectionEnabled>
<ScheduledScanSettings isEnabled="true" day="1" time="120"
scanType="Full" />
<Exclusions>
<Extensions>
<Extension>.ext1</Extension>
<Extension>.ext2</Extension>
</Extensions>
<Paths>
<Path>c:\excluded-path-1</Path>
<Path>c:\excluded-path-2</Path>
</Paths>
<Processes>
<Process>excludedproc1.exe</Process>
<Process>excludedproc2.exe</Process>
</Processes>
</Exclusions>
</AntimalwareConfig>
Incorporación de Microsoft Antimalware para

servidores habilitados para Azure Arc
El código de ejemplo anterior muestra cómo se puede agregar Microsoft Antimalware
para servidores habilitados para Azure Arc a través de cmdlets de PowerShell.
７ Nota
PowerShell
#Before using Azure PowerShell to manage VM extensions on your hybrid server

managed by Azure Arc-enabled servers, you need to install the
Az.ConnectedMachine module. Run the following command on your Azure Arc-
enabled server:
#If you have Az.ConnectedMachine installed, please make sure the version is
at least 0.4.0
install-module -Name Az.ConnectedMachine
Import-Module -name Az.ConnectedMachine
# specify location, resource group, and VM for the extension

$subscriptionid =" SUBSCRIPTION ID HERE "
$location = " LOCATION HERE " # eg., “Southeast Asia” or “Central US”
$resourceGroupName = " RESOURCE GROUP NAME HERE "
$machineName = "MACHINE NAME HERE "
# Enable Antimalware with default policies

$setting = @{"AntimalwareEnabled"=$true}
$setting2 = @{
"AntimalwareEnabled"=$true;
"RealtimeProtectionEnabled"=$true;
"ScheduledScanSettings"= @{
"isEnabled"=$true;
"day"=0;
"time"=120;
"scanType"="Quick"
};
"Exclusions"= @{
"Extensions"=".ext1, .ext2";
"Paths"="";
"Processes"="sampl1e1.exe, sample2.exe"
};
"SignatureUpdates"= @{
"FileSharesSources"=“”;
"FallbackOrder”=“”;
"ScheduleDay"=0;
"UpdateInterval"=0;
};
"CloudProtection"=$true
}
# Will be prompted to login
Connect-AzAccount
# Enable Antimalware with the policies
New-AzConnectedMachineExtension -Name "IaaSAntimalware" -ResourceGroupName
$resourceGroupName -MachineName $machineName -Location $location -
SubscriptionId $subscriptionid -Publisher “Microsoft.Azure.Security” -
Settings $setting -ExtensionType “IaaSAntimalware”
Pasos siguientes
Consulte más información acerca de Microsoft Antimalware para Azure.
Información general de seguridad de
Azure Virtual Machines
Artículo • 18/04/2023
Este artículo ofrece una introducción a las principales características de seguridad de

Azure que pueden usarse con máquinas virtuales.
Puede usar las máquinas virtuales de Azure para implementar una amplia gama de
soluciones informáticas con facilidad. El servicio es compatible con Microsoft Windows,
Linux, Microsoft SQL Server, Oracle, IBM, SAP y Azure BizTalk Services. Gracias a ello,
puede implementar cualquier carga de trabajo y cualquier lenguaje en casi cualquier
sistema operativo.
Una máquina virtual de Azure le ofrece la flexibilidad de la virtualización sin necesidad

de adquirir y mantener el hardware físico que ejecuta la máquina virtual. Puede compilar
e implementar aplicaciones con la tranquilidad de saber que sus datos están protegidos
en centros de datos de alta seguridad.
Con Azure, puede crear soluciones compatibles con seguridad mejorada que:
Protegen sus máquinas virtuales de virus y malware.

Protegen con cifrado su información confidencial.
Protegen el tráfico de red.
Identifican y detectan amenazas.
Satisfacen los requisitos de cumplimiento.
Antimalware
Con Azure, puede usar el software antimalware de proveedores de seguridad como
Microsoft, Symantec, Trend Micro y Kaspersky. Este software le ayudará a proteger las
máquinas virtuales de archivos malintencionados, adware y otras amenazas.
Microsoft Antimalware para Azure Cloud Services y Virtual Machines es una

funcionalidad de protección en tiempo real que permite identificar y eliminar virus,
spyware y otro software malintencionado. Microsoft Antimalware para Azure activa
alertas configurables cuando software no deseado o malintencionado intenta instalarse
o ejecutarse en los sistemas de Azure.
Microsoft Antimalware para Azure es una solución de un único agente dirigida a

entornos de aplicaciones e inquilinos. Está concebida para su ejecución en segundo
plano sin intervención del usuario. Puede implementar la protección en función de las
necesidades de sus cargas de trabajo de aplicaciones, con configuración de protección
básica o personalizada avanzada que incluye supervisión antimalware.
Obtenga más información sobre Microsoft Antimalware para Azure y las características
principales disponibles.
Obtenga más información acerca del software antimalware para proteger las máquinas
virtuales:
Implementación de soluciones antimalware en Azure Virtual Machines

Instalación y configuración de Trend Micro Deep Security como servicio en una
máquina virtual de Azure
Soluciones de seguridad en Azure Marketplace
Para una protección aún más eficaz, considere la posibilidad de usar Microsoft Defender
para punto de conexión. Con Defender para punto de conexión, obtendrá:
Reducción de la superficie expuesta a ataques

Protección de próxima generación
Protección y respuesta de punto de conexión
Investigación y corrección automatizadas
Puntuación segura
Búsqueda avanzada
Administración y API
Protección contra amenazas de Microsoft
Obtenga más información: Introducción a Microsoft Defender para punto de conexión
Módulo de seguridad de hardware

Las protecciones del cifrado y autenticación se pueden mejorar si se mejora la clave de
seguridad. Puede simplificar la administración y la seguridad de claves y secretos críticos
guardándolos en Azure Key Vault.
Key Vault permite guardar claves en módulos de seguridad de hardware (HSM) que
tienen la certificación FIPS 140-2 nivel 2. Sus claves de cifrado de SQL Server para copias
de seguridad o cifrado de datos transparente se pueden almacenar en Key Vault con
otras claves y secretos de sus aplicaciones. Los permisos y el acceso a estos elementos
protegidos se administran con Azure Active Directory.
Más información:
¿Qué es Azure Key Vault?

Blog de Azure Key Vault
Cifrado de discos de máquinas virtuales
Azure Disk Encryption es una nueva funcionalidad que permite cifrar los discos de las
máquinas virtuales de Windows y Linux. Azure Disk Encryption usa la característica
BitLocker estándar del sector de Windows y la característica dm-crypt de Linux para
ofrecer cifrado de volumen para el sistema operativo y los discos de datos.
La solución se integra con Azure Key Vault para controlar y administrar los secretos y las
claves de cifrado de los discos en la suscripción de Key Vault. Gracias a ello, se garantiza
que todos los datos de los discos de máquinas virtuales se cifren en reposo en Azure
Storage.
Más información:
Guía de inicio rápido: Cifrado de una máquina virtual IaaS Linux con Azure
PowerShell
Copia de seguridad de máquina virtual

Azure Backup es una solución escalable que protege los datos de su aplicación sin
necesidad de realizar ninguna inversión y afrontando unos costos operativos mínimos.
Los errores de una aplicación pueden dañar los datos, y los errores humanos pueden
crear errores en las aplicaciones. Con Azure Backup, las máquinas virtuales que ejecutan
Windows y Linux están protegidas.
Más información:
¿Qué es Azure Backup?

P+F del servicio Azure Backup
Azure Site Recovery

Una parte importante de la estrategia de BCDR de la organización es averiguar cómo
mantener las aplicaciones y cargas de trabajo corporativas listas para su funcionamiento
cuando se producen interrupciones planificadas e imprevistas. Azure Site Recovery le
ayuda a coordinar la replicación, la conmutación por error y la recuperación de
aplicaciones y cargas de trabajo para que estén disponibles desde una ubicación
secundaria si la ubicación principal deja de funcionar.
Site Recovery:
Simplificar su estrategia de BCDR: Site Recovery facilita el control de la
replicación, la conmutación por error y la recuperación de varias cargas de trabajo
y aplicaciones de negocios desde una única ubicación. Site Recovery organiza la
replicación y la conmutación por error pero no intercepta los datos de la aplicación
ni obtiene información alguna sobre ella.
Proporcionar replicación flexible: con Site Recovery puede replicar las cargas de
trabajo que se ejecutan en máquinas virtuales de Hyper-V, máquinas virtuales de
VMware y servidores físicos con Windows o Linux.
Admite recuperación y conmutación por error: Site Recovery proporciona
conmutaciones por error de prueba que admiten maniobras de recuperación ante
desastres sin que los entornos de producción se vean afectados. También puede
ejecutar conmutaciones por error planeadas sin pérdidas de datos para
interrupciones previstas o conmutaciones por error con una pérdida de datos
mínima (según la frecuencia de replicación) ante desastres inesperados. Después
de la conmutación por error puede ejecutar una conmutación por recuperación a
los sitios principales. Site Recovery proporciona planes de recuperación que
pueden incluir scripts y libros de Azure Automation para que pueda personalizar la
conmutación por error y la recuperación de aplicaciones de varios niveles.
Eliminar centros de datos secundarios: puede replicar en un sitio local secundario
o en Azure. Usar Azure como destino de la recuperación ante desastres elimina el
costo y la complejidad de mantener un sitio secundario. Los datos replicados se
almacenan en Azure Storage.
Se integra con tecnologías de BCDR existentes: Site Recovery se asocia con otras
características de BCDR de las aplicaciones. Por ejemplo, puede usar Site Recovery
para proteger el back-end de SQL Server de las cargas de trabajo corporativas.
Esto incluye la compatibilidad nativa con SQL Server AlwaysOn para administrar la
conmutación por error de los grupos de disponibilidad.
Más información:
¿Qué es Azure Site Recovery?

¿Cómo funciona Azure Site Recovery?
¿Qué cargas de trabajo se pueden proteger con Azure Site Recovery?
Redes virtuales
Las máquinas virtuales necesita conectividad de red. Para satisfacer este requisito, es
necesario que las máquinas virtuales de Azure estén conectadas a una instancia de
Azure Virtual Network.
Azure Virtual Network es una construcción lógica creada encima del tejido de red físico
de Azure. Cada instancia lógica de Azure Virtual Network está aislada de todas las
demás redes virtuales de Azure. Este aislamiento contribuye a garantizar que otros
clientes de Microsoft Azure no puedan acceder al tráfico de red de las
implementaciones.
Más información:
Azure Network Security Overview (Información general sobre Azure Network

Security)
Información general sobre Virtual Network
Networking features and partnerships for Enterprise scenarios (Características de
red y asociaciones para escenarios empresariales)
Informes y administración de directivas de

seguridad
Microsoft Defender for Cloud ayuda a evitar y a detectar las amenazas, además de a
responder a ellas. Defender for Cloud aporta visibilidad mejorada y control sobre la
seguridad de los recursos de Azure. Proporciona una supervisión de la seguridad y una
administración de directivas integradas en suscripciones de Azure. Le ayuda a detectar
amenazas que podrían pasar desapercibidas, y funciona con un amplio ecosistema de
soluciones de seguridad.
Defender for Cloud le ayuda a optimizar y supervisar la seguridad de las máquinas

virtuales de la siguiente manera:
Proporcionando recomendaciones de seguridad para las máquinas virtuales. Las

recomendaciones de ejemplo incluyen lo siguiente: aplicar actualizaciones del
sistema, configurar puntos de conexión de listas de control de acceso, habilitar
antimalware, habilitar grupos de seguridad de red y aplicar cifrado de discos.
Supervisando el estado de las máquinas virtuales.
Más información:
Introducción a Microsoft Defender for Cloud

Preguntas frecuentes de Microsoft Defender for Cloud
Planificación y operaciones de Microsoft Defender for Cloud
Azure Virtual Machines tiene las certificaciones de FISMA, FedRAMP, HIPAA, PCI DSS
nivel 1 y otros programas de cumplimiento fundamentales. Esta certificación facilita en
gran medida que sus propias aplicaciones de Azure cumplan los requisitos de
cumplimiento y que su empresa satisfaga una amplia variedad de requisitos normativos
nacionales e internacionales.
Más información:
Centro de confianza de Microsoft: Cumplimiento normativo

Trusted Cloud: Microsoft Azure Security, Privacy, and Compliance (La nube de
confianza: Seguridad, privacidad y cumplimiento de Microsoft Azure)
Computación confidencial
Si bien la computación confidencial técnicamente no forma parte de la seguridad de la
máquina virtual, esta seguridad pertenece al tema de nivel superior de la seguridad
"computacional". La computación confidencial pertenece a la categoría de seguridad
"computacional".
La computación confidencial garantiza que los datos, cuando están "descubiertos" (lo
cual es necesario para un procesamiento eficiente), se mantienen protegidos dentro de
un entorno de ejecución de confianza
https://en.wikipedia.org/wiki/Trusted_execution_environment (también conocido
como enclave). En la ilustración siguiente se muestra un ejemplo.
Los entornos de ejecución de confianza garantizan que no hay ninguna manera de ver
datos u operaciones desde el exterior, ni siquiera con un depurador. Incluso aseguran
que solo se permite el acceso a los datos al código autorizado. Si el código está alterado
o modificado, se deniegan las operaciones y se deshabilita el entorno. El entorno de
ejecución de confianza aplica estas protecciones a todo el proceso de ejecución del
código que contiene.
Más información:
Introducing Azure confidential computing (Introducción a la computación

confidencial de Azure)
Azure confidential computing (Computación confidencial de Azure)
Pasos siguientes
Aprenda sobre los procedimientos recomendados de seguridad para máquinas virtuales
y sistemas operativos.
Aplicación de revisiones automática a
invitados de máquina virtual para
máquinas virtuales de Azure
Artículo • 04/04/2023
Se aplica a: ✔️Máquinas virtuales Linux ✔️Máquinas virtuales Windows ✔️Conjuntos

de escalado flexibles
La habilitación de la aplicación automática de revisiones a invitados de máquinas

virtuales de Azure facilita la administración de las actualizaciones mediante la aplicación
segura y automática de revisiones a máquinas virtuales para mantener el cumplimiento
de la seguridad, al mismo tiempo que limita el impacto en las máquinas virtuales.
La aplicación de revisiones automáticas a invitados de máquina virtual tiene las

siguientes características:
Las revisiones clasificadas de tipo Critico o de Seguridad se descargan y se aplican

automáticamente en la máquina virtual.
Las revisiones se aplican durante las horas de poca actividad de la zona horaria de
la máquina virtual de IaaS.
Las revisiones se aplican a todas horas para VMSS Flex.
Azure administra la orquestación de las revisiones y estas se aplican siguiendo el
principio de orden de disponibilidad.
Se supervisa el mantenimiento de la máquina virtual, determinado a través de las
señales de mantenimiento de la plataforma, para detectar errores en la aplicación
de revisiones.
El estado de la aplicación se puede supervisar mediante la extensión de estado de
la aplicación.
Funciona con todos los tamaños de máquina virtual.
¿Cómo funciona la aplicación de revisiones a

invitados de máquina virtual?
Si la aplicación automática de revisiones a invitados de máquina virtual está habilitada
en una máquina virtual, se descargan y se aplican automáticamente en la máquina
virtual las revisiones disponibles de tipo Crítico y de Seguridad. Este proceso se inicia
automáticamente cada mes cuando se lanzan nuevas revisiones. La evaluación e
instalación de las revisiones es un proceso automático, que incluye el reinicio de la
máquina virtual si es necesario.
La máquina virtual se evalúa de forma periódica cada pocos días y varias veces en
cualquier período de 30 días para determinar las revisiones que se le pueden aplicar. Las
revisiones se pueden instalar cualquier día en la máquina virtual, durante sus horas valle.
Esta evaluación automática garantiza que las revisiones que faltan se detecten lo antes
posible.
Las revisiones se instalan en un plazo de 30 días a partir del lanzamiento mensual de las
revisiones, siguiendo el tipo de orquestación por orden de disponibilidad que se
describe a continuación. Las revisiones solo se instalan durante las horas valle de la
máquina virtual, en función de la zona horaria donde se encuentre. La máquina virtual
debe estar en ejecución durante las horas valle para que las revisiones se instalen
automáticamente. Si se apaga una máquina virtual durante una evaluación periódica, el
proceso automático de evaluar la máquina virtual e instalar las revisiones aplicables se
realizará durante la siguiente evaluación periódica (normalmente a los pocos días),
cuando la máquina virtual esté encendida.
Las actualizaciones de definiciones y otras revisiones no clasificadas como críticas o de

seguridad no se instalarán mediante la aplicación de revisiones automáticas a invitados
de máquinas virtuales. Para instalar revisiones con otras clasificaciones de revisión o
programar la instalación de revisiones en su propia ventana de mantenimiento
personalizada, puede usar Update Management.
En el caso de las máquinas virtuales IaaS, los clientes pueden optar por configurar
máquinas virtuales para habilitar la aplicación automática de revisiones a invitados de
máquinas virtuales. Esto limitará el impacto en las máquinas virtuales que reciben la
revisión actualizada y producirá una actualización orquestada de las máquinas virtuales.
El servicio también proporciona supervisión de estado para detectar problemas
relacionados con la actualización.
Actualizaciones por orden de disponibilidad

Azure organiza el proceso de instalación de revisiones globalmente para todas las
máquinas virtuales que tengan habilitada la aplicación de revisiones automáticas a
invitados de máquina virtual. Esta orquestación sigue los principios de primero la
disponibilidad entre los distintos niveles de disponibilidad proporcionados por Azure.
En un grupo de máquinas virtuales que se vayan a actualizar, la plataforma Azure

orquestará las actualizaciones:
Entre regiones:
Se orquesta una actualización mensual global a través de Azure, por fases, para
evitar errores de implementación globales.
Una fase puede tener una o más regiones y una actualización solo pasa a la
siguiente fase si las máquinas virtuales válidas de una fase se actualizan
correctamente.
Las regiones emparejadas geográficamente no se actualizan simultáneamente y no
pueden estar en la misma fase regional.
El éxito de una actualización se mide realizando un seguimiento del
mantenimiento de la máquina virtual posterior a la actualización. El seguimiento
del mantenimiento de la máquina virtual se realiza a través de los indicadores de
mantenimiento de la plataforma de la máquina virtual.
Dentro de una región:
Las máquinas virtuales de diferentes zonas de disponibilidad no se actualizan

simultáneamente con la misma actualización.
Las máquinas virtuales que no forman parte de un conjunto de disponibilidad se
procesan por lotes, según la mejor opción, para evitar las actualizaciones
simultáneas de todas las máquinas virtuales de una suscripción.
Dentro de un conjunto de disponibilidad:
Las máquinas virtuales de un conjunto de disponibilidad común no se actualizan

simultáneamente.
Las máquinas virtuales de un conjunto de disponibilidad común se actualizan
dentro de los límites del dominio de actualización y las máquinas virtuales de
varios dominios de actualización no se actualizan simultáneamente.
Si se restringe el ámbito de las máquinas virtuales que reciben una revisión en las
regiones a una sola región o conjunto de disponibilidad, se limita el impacto de la
revisión. Con el seguimiento de estado, los posibles problemas se marcan sin que ello
afecte a toda la flota.
La fecha de instalación de la revisión de una máquina virtual determinada puede variar

de un mes a otro, ya que una máquina virtual específica puede seleccionarse en un lote
diferente entre ciclos de aplicación de revisiones mensuales.
¿Qué revisiones se instalan?

Las revisiones instaladas dependen de la fase de lanzamiento de la máquina virtual.
Cada mes, se inicia un nuevo lanzamiento global en el que se instalan todas las
revisiones críticas y de seguridad evaluadas para una máquina virtual individual para esa
máquina virtual. El lanzamiento se organiza en todas las regiones de Azure en lotes
(descritos en la sección anterior sobre revisiones con el principio de orden de
disponibilidad).
El conjunto exacto de revisiones que se van a instalar varía en función de la

configuración de la máquina virtual, incluido el tipo de sistema operativo y los tiempos
de evaluación. Es posible que dos máquinas virtuales idénticas en regiones diferentes
obtengan diferentes revisiones instaladas si hay más o menos revisiones disponibles
cuando la orquestación de revisiones alcanza regiones diferentes en momentos
diferentes. Del mismo modo, pero con menos frecuencia, las máquinas virtuales dentro
de la misma región pero que se han evaluado en momentos diferentes (debido a
distintos lotes de la zona de disponibilidad o del conjunto de disponibilidad) podrían
obtener distintas revisiones.
Como la aplicación de revisiones automática del invitado de la máquina virtual no

configura el origen de la revisión, dos máquinas virtuales similares configuradas para
distintos orígenes de revisiones, como el repositorio público y el repositorio privado,
también pueden ver una diferencia en el conjunto exacto de revisiones instaladas.
En el caso de los tipos de sistema operativo que publican revisiones en una cadencia
fija, las máquinas virtuales configuradas en el repositorio público para el sistema
operativo pueden esperar recibir el mismo conjunto de revisiones en las distintas fases
de lanzamiento de un mes. Por ejemplo, las máquinas virtuales Windows configuradas
para el repositorio de Windows Update público.
A medida que se desencadena un nuevo lanzamiento cada mes, una máquina virtual
recibirá al menos una implementación de revisiones cada mes si la máquina virtual está
encendida durante las horas de poca actividad. Este proceso garantiza que la máquina
virtual se revisará con las revisiones críticas y de seguridad disponibles más recientes de
manera mensual. Para garantizar la coherencia en el conjunto de revisiones instaladas,
puede configurar las máquinas virtuales para evaluar y descargar las revisiones de sus
propios repositorios privados.
Imágenes de sistema operativo compatibles
） Importante
La aplicación automática de revisiones de invitado de máquinas virtuales, la

evaluación de revisiones a petición y la instalación de revisiones a petición solo se
admiten en máquinas virtuales creadas a partir de imágenes con la combinación
exacta de publicador, oferta y SKU de la siguiente lista de imágenes de sistema
operativo admitidas. No se admiten imágenes personalizadas ni ninguna otra
combinación de publicador, oferta y SKU. Se agregan más imágenes
periódicamente. ¿No puede ver la SKU en la lista? Solicite asistencia rellenando la
Solicitud de soporte técnico de imagen .
Publicador Sistema SKU

operativo
Canonical UbuntuServer 16.04-LTS
Canonical UbuntuServer 16.04.0-LTS
Canonical UbuntuServer 18.04-LTS
Canonical UbuntuServer 18.04-LTS-gen2
Canonical 0001-com- pro-18_04-lts

ubuntu-pro-
bionic
Canonical 0001-com- 20_04-lts

ubuntu-server-
focal
Canonical 0001-com- 20_04-lts-gen2

ubuntu-server-
focal
Canonical 0001-com- pro-20_04-lts

ubuntu-pro-
focal
Canonical 0001-com- pro-20_04-lts-gen2

ubuntu-pro-
focal
Canonical 0001-com- 22_04-lts

ubuntu-server-
jammy
Canonical 0001-com- 22_04-lts-gen2

ubuntu-server-
jammy
microsoftcblmariner cbl-mariner cbl-mariner-1
microsoftcblmariner cbl-mariner 1-gen2
microsoftcblmariner cbl-mariner cbl-mariner-2
microsoftcblmariner cbl-mariner cbl-mariner-2-gen2

operativo
microsoft-aks aks aks-engine-ubuntu-1804-202112
Redhat RHEL 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7_9, 7-RAW, 7-LVM
Redhat RHEL 8, 8.1, 81gen2, 8.2, 82gen2, 8_3, 83-gen2, 8_4, 84-gen2,
8_5, 85-gen2, 8_6, 86-gen2, 8-lvm, 8-lvm-gen2
Redhat RHEL-RAW 8-raw, 8-raw-gen2
OpenLogic CentOS 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7_8, 7_9, 7_9-gen2
OpenLogic centos-lvm 7-lvm
OpenLogic CentOS 8.0, 8_1, 8_2, 8_3, 8_4, 8_5
OpenLogic centos-lvm 8-lvm
SUSE sles-12-sp5 gen1, gen2
SUSE sles-15-sp2 gen1, gen2
Microsoft Windows Windows Server 2008-R2-SP1

Server
Microsoft Windows Windows Server Centro de datos de 2012-R2

Server
Microsoft Windows Windows Server 2012-R2-Datacenter-gensecond

Server
Microsoft Windows Windows Server 2012-R2-Datacenter-smalldisk

Server
Microsoft Windows Windows Server 2012-R2-Datacenter-smalldisk-g2

Server
Microsoft Windows Windows Server 2016-Datacenter

Server
Microsoft Windows Windows Server 2016-datacenter-gensecond

Server
Microsoft Windows Windows Server 2016-Datacenter-Server-Core

Server
Microsoft Windows Windows Server 2016-datacenter-smalldisk

Server
operativo
Microsoft Windows Windows Server 2016-datacenter-with-containers

Server
Microsoft Windows Windows Server 2019-Datacenter

Server
Microsoft Windows Windows Server 2019-Datacenter-Core

Server
Microsoft Windows Windows Server 2019-datacenter-gensecond

Server
Microsoft Windows Windows Server 2019-datacenter-smalldisk

Server
Microsoft Windows Windows Server 2019-datacenter-smalldisk-g2

Server
Microsoft Windows Windows Server 2019-datacenter-with-containers

Server
Microsoft Windows Windows Server 2022-datacenter

Server
Microsoft Windows Windows Server 2022-Datacenter-smalldisk

Server
Microsoft Windows Windows Server 2022-datacenter-smalldisk-g2

Server
Microsoft Windows Windows Server 2022-datacenter-g2

Server
Microsoft Windows Windows Server 2022-datacenter-core

Server
Microsoft Windows Windows Server 2022-datacenter-core-g2

Server
Microsoft Windows Windows Server 2022-datacenter-azure-edition

Server
Microsoft Windows Windows Server 2022-datacenter-azure-edition-core

Server
Microsoft Windows Windows Server 2022-datacenter-azure-edition-core-smalldisk

Server
operativo
Microsoft Windows Windows Server 2022-datacenter-azure-edition-smalldisk

Server
Modos de orquestación de revisiones

Las máquinas virtuales que residen en Azure admiten ahora los siguientes modos de
orquestación de revisiones:
AutomaticByPlatform (aplicación de revisiones orquestada por Azure):
este modo es compatible con máquinas virtuales Linux y Windows.

Este modo habilita la aplicación de revisiones automática a los invitados de la
máquina virtual y Azure orquesta la instalación posterior de la revisión.
Durante el proceso de instalación, este modo evalúa la máquina virtual para ver las
revisiones disponibles y guarda los detalles en Azure Resource Graph. (versión
preliminar)
Este modo es necesario para la revisión de la disponibilidad en primer lugar.
Este modo solo se admite para las máquinas virtuales que se crean mediante las
imágenes de plataforma de sistema operativo compatibles indicadas antes.
En el caso de las máquinas virtuales Windows, al establecer este modo también se
deshabilitan las actualizaciones automáticas nativas en la máquina virtual Windows
para evitar la duplicación.
Para usar este modo en máquinas virtuales Linux, establezca la propiedad
osProfile.linuxConfiguration.patchSettings.patchMode=AutomaticByPlatform en la
plantilla de máquina virtual.
Para usar este modo en máquinas virtuales Windows, establezca la propiedad
osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform en
la plantilla de máquina virtual.
AutomaticByOS:
Este modo solo se admite para máquinas virtuales Windows.

Este modo habilita las actualizaciones automáticas en la máquina virtual Windows
y se instalan las revisiones en la máquina virtual a través de actualizaciones
automáticas.
Este modo no admite la revisión de la disponibilidad en primer lugar.
Este modo se establece de manera predeterminada si no se especifica ningún otro
modo de revisión para una máquina virtual Windows.
osProfile.windowsConfiguration.enableAutomaticUpdates=true y luego la
propiedad
osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByOS en la
Manual:
Este modo solo se admite para máquinas virtuales Windows.

Este modo deshabilita las actualizaciones automáticas en la máquina virtual
Windows. Al implementar una VM mediante la CLI o PowerShell, establecer --
enable-auto-updates en false también se establecerá patchMode en manual y
deshabilitará las actualizaciones automáticas.

Este modo se debe establecer cuando se usan soluciones personalizadas de
aplicación de revisiones.
osProfile.windowsConfiguration.enableAutomaticUpdates=false y luego la
propiedad osProfile.windowsConfiguration.patchSettings.patchMode=Manual en la
ImageDefault:
este modo solo se admite para máquinas virtuales Linux.

Este modo respeta la configuración de aplicación de revisiones predeterminada de
la imagen que se usa para crear la máquina virtual.
Este modo se establece de manera predeterminada si no se especifica ningún otro
modo de revisión para una máquina virtual Linux.
Para usar este modo en máquinas virtuales Linux, establezca la propiedad
osProfile.linuxConfiguration.patchSettings.patchMode=ImageDefault en la
７ Nota
Para máquinas virtuales Windows, la propiedad

osProfile.windowsConfiguration.enableAutomaticUpdates solo se puede establecer
cuando se crea la máquina virtual por primera vez. Esto afecta a ciertas transiciones
del modo de revisión. Se admite el cambio entre los modos AutomaticByPlatform y
Manual en las máquinas virtuales que tienen
osProfile.windowsConfiguration.enableAutomaticUpdates=false . Del mismo modo,
se admite el cambio entre los modos AutomaticByPlatform y AutomaticByOS en las
máquinas virtuales que tienen
osProfile.windowsConfiguration.enableAutomaticUpdates=true . No se admite el
cambio entre los modos AutomaticByOS y Manual. Azure recomienda que se

habilite el modo de evaluación en una máquina virtual incluso si Azure
Orchestration no está habilitado para la aplicación de revisiones. De este modo, se
permite a la plataforma evaluar la máquina virtual cada veinticuatro horas para ver
las actualizaciones pendientes y guardar los detalles en Azure Resource Graph.
(versión preliminar)
Requisitos para habilitar la aplicación de

revisiones automáticas a invitados de máquina
virtual
La máquina virtual debe tener instalado el agente de máquina virtual de Azure
para Windows o Linux.
En el caso de las máquinas virtuales Linux, el agente de Linux de Azure debe ser la
versión 2.2.53.1 o posterior. Actualice el agente de Linux si la versión actual es
anterior a la versión requerida.
En el caso de las máquinas virtuales Windows, el servicio Windows Update debe
estar en ejecución en la máquina virtual.
La máquina virtual debe poder acceder a los puntos de conexión de actualización
configurados. Si la máquina virtual está configurada para usar repositorios
privados para Linux, o Windows Server Update Services (WSUS) para máquinas
virtuales Windows, los puntos de conexión de actualización pertinentes deben ser
accesibles.
Use la versión 2021-03-01 o posterior de Compute API para acceder a toda la
funcionalidad, incluida la evaluación a petición y la aplicación de revisiones a
petición.
Actualmente no se admiten imágenes personalizadas.
Habilitación de la aplicación de revisiones

automáticas a invitados de máquina virtual
La aplicación de revisiones automáticas a los invitados de la máquina virtual se puede
habilitar en cualquier máquina virtual Windows o Linux que se cree a partir de una
imagen de plataforma compatible.
API REST para máquinas virtuales Linux
En el ejemplo siguiente se describe cómo habilitar la aplicación de revisiones
automáticas a invitados de máquina virtual:
PUT on
`/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Mic
rosoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
JSON
{
"location": "<location>",
"properties": {
"osProfile": {
"linuxConfiguration": {
"provisionVMAgent": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
API REST para máquinas virtuales Windows

En el ejemplo siguiente se describe cómo habilitar la aplicación de revisiones
automáticas a invitados de máquina virtual:
PUT on
rosoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
JSON
{
"location": "<location>",
"properties": {
"osProfile": {
"windowsConfiguration": {
"provisionVMAgent": true,
"enableAutomaticUpdates": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
Azure PowerShell al crear una máquina virtual Windows

Use el cmdlet Set-AzVMOperatingSystem para habilitar la aplicación automática de
revisiones a invitados de máquinas virtuales al crear una máquina virtual.
Azure PowerShell
Set-AzVMOperatingSystem -VM $VirtualMachine -Windows -ComputerName

$ComputerName -Credential $Credential -ProvisionVMAgent -EnableAutoUpdate -
PatchMode "AutomaticByPlatform"
Azure PowerShell al actualizar una máquina virtual

Windows
Use el cmdlet Set-AzVMOperatingSystem y Update-AzVM para habilitar la aplicación
automática de revisiones a invitados de máquinas virtuales en una máquina virtual
existente.
Azure PowerShell
$VirtualMachine = Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM"

Set-AzVMOperatingSystem -VM $VirtualMachine -PatchMode "AutomaticByPlatform"
Update-AzVM -VM $VirtualMachine
CLI de Azure para máquinas virtuales Windows

Use az vm create para habilitar la aplicación de revisiones automáticas a invitados de
máquina virtual al crear una nueva máquina virtual. En el ejemplo siguiente se configura
la aplicación de revisiones automáticas a invitados de una máquina virtual llamada
myVM en el grupo de recursos llamado myResourceGroup:
Azure CLI
az vm create --resource-group myResourceGroup --name myVM --image

Win2019Datacenter --enable-agent --enable-auto-update --patch-mode
AutomaticByPlatform
Para modificar una máquina virtual existente, use az vm update
Azure CLI
az vm update --resource-group myResourceGroup --name myVM --set

osProfile.windowsConfiguration.enableAutomaticUpdates=true
osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatform
Azure Portal
Al crear una máquina virtual mediante Azure Portal, los modos de orquestación de
revisiones se pueden establecer en la pestaña Administración para Linux y Windows.
Habilitación y evaluación
７ Nota
Puede tardar más de tres horas en habilitar las actualizaciones automáticas de

invitados en una máquina virtual, ya que la habilitación se realiza durante las horas
valle de la máquina virtual. Como la evaluación y la instalación de revisiones solo se
producen durante las horas valle, la máquina virtual también debe estar en
ejecución durante esas horas valle para que se apliquen las revisiones.
Cuando la aplicación de revisiones automática de invitados de máquina virtual está
habilitada para una máquina virtual, se instala una extensión de máquina virtual de tipo
Microsoft.CPlat.Core.LinuxPatchExtension en una máquina virtual Linux o se instala
una extensión de máquina virtual de tipo Microsoft.CPlat.Core.WindowsPatchExtension

en una máquina virtual Windows. No es necesario que esta extensión se instale o
actualice manualmente, ya que la plataforma Azure administra esta extensión como
parte del proceso de aplicación de revisiones automáticas a invitados de máquina
virtual.
Puede tardar más de tres horas en habilitar las actualizaciones automáticas de invitados
en una máquina virtual, ya que la habilitación se realiza durante las horas valle de la
máquina virtual. La extensión también se instala y actualiza durante las horas valle de la
máquina virtual. Si las horas valle de la máquina virtual finalizan antes de que se pueda
completar la habilitación, el proceso de habilitación se reanudará durante el siguiente
período de horas valle disponible.
Las actualizaciones automáticas están deshabilitadas en la mayoría de los escenarios y la

instalación de las revisiones en adelante se realiza mediante la extensión. Se aplican las
siguientes condiciones.
Si se había activado previamente Windows Update automático en la máquina

virtual mediante el modo de revisión AutomaticByOS, se desactiva Windows
Update automático para la máquina virtual cuando se instala la extensión.
En el caso de las máquinas virtuales Ubuntu, las actualizaciones automáticas
predeterminadas se deshabilitan automáticamente cuando se completa la
habilitación de la aplicación de revisiones automática de invitados de máquina
virtual.
Para RHEL, las actualizaciones automáticas se deben deshabilitar manualmente.
Ejecute:
Bash
sudo systemctl stop packagekit
Bash
sudo systemctl mask packagekit
Para comprobar si se ha completado la aplicación de revisiones automáticas a invitados

de máquina virtual y se ha instalado la extensión de aplicación de revisiones en la
máquina virtual, puede revisar la vista de instancia de la máquina virtual. Si el proceso
de habilitación se ha completado, se instalará la extensión y los resultados de la
evaluación de la máquina virtual estarán disponibles en patchStatus . Se puede acceder
a la vista de instancia de la máquina virtual de varias maneras, como se describe a
continuación.
API DE REST
GET on
rosoft.Compute/virtualMachines/myVirtualMachine/instanceView?api-
version=2020-12-01`
Azure PowerShell
Use el cmdlet Get-AzVM con el parámetro -Status para acceder a la vista de instancia
de la máquina virtual.
Azure PowerShell
Get-AzVM -ResourceGroupName "myResourceGroup" -Name "myVM" -Status
Actualmente, PowerShell solo proporciona información sobre la extensión de revisión.

La información sobre patchStatus también estará disponible pronto a través de
PowerShell.
CLI de Azure
Use az vm get-instance-view para acceder a la vista de instancia de la máquina virtual.
Azure CLI
az vm get-instance-view --resource-group myResourceGroup --name myVM
Descripción del estado de revisión de la máquina virtual

En la sección patchStatus de la respuesta de la vista de instancia se proporcionan
detalles sobre la evaluación más reciente y la instalación de la última revisión para la
máquina virtual.
Los resultados de la evaluación de la máquina virtual se pueden revisar en la sección
availablePatchSummary . Se realiza una evaluación periódica de una máquina virtual que
tiene habilitada la aplicación de revisiones automáticas a invitados de máquina virtual. El
número de revisiones disponibles después de una evaluación se proporciona en los
resultados de criticalAndSecurityPatchCount y otherPatchCount . La aplicación de
revisiones automáticas a invitados de máquina virtual instalará todas las revisiones que
se hayan evaluado de las clasificaciones de revisión de tipo Crítico y de Seguridad. Se
omite cualquier otra revisión evaluada.
Los resultados de la instalación de revisiones para la máquina virtual se pueden revisar

en la sección lastPatchInstallationSummary . En esta sección se proporcionan detalles
sobre el último intento de instalación de revisiones en la máquina virtual, incluido el
número de revisiones instaladas, pendientes, con errores u omitidas. Las revisiones solo
se instalan durante la ventana de mantenimiento de horas valle de la máquina virtual.
Las revisiones pendientes y erróneas se reintentan automáticamente en la siguiente
ventana de mantenimiento de horas valle.
Deshabilitación de la aplicación de revisiones

automáticas a invitados de máquina virtual
La aplicación de revisiones automáticas a los invitados de la máquina virtual se puede
deshabilitar cambiando el modo de orquestación de revisiones de la máquina virtual.
Para deshabilitar la aplicación de revisiones automáticas a los invitados de la máquina

virtual en una máquina virtual Linux, cambie el modo de revisión a ImageDefault .
Para habilitar la aplicación de revisiones automáticas a los invitados de la máquina

virtual en una máquina virtual Windows, la propiedad
osProfile.windowsConfiguration.enableAutomaticUpdates determina qué modos de
revisión se pueden establecer en la máquina virtual, y esta propiedad solo se puede

establecer cuando se crea la máquina virtual por primera vez. Esto afecta a ciertas
transiciones del modo de revisión:
Para las máquinas virtuales que tienen

osProfile.windowsConfiguration.enableAutomaticUpdates=false , deshabilite la
aplicación de revisiones automáticas a los invitados de la máquina virtual

cambiando el modo de revisión a Manual .
Para las máquinas virtuales que tienen
osProfile.windowsConfiguration.enableAutomaticUpdates=true , deshabilite la
aplicación de revisiones automáticas a los invitados de la máquina virtual
cambiando el modo de revisión a AutomaticByOS .
No se admite el cambio entre los modos AutomaticByOS y Manual.
Use los ejemplos de la sección de habilitación anterior de este artículo para obtener
ejemplos de uso de API, PowerShell y CLI para establecer el modo de revisión necesario.
Evaluación de la revisión a petición

Si la aplicación de revisiones automáticas a invitados de máquina virtual ya está
habilitada para la máquina virtual, se realiza periódicamente una evaluación de las
revisiones de la máquina virtual durante las horas valle de la máquina virtual. Este
proceso es automático y los resultados de la evaluación más reciente se pueden revisar
en la vista de instancia de la máquina virtual, tal y como se describió anteriormente en
este documento. También puede desencadenar una evaluación de revisiones a petición
para su máquina virtual en cualquier momento. La evaluación de revisiones puede
tardar unos minutos en completarse y el estado de la evaluación más reciente se
actualiza en la vista de instancia de la máquina virtual.
７ Nota
La evaluación de revisiones a petición no desencadena automáticamente la

instalación de revisiones. Si ha habilitado la aplicación de revisiones automáticas a
invitados de las máquinas virtuales, las revisiones evaluadas y aplicables para la
máquina virtual solo se instalarán durante las horas valle de la máquina virtual,
siguiendo el proceso de aplicación de revisiones de primero la disponibilidad que
se ha descrito anteriormente en este documento.
API DE REST
Use la API Assess Patches para evaluar las revisiones disponibles para la máquina virtual.
POST on
rosoft.Compute/virtualMachines/myVirtualMachine/assessPatches?api-
version=2020-12-01`
Azure PowerShell
Use el cmdlet Invoke-AzVmPatchAssessment para evaluar las revisiones disponibles para
la máquina virtual.
Azure PowerShell
Invoke-AzVmPatchAssessment -ResourceGroupName "myResourceGroup" -VMName

"myVM"
CLI de Azure
Use az vm assess-patches para evaluar las revisiones disponibles para la máquina virtual.
Azure CLI
az vm assess-patches --resource-group myResourceGroup --name myVM
Instalación de revisiones a petición

Si la aplicación de revisiones automáticas a invitados de máquina virtual ya está
habilitada para la máquina virtual, se realiza periódicamente una instalación de las
revisiones críticas y de seguridad en la máquina virtual durante las horas de poca
actividad de la máquina virtual. Este proceso es automático y los resultados de la
instalación más reciente se pueden revisar en la vista de instancia de la máquina virtual,
tal y como se describió anteriormente en este documento.
También puede desencadenar una instalación de revisiones a petición para su máquina

virtual en cualquier momento. La instalación de revisiones puede tardar unos minutos
en completarse y el estado de la instalación más reciente se actualiza en la vista de
instancia de la máquina virtual.
Puede usar la instalación de revisiones a petición para instalar todas las revisiones de
una o varias clasificaciones de revisión. También puede elegir incluir o excluir paquetes
específicos para Linux o determinados identificadores de KB para Windows. Al
desencadenar una instalación de revisiones a petición, asegúrese de especificar al
menos una clasificación de revisiones o al menos una revisión (paquete para Linux o
identificador de KB para Windows) en la lista de inclusión.
API DE REST
Use la API Install Patches para instalar revisiones en la máquina virtual.
POST on
rosoft.Compute/virtualMachines/myVirtualMachine/installPatches?api-
version=2020-12-01`
Cuerpo de solicitud de ejemplo para Linux:
JSON
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"linuxParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Cuerpo de solicitud de ejemplo para Windows:
JSON
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"windowsParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Azure PowerShell
Use el cmdlet Invoke-AzVMInstallPatch para instalar revisiones en la máquina virtual.
Ejemplo para instalar determinados paquetes en una máquina virtual Linux:
Azure PowerShell
Invoke-AzVmInstallPatch -ResourceGroupName "myResourceGroup" -VMName "myVM"

-MaximumDuration "PT90M" -RebootSetting "Always" -Linux -
ClassificationToIncludeForLinux "Security" -PackageNameMaskToInclude
["package123"] -PackageNameMaskToExclude ["package567"]
Ejemplo para instalar todas las revisiones críticas en una máquina virtual Windows:
Azure PowerShell

-MaximumDuration "PT2H" -RebootSetting "Never" -Windows -
ClassificationToIncludeForWindows Critical
Ejemplo para instalar todas las revisiones de seguridad en una máquina virtual
Windows, al tiempo que se incluyen y excluyen las revisiones con determinados
identificadores de KB y se excluye cualquier revisión que requiera un reinicio:
Azure PowerShell

-MaximumDuration "PT90M" -RebootSetting "Always" -Windows -
ClassificationToIncludeForWindows "Security" -KBNumberToInclude
["KB1234567", "KB123567"] -KBNumberToExclude ["KB1234702", "KB1234802"] -
ExcludeKBsRequiringReboot
Azure CLI
Use az vm install-patches para instalar revisiones en la máquina virtual.
Ejemplo para instalar todas las revisiones críticas en una máquina virtual Linux:
Azure CLI
az vm install-patches --resource-group myResourceGroup --name myVM --

maximum-duration PT2H --reboot-setting IfRequired --classifications-to-
include-linux Critical
Ejemplo para instalar todas las revisiones críticas y de seguridad en una máquina virtual
Windows, a la vez que se excluye cualquier revisión que requiera un reinicio:
Azure CLI
az vm install-patches --resource-group myResourceGroup --name myVM --

maximum-duration PT2H --reboot-setting IfRequired --classifications-to-
include-win Critical Security --exclude-kbs-requiring-reboot true
Pasos siguientes
Más información sobre la creación y administración de máquinas virtuales
Windows
Procedimientos de seguridad
recomendados para cargas de trabajo
de IaaS de Azure
Artículo • 29/08/2023
En este artículo se describen los procedimientos recomendados de seguridad para

máquinas virtuales y sistemas operativos.
Los procedimientos recomendados se basan en un consenso de opinión y son válidos

para las funcionalidades y conjuntos de características actuales de la plataforma Azure.
Puesto que las opiniones y las tecnologías pueden cambiar con el tiempo, este artículo
se actualizará para reflejar dichos cambios.
En la mayoría de los escenarios de IaaS (infraestructura como servicio), las máquinas

virtuales de Azure son la principal carga de trabajo de las organizaciones que usan la
informática en la nube. Esto es evidente en los escenarios híbridos , en los que las
organizaciones quieran migrar lentamente las cargas de trabajo a la nube. En estos
escenarios, siga las consideraciones generales de seguridad de IaaS y aplique los
procedimientos recomendados de seguridad a todas las máquinas virtuales.
Protección de máquinas virtuales mediante la

autenticación y el control de acceso
El primer paso para proteger la máquina virtual es garantizar que solo los usuarios
autorizados puedan configurar nuevas máquinas virtuales y obtener acceso a ellas.
７ Nota
Para mejorar la seguridad de las máquinas virtuales Linux en Azure, puede

integrarlas con la autenticación de Azure Active Directory (AD). Cuando se usa la
autenticación de Azure AD para máquinas virtuales Linux, se administran y se
aplican de manera centralizada las directivas que permiten o deniegan el acceso a
las máquinas virtuales.
Procedimiento recomendado: Control de acceso a las máquinas virtuales. Detalles: Use

directivas de Azure para establecer convenciones para los recursos de la organización y
crear directivas personalizadas. Aplique estas directivas a los recursos, como los grupos
de recursos. Las máquinas virtuales que pertenecen a un grupo de recursos heredan sus
directivas.
Si su organización tiene varias suscripciones, podría necesitar una manera de

administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma
eficaz. Los grupos de administración de Azure proporcionan un nivel de ámbito por
encima de las suscripciones. Las suscripciones se organizan en grupos de administración
(contenedores) y aplican sus condiciones de gobernanza a dichos grupos. Todas las
suscripciones dentro de un grupo de administración heredan automáticamente las
condiciones que se aplican al grupo. Los grupos de administración proporcionan
capacidad de administración de nivel empresarial a gran escala con independencia del
tipo de suscripciones que tenga.
Procedimiento recomendado: Reducción de la variabilidad en la configuración e

implementación de máquinas virtuales. Detalles: Use plantillas de Azure Resource
Manager para reforzar las opciones de implementación y facilitar la comprensión y la
realización de inventario de las máquinas virtuales de su entorno.
Procedimiento recomendado: Protección del acceso con privilegios. Detalles: Use un

enfoque de privilegios mínimos y roles integrados de Azure para permitir que los
usuarios configuren las máquinas virtuales y accedan a ellas.
Colaborador de la máquina virtual: Puede administrar máquinas virtuales, pero no

la cuenta de almacenamiento o la red virtual a la que están conectadas.
Colaborador de la máquina virtual clásica: Puede administrar máquinas virtuales
creadas con el modelo de implementación clásica, pero no la cuenta de
almacenamiento ni la red virtual a la que están conectadas.
Administrador de seguridad: (solo en Defender para la nube) puede ver las
directivas y los estados de seguridad, editar las directivas de seguridad, ver las
alertas y recomendaciones y descartarlas.
Usuario de DevTest Labs: puede ver todo el contenido, así como conectar, iniciar,
reiniciar y apagar las máquinas virtuales.
Los administradores y coadministradores de la suscripción pueden cambiar esta

configuración, convirtiéndose en administradores de todas las máquinas virtuales de
una suscripción. Asegúrese de que confía en todos los administradores y
coadministradores de la suscripción para iniciar sesión en cualquiera de las máquinas.
７ Nota
Se recomienda consolidar las máquinas virtuales con el mismo ciclo de vida en el

mismo grupo de recursos. Mediante los grupos de recursos, puede implementar,
supervisar y acumular los costos para sus recursos.
Las organizaciones que controlan el acceso a la máquina virtual y la configuración

mejoran la seguridad general de la máquina virtual.
Uso de varias máquinas virtuales para mejorar

la disponibilidad
Si la máquina virtual ejecuta aplicaciones esenciales que necesitan tener una alta
disponibilidad, recomendamos encarecidamente usar varias máquinas virtuales. Para
mejorar la disponibilidad, use un conjunto de disponibilidad o zonas de disponibilidad.
Un conjunto de disponibilidad es una agrupación lógica que puede usar en Azure para
asegurarse de que los recursos de máquina virtual que coloque en dicho conjunto de
disponibilidad estén aislados entre sí cuando se implementen en un centro de datos de
Azure. Azure garantiza que las máquinas virtuales colocadas en un conjunto de
disponibilidad se ejecuten en varios servidores físicos, grupos de proceso, unidades de
almacenamiento y conmutadores de red. Si se produce un error de hardware o software
de Azure, solo un subconjunto de las máquinas virtuales se ve afectado y la aplicación
sigue estando disponible para los clientes. Los conjuntos de disponibilidad son una
funcionalidad fundamental para compilar soluciones en la nube confiables.
Protección frente a malware

Debe instalar la protección antimalware para ayudar a identificar y eliminar virus,
spyware y otro software malintencionado. Puede instalar Microsoft Antimalware o una
solución de protección de puntos de conexión de un asociado de Microsoft (Trend
Micro , Broadcom , McAfee , Windows Defender y System Center Endpoint
Protection).
Microsoft Antimalware incluye características como la protección en tiempo real, los

análisis programados, la corrección de malware, las actualizaciones de firmas, las
actualizaciones del motor, los ejemplos de informes y la colección de eventos de
exclusión. En entornos hospedados por separado del entorno de producción, puede
usar una extensión de antimalware para ayudar a proteger las máquinas virtuales y los
servicios en la nube.
Puede integrar soluciones de asociados y Microsoft Antimalware con

Microsoft Defender para la nube para facilitar la implementación y las detecciones
integradas (alertas e incidentes).
Procedimiento recomendado: Instalación de una solución antimalware para protegerse
frente a malware.
Detalles: Instale una solución de asociado de Microsoft o Microsoft Antimalware
Procedimiento recomendado: integración de la solución antimalware con Defender

para la nube para supervisar el estado de la protección.
Detalle: administrar problemas de Endpoint Protection con Defender para la nube
Administrar las actualizaciones de la máquina

virtual
Las máquinas virtuales de Azure, al igual que todas las máquinas virtuales locales, están
diseñadas para que las administre el usuario. Azure no inserta las actualizaciones de
Windows en ellas. Debe administrar las actualizaciones de la máquina virtual.
Procedimiento recomendado: Mantener actualizadas las máquinas virtuales.

Detalles: Use la solución Update Management de Azure Automation para administrar
las actualizaciones del sistema operativo de los equipos Windows y Linux
implementados en Azure, en entornos locales o en otros proveedores de nube. Puede
evaluar rápidamente el estado de las actualizaciones disponibles en todos los equipos
agente y administrar el proceso de instalación de las actualizaciones necesarias para los
servidores.
Los equipos administrados por Update Management usan las siguientes configuraciones
para evaluar e implementar actualizaciones:
Microsoft Monitoring Agent (MMA) para Windows o Linux

Extensión DSC (configuración de estado deseado) de PowerShell para Linux
Hybrid Runbook Worker de Automation
Microsoft Update o Windows Server Update Services (WSUS) para equipos
Windows
Si usa Windows Update, deje habilitada la configuración automática de Windows

Update.
Procedimiento recomendado: Comprobación de que en la implementación las

imágenes creadas incluyen las actualizaciones de Windows más recientes.
Detalles: Busque e instale las actualizaciones de Windows como primer paso de cada
implementación. Es especialmente importante aplicar esta medida al implementar
imágenes que proceden de usted o de su propia biblioteca. Aunque las imágenes de
Azure Marketplace se actualizan automáticamente de forma predeterminada, puede
producirse un intervalo de tiempo (hasta unas cuantas semanas) después de una versión
pública.
Procedimiento recomendado: Volver a implementar periódicamente las máquinas

virtuales para forzar una nueva versión del sistema operativo.
Detalles: Defina la máquina virtual con una plantilla de Azure Resource Manager para
poder implementarla fácilmente. El uso de una plantilla le ofrece una máquina virtual
segura y revisada cuando la necesite.
Procedimiento recomendado: Aplique rápidamente las actualizaciones de seguridad a

las máquinas virtuales.
Detalle: habilitar Microsoft Defender para la nube (nivel Gratis o estándar) para detectar
si faltan actualizaciones de seguridad y aplicarlas.
Procedimiento recomendado: Instalación de las últimas actualizaciones de seguridad.

Detalles: Algunas de las primeras cargas de trabajo que los clientes mueven a Azure son
laboratorios y sistemas orientados externamente. Si las máquinas virtuales de Azure
hospedan aplicaciones o servicios que deben estar accesibles desde Internet, esté
atento a la aplicación de revisiones. Aplique revisiones no solo del sistema operativo.
Las vulnerabilidades de aplicaciones de asociados a las que no se han aplicado
revisiones también pueden provocar problemas que podrían haberse evitado si hubiera
una buena administración de revisiones vigente.
Procedimiento recomendado: Implementación y comprobación de una solución de

copia de seguridad.
Detalles: Una copia de seguridad se debe realizar de la misma manera que cualquier
otra operación. al menos en los sistemas que formen parte del entorno de producción
que se extiende a la nube.
Los sistemas de prueba y desarrollo deben seguir estrategias de copia de seguridad que
proporcionen funcionalidades de restauración que sean similares a las que los usuarios
están acostumbrado en función de su experiencia en entornos locales. Las cargas de
trabajo de producción movidas a Azure deben integrarse con las soluciones de copia de
seguridad existentes cuando sea posible. O bien, puede usar Azure Backup para
ayudarle a enfrentar los requisitos de copia de seguridad.
Las organizaciones que no aplican directivas de actualización de software están más

expuestas a amenazas que aprovechan las vulnerabilidades conocidas, previamente fijas.
Para cumplir con las normativas del sector, las empresas tienen que demostrar que son
diligentes y que usan los controles adecuados para mejorar la seguridad de sus cargas
de trabajo ubicadas en la nube.
Los procedimientos recomendados de actualización de software para los centros de
datos tradicionales e IaaS de Azure tienen muchas similitudes. Recomendamos evaluar
las directivas de actualización de software actuales que se incluirán en las máquinas
virtuales ubicadas en Azure.
Administrar la posición de seguridad de la

máquina virtual
Las ciberamenazas están en evolución. Para proteger las máquinas virtuales hace falta
una funcionalidad de supervisión que pueda detectar rápidamente las amenazas, evitar
el acceso no autorizado a los recursos, desencadenar alertas y reducir los falsos
positivos.
Para supervisar la posición de seguridad de sus VM Windows y Linux, use Microsoft

Defender para la nube. En Defender para la nube, proteja las máquinas virtuales
aprovechando las ventajas de las funcionalidades siguientes:
Aplicar la configuración de seguridad del sistema operativo con las reglas de

configuración recomendadas.
Identificar y descargar las actualizaciones críticas y de seguridad del sistema que
puedan faltar.
Implementar recomendaciones de protección antimalware del punto de conexión.
Validar el cifrado del disco.
Evaluar y corregir las vulnerabilidades.
Detectar amenazas.
Defender para la nube puede supervisar activamente si hay posibles amenazas, que se
mostrarán en alertas de seguridad. Las amenazas correlacionadas se agregan en una
única vista denominada incidente de seguridad.
Defender para la nube almacena datos en los registros de Azure Monitor. Los registros
de Azure Monitor proporcionan un lenguaje de consulta y un motor de análisis que
ofrece información sobre el funcionamiento de las aplicaciones y los recursos. Los datos
también se recopilan de Azure Monitor, de las soluciones de administración y de los
agentes instalados en máquinas virtuales locales en la nube o en el entorno local. Esta
funcionalidad compartida le ayuda a formarse una imagen completa de su entorno.
Las organizaciones que no aplican una seguridad sólida a sus máquinas virtuales no
están informadas de posibles intentos de eludir los controles de seguridad llevados a
cabo por usuarios no autorizados.
Supervisar el rendimiento de la máquina virtual
El abuso de los recursos puede ser un problema cuando los procesos de las máquinas
virtuales consumen más recursos de los que deberían. Los problemas de rendimiento
con una máquina virtual pueden provocar la interrupción del servicio, lo que infringe el
principio de seguridad de disponibilidad. Esto es especialmente importante en el caso
de las máquinas virtuales que hospedan IIS u otros servidores web, ya que el uso
elevado de la CPU o la memoria podría indicar un ataque de denegación de servicio
(DoS). Por esta razón, resulta imprescindible supervisar el acceso a las máquinas
virtuales no solo de forma reactiva (aunque haya un problema), sino también de forma
preventiva, usando como base de referencia un rendimiento medido durante el
funcionamiento normal.
Se recomienda el uso de Azure Monitor para obtener una mayor visibilidad del estado
de los recursos. Características de Azure Monitor:
Archivos de registro de diagnóstico del recurso: supervisa los recursos de la

máquina virtual e identifica posibles problemas que podrían poner en peligro la
disponibilidad y rendimiento.
Extensión de Azure Diagnostics: proporciona funcionalidades de supervisión y
diagnóstico en máquinas virtuales Windows. Para habilitar estas funcionalidades,
incluya la extensión como parte de la plantilla de Azure Resource Manager.
Las organizaciones que no supervisan el rendimiento de la máquina virtual no pueden

determinar si ciertos cambios en los patrones de rendimiento son normales o anómalos.
Una máquina virtual que consume más recursos de lo habitual podría indicar un ataque
procedente de un recurso externo o un proceso en peligro que se está ejecutando en la
máquina virtual.
Cifrado de los archivos de disco duro virtual

Se recomienda cifrar los discos duros virtuales (VHD) para ayudar a proteger el volumen
de arranque y los volúmenes de datos en reposo en el almacenamiento, junto con las
claves de cifrado y los secretos.
máquinas virtuales Windows le ayuda a cifrar los discos de máquina virtual IaaS Linux y
Windows. Azure Disk Encryption usa la función DM-Crypt estándar del sector de Linux
y la función BitLocker de Windows para proporcionar un cifrado de volumen para el
sistema operativo y los discos de datos. La solución se integra con Azure Key Vault para
ayudarle a controlar y administrar los secretos y las claves de cifrado de discos en su
suscripción de Key Vault. La solución también garantiza que todos los datos de los
discos de máquinas virtuales se cifran en reposo en Azure Storage.
Estos son algunos procedimientos recomendados para usar Azure Disk Encryption:
Procedimiento recomendado: Habilitar cifrado en las máquinas virtuales.

Detalles: Azure Disk Encryption genera y escribe las claves de cifrado en el almacén de
claves. La administración de claves de cifrado en el almacén de claves necesita la
autenticación de Azure AD. Para ello, cree una aplicación de Azure AD. Para realizar la
autenticación, se pueden usar la autenticación basada en secreto de cliente o la
autenticación de Azure AD basada en certificado del cliente.
Procedimiento recomendado: Uso de una clave de cifrado de claves (KEK) para una
brindar una capa adicional de seguridad para las claves de cifrado. Agregue una KEK al
almacén de claves.
Detalles: Use el cmdlet Add-AzKeyVaultKey para crear una clave de cifrado de claves en
el almacén de claves. También puede importar una KEK en el módulo de seguridad de
hardware (HSM) de administración de claves local. Para más información, consulte la
documentación de Key Vault. Cuando se especifica una clave de cifrado de claves, Azure
Disk Encryption usa esa clave para encapsular los secretos de cifrado antes de escribirlos
en Key Vault. El mantenimiento de una copia de custodia de esta clave en un HSM de
administración de claves local ofrece una protección adicional contra la eliminación
accidental de claves.
Procedimiento recomendado: Tomar una instantánea o realizar una copia de seguridad

antes de cifrar los discos. Las copias de seguridad proporcionan una opción de
recuperación si se produce un error inesperado durante el cifrado.
Detalles: Las máquinas virtuales con discos administrados requieren una copia de
seguridad antes del cifrado. Después de hacer la copia de seguridad, puede usar el
cmdlet Set-AzVMDiskEncryptionExtension para cifrar los discos administrados
mediante la especificación del parámetro -skipVmBackup. Para más información sobre
cómo realizar la copia de seguridad y restauración de máquinas virtuales cifradas,
consulte el artículo sobre Azure Backup.
Procedimiento recomendado: Para garantizar que los secretos de cifrado no traspasen

los límites regionales, Azure Disk Encryption necesita que Key Vault y las máquinas
virtuales estén ubicadas en la misma región.
Detalles: Cree y use una instancia de Key Vault que se encuentre en la misma región que
la máquina virtual que se va a cifrar.
Cuando se aplica Azure Disk Encryption, puede atender las siguientes necesidades
empresariales:
Las máquinas virtuales IaaS se protegen en reposo a través de la tecnología de
cifrado estándar del sector para cumplir los requisitos de seguridad y
cumplimiento de la organización.
Las máquinas virtuales IaaS se inician bajo directivas y claves controladas por el
cliente, y puede auditar su uso en el almacén de claves.
Restringir la conectividad directa a Internet

Supervise y restrinja la conectividad directa a Internet de las máquinas virtuales. Los
atacantes analizan constantemente los intervalos de IP de la nube pública en busca de
puertos de administración abiertos e intentan realizar ataques "sencillos", como
contraseñas comunes y vulnerabilidades conocidas sin revisiones. En esta tabla se
enumeran los procedimientos recomendados para que sea más fácil protegerse frente a
estos ataques:
Procedimiento recomendado: Evitar la exposición accidental a la seguridad y el

enrutamiento de redes.
Detalles: use Azure RBAC para asegurarse de que solo el grupo de redes central tiene
permiso para los recursos de red.
Procedimiento recomendado: Identificar y corregir las máquinas virtuales expuestas

que permiten el acceso desde "cualquier" dirección IP de origen.
Detalle: usar Microsoft Defender para la nube. Defender para la nube le recomendará
que restrinja el acceso mediante puntos de conexión accesibles desde Internet si alguno
de los grupos de seguridad de red tiene una o varias reglas de entrada que permiten el
acceso desde “cualquier” dirección IP de origen. Defender para la nube recomienda
editar estas reglas de entrada para restringir el acceso a las direcciones IP de origen que
realmente necesiten el acceso.
Procedimiento recomendado: Restringir los puertos de administración (RDP, SSH).

Detalles: Puede usar el acceso a VM Just-In-Time para bloquear el tráfico entrante a las
máquinas virtuales de Azure. Para ello, se reduce la exposición a ataques y se
proporciona un acceso sencillo para conectarse a las máquinas virtuales cuando sea
necesario. Cuando el acceso a Just-In-Time está habilitado, Defender para la nube
bloquea el tráfico entrante a las VM de Azure mediante la creación de una regla de
grupo de seguridad de red. Se deben seleccionar los puertos de la máquina virtual para
la que se bloqueará el tráfico entrante. Estos puertos los controla la solución Just-In-
Time.
Pasos siguientes
En los siguientes recursos se ofrece más información general sobre la seguridad de

Azure y los servicios de Microsoft relacionados:
Blog del equipo de seguridad de Azure: ofrece información actualizada sobre lo

último en seguridad de Azure
Microsoft Security Response Center : aquí podrá notificar vulnerabilidades de
seguridad de Microsoft, incluidos problemas con Azure, o también mediante
correo electrónico a secure@microsoft.com.
Recomendaciones de seguridad para
imágenes de Azure Marketplace
Artículo • 29/08/2023
La imagen debe cumplir estas recomendaciones de configuración de seguridad. Esto le

ayuda a mantener un alto nivel de seguridad para las imágenes de la solución del
asociado de Azure Marketplace.
Ejecute siempre una detección de vulnerabilidades de seguridad en la imagen antes de

enviarla. Si detecta una vulnerabilidad de seguridad en su propia imagen publicada,
debe informar a los clientes de forma oportuna de la vulnerabilidad y de cómo
corregirlo.
Abrir imágenes basadas en origen

Category Comprobar
Seguridad Instalar todas las revisiones de seguridad más recientes de la distribución de

Linux.
Seguridad Seguir las directrices del sector para proteger la imagen de la máquina virtual
para la distribución de Linux específica.
Seguridad Limitar la superficie expuesta a ataques al mantener una superficie mínima con
los roles, las características, los servicios y los puertos de red de Windows
Server necesarios.
Seguridad Examinar el código fuente y la imagen de máquina virtual resultante en busca

de malware.
Seguridad La imagen de disco duro virtual solo incluye las cuentas bloqueadas necesarias,
que no tienen las contraseñas predeterminadas que permitirían un inicio de
sesión interactivo; no hay puertas traseras.
Seguridad Deshabilitar las reglas de firewall, a menos que la aplicación se base

funcionalmente en ellas, como un dispositivo de firewall.
Seguridad Quitar toda la información confidencial de la imagen de disco duro virtual,

como las claves SSH de prueba, los archivo de hosts conocidos, los archivos de
registro y los certificados innecesarios.
Seguridad Evitar usar LVM.
Seguridad Incluir las versiones más recientes de las bibliotecas necesarias:

- La versión v1.0 de OpenSSL o posterior
Category Comprobar
- Python 2.5 o posterior (se recomienda encarecidamente Python 2.6+)

- Paquete pyasn1 de Python si aún no está instalado
- La versión v1.0 de d.OpenSSL o superior
Seguridad Borrar las entradas del historial de Bash/Shell.
Redes Incluir el servidor SSH de forma predeterminada. Establezca la conexión

persistente de SSH en la configuración sshd con la siguiente opción:
ClientAliveInterval 180.
Redes Quitar cualquier configuración de red personalizada de la imagen. Elimine

resolv.conf: rm /etc/resolv.conf .
Implementación Instalar la versión más reciente del agente Linux de Azure.

: Instalar con el paquete RPM o Deb.
: También puede usar el proceso de instalación manual, pero se recomienda y
se prefiere que se usen los paquetes del instalador.
: Si instala el agente manualmente desde el repositorio de GitHub, copie
primero el archivo waagent en /usr/sbin y ejecute (como raíz):
# chmod 755 /usr/sbin/waagent
# /usr/sbin/waagent -install
El archivo de configuración del agente se encuentra en /etc/waagent.conf .
Implementación Garantizar que el soporte técnico de Azure puede proporcionar a nuestros

asociados la salida de la consola de serie cuando sea necesario y proporcionar
el tiempo de espera adecuado para el montaje del disco del sistema operativo
desde el almacenamiento en la nube. Agregue los parámetros siguientes a la
línea de arranque de kernel de la imagen: console=ttyS0 earlyprintk=ttyS0
rootdelay=300 .
Implementación No hay ninguna partición de intercambio en el disco del SO. El agente de Linux
puede solicitar el intercambio para la creación en el disco del recurso local.
Implementación Crear una sola partición raíz para el disco de SO.
Implementación Solo el sistema operativo de 64 bits.
Imágenes basadas en Windows Server

Category Comprobar
Seguridad Usar una imagen base de sistema operativo segura. El disco duro virtual que se
usa para el origen de cualquier imagen basada en Windows Server debe
pertenecer a las imágenes del sistema operativo de Windows Server que se
proporcionan a través de Microsoft Azure.
Seguridad Instalar todas las actualizaciones de seguridad.

Category Comprobar
Seguridad Las aplicaciones no deben depender de nombres de usuario con permisos

restringidos, como administrador o raíz.
Seguridad Habilitar el cifrado de unidad BitLocker tanto para las unidades de disco duro
del sistema operativo como para las unidades de disco duro de datos.
Seguridad Limitar la superficie expuesta a ataques al mantener una superficie mínima

habilitando solo los roles, las características, los servicios y los puertos de red
de Windows Server necesarios.
Seguridad Examinar el código fuente y la imagen de máquina virtual resultante en busca

de malware.
Seguridad Establecer la actualización de seguridad de las imágenes de Windows Server

para que se actualicen automáticamente.
Seguridad La imagen de disco duro virtual solo incluye las cuentas bloqueadas necesarias,
que no tienen las contraseñas predeterminadas que permitirían un inicio de
sesión interactivo; no hay puertas traseras.
Seguridad Deshabilitar las reglas de firewall, a menos que la aplicación se base

funcionalmente en ellas, como un dispositivo de firewall.
Seguridad Quitar toda la información confidencial de la imagen de disco duro virtual,

incluidos los archivos de hosts, los archivos de registro y los certificados
innecesarios.
Implementación Solo el sistema operativo de 64 bits.
Incluso si su organización no tiene imágenes en Azure Marketplace, considere la

posibilidad de comprobar las configuraciones de imagen de Windows y Linux con estas
recomendaciones.
Información general del cifrado de
Azure
Artículo • 27/04/2023
Este artículo proporciona información general sobre cómo se usa el cifrado en Microsoft
Azure. Trata las áreas principales de cifrado, incluidos el cifrado en reposo, el cifrado en
paquetes piloto y la administración de claves con Azure Key Vault. Cada sección incluye
vínculos para obtener información más detallada.
Cifrado de datos en reposo

Los datos en reposo incluyen información que se encuentra en el almacenamiento
persistente en un medio físico, en cualquier formato digital. El medio puede incluir
archivos de medios ópticos o magnéticos, datos archivados y copias de seguridad de
datos. Microsoft Azure ofrece una variedad de soluciones de almacenamiento de datos
para satisfacer diferentes necesidades, incluidos el almacenamiento de tablas, blobs y
archivos, así como el almacenamiento en disco. Microsoft también proporciona cifrado
para proteger Azure SQL Database, Azure Cosmos DB y Azure Data Lake.
El cifrado de datos en reposo está disponible para los servicios a través de los modelos
en la nube de software como servicio (SaaS), plataforma como servicio (PaaS) e
infraestructura como servicio (IaaS). En este artículo se resumen las opciones de cifrado
de Azure y se proporcionan recursos para ayudarle a usarlas.
Para más información detallada sobre cómo se cifran los datos en reposo en Azure, vea
Cifrado en reposo de datos de Azure.
Modelos de cifrado de Azure

Azure admite distintos modelos de cifrado, incluido el cifrado de servidor que usa claves
administradas por el servicio, claves administradas por el cliente en Key Vault o las
claves administradas por el cliente en el hardware controlado por el cliente. Con el
cifrado de cliente, puede administrar y almacenar claves de forma local o en otra
ubicación segura.
Cifrado de cliente
El cifrado de cliente se realiza fuera de Azure. Incluye:
Datos cifrados por una aplicación que se está ejecutando en el centro de datos del
cliente o por una aplicación de servicio.
Datos que ya están cifrados cuando Azure los recibe.
Con el cifrado de cliente, los proveedores de servicios en la nube no tienen acceso a las
claves de cifrado y no pueden descifrar estos datos. Mantenga un control completo de
las claves.
Cifrado del servidor

Los tres modelos de cifrado del servidor ofrecen características de administración de
claves diferentes, que se pueden elegir según sus requisitos:
Claves administradas del servicio: proporcionan una combinación de control y

comodidad con una sobrecarga reducida.
Claves administradas por el cliente: le permiten controlar las claves, con

compatibilidad con Bring Your Own Keys (BYOK), o generar claves nuevas.
Claves administradas del servicio en el hardware controlado por el cliente: le

permiten administrar las claves en el repositorio de su propiedad, fuera del control
de Microsoft. Esta característica se denomina Host Your Own Key (HYOK). Sin
embargo, la configuración es compleja y la mayoría de los servicios de Azure no
son compatibles con este modelo.

Puede proteger los discos administrados mediante Azure Disk Encryption para
máquinas virtuales Linux, que usan DM-Crypt o Azure Disk Encryption para máquinas
virtuales Windows, que usan Windows BitLocker, para proteger los discos del sistema
operativo y los discos de datos con cifrado de volumen completo.
Las claves de cifrado y secretos se protegen en la suscripción a Azure Key Vault. El

servicio Azure Backup permite hacer copias de seguridad y restauraciones de máquinas
virtuales (VM) cifradas que usan la configuración de clave de cifrado de claves (KEK).
Cifrado del servicio Azure Storage

Los datos en reposo de Azure Blob Storage y los recursos compartidos de archivos de
Azure se pueden cifrar en escenarios de cliente y servidor.
Azure Storage Service Encryption (SSE) puede cifrar automáticamente los datos antes de
que se almacenen y los descifra automáticamente cuando los recupera. Se trata de un
proceso totalmente transparente para el usuario. Storage Service Encryption usa un
Estándar de cifrado avanzado (AES) de 256 bits, que es uno de los cifrados en bloque
más seguros que existen. AES controla el cifrado, descifrado y administración de claves
de un modo transparente.
Cifrado de cliente de blobs de Azure

Puede realizar el cifrado de cliente de blobs de Azure de varias maneras.
Puede usar la biblioteca cliente de Azure Storage para el paquete NuGet de .NET para
cifrar los datos dentro de las aplicaciones cliente antes de cargarlos en Azure Storage.
Para obtener más información acerca de la biblioteca cliente de Azure Storage para el
paquete NuGet. de NET y descargarla, vea Microsoft Azure Storage 8.3.0 .
Cuando se usa el cifrado de cliente con Key Vault, los datos se cifran con una clave de
cifrado de contenido (CEK) simétrica única generada por el SDK de cliente de Azure
Storage. La CEK se cifra mediante una clave de cifrado de claves (KEK), que puede ser
una clave simétrica o un par de claves asimétricas. Puede administrarla de forma local o
almacenarla en Key Vault. A continuación, se cargan los datos cifrados en Azure Storage.
Para obtener más información acerca del cifrado de cliente con Key Vault e iniciar las
instrucciones sobre procedimientos, vea Tutorial: Cifrado y descifrado de blobs en Azure
Storage con Key Vault.
Por último, también puede usar la biblioteca cliente de Azure Storage para Java para
realizar el cifrado de cliente antes de cargar datos en Azure Storage y descifrar los datos
cuando se descargan en el cliente. Esta biblioteca también admite la integración con Key
Vault para la administración de las claves de la cuenta de almacenamiento.
Cifrado de datos en reposo con Azure SQL Database

Azure SQL Database es un servicio de base de datos relacional de uso general de Azure
que admite estructuras como datos relacionales, JSON, espacial y XML. SQL Database
admite el cifrado de servidor a través de la característica Cifrado de datos transparente
(TDE) y el cifrado de cliente a través de la característica Always Encrypted.
Cifrado de datos transparente

TDE se utiliza para cifrar archivos de datos de SQL Server , Azure SQL Database y Azure
Synapse Analytics en tiempo real, con una clave de cifrado de base de datos (DEK) que
se almacena en el registro de arranque de base de datos para la disponibilidad durante
la recuperación.
TDE protege los archivos de registro y los datos con los algoritmos de cifrado de AES y
el estándar de cifrado de datos triple (3DES). El cifrado del archivo de base de datos se
realiza en el nivel de página. Las páginas en una base de datos cifrada se cifran antes de
que se escriban en disco y se descifran cuando se leen en la memoria. TDE ahora está
habilitado de forma predeterminada en las bases de datos de Azure SQL recién creadas.
Característica Always Encrypted
Con la característica Always Encrypted de Azure SQL, puede cifrar los datos dentro de
aplicaciones de cliente antes de almacenarlos en Azure SQL Database. También puede
habilitar la delegación de la administración de la base de datos local a terceros y
mantener la separación entre aquellos que poseen y pueden ver los datos y aquellos
que los administran, pero no deben tener acceso a ellos.
Cifrado de nivel de celda o columna

Con Azure SQL Database, puede aplicar el cifrado simétrico a una columna de datos
mediante Transact-SQL. Este enfoque se denomina cifrado de nivel de columna o
cifrado de nivel de celda (CLE), ya que se puede utilizar para cifrar las columnas
concretas o incluso determinadas celdas de datos con distintas claves de cifrado. Esto
proporciona una capacidad de cifrado más granular que TDE, que cifra los datos en
páginas.
CLE tiene funciones integradas que puede usar para cifrar datos con claves simétricas o
asimétricas, la clave pública de un certificado o una frase de contraseña con 3DES.
Cifrado de base de datos Azure Cosmos DB

Azure Cosmos DB es la base de datos multimodelo de distribución global de Microsoft.
Los datos de usuario almacenados en Azure Cosmos DB en un almacenamiento no
volátil (unidades de estado sólido) se cifran de forma predeterminada. No hay ningún
control para activarlo o desactivarlo. El cifrado en reposo se implementa mediante una
serie de tecnologías de seguridad, como sistemas seguros de almacenamiento de
claves, redes cifradas y API criptográficas. Microsoft administra las claves de cifrado y se
alternan según las directivas internas de Microsoft. También puede optar por agregar
una segunda capa de cifrado con las claves que administra con la característica claves
administradas por el cliente o CMK.
Cifrado en reposo en Data Lake

Azure Data Lake es un repositorio para toda la empresa de todos los tipos de datos
recopilados en un único lugar antes de cualquier definición formal de requisitos o
esquema. Data Lake Store admite el cifrado transparente "de forma predeterminada" de
los datos en reposo, que se configura durante la creación de la cuenta. De forma
predeterminada, Azure Data Lake Store administra las claves en su nombre, pero tiene la
opción de administrarlas usted mismo.
Se utilizan tres tipos de claves en el cifrado y descifrado de datos: la clave de cifrado

maestra (MEK), la clave de cifrado de datos (DEK) y la clave de cifrado de bloque (BEK).
La MEK se utiliza para cifrar la DEK, que se almacena en medios persistentes, y la BEK se
deriva de la DEK y el bloque de datos. Si está administrando sus propias claves, puede
alternar la MEK.
Cifrado de datos en tránsito

Azure ofrece varios mecanismos para mantener la privacidad de los datos cuando se
mueven de una ubicación a otra.
Cifrado de capa de vínculo de datos en Azure

Cada vez que el tráfico de los clientes de Azure se mueve entre los centros de datos —
fuera de los límites físicos no controlados por Microsoft (o en nombre de Microsoft)—,
un método de cifrado de capa de vínculo de datos que usa los estándares de seguridad
de MAC IEEE 802.1AE (también conocidos como MACsec) se aplica de punto a punto
en el hardware de red subyacente. Los paquetes se cifran en los dispositivos antes de
enviarse, lo que evita ataques físicos de tipo "Man in the middle" o de
intromisión/escucha telefónica. Dado que esta tecnología se integra en el propio
hardware de red, proporciona cifrado de velocidad de línea en el hardware de red sin
aumento de la latencia de vínculo mensurable. Este cifrado de MACsec está activado de
forma predeterminada para todo el tráfico de Azure que viaja dentro de una región o
entre regiones, y no se requiere ninguna acción por parte de los clientes para su
habilitación.
Cifrado TLS en Azure

Microsoft usa el protocolo Seguridad de la capa de transporte (TLS) de forma
predeterminada para proteger los datos cuando se transmiten entre los servicios en la
nube y los clientes. Los centros de datos de Microsoft negocian una conexión TLS con
sistemas cliente que se conectan a servicios de Azure. TLS proporciona una
autenticación sólida, privacidad de mensajes e integridad (lo que permite la detección
de la manipulación, interceptación y falsificación de mensajes), interoperabilidad,
flexibilidad de algoritmo, y facilidad de implementación y uso.
Confidencialidad directa total (PFS) protege las conexiones entre los sistemas cliente
de los clientes y los servicios en la nube de Microsoft mediante claves únicas. Las
conexiones también usan longitudes de clave de cifrado RSA de 2048 bits. Esta
combinación hace difícil para un usuario interceptar y acceder a datos que están en
tránsito.
Transacciones de Azure Storage

Si interactúa con Azure Storage a través de Azure Portal, todas las transacciones se
realizan a través de HTTPS. También se puede usar la API de REST de Storage a través de
HTTPS para interactuar con Azure Storage. Puede exigir el uso de HTTPS al llamar a las
API de REST para acceder a objetos de cuentas de almacenamiento mediante la
habilitación de la transferencia segura para la cuenta de almacenamiento.
Las firmas de acceso compartido (SAS), que pueden utilizarse para delegar el acceso a
objetos de Azure Storage, incluyen una opción para especificar que se pueda utilizar
solo el protocolo HTTPS cuando se usen las firmas de acceso compartido. Este enfoque
garantiza que cualquier usuario que envíe vínculos con tokens SAS use el protocolo
adecuado.
SMB 3.0, que solía acceder a recursos compartidos de Azure Files, admite cifrado y está
disponible en Windows Server 2012 R2, Windows 8, Windows 8.1 y Windows 10. Permite
el acceso entre regiones e incluso el acceso en el escritorio.
El cifrado de cliente cifra los datos antes de enviarlos a la instancia de Azure Storage,
por lo que se cifra a medida que pasa por la red.
Cifrado de SMB a través de redes virtuales de Azure

Si usa SMB 3.0 en VM que ejecutan Windows Server 2012 o posterior, puede proteger
las transferencias de datos mediante el cifrado de datos en tránsito a través de redes
virtuales de Azure. Al cifrar los datos, contribuye a protegerlos de manipulaciones y
ataques de interceptación. Los administradores pueden habilitar el cifrado SMB para
todo el servidor o, simplemente, algunos recursos compartidos.
De forma predeterminada, una vez que se activa el cifrado SMB para un recurso
compartido o el servidor, solo se permite que los clientes SMB 3.0 tengan acceso a los
recursos compartidos cifrados.
Cifrado en tránsito en VM
Los datos en tránsito de destino, de origen y entre VM que ejecutan Windows, se
pueden cifrar de diversas formas, según la naturaleza de la conexión.
Sesiones RDP
Puede conectarse e iniciar sesión en una VM mediante el Protocolo de escritorio remoto
(RDP) desde un equipo cliente de Windows o desde un equipo Mac con un cliente RDP
instalado. Los datos en tránsito a través de la red en las sesiones RDP se pueden
proteger mediante TLS.
Puede usar el escritorio remoto para conectarse a una VM Linux en Azure.
Acceso seguro a las VM de Linux con SSH

Para la administración remota, puede usar Secure Shell (SSH) para conectarse a VM
Linux que se ejecutan en Azure. SSH es un protocolo de conexión cifrada que permite
inicios de sesión seguros a través de conexiones no seguras. Es el protocolo de conexión
predeterminado de las máquinas virtuales Linux hospedadas en Azure. Mediante el uso
de claves de SSH para la autenticación, se elimina la necesidad de contraseñas para
iniciar sesión. SSH utiliza un par de claves públicas/privadas (cifrado simétrico) para la
autenticación.
Cifrado de VPN de Azure

Puede conectarse a Azure a través de una red privada virtual que crea un túnel seguro
para proteger la privacidad de los datos enviados a través de la red.
Puertas de enlace de VPN de Azure

Puede usar una puerta de enlace VPN de Azure para enviar tráfico cifrado entre la red
virtual y la ubicación local a través de una conexión pública o para enviar tráfico entre
redes virtuales.
Las VPN de sitio a sitio usan IPsec para el cifrado de transporte. Azure VPN Gateway
utiliza un conjunto de propuestas predeterminadas. Puede configurar Azure VPN
Gateway para usar una directiva IPsec/IKE personalizada con determinados algoritmos
criptográficos y ventajas claves, en lugar de conjuntos de directivas predeterminadas de
Azure.
VPN de punto a sitio

Las VPN de punto a sitio permiten a los equipos cliente individuales acceder a una
instancia de Azure Virtual Network. El protocolo de túnel de sockets de seguros (SSTP)
se utiliza para crear el túnel VPN. Puede atravesar firewalls (el túnel aparece como
conexión HTTPS). Puede usar su propia entidad de certificación (CA) de raíz de
infraestructura de clave pública (PKI) interna para la conectividad de punto a sitio.
Puede configurar una conexión de VPN de punto a sitio a una red virtual con Azure
Portal con autenticación de certificados o PowerShell.
Para obtener más información acerca de las conexiones VPN de punto a sitio para redes
virtuales de Azure, vea:
Configuración de una conexión de punto a sitio a una red virtual mediante la

autenticación de certificación: Azure Portal
Configuración de una conexión de punto a sitio a una red virtual mediante la

autenticación de certificado: PowerShell
VPN de sitio a sitio

Puede usar una conexión de puerta de enlace VPN de sitio a sitio para conectar su red
local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE (IKEv1 o IKEv2).
Este tipo de conexión requiere un dispositivo VPN local que tenga una dirección IP
pública asignada.
Puede configurar una conexión de VPN de sitio a sitio a una red virtual mediante Azure
Portal, PowerShell o CLI de Azure.
Creación de una conexión de sitio a sitio mediante Azure Portal
Creación de una conexión de sitio a sitio en PowerShell
Creación de una red virtual con una conexión VPN de sitio a sitio mediante la CLI
Cifrado en tránsito en Data Lake
Los datos en tránsito (también conocidos como datos en movimiento) también se cifran
siempre en Data Lake Store. Además de que los datos se cifran antes de almacenarse en
un medio persistente, también se protegen cuando están en tránsito mediante HTTPS.
HTTPS es el único protocolo admitido para las interfaces de REST de Data Lake Store.
Para más información acerca del cifrado de datos en tránsito en Data Lake, vea Cifrado
de datos en Data Lake Store.
Administración de claves con Key Vault

Sin la protección y administración adecuadas de las claves, el cifrado queda inutilizable.
Key Vault es la solución recomendada de Microsoft para administrar y controlar el
acceso a las claves de cifrado utilizadas por los servicios en la nube. Los permisos para
acceder a las claves se pueden asignar a servicios o a usuarios a través de cuentas de
Key Vault libera a las empresas de la necesidad de configurar, aplicar revisiones y

mantener los módulos de seguridad de hardware (HSM) y el software de administración
de claves. Cuando utiliza Key Vault, tiene el control. Microsoft nunca ve las claves y las
aplicaciones no tienen acceso directo a ellas. También puede importar o generar claves
en HSM.
Pasos siguientes
Información general de seguridad de Azure
Security)
Introducción a la seguridad de base de datos de Azure
Información general de seguridad de Azure Virtual Machines
Procedimientos recomendados de seguridad de datos y cifrado
Administración de claves en Azure
Artículo • 30/06/2023
７ Nota
Confianza cero es una estrategia de seguridad que consta de tres principios:

"Comprobar explícitamente", "Usar acceso con privilegios mínimos" y "Asumir una
vulneración". La protección de datos, incluida la administración de claves, admite el
principio de "Usar acceso con privilegios mínimos". Para obtener más información,
consulte ¿Qué es la confianza cero?
En Azure, las claves de cifrado pueden estar administradas por la plataforma o

administradas por el cliente.
Las claves administradas por la plataforma (PMK) son claves de cifrado que Azure
genera, almacena y administra completamente. Los clientes no interactúan con PMK. Las
claves usadas para Azure Data Encryption-at-Rest, por ejemplo, son PMK de forma
predeterminada.
Por otro lado, las claves administradas por el cliente (CMK) son aquellas que uno o
varios clientes leen, crean, eliminan, actualizan y/o administran. Las claves almacenadas
en un almacén de claves propiedad del cliente o en un módulo de seguridad de
hardware (HSM) son CMK. Bring Your Own Key (BYOK) es un escenario de CMK en el
que un cliente importa (aporta) claves de una ubicación de almacenamiento externa a
un servicio de administración de claves de Azure ( consulte Azure Key Vault: Bring Your
Own Key).
Un tipo específico de clave administrada por el cliente es la "clave de cifrado de claves"

(KEK). Una KEK es una clave principal que controla el acceso a una o varias claves de
cifrado que están cifradas.
Las claves administradas por el cliente se pueden almacenar de forma local o, más
comúnmente, en un servicio de administración de claves en la nube.
Servicio de administración de claves de Azure

Azure ofrece varias opciones para almacenar y administrar las claves en la nube, como
Azure Key Vault, Azure Managed HSM, Azure Dedicated HSM y Azure Payment HSM.
Estas opciones difieren en cuanto a su nivel de cumplimiento de FIPS, la sobrecarga de
administración y las aplicaciones previstas.
Para obtener información general sobre cada servicio de administración de claves y una
guía completa para elegir la solución de administración de claves adecuada, consulte
Cómo elegir la solución de administración de claves adecuada.
Precios
Los Azure Key Vault estándar y Premium se facturan de forma transaccional, con un
cargo mensual adicional por clave para las claves con respaldo de hardware prémium.
Managed HSM, Dedicated HSM y Payment HSM no se cobran de forma transaccional;
en su lugar, son dispositivos siempre en uso que se facturan a una tarifa por hora fija.
Para obtener información detallada sobre los precios, consulte Precios de Key Vault ,
Dedicated HSM y Precios de Payment HSM .
Límites de servicio
Managed HSM administrado, Dedicated HSM y Payment HSM en capacidad dedicada.
Key Vault estándar y Premium son ofertas multiinquilino y tienen límites. Para ver los
límites de servicio, consulte Límites de servicio de Key Vault.
Cifrado en reposo
Azure Key Vault y Azure Key Vault Managed HSM tienen integraciones con los servicios
de Azure y Microsoft 365 para las claves administradas por el cliente, lo que significa
que los clientes pueden usar sus propias claves en Azure Key Vault y Azure Key
Managed HSM para el cifrado en reposo de los datos almacenados en estos servicios.
Dedicated HSM y Payment HSM son ofertas de infraestructura como servicio y no
ofrecen integraciones con los servicios de Azure. Para obtener información general
sobre el cifrado en reposo con Azure Key Vault y Managed HSM, consulte Cifrado de
datos en reposo de Azure.
API existentes
Dedicated HSM y Payment HSM admiten las API PKCS#11, JCE/JCA y KSP/CNG, pero
Azure Key Vault y Managed HSM no. Azure Key Vault y Managed HSM usan la API REST
de Azure Key Vault y ofrecen compatibilidad con el SDK. Para obtener más información
sobre la API Azure Key Vault, consulte Referencia de la API REST de Azure Key Vault.
Pasos siguientes
Cómo elegir la solución de administración de claves adecuada
Azure Key Vault
HSM de Azure administrado.
Azure Dedicated HSM
Azure Payment HSM
¿Qué es la Confianza cero?
Cómo elegir la solución de
administración de claves adecuada
Artículo • 25/07/2023
Azure ofrece varias soluciones para el almacenamiento y la administración de claves

criptográficas en la nube: Azure Key Vault (ofertas estándar y premium), Azure Managed
HSM, Azure Dedicated HSM y Azure Payment HSM. Puede resultar abrumador para los
clientes decidir qué solución de administración de claves es la adecuada para ellos. Este
documento tiene como objetivo ayudar a los clientes a recorrer este proceso de toma de
decisiones mediante la presentación de la gama de soluciones en función de tres
consideraciones distintas: escenarios, requisitos y sector.
Para empezar a determinar una solución de administración de claves, siga el diagrama de

flujo basado en los requisitos comunes de alto nivel y los escenarios de administración
de claves. También puede usar la tabla basada en los requisitos específicos del cliente
que figura directamente a continuación. Si cualquiera de los dos proporciona varios
productos como solución, use una combinación del diagrama de flujo y la tabla como
ayuda para tomar una decisión final. Si siente curiosidad por saber qué usan otros
clientes del mismo sector, lea la tabla de soluciones comunes de administración de
claves por segmentos del sector. Para obtener más información sobre una solución
específica, use los vínculos que se encuentran al final del documento.
Elección de una solución de administración de

claves por escenario
En el gráfico siguiente se describen los requisitos comunes, los escenarios de casos de
uso y la solución de administración de claves de Azure recomendada.
En el gráfico se hace referencia a estos requisitos comunes:
FIPS-140 es un estándar del gobierno de EE. UU. con diferentes niveles de

requisitos de seguridad. Para obtener más información, consulte Estándar federal
de procesamiento de información (FIPS) 140.
La soberanía de claves se da cuando la organización del cliente tiene el control total
y exclusivo de sus claves, incluido el control sobre qué usuarios y servicios pueden
acceder a las claves y las directivas de administración de claves.
Inquilino único es una única instancia dedicada de una aplicación implementada
para cada cliente, en lugar de una instancia compartida entre varios clientes. La
necesidad de productos de inquilino único suele ser un requisito de cumplimiento
interno en los sectores de servicios financieros.
También hace referencia a los siguientes casos de uso de administración de claves:
Cifrado en reposo, que se habilita normalmente para los modelos IaaS, PaaS y SaaS
de Azure. El cifrado en reposo lo usan aplicaciones como Microsoft 365, Microsoft
Purview Information Protection, servicios de plataforma en los que se usa la nube
para el almacenamiento, el análisis y la funcionalidad de Service Bus, y servicios de
infraestructura donde los sistemas operativos y las aplicaciones se hospedan e
implementan en la nube. Las claves administradas por el cliente para el cifrado en
reposo se usan con Azure Storage y Azure AD. Para mayor seguridad, las claves
deben ser claves RSA de 3k o 4k respaldadas por HSM. Para obtener más
información sobre el cifrado en reposo, consulte Cifrado en reposo de datos de
Azure.
La descarga de SSL/TLS se admite en Azure Managed HSM y Azure Dedicated HSM.
Los clientes han mejorado la alta disponibilidad, la seguridad y el mejor punto de
precio en Azure Managed HSM para F5 y Nginx.
Lift and shift hacen referencia a escenarios en los que una aplicación PKCS11 local
se migra a Azure Virtual Machines y ejecuta software como Oracle TDE en Azure
Virtual Machines. Azure Payment HSM admite lift-and-shift que requiere
procesamiento de pagos. Todos los demás escenarios son compatibles con Azure
Dedicated HSM. Las API y bibliotecas heredadas, como PKCS11, JCA/JCE, y
CNG/KSP solo son compatibles con Azure Dedicated HSM.
El procesamiento de los PIN de pago comprenden la autorización de pagos con
tarjeta y móviles y la autenticación 3D-Secure; la generación, administración y
validación de PIN; la emisión de credenciales de pago para tarjetas, dispositivos
ponibles y dispositivos conectados; la protección de claves y datos de
autenticación; y la protección de datos confidenciales para el cifrado de punto a
punto, la tokenización de seguridad y la tokenización de pago de EMV. También se
incluyen las certificaciones, como PCI DSS, PCI 3DS y PCI PIN. Son compatibles con
Azure Payment HSM.

El resultado del diagrama de flujo le sirve de punto de inicial para determinar qué
solución se adapta mejor a sus necesidades.
Comparación de otros requisitos del cliente

Azure proporciona varias soluciones de administración de claves que permiten a los
clientes elegir un producto en función tanto de los requisitos de alto nivel como de las
responsabilidades de administración. Existe un espectro de responsabilidades de
administración que van desde Azure Key Vault y Azure Managed HSM, con menor
responsabilidad por parte del cliente, hasta Azure Dedicated HSM y Azure Payment HSM,
con mayor responsabilidad por parte del cliente.
En la tabla siguiente se detalla esta concesión de responsabilidades de administración

entre el cliente y Microsoft así como otros requisitos.
Microsoft administra el aprovisionamiento y el hospedaje en todas las soluciones. La

generación y administración de claves, la concesión de roles y permisos, y la supervisión
y auditoría son responsabilidad del cliente en todas las soluciones.
Use la tabla para comparar todas las soluciones en paralelo. Comience de arriba abajo,
respondiendo a cada una de las preguntas que se encuentran en la columna de la
izquierda para poder elegir la solución que satisfaga todas sus necesidades, incluidas las
de administración y costes.
AKV Estándar AKV HSM de Azure Azure Payment HSM
Premium Azure Dedicated
administrado. HSM
¿Qué nivel de FIPS 140-2 FIPS 140-2 FIPS 140-2 FIPS 140-2 FIPS 140-2 nivel 3,
cumplimiento Nivel 1 nivel 2, PCI nivel 3, PCI nivel 3, PCI PTS HSM v3, PCI
necesita? DSS DSS, PCI 3DS HIPPA, PCI DSS, PCI 3DS, PCI
DSS, PCI 3DS, PIN
eIDAS CC
EAL4+, GSMA
¿Necesita la No No Sí Sí Sí
soberanía de
claves?
¿Qué tipo de Multiinquilino Multiinquilino Un solo Un solo Un solo inquilino

inquilino inquilino inquilino
quiere?
¿Cuáles son los Cifrado en Cifrado en Cifrado en PKCS11, Procesamiento de

casos de uso? reposo, CMK, reposo, CMK, reposo, descarga TLS, PIN de pago,
personalizado personalizado descarga TLS, firma de personalizado
CMK, documentos
personalizado o códigos,
personalizado
¿Quiere la No Sí Sí Sí Sí
protección de
hardware de
HSM?
¿Qué $ $$ $$$ $$$$ $$$$

presupuesto
tiene?
¿Quién asumirá Microsoft Microsoft Microsoft Customer Customer

la
responsabilidad
de la aplicación
de revisiones y
el
mantenimiento?
¿Quién asumirá Microsoft Microsoft Compartido Customer Customer

la
responsabilidad
del estado del
servicio y la
conmutación
por error de
hardware?
AKV Estándar AKV HSM de Azure Azure Payment HSM
Premium Azure Dedicated
administrado. HSM
¿Qué tipo de Claves Claves Claves Claves Clave principal local

objetos va a asimétricas, asimétricas, asimétricas o asimétricas o
usar? secretos, secretos, simétricas simétricas,
certificados certificados certificados
Control de la Microsoft Microsoft Customer Customer Customer

raíz de
confianza
Usos comunes de soluciones de administración

de claves por segmentos del sector
Esta es una lista de las soluciones de administración de claves que se usan habitualmente
en función del sector.
Sector Solución de Azure Consideraciones sobre los servicios

recomendada recomendados
Cliente de servicios HSM de Azure Azure Managed HSM proporciona el

financieros con estrictos administrado. cumplimiento de FIPS 140-2 nivel 3.
requisitos de Ofrece claves respaldadas por HSM y
cumplimiento en proporciona a los clientes la soberanía de
materia de seguridad. claves y el inquilino único.
Cliente que quiere el Azure Payment HSM Azure Payment HSM proporciona
cumplimiento con el cumplimiento con FIPS 140-2 nivel 3 y PCI
estándar PCI y HSM v3. Proporciona soberanía de claves
compatibilidad con e inquilino único, requisitos comunes de
servicios de cumplimiento interno en torno al
procesamiento de procesamiento de pagos. Azure Payment
pagos y tarjetas de HSM proporciona plena compatibilidad
crédito. con las transacciones y el procesamiento
PIN de pagos.
Cliente de empresa Azure Key Vault Estándar Azure Key Vault Estándar proporciona
emergente en fase claves respaldadas por software a un
inicial que quiere crear precio económico.
un prototipo de una
aplicación nativa en la
nube.
Cliente de empresa Azure Key Vault Premium y Tanto Azure Key Vault Premium como
emergente que quiere Azure Managed HSM Azure Managed HSM proporcionan claves
con respaldo de HSM* y son las mejores
Sector Solución de Azure Consideraciones sobre los servicios
recomendada recomendados
producir una aplicación soluciones para crear aplicaciones nativas

nativa en la nube. en la nube.
Cliente de IaaS que Azure Dedicated HSM Azure Dedicated HSM admite clientes de
quiere mover su IaaS de SQL. Es la única solución que
aplicación para usar admite PKCS11 y aplicaciones no nativas
Azure VM/HSM. de la nube personalizadas.
Más información sobre las soluciones de

administración de claves de Azure
Azure Key Vault (nivel Estándar): un servicio de administración de claves en la nube
multiinquilino validado por FIPS 140-2 de nivel 1 que se puede usar para almacenar
claves simétricas y asimétricas, secretos y certificados. Las claves almacenadas Azure Key
Vault están protegidas por software y se pueden usar para el cifrado en reposo y las
aplicaciones personalizadas. Azure Key Vault Estándar proporciona una API moderna y
una gama de implementaciones e integraciones regionales con los servicios de Azure.
Para obtener más información, consulte Acerca de Azure Key Vault.
Azure Key Vault (nivel Premium): una oferta de HSM multiinquilino validado por FIPS
140-2 de nivel 2 que se puede usar para almacenar claves simétricas y asimétricas,
secretos y certificados. Las claves se almacenan en un límite de hardware seguro*.
Microsoft administra y opera el HSM subyacente, y las claves almacenadas en Azure Key
Vault Premium se pueden usar para el cifrado en reposo y las aplicaciones
personalizadas. Azure Key Vault Premium también proporciona una API moderna y una
gama de implementaciones e integraciones regionales con los servicios de Azure. Si es
cliente de AKV Premium y quiere un mayor cumplimiento de seguridad, soberanía de
claves, inquilino único o más operaciones criptográficas por segundo, puede considerar
la opción de Managed HSM en su lugar. Para obtener más información, consulte Acerca
de Azure Key Vault.
Azure Managed HSM: una oferta de HSM de un solo inquilino validada por FIPS 140-2
nivel 3 que proporciona a los clientes el control total de un HSM para cifrado en reposo,
descarga SSL/TLS sin claves y aplicaciones personalizadas. Azure Managed HSM es la
única solución de administración de claves que ofrece claves confidenciales. Los clientes
reciben un grupo de tres particiones de HSM, que actúan conjuntamente como un
dispositivo HSM lógico y de alta disponibilidad, delante de un servicio que expone la
funcionalidad de cifrado a través de la API de Key Vault. Microsoft controla el
aprovisionamiento, la aplicación de revisiones, el mantenimiento y la conmutación por
error de hardware de los HSM, pero no tiene acceso a las propias claves, porque el
servicio se ejecuta dentro de la infraestructura de proceso confidencial de Azure. Azure
Managed HSM se integra con los servicios de Azure SQL, Azure Storage y los servicios de
PaaS de Azure Information Protection y ofrece compatibilidad con TLS sin claves con F5 y
Nginx. Para obtener más información, consulte ¿Qué es Azure Key Vault Managed HSM?
Azure Dedicated HSM: una oferta de HSM sin sistema operativo de inquilino único
validada por FIPS 140-2 nivel 3 que permite a los clientes dar concesión a un dispositivo
HSM de uso general que reside en centros de datos de Microsoft. El cliente tiene la
propiedad completa sobre el dispositivo HSM y es responsable de aplicar revisiones y
actualizar el firmware cuando sea necesario. Microsoft no tiene permisos en el dispositivo
ni acceso al material clave, y Azure Dedicated HSM no está integrado con ninguna oferta
de PaaS de Azure. Los clientes pueden interactuar con el HSM mediante las API PKCS#11,
JCE/JCA y KSP/CNG. Esta oferta es más útil para cargas de trabajo heredadas de lift-and-
shift, PKI, descarga SSL y TLS sin clave (las integraciones admitidas incluyen F5, Nginx,
Apache, Palo Alto, IBM GW, etc.), aplicaciones OpenSSL, TDE de Oracle e IaaS de TDE de
Azure SQL. Para obtener más información, consulte ¿Qué es Azure Dedicated HSM?
Azure Payment HSM: una oferta de HSM sin sistema operativo de inquilino único
validado por FIPS 140-2 de nivel 3 y PCI HSM v3 que permite a los clientes dar concesión
a un dispositivo HSM de pago en centros de datos de Microsoft para operaciones de
pago, como el procesamiento PIN de pagos, la emisión de credenciales de pago, la
protección de claves y datos de autenticación y la protección de datos confidenciales. El
servicio es compatible con PCI DSS, PCI 3DS y PCI PIN. Azure Payment HSM ofrece HSM
de un solo inquilino para que los clientes tengan un control administrativo completo y
acceso exclusivo al HSM. Una vez que el HSM se asigna a un cliente, Microsoft no tiene
acceso a los datos del cliente. Asimismo, cuando el HSM deja de ser necesario, los datos
del cliente se posicionan a cero y se borran en cuanto se libera el HSM para garantizar el
mantenimiento de la privacidad y la seguridad. Para obtener más información, consulte
Acerca de Azure Payment HSM.
７ Nota
* Azure Key Vault Premium permite la creación tanto de claves protegidas por
software como de claves protegidas por HSM. Si usa Azure Key Vault Premium,
compruebe que la clave creada está protegida por HSM.
Pasos siguientes
Administración de claves en Azure
Azure Key Vault
HSM de Azure administrado.
Azure Dedicated HSM
Azure Payment HSM
¿Qué es la Confianza cero?
Cifrado doble
Artículo • 01/06/2023
El cifrado doble es aquel en que dos o más capas independientes de cifrado están
habilitadas para proteger frente a los peligros de cualquier otra capa de cifrado. El uso
de dos capas de cifrado reduce las amenazas que surgen con el cifrado de datos. Por
ejemplo:
Errores de configuración en el cifrado de datos

Errores de implementación en el algoritmo de cifrado
Poner en peligro una única clave de cifrado
Azure proporciona cifrado doble para datos en reposo y datos en tránsito.
Datos en reposo
El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en reposo es:
Cifrado en reposo con claves administradas por el cliente. El usuario proporciona

su propia clave para el cifrado de datos en reposo. Puede traer sus propias claves a
su instancia de Key Vault (BYOK – Bring Your Own Key) o generar otras nuevas en
Azure Key Vault para cifrar los recursos deseados.
Cifrado de la infraestructura mediante claves administradas por la plataforma.
De forma predeterminada, los datos se cifran automáticamente en reposo
mediante claves de cifrado administradas por la plataforma.
Datos en tránsito
El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en tránsito es
el siguiente:
Cifrado del tránsito mediante Seguridad de la capa de transporte (TLS) 1.2 para
proteger los datos cuando viajan entre los servicios en la nube y el usuario. Todo
el tráfico que sale de un centro de datos se cifra en tránsito, incluso si el destino
del tráfico es otro controlador de dominio de la misma región. TLS 1.2 es el
protocolo de seguridad predeterminado que se usa. TLS proporciona una
autenticación sólida, privacidad de mensajes e integridad (lo que permite la
detección de la manipulación, interceptación y falsificación de mensajes),
interoperabilidad, flexibilidad de algoritmo, y facilidad de implementación y uso.
Capa adicional de cifrado que se proporciona en la capa de infraestructura. Cada
vez que el tráfico de los clientes de Azure se mueve entre los centros de datos —
fuera de los límites físicos no controlados por Microsoft (o en nombre de
Microsoft)—, un método de cifrado de capa de vínculo de datos que usa los
estándares de seguridad de MAC IEEE 802.1AE (también conocidos como
MACsec) se aplica de punto a punto en el hardware de red subyacente. Los
paquetes se cifran y descifran en los dispositivos antes de enviarse, lo que evita
ataques físicos de tipo "Man in the middle" o de supervisión/escucha telefónica.
Dado que esta tecnología se integra en el propio hardware de red, proporciona
cifrado de velocidad de línea en el hardware de red sin aumento de la latencia de
vínculo mensurable. Este cifrado de MACsec está activado de forma
predeterminada para todo el tráfico de Azure que viaja dentro de una región o
entre regiones, y no se requiere ninguna acción por parte de los clientes para su
habilitación.
Pasos siguientes
Aprenda cómo se usa el cifrado en Azure.
Detalles de la entidad de certificación
de Azure
Artículo • 19/07/2023
En este artículo se proporcionan los detalles de las entidades de certificación raíz y

subordinadas que usa Azure. El ámbito incluye nubes de administración pública y
nacionales. Los requisitos mínimos para el cifrado de clave pública y los algoritmos de
firma, los vínculos a las descargas de certificados y las listas de revocación, y la
información sobre conceptos de clave se proporcionan debajo de las tablas de detalles
de la entidad de certificación. También se proporcionan los nombres de host de los URI
que se deben agregar a las listas de permitidos del firewall.
Detalles de la entidad de certificación

Cualquier entidad que intente acceder a los servicios de identidad de Azure Active
Directory (Azure AD) mediante los protocolos TLS/SSL se presentarán con los
certificados de las entidades de certificación que se enumeran en este artículo. Los
diferentes servicios pueden utilizar distintas entidades de certificación raíz o
intermedias. Las siguientes entidades de certificación raíz y subordinadas son relevantes
para las entidades que usan la asignación de certificados.
Lectura de los detalles del certificado:
El número de serie (cadena superior de la tabla) contiene el valor hexadecimal del

número de serie del certificado.
La huella digital (cadena inferior de la tabla) es la huella digital SHA1.
Las CA enumeradas en cursiva son las CA agregadas más recientemente.
Lista de CA raíz y subordinadas
Entidades de certificación raíz
Entidad de certificación Número de serie /

Huella digital
Baltimore CyberTrust Root 0x20000b9

D4DE20D05E66FC53FE1A50882C78DB2852CAE474
DigiCert Global Root CA 0x083be056904246b1a1756ac95991c74a

Entidad de certificación Número de serie /
Huella digital
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
DigiCert Global Root G2 0x033af1e6a711a9a0bb2864b11d09fae5

DF3C24F9BFD666761B268073FE06D1CC8D4F82A4
Digicert Global Root G3 0x055556bcf25ea43535c3a40fd5ab4572

7E04DE896A3E666D00E687D33FFAD93BE83D349E
Microsoft ECC Root Certificate 0x66f23daf87de8bb14aea0c573101c2ec

Authority 2017 999A64C37FF47D9FAB95F14769891460EEC4C3C5
Microsoft RSA Root Certificate 29c87039f4dbfdb94dbcda6ca792836b

Authority 2017 ee68c3e94ab5d55eb9395116424e25b0cadd9009
Entidades de certificación subordinadas
Entidad de certificación Número de serie

Huella digital
DigiCert Basic RSA CN CA G2 0x02f7e1f982bad009aff47dc95741b2f6

4D1FA5D1FB1AC3917C08E43F65015E6AEA571179
DigiCert Cloud Services CA-1 0x019ec1c6bd3f597bb20c3338e551d877

81B68D6CD2F221F8F534E677523BB236BBA1DC56
DigiCert SHA2 Secure Server CA 0x02742eaa17ca8e21c717bb1ffcfd0ca0

626D44E704D1CEABE3BF0D53397464AC8080142C
DigiCert TLS Hybrid ECC SHA384 0x0a275fe704d6eecb23d5cd5b4b1a4e04

2020 CA1 51E39A8BDB08878C52D6186588A0FA266A69CF28
DigiCert TLS RSA SHA256 2020 CA1 0x06d8d904d5584346f68a2fa754227ec4

1C58A3A8518E8759BF075B76B750D4F2DF264FCD
GeoTrust Global TLS RSA4096 0x0f622f6f21c2ff5d521f723a1d47d62d

SHA256 2022 CA1 7E6DB7B7584D8CF2003E0931E6CFC41A3A62D3DF
GeoTrust TLS DV RSA Mixed SHA256 0x0c08966535b942a9735265e4f97540bc

2020 CA-1 2F7AA2D86056A8775796F798C481A079E538E004
Microsoft Azure ECC TLS Issuing CA 0x09dc42a5f574ff3a389ee06d5d4de440

01 92503D0D74A7D3708197B6EE13082D52117A6AB0
Microsoft Azure ECC TLS Issuing CA 0x330000001aa9564f44321c54b900000000001a

01 CDA57423EC5E7192901CA1BF6169DBE48E8D1268
Microsoft Azure ECC TLS Issuing CA 0x0e8dbe5ea610e6cbb569c736f6d7004b

Huella digital
02 1E981CCDDC69102A45C6693EE84389C3CF2329F1
Microsoft Azure ECC TLS Issuing CA 0x330000001b498d6736ed5612c200000000001b

02 489FF5765030EB28342477693EB183A4DED4D2A6
Microsoft Azure ECC TLS Issuing CA 0x01529ee8368f0b5d72ba433e2d8ea62d

03 56D955C849887874AA1767810366D90ADF6C8536
Microsoft Azure ECC TLS Issuing CA 0x330000003322a2579b5e698bcc000000000033

03 91503BE7BF74E2A10AA078B48B71C3477175FEC3
Microsoft Azure ECC TLS Issuing CA 0x02393d48d702425a7cb41c000b0ed7ca

04 FB73FDC24F06998E070A06B6AFC78FDF2A155B25
Microsoft Azure ECC TLS Issuing CA 0x33000000322164aedab61f509d000000000032

04 406E3B38EFF35A727F276FE993590B70F8224AED
Microsoft Azure ECC TLS Issuing CA 0x0ce59c30fd7a83532e2d0146b332f965

05 C6363570AF8303CDF31C1D5AD81E19DBFE172531
Microsoft Azure ECC TLS Issuing CA 0x330000001cc0d2a3cd78cf2c1000000000001c

05 4C15BC8D7AA5089A84F2AC4750F040D064040CD4
Microsoft Azure ECC TLS Issuing CA 0x066e79cd7624c63130c77abeb6a8bb94

06 7365ADAEDFEA4909C1BAADBAB68719AD0C381163
Microsoft Azure ECC TLS Issuing CA 0x330000001d0913c309da3f05a600000000001d

06 DFEB65E575D03D0CC59FD60066C6D39421E65483
Microsoft Azure ECC TLS Issuing CA 0x0f1f157582cdcd33734bdc5fcd941a33

07 3BE6CA5856E3B9709056DA51F32CBC8970A83E28
Microsoft Azure ECC TLS Issuing CA 0x3300000034c732435db22a0a2b000000000034

07 AB3490B7E37B3A8A1E715036522AB42652C3CFFE
Microsoft Azure ECC TLS Issuing CA 0x0ef2e5d83681520255e92c608fbc2ff4

08 716DF84638AC8E6EEBE64416C8DD38C2A25F6630
Microsoft Azure ECC TLS Issuing CA 0x3300000031526979844798bbb8000000000031

08 CF33D5A1C2F0355B207FCE940026E6C1580067FD
Microsoft Azure RSA TLS Issuing CA 03 0x05196526449a5e3d1a38748f5dcfebcc

F9388EA2C9B7D632B66A2B0B406DF1D37D3901F6
Microsoft Azure RSA TLS Issuing CA 03 0x330000003968ea517d8a7e30ce000000000039

37461AACFA5970F7F2D2BAC5A659B53B72541C68
Microsoft Azure RSA TLS Issuing CA 04 0x09f96ec295555f24749eaf1e5dced49d

BE68D0ADAA2345B48E507320B695D386080E5B25
Huella digital
Microsoft Azure RSA TLS Issuing CA 04 0x330000003cd7cb44ee579961d000000000003c

7304022CA8A9FF7E3E0C1242E0110E643822C45E
Microsoft Azure RSA TLS Issuing CA 07 0x0a43a9509b01352f899579ec7208ba50

3382517058A0C20228D598EE7501B61256A76442
Microsoft Azure RSA TLS Issuing CA 07 0x330000003bf980b0c83783431700000000003b

0E5F41B697DAADD808BF55AD080350A2A5DFCA93
Microsoft Azure RSA TLS Issuing CA 08 0x0efb7e547edf0ff1069aee57696d7ba0

31600991ED5FEC63D355A5484A6DCC787EAD89BC
Microsoft Azure RSA TLS Issuing CA 08 0x330000003a5dc2ffc321c16d9b00000000003a

512C8F3FB71EDACF7ADA490402E710B10C73026E
Microsoft Azure TLS Issuing CA 01 0x0aafa6c5ca63c45141ea3be1f7c75317

2F2877C5D778C31E0F29C7E371DF5471BD673173
Microsoft Azure TLS Issuing CA 01 0x1dbe9496f3db8b8de700000000001d

B9ED88EB05C15C79639493016200FDAB08137AF3
Microsoft Azure TLS Issuing CA 02 0x0c6ae97cced599838690a00a9ea53214

E7EEA674CA718E3BEFD90858E09F8372AD0AE2AA
Microsoft Azure TLS Issuing CA 02 0x330000001ec6749f058517b4d000000000001e

C5FB956A0E7672E9857B402008E7CCAD031F9B08
Microsoft Azure TLS Issuing CA 05 0x0d7bede97d8209967a52631b8bdd18bd

6C3AF02E7F269AA73AFD0EFF2A88A4A1F04ED1E5
Microsoft Azure TLS Issuing CA 05 0x330000001f9f1fa2043bc28db900000000001f

56F1CA470BB94E274B516A330494C792C419CF87
Microsoft Azure TLS Issuing CA 06 0x02e79171fb8021e93fe2d983834c50c0

30E01761AB97E59A06B41EF20AF6F2DE7EF4F7B0
Microsoft Azure TLS Issuing CA 06 0x3300000020a2f1491a37fbd31f000000000020

8F1FD57F27C828D7BE29743B4D02CD7E6E5F43E6
Microsoft ECC TLS Issuing AOC CA 01 0x33000000282bfd23e7d1add707000000000028

30ab5c33eb4b77d4cbff00a11ee0a7507d9dd316
Microsoft ECC TLS Issuing AOC CA 02 0x33000000290f8a6222ef6a5695000000000029

3709cd92105d074349d00ea8327f7d5303d729c8
Microsoft ECC TLS Issuing EOC CA 01 0x330000002a2d006485fdacbfeb00000000002a

5fa13b879b2ad1b12e69d476e6cad90d01013b46
Huella digital
Microsoft ECC TLS Issuing EOC CA 02 0x330000002be6902838672b667900000000002b

58a1d8b1056571d32be6a7c77ed27f73081d6e7a
Microsoft RSA TLS CA 01 0x0f14965f202069994fd5c7ac788941e2

703D7A8F0EBF55AAA59F98EAF4A206004EB2516A
Microsoft RSA TLS CA 02 0x0fa74722c53d88c80f589efb1f9d4a3a

B0C2D2D13CDD56CDAA6AB6E2C04440BE4A429C75
Microsoft RSA TLS Issuing AOC CA 01 0x330000002ffaf06f6697e2469c00000000002f

4697fdbed95739b457b347056f8f16a975baf8ee
Microsoft RSA TLS Issuing AOC CA 02 0x3300000030c756cc88f5c1e7eb000000000030

90ed2e9cb40d0cb49a20651033086b1ea2f76e0e
Microsoft RSA TLS Issuing EOC CA 01 0x33000000310c4914b18c8f339a000000000031

a04d3750debfccf1259d553dbec33162c6b42737
Microsoft RSA TLS Issuing EOC CA 02 0x3300000032444d7521341496a9000000000032

697c6404399cc4e7bb3c0d4a8328b71dd3205563
Compatibilidad de cliente con PKI públicas

Las entidades de certificación usadas por Azure son compatibles con las siguientes
versiones del sistema operativo:
Windows Firefox iOS macOS Android Java
Windows XP Firefox 32 y iOS 7 y OS X Android Java

SP3 y versiones versiones Mavericks 10.9 y SDK 5.x y JRE 1.8.0_101 y
versiones posteriores posteriores versiones versiones versiones
posteriores posteriores posteriores posteriores
Revise los pasos de acción siguientes cuando expiren o cambien las entidades de
certificación:
Actualice a una versión compatible del sistema operativo necesario.

Si no puede cambiar la versión del sistema operativo, es posible que tenga que
actualizar manualmente el almacén raíz de confianza para incluir las nuevas CA.
Consulte la documentación proporcionada por el fabricante.
Si el escenario incluye deshabilitar el almacén raíz de confianza o ejecutar el cliente
de Windows en entornos desconectados, asegúrese de que todas las CA raíz se
incluyen en el almacén de CA raíz de confianza y todas las CA secundarias
enumeradas en este artículo se incluyen en el almacén de CA intermedia.
Muchas distribuciones de Linux requieren que se agreguen entidades de
certificación a /etc/SSL/certs. Consulte la documentación de la distribución.
Asegúrese de que el almacén de claves de Java contenga las entidades de
certificación indicadas en este artículo. Para obtener más información, consulte la
sección Aplicaciones Java de este artículo.
Si la aplicación especifica explícitamente una lista de entidades de certificación
aceptables, compruebe si necesita actualizar los certificados asignados cuando
cambien o expiren las CA. Para más información, consulte Certificados asignados.
Cifrado de clave pública y algoritmos de firma

Se requiere compatibilidad con los siguientes algoritmos, curvas elípticas y tamaños de
clave:
Algoritmos de firma:
ES256
ES384
ES512
RS256
RS384
RS512
Curvas elípticas:
P256
P384
P521
Tamaños de clave:
ECDSA 256
ECDSA 384
ECDSA 521
RSA 2048
RSA 3072
RSA 4096
Descargas de certificados y listas de revocación

Es posible que sea necesario incluir los siguientes dominios en las listas de permitidos
del firewall para optimizar la conectividad:
AIA:
cacerts.digicert.com
cacerts.digicert.cn
cacerts.geotrust.com
www.microsoft.com
CRL:
crl.microsoft.com
crl3.digicert.com
crl4.digicert.com
crl.digicert.cn
cdp.geotrust.com
mscrl.microsoft.com
www.microsoft.com
OCSP:
ocsp.msocsp.com
ocsp.digicert.com
ocsp.digicert.cn
oneocsp.microsoft.com
status.geotrust.com
Asignación de certificados
La asignación de certificados es una técnica de seguridad en la que solo se autorizan o
asignan certificados al establecer una sesión segura. Cualquier intento de establecer una
sesión segura mediante un certificado diferente se rechaza. Obtenga información sobre
el historial y las implicaciones de la asignación de certificados.
Cómo direccionar la asignación de certificados

Si la aplicación especifica explícitamente una lista de CA aceptables, es posible que
tenga que actualizar periódicamente los certificados asignados cuando las entidades de
certificación cambien o expiren.
Para detectar la asignación de certificados, se recomienda realizar los pasos siguientes:
Si es desarrollador de aplicaciones, busque en el código fuente referencias a

huellas digitales de certificado, nombres distintivos del firmante, nombres
comunes, números de serie, claves públicas y otras propiedades de certificado de
cualquiera de las CA secundarias implicadas en este cambio.
Si hay una coincidencia, actualice la aplicación para incluir las CA que faltan.
Si tiene alguna aplicación que se integra con las API de Azure u otros servicios de
Azure y no está seguro de si usa el anclaje de certificados, póngase en contacto
con el proveedor de la aplicación.
Aplicaciones Java
Para determinar si los certificados raíz Microsoft ECC Root Certificate Authority 2017 y
Microsoft RSA Root Certificate Authority 2017 son de confianza para la aplicación Java,
puede comprobar la lista de certificados raíz de confianza usados por la Máquina virtual
Java (JVM).
1. Abra una ventana del terminal en el sistema.
2. Ejecute el comando siguiente:
Bash
keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts
$JAVA_HOME hace referencia a la ruta de acceso al directorio principal de Java.
Si no está seguro de la ruta de acceso, puede encontrarla ejecutando el

siguiente comando:
Bash
readlink -f $(which java) | xargs dirname | xargs dirname
3. Busque Microsoft RSA Root Certificate Authority 2017 en la salida. Debe tener el
siguiente aspecto:
Si se confía en los certificados Microsoft ECC Root Certificate Authority 2017

y Microsoft RSA Root Certificate Authority 2017, deben aparecer en la lista
de certificados raíz de confianza usados por la JVM.
Si no está en la lista, deberá agregarlo.
La salida debe tener un aspecto similar al siguiente ejemplo:
Bash
...
Microsoft ECC Root Certificate Authority 2017, 20-Aug-2022, Root
CA,
Microsoft RSA Root Certificate Authority 2017, 20-Aug-2022, Root
CA,
...
4. Para agregar un certificado raíz al almacén de certificados raíz de confianza en

Java, puede usar la utilidad keytool . En el ejemplo siguiente se agrega el
certificado raíz Microsoft RSA Root Certificate Authority 2017:
Bash
keytool -import -file microsoft-ecc-root-ca.crt -alias microsoft-rsa-

root-ca -keystore $JAVA_HOME/jre/lib/security/cacerts
keytool -import -file microsoft-rsa-root-ca.crt -alias microsoft-rsa-
root-ca -keystore $JAVA_HOME/jre/lib/security/cacerts
７ Nota
En este ejemplo, microsoft-ecc-root-ca.crt y microsoft-rsa-root-ca.crt son

los nombres de los archivos que contienen los certificados raíz Microsoft ECC
Root Certificate Authority 2017 y Microsoft RSA Root Certificate Authority
2017, respectivamente.
Últimos cambios
CA/Browser Forum actualizó los requisitos de la línea de base para obligar a que todas
las infraestructuras de clave pública (PKIs) de confianza pública finalicen el uso de
algoritmos hash SHA-1 para el protocolo estándar de certificados en línea (OCSP) el 31
de mayo de 2022. Microsoft actualizó todos los respondedores OCSP restantes que
usaban el algoritmo hash SHA-1 para que usen en adelante el algoritmo hash SHA-256.
Consulte el artículo sobre el fin de las firmas OCSP de SHA-1 para más información.
Microsoft actualizó los servicios de Azure para que usaran los certificados TLS de un
conjunto diferente de entidades de certificación raíz el 15 de febrero de 2021, para
cumplir los cambios establecidos por los requisitos de la línea de base de CA/Browser
Forum. Algunos servicios finalizaron estas actualizaciones en 2022. Consulte el artículo
sobre cambios en el certificado TLS de Azure para más información.
Registro de cambios del artículo
17 de julio de 2023: se agregaron 16 nuevas entidades de certificación
subordinadas
7 de febrero de 2023: se agregaron ocho nuevas entidades de certificación
subordinadas
Pasos siguientes
Para más información sobre las entidades de certificación y la PKI, consulte:
Repositorio de PKI de Microsoft

Repositorio de PKI de Microsoft, incluida la información sobre CRL y directivas
Certificados de Azure Firewall Prémium
Certificados PKI y Configuration Manager
Protección de PKI
¿Qué es el anclaje de certificados?
Artículo • 25/04/2023
El anclaje de certificados es una técnica de seguridad en la que solo se aceptan

certificados autorizados o anclados al establecer una sesión segura. Cualquier intento de
establecer una sesión segura mediante un certificado diferente se rechazará.
Historial de anclaje de certificados

El anclaje de certificados se concibió originalmente como un medio contra los ataques
de tipo "Man in the middle" (MITM). El anclaje de certificados se hizo popular en 2011
como resultado del compromiso de la entidad de certificación (CA) de DigiNotar, donde
un atacante pudo crear certificados comodín para varios sitios web de alto perfil,
incluido Google. Chrome se actualizó para "anclar" los certificados actuales para los
sitios web de Google, y rechazaría cualquier conexión si se presentase un certificado
diferente. Incluso si un atacante pudiera encontrar una manera de convencer a una
entidad de certificación para emitir un certificado fraudulento, Chrome seguirá siendo
reconocido como no válido y la conexión se rechazaría.
Aunque exploradores web como Chrome y Firefox se encontraban entre las primeras
aplicaciones para implementar esta técnica, el rango de casos de uso se expandió
rápidamente. Los dispositivos de Internet de las cosas (IoT), las aplicaciones móviles iOS
y Android, y una colección dispar de aplicaciones de software comenzó a usar esta
técnica para defenderse contra ataques de tipo "Man in the middle".
Durante varios años, el anclaje de certificados se consideró una buena práctica de

seguridad. La supervisión del panorama público de infraestructura de clave pública (PKI)
ha mejorado con transparencia en las prácticas de emisión de CA de confianza pública.
Cómo direccionar el anclaje de certificados en

la aplicación
Normalmente, una aplicación contiene una lista de certificados autorizados o
propiedades de certificados, incluyendo nombres distintivos (DN) del firmante, huellas
digitales, números de serie y claves públicas. Las aplicaciones pueden anclar a
certificados de entidad final u hoja individual, certificados de CA subordinadas o,
incluso, certificados de CA raíz.
Si la aplicación especificase explícitamente una lista de CA aceptables, es posible que
tenga que actualizar periódicamente los certificados asignados cuando las entidades de
certificación cambien o expiren. Para detectar el anclaje de certificados, se recomienda
realizar los pasos siguientes:
Si es desarrollador de aplicaciones, busque en el código fuente cualquiera de las

siguientes referencias para la entidad de certificación que esté cambiando o
expirando. Si hubiera una coincidencia, actualice la aplicación para incluir las CA
que falten.
Huellas digitales de certificado
Nombres distintivos (DN) del asunto
Nombres comunes
Números de serie
Claves públicas
Otras propiedades del certificado
Limitaciones de anclaje de certificados

La práctica del anclaje de certificados se ha vuelto ampliamente controvertida, ya que
conlleva costes inaceptables de agilidad de certificados. Una implementación específica,
el anclaje de clave pública HTTP (HPKP), ha quedado en desuso por completo
Como no hay ningún estándar web único para cómo se realiza el anclaje de certificados,
no podemos ofrecer instrucciones directas para detectar su uso. Aunque no se
recomienda el anclaje de certificados, los clientes deberían tener en cuenta las
limitaciones que esta práctica crea si deciden usarla.
Asegúrese de que los certificados anclados se puedan actualizar a corto plazo.

Los requisitos del sector, como los requisitos de línea base del foro CA/Browser
para la emisión y administración de certificados de confianza pública requieren
rotación y revocación de certificados en tan solo 24 horas en determinadas
situaciones.
Pasos siguientes
Consulte los detalles de la entidad de certificación de Azure para ver los próximos
cambios
Revisión de los patrones y procedimientos recomendados de los aspectos básicos
de seguridad de Azure
Retirada de la firma SHA-1 del protocolo
estándar de certificados en línea
Artículo • 22/04/2023
） Importante
Este artículo se publicó simultáneamente con el cambio de certificado descrito y no

se está actualizando. Para obtener información actualizada sobre las entidades de
certificación, consulte Detalles de la entidad de certificación de Azure.
Microsoft está actualizando el servicio OCSP (protocolo estándar de certificados en

línea) para cumplir con un cambio reciente en los requisitos de base de referencia de
Certificate Authority (CA) Browser Forum . Este cambio requiere que todas las
infraestructuras de clave pública (PKI) de confianza pública finalicen el uso de los
algoritmos hash SHA-1 para las respuestas OCSP antes del 31 de mayo de 2022.
Microsoft saca provecho de los certificados de varios PKI para proteger sus servicios.
Muchos de esos certificados ya usan respuestas OCSP que usan el algoritmo hash SHA-
256. Este cambio hace que todos los PKI restantes usados por Microsoft cumplan este
nuevo requisito.
¿Cuándo se producirá este cambio?

A partir del 28 de marzo de 2022, Microsoft comenzará a actualizar los respondedores
OCSP restantes que usan el algoritmo hash SHA-1 para que usen el algoritmo hash
SHA-256. Para el 30 de mayo de 2022, todos los respondedores OCSP para certificados
usados por servicios de Microsoft utilizarán el algoritmo hash SHA-256.
¿Cuál es el ámbito del cambio?

Este cambio afecta a la revocación basada en OCSP para los PKI operados por Microsoft
que usaban algoritmos hash SHA-1. Todas las respuestas OCSP usarán el algoritmo hash
SHA-256. El cambio solo afecta a las respuestas OCSP, no a los propios certificados.
¿Por qué se está produciendo este cambio?

Certificate Authority (CA) Browser Forum creó este requisito a partir de la propuesta
SC53 . Microsoft está actualizando su configuración para alinearla con el requisito de
base de referencia actualizado.
¿Me afectará este cambio?

La mayoría de los clientes no se verán afectados. Sin embargo, algunas configuraciones
de cliente anteriores que no admiten SHA-256 podrían experimentar un error de
validación de certificado.
Después del 31 de mayo de 2022, los clientes que no admitan hash SHA-256 no podrán
validar el estado de revocación de un certificado, lo que podría provocar un error en el
cliente, en función de la configuración.
Si no puede actualizar el cliente heredado a uno que admita SHA-256, puede

deshabilitar la comprobación de revocación para omitir OCSP hasta que actualice el
cliente. Si la pila de seguridad de la capa de transporte (TLS) es anterior a 2015, debe
revisar la configuración en busca de posibles incompatibilidades.
Pasos siguientes
Si tiene alguna pregunta, póngase en contacto con nosotros a través del departamento
de soporte técnico .
Cambios en los certificados TLS de
Azure
Artículo • 25/05/2023
） Importante
Este artículo se publicó simultáneamente con el cambio de certificado TLS y no se

está actualizando. Para obtener información actualizada sobre las entidades de
certificación, consulte Detalles de la entidad de certificación de Azure.
Microsoft usa certificados TLS del conjunto de entidades de certificación raíz (CA) que
cumplen los requisitos de línea de base del foro ca/explorador. Todos los puntos finales
TLS/SSL de Azure contienen certificados que se encadenan con las CA raíz
proporcionadas en este artículo. Los cambios en los puntos de conexión de Azure
comenzaron a realizar la transición en agosto de 2020, con algunos servicios que
completan sus actualizaciones en 2022. Todos los puntos de conexión de TLS/SSL de
Azure recién creados contienen certificados actualizados que se encadenan a las nuevas
entidades de certificación raíz.
Todos los servicios de Azure se ven afectados por este cambio. A continuación se
enumeran los detalles de algunos servicios:
Los servicios de Azure Active Directory (Azure AD) comenzaron esta transición
el 7 de julio de 2020.
A fin de obtener la información más actualizada sobre los cambios de certificado
TLS para los servicios de Azure IoT, consulte esta entrada de blog de Azure IoT .
Azure IoT Hub comenzó esta transición en febrero de 2023 y se espera que
finalice en octubre de 2023.
Azure IoT Central comenzará esta transición en julio de 2023.
Azure IoT Hub Device Provisioning Service comenzará esta transición en enero
de 2024.
Azure Cosmos DB comienza esta transición en julio de 2022 y se espera que
finalice en octubre de 2022.
En esta entrada de blog de Azure Storage encontrará detalles sobre Azure
Storage cambios de certificado TLS.
Azure Cache for Redis dejará de utilizar los certificados TLS emitidos por Baltimore
CyberTrust Root a partir de mayo de 2022, según se describe en este artículo Azure
Cache for Redis
Azure Instance Metadata Service tiene una finalización prevista en mayo de 2022,
tal y como se describe en esta entrada de blog De gobernanza y administración de
Azure .
¿Qué ha cambiado?
Antes del cambio, la mayoría de los certificados TLS usados por los servicios de Azure se
encadenaron a la siguiente CA raíz:
Nombre común de la CA Huella digital (SHA1)
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
Después del cambio, los certificados TLS usados por los servicios de Azure se
encadenarán a una de las siguientes CA raíz:
Nombre común de la CA Huella digital (SHA1)
DigiCert Global Root G2 df3c24f9bfd666761b268073fe06d1cc8d4f82a4
DigiCert Global Root CA a8985d3a65e5e5c4b2d7d66d40c6dd2fb19c5436
Baltimore CyberTrust Root d4de20d05e66fc53fe1a50882c78db2852cae474
D-TRUST Root Class 3 CA 2 2009 58e8abb0361533fb80f79b1b6d29d3ff8d5f00f0
Microsoft RSA Root Certificate Authority 73a5e64a3bff8316ff0edccc618a906e4eae4d74

2017
Microsoft ECC Root Certificate Authority 999a64c37ff47d9fab95f14769891460eec4c3c5

2017
¿Mi aplicación se vio afectada?

Si la aplicación especifica explícitamente una lista de CA aceptables, es probable que la
aplicación se vea afectada. Esta práctica se conoce como anclaje de certificados. Revise
el artículo de Microsoft Tech Community sobre Azure Storage cambios de TLS para
obtener más información sobre cómo determinar si los servicios se vieron afectados y
los pasos siguientes.
Estas son algunas maneras de detectar si una aplicación se vio afectada:
Busque en el código fuente la huella digital, el nombre común y otras propiedades

de certificado de cualquiera de las entidades de certificación de Microsoft IT TLS
que se encuentran aquí en el repositorio de Microsoft PKI. Si hay alguna
coincidencia, la aplicación se verá afectada. Para resolver este problema, actualice
el código fuente para incluir las nuevas entidades de certificación. Como
procedimiento recomendado, asegúrese de que las entidades de certificación se
pueden agregar o editar rápidamente. Las regulaciones del sector requieren que
los certificados de las entidades de certificación se reemplacen en un plazo
máximo de siete días del cambio, por lo que es preciso que los clientes que usan
anclaje reaccionen con rapidez.
Los distintos sistemas operativos y entornos de ejecución de lenguaje que se

comunican con los servicios de Azure pueden requerir más pasos para compilar
correctamente la cadena de certificados con estas nuevas raíces:
Linux: muchas distribuciones requieren que se agreguen entidades de
certificación a /etc/SSL/certs. Para obtener instrucciones específicas, vea la
documentación de la distribución.
Java: asegúrese de que el almacén de claves de Java contenga las entidades de
certificación indicadas anteriormente.
Windows se ejecuta en entornos desconectados: los sistemas que se ejecuten
en entornos desconectados deberán agregar las nuevas raíces al almacén de
entidades de certificación raíz de confianza y las intermedias al almacén de
entidades de certificación intermedias.
Android: consulte la documentación del dispositivo y la versión de Android.
Otros dispositivos de hardware, especialmente IoT: póngase en contacto con
el fabricante del dispositivo.
Si tiene un entorno en el que las reglas de firewall están configuradas para permitir
las llamadas salientes sólo a determinadas ubicaciones de descarga de la Lista de
Revocación de Certificados (CRL) o de verificación del Protocolo de Estado de los
Certificados en Línea (OCSP), tendrá que permitir las siguientes URL de CRL y
OCSP. Para obtener una lista completa de las URL de CRL y OCSP que se usan en
Azure, consulte el artículo Información en detalle sobre CA de Azure.
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
Pasos siguientes
Si tiene alguna pregunta, póngase en contacto con nosotros a través del departamento
de soporte técnico .
cifrado y seguridad de datos en Azure
Artículo • 06/04/2023
En este artículo se describen los procedimientos recomendados para el cifrado y la

seguridad de datos.

Como las opiniones y las tecnologías cambian con el tiempo, este artículo se actualiza
de forma periódica para reflejar dichos cambios.
Protección de datos
Para contribuir a proteger los datos en la nube, debe tener en cuenta los posibles
estados que pueden tener los datos y los controles disponibles para ese estado. Los
procedimientos recomendados para el cifrado y seguridad de datos de Azure están
relacionados con los siguientes estados de datos:
En reposo: incluye toda la información acerca de los objetos de almacenamiento,

contenedores y tipos que existen de forma estática en los soportes físicos, ya sean
discos magnéticos u ópticos.
En tránsito: cuando se transfieren datos entre componentes, ubicaciones o
programas, están en tránsito. Algunos ejemplos son la transferencia a través de la
red, a través de un bus de servicio (del entorno local a la nube y viceversa,
incluidas las conexiones híbridas como ExpressRoute), o durante el proceso de
entrada/salida.
Elegir una solución de administración de claves

Proteger las claves es esencial para proteger los datos en la nube.
Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que usan los
servicios y aplicaciones en la nube. Key Vault agiliza el proceso de administración de
claves y le permite mantener el control de claves que obtienen acceso a sus datos y los
cifran. Los desarrolladores pueden crear claves para desarrollo y prueba en minutos y, a
continuación, migrarlas a claves de producción. Los administradores de seguridad
pueden conceder (y revocar) permisos a las claves según sea necesario.
Puedes usar Key Vault para crear múltiples contenedores seguros denominados
almacenes. Estos almacenes están respaldados por HSM. Los almacenes ayudan a
reducir las posibilidades de que se produzca una pérdida accidental de información de
seguridad centralizando el almacenamiento de los secretos de aplicación. Los almacenes
de claves también permiten controlar y registrar el acceso a todo lo que está
almacenado en ellos. Azure Key Vault puede administrar la solicitud y renovación de
certificados de Seguridad de la capa de transporte (TLS). Proporciona características
para una solución sólida para la administración del ciclo de vida de certificados.
Azure Key Vault está diseñado para admitir secretos y claves de aplicación. Key Vault no
está pensado para usarse como almacén para las contraseñas de usuario.
A continuación se indican los procedimientos recomendados de seguridad para el uso

de Key Vault.
Procedimiento recomendado: conceda acceso a usuarios, grupos y aplicaciones en un

ámbito concreto. Detalles: use los roles predefinidos de Azure RBAC. Por ejemplo, para
conceder acceso a un usuario para administrar los almacenes de claves, se asignaría el
rol predefinido Colaborador de Key Vault a este usuario en un ámbito específico. En este
caso, el ámbito caso sería una suscripción, un grupo de recursos o, simplemente, un
almacén de claves específico. Si los roles predefinidos no se ajustan a las necesidades,
puede definir roles propios.
Procedimiento recomendado: controle a qué tienen acceso los usuarios. Detalles: El

acceso a un almacén de claves se controla a través de dos interfaces diferentes: plano
de administración y plano de datos. Los controles de acceso del plano de administración
y del plano de datos funcionan de forma independiente.
Use Azure RBAC para controlar a qué tienen acceso los usuarios. Por ejemplo, si desea
conceder a una aplicación acceso para usar las claves de un almacén de claves, solo
necesita conceder permisos de acceso al plano de datos mediante directivas de acceso
de Key Vault y no se necesita acceso a ningún plano de administración para esta
aplicación. Por el contrario, si quiere que un usuario pueda leer las propiedades y
etiquetas del almacén, pero no tenga acceso a las claves, los secretos o los certificados,
puede concederle acceso de lectura mediante Azure RBAC y no se requiere acceso al
plano de datos.
Procedimiento recomendado: almacene los certificados en el almacén de claves. Los

certificados son de gran valor. En las manos equivocadas, la seguridad de los datos o la
aplicación puede estar en peligro. Detalles: Azure Resource Manager puede
implementar de manera segura los certificados almacenados en Azure Key Vault para las
máquinas virtuales de Azure cuando estas se implementan. Al establecer directivas de
acceso adecuadas para el almacén de claves, también controla quién obtiene acceso al
certificado. Otra ventaja es que administra todos los certificados desde el mismo sitio en
Azure Key Vault. Consulte Deploy Certificates to VMs from customer-managed Key Vault
(Implementar certificados en VM desde una instancia de Key Vault administrada por el
usuario) para obtener más información.
Procedimiento recomendado: asegúrese de que puede recuperar almacenes de claves

u objetos de almacén de claves si se eliminan. Detalles: la eliminación de almacenes de
claves u objetos de almacén de claves puede ser involuntaria o malintencionada.
Habilite las características de protección de purga y eliminación temporal de Key Vault,
especialmente para las claves que se usan para cifrar datos en reposo. La eliminación de
estas claves es equivalente a la pérdida de datos, así que, si es necesario, puede
recuperar almacenes eliminados y objetos de almacén. Practique las operaciones de
recuperación de Key Vault de forma periódica.
７ Nota
Si un usuario tiene permisos de colaborador (Azure RBAC) en un plano de

administración de Key Vault, se puede conceder a sí mismo acceso al plano de
datos estableciendo la directiva de acceso al almacén de claves. Se recomienda
controlar de forma estricta quién tiene acceso de colaborador a los almacenes de
claves, con el fin de garantizar que las personas autorizadas son las únicas que
pueden acceder a los almacenes de claves, las claves, los secretos y los certificados,
y administrarlos.
Administración con estaciones de trabajo

seguras
７ Nota
El administrador o propietario de la suscripción debe usar una estación de trabajo

de acceso seguro o una estación de trabajo con privilegios de acceso.
Puesto que la mayoría de los ataques van destinados al usuario final, el punto de
conexión se convierte en uno de los principales puntos de ataque. Un atacante que
ponga en peligro el punto de conexión puede aprovechar las credenciales del usuario
para acceder a los datos de la organización. La mayoría de los ataques a los puntos de
conexión aprovechan el hecho de que los usuarios finales son administradores en sus
estaciones de trabajo locales.
Procedimiento recomendado: use una estación de trabajo de administración segura
para proteger los datos, las tareas y las cuentas confidenciales. Detalles: use una
estación de trabajo con privilegios para reducir la superficie expuesta a ataques de las
estaciones de trabajo. Estas estaciones de trabajo de administración seguras pueden
ayudar a mitigar algunos de estos ataques y a garantizar la mayor seguridad de sus
datos.
Procedimiento recomendado: asegúrese de que los puntos de conexión están

protegidos. Detalles: aplique directivas de seguridad en todos los dispositivos que se
usen para consumir datos, independientemente de la ubicación de dichos datos (nube o
entorno local).
Protección de los datos en reposo

El cifrado de los datos en reposo es un paso obligatorio en lo que respecta a la
privacidad de los datos, el cumplimiento y la soberanía de los datos.
Procedimiento recomendado: cifre los discos para proteger los datos. Detalle:Use
Azure Disk Encryption para VM de Linux o Azure Disk Encryption para VM de Windows.
El cifrado de discos combina la función estándar de Linux dm-crypt o de Windows
BitLocker para proporcionar un cifrado de volumen para el sistema operativo y los
discos de datos.
Azure Storage y Azure SQL Database cifran los datos en reposo de forma
predeterminada y muchos servicios ofrecen el cifrado como opción. Puede usar Azure
Key Vault para mantener el control de las claves que se usan para acceder a los datos y
cifrarlos. Consulte Compatibilidad con modelo de cifrado de proveedores de recursos
de Azure para obtener más información.
Procedimientos recomendados: use el cifrado para mitigar los riesgos relacionados con
el acceso no autorizado a los datos. Detalles: cifre las unidades antes de escribir
información confidencial en ellas.
Las organizaciones que no aplican el cifrado de datos están más expuestas a problemas
de confidencialidad de los datos. Por ejemplo, los usuarios no autorizados pueden robar
datos de las cuentas en peligro u obtener acceso no autorizado a los datos codificados
en ClearFormat. Las compañías también tienen que demostrar que son diligentes y que
usan los controles de seguridad adecuados para mejorar la seguridad de los datos a fin
de cumplir las normas del sector.
Protección de los datos en tránsito

La protección de los datos en tránsito debe ser una parte esencial de su estrategia de
protección de datos. Puesto que los datos se desplazan entre muchas ubicaciones, la
recomendación general es utilizar siempre los protocolos SSL/TLS para intercambiar
datos entre diferentes ubicaciones. En algunas circunstancias, es posible que desee
aislar el canal de comunicación completo entre infraestructura local y en la nube
mediante una VPN.
Para los datos que se desplazan entre la infraestructura local y Azure, debe plantearse
usar medidas de seguridad apropiadas, como HTTPS o VPN. Al enviar tráfico cifrado
entre una instancia de Azure Virtual Network y una ubicación local a través de Internet
público, use Azure VPN Gateway.
Estos son los procedimientos recomendados específicos para usar Azure VPN Gateway,
SSL/TLS y HTTPS.
Procedimiento recomendado: proteja el acceso a una red virtual de Azure desde varias
estaciones de trabajo situadas en el entorno local. Detalles: use VPN de sitio a sitio.
Procedimiento recomendado: proteja el acceso a una red virtual de Azure desde una
estación de trabajo situada en el entorno local. Detalles: use VPN de punto a sitio.
Procedimiento recomendado: mueva los conjuntos de datos grandes a través de un

vínculo WAN de alta velocidad dedicado. Detalles: use ExpressRoute. Si decide usar
ExpressRoute, también puede cifrar los datos en el nivel de aplicación mediante SSL/TLS
u otros protocolos para una mayor protección.
Procedimiento recomendado: interactúe con Azure Storage a través de Azure Portal.

Detalles: todas las transacciones se realizan a través de HTTPS. También se puede usar la
API de REST Storage a través de HTTPS para interactuar con Azure Storage.
Las organizaciones que no protegen los datos en tránsito son más susceptibles a los
ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión. Estos
ataques pueden ser el primer paso para obtener acceso a datos confidenciales.
Proteger el correo electrónico, los documentos

y los datos confidenciales
Es recomendable controlar y proteger el correo electrónico, los documentos y los datos
confidenciales que comparte fuera de su compañía. Azure Information Protection es una
solución basada en la nube que ayuda a las organizaciones a clasificar, etiquetar y
proteger sus documentos y correos electrónicos. Esto puede ser automático para los
administradores que definen reglas y condiciones, manual para los usuarios o una
combinación de ambas opciones cuando los usuarios reciben recomendaciones.
Es posible identificar la clasificación en todo momento, independientemente de dónde

se almacenan los datos o con quién se comparten. Las etiquetas incluyen distintivos
visuales, como un encabezado, pie de página o marca de agua. Se agregan metadatos a
los archivos y encabezados de correo electrónico en texto no cifrado. El texto no cifrado
garantiza que otros servicios, como las soluciones para evitar la pérdida de datos,
puedan identificar la clasificación y tomar las medidas adecuadas.
La tecnología de protección usa Azure Rights Management (Azure RMS). Esta tecnología
está integrada con otras aplicaciones y servicios en la nube de Microsoft, como
Microsoft 365 y Azure Active Directory. Esta tecnología de protección usa directivas de
autorización, identidad y cifrado. La protección que se aplica mediante Azure RMS se
mantiene con los documentos y correos electrónicos, independientemente de la
ubicación, ya sea dentro o fuera de la organización, las redes, los servidores de archivos
y las aplicaciones.
Esta solución de protección de información le ofrece control sobre sus datos, incluso
cuando se comparten con otras personas. También puede usar Azure RMS con sus
propias aplicaciones de línea de negocio y soluciones de protección de información de
proveedores de software, tanto si estas aplicaciones y soluciones están en un entorno
local como si están en la nube.
Se recomienda que:
Implemente Azure Information Protection para su organización.

Aplique etiquetas que reflejen sus requisitos empresariales. Por ejemplo, aplique la
etiqueta "extremadamente confidencial" a todos los documentos y correos
electrónicos que contienen datos de alto secreto para clasificar y proteger estos
datos. A continuación, solo los usuarios autorizados podrán acceder a estos datos,
con cualquier restricción que especifique.
Configure el registro de uso para Azure RMS para que pueda supervisar cómo usa
el servicio de protección su organización.
Las organizaciones con puntos débiles en la clasificación de datos y la protección de

archivos pueden ser más susceptibles a la fuga o el uso incorrecto de datos. Con la
protección adecuada de los archivos, puede analizar los flujos de datos para extraer
conclusiones sobre su negocio, detectar comportamientos de riesgo y tomar medidas
correctivas, realizar un seguimiento del acceso a los documentos, etc.
Pasos siguientes


Cifrado en reposo de datos de Azure
Artículo • 25/03/2023
Microsoft Azure incluye herramientas para proteger los datos de acuerdo con las
necesidades de seguridad y cumplimiento de su empresa. Este documento se centra en:
Cómo se protegen los datos en reposo en Microsoft Azure.

Describir los distintos componentes que forman parte de la implementación de
Revisar las ventajas y desventajas de los distintos enfoques clave de protección de
la administración.
El cifrado en reposo es un requisito de seguridad habitual. En Azure, las organizaciones

pueden cifrar datos en reposo sin el riesgo o el costo de una solución de administración
de claves personalizada. Las organizaciones tienen la opción de permitir a Azure
administrar completamente el cifrado en reposo. Además, las organizaciones tienen
varias opciones para administrar con detenimiento el cifrado y las claves de cifrado.
¿Qué es el cifrado en reposo?

El cifrado es la codificación segura de los datos usados para proteger la confidencialidad
de la información. Los diseños del cifrado en reposo de Azure utilizan cifrado asimétrico
para cifrar o descifrar rápidamente grandes cantidades de datos según un modelo
conceptual sencillo:
Se usa una clave de cifrado simétrico para cifrar datos mientras se escriben en el
almacenamiento.
La misma clave de cifrado se utiliza para descifrar los datos tal y como se
prepararon para su uso en la memoria.
Se pueden particionar datos y se pueden usar claves diferentes para cada
partición.
Las claves deben almacenarse en una ubicación segura con el control de acceso
basado en identidades y directivas de auditoría. Las claves de cifrado de datos que
se almacenan fuera de ubicaciones seguras se cifran con una clave de cifrado de
claves que se conserva en una ubicación segura.
En la práctica, los escenarios de control y administración de la clave, así como las

convicciones de escala y disponibilidad, requieren construcciones adicionales. A
continuación se describen los componentes y conceptos del cifrado en reposo de
Microsoft Azure.
Propósito del cifrado en reposo
El cifrado en reposo proporciona protección de datos para los datos almacenados (en
reposo). Los ataques contra los datos en reposo incluyen intentos de obtener acceso
físico al hardware en el que se almacenan los datos y, a continuación, poner en peligro
los datos contenidos. En este tipo de ataque, la unidad del disco duro de un servidor
puede utilizarse de forma incorrecta durante el mantenimiento permitiendo a un
atacante eliminar la unidad de disco duro. Más adelante el atacante tendría que poner el
disco duro en un equipo bajo su control para intentar obtener acceso a los datos.
El cifrado en reposo está diseñado para evitar que el atacante obtenga acceso a los
datos sin cifrar asegurándose de que los datos se cifran en el disco. Si un atacante
obtiene una unidad de disco duro con datos cifrados pero no las claves de cifrado, el
atacante debe anular el cifrado para leer los datos. Este ataque es mucho más complejo
y consume más recursos que el acceso a datos no cifrados en una unidad de disco duro.
Por este motivo, el cifrado en reposo es muy recomendable y es un requisito de alta
prioridad para muchas organizaciones.
También se requiere el cifrado en reposo por necesidad de la organización de los

esfuerzos de cumplimiento y gobierno de datos. Las normas gubernamentales y del
sector, como HIPAA, PCI y FedRAMP, diseñan las medidas de seguridad específicas a
través de los requisitos de cifrado y la protección de datos. El cifrado en reposo es una
medida obligatoria necesaria para el cumplimiento de algunas de esas regulaciones.
Para más información sobre el enfoque de Microsoft en relación con la validación de
FIPS 140-2, consulte Publicación del estándar federal de procesamiento de información
(FIPS) 140-2.
Además de satisfacer los requisitos de cumplimiento y regulatorios, el cifrado en reposo

proporciona protección de defensa en profundidad. Microsoft Azure proporciona una
plataforma compatible para servicios, aplicaciones y datos. También proporciona
servicios completos y seguridad física, control de acceso a los datos y auditoría. Sin
embargo, es importante proporcionar medidas de seguridad "superpuestas" adicionales
en caso de que se produzca un error en una de las otras medidas de seguridad y el
cifrado en reposo proporciona dicha medida de seguridad.
Microsoft se compromete con el cifrado en las opciones de reposo a través de servicios

en la nube y proporcionando a los clientes el control de las claves de cifrado y los
registros de uso de claves. Además, Microsoft está trabajando para conseguir cifrar
todos los datos en reposo de los clientes de forma predeterminada.
Componentes del cifrado en reposo de Azure

Como se describe anteriormente, el objetivo del cifrado en reposo es que los datos que
se guardan en el disco se cifren con una clave de cifrado secreta. Para lograr la creación
de una clave segura para el objetivo, se debe proporcionar almacenamiento, control del
acceso y administración de las claves del cifrado. Aunque los detalles pueden variar, las
implementaciones del cifrado en reposo de los servicios de Azure se pueden describir
en los términos en los que se ilustran en el diagrama siguiente.
Azure Key Vault

La ubicación del almacenamiento de las claves de cifrado y el control de acceso a esas
claves es fundamental para un modelo de cifrado en reposo. Las claves deben ser muy
seguras pero fáciles de administrar por parte de los usuarios especificados y deben estar
disponibles para servicios concretos. Para los servicios de Azure, Azure Key Vault es la
solución de almacenamiento de claves recomendada y proporciona una experiencia de
administración habitual en los servicios. Las claves se almacenan y administran en los
almacenes de claves, y se puede proporcionar acceso a Key Vault a los usuarios o
servicios. Azure Key Vault admite la creación del cliente de claves o importación de
claves de cliente para su uso en escenarios de clave de cifrado administrada por el
cliente.

Los permisos para usar las claves almacenadas en Azure Key Vault, además de para
administrar o tener acceso a ellas para el cifrado en reposo y el descifrado, se pueden
dar a las cuentas de Azure Active Directory.
Cifrado de sobres con una jerarquía de claves

Se usa más de una clave de cifrado en una implementación de cifrado en reposo.
Almacenar una clave de cifrado en Azure Key Vault garantiza el acceso de clave segura y
la administración central de claves. Sin embargo, el acceso local del servicio a las claves
de cifrado es más eficaz para el cifrado y descifrado masivo que la interacción con Key
Vault para cada operación de datos, lo que permite un cifrado más seguro y un mejor
rendimiento. Si se limita el uso de una clave de cifrado única, se reduce el riesgo de que
la clave se encuentre en peligro y el costo de volver a cifrar cuando se debe reemplazar
una clave. Los modelos de cifrado en reposo de Azure usan el cifrado de sobres, donde
una clave de cifrado de claves cifra una clave de cifrado de datos. Este modelo forma
una jerarquía de claves que puede abordar mejor los requisitos de rendimiento y
seguridad:
Clave de cifrado de datos (DEK) : una clave AES256 simétrica que se usa para cifrar
una partición o bloque de datos, a veces también se denomina simplemente Clave
de datos. Un único recurso puede tener muchas particiones y muchas claves de
cifrado de datos. Cifrar cada bloque de datos con una clave diferente dificulta los
ataques de análisis criptográficos. Y mantener las DEK en el entorno local del
servicio de cifrado y descifrado de datos maximiza el rendimiento.
Clave de cifrado de claves (KEK) : una clave de cifrado que se usa para cifrar las
claves de cifrado de datos mediante el cifrado de sobres, también conocida como
ajuste. El uso de una clave de cifrado de claves que siempre permanece en Key
Vault permite a las propias claves de cifrado de datos cifrarse y controlarse. La
entidad que tiene acceso a la KEK puede ser diferente de la entidad que requiere la
DEK. Una entidad puede adaptar el acceso a la DEK para limitar el acceso de cada
DEK a una partición específica. Como la KEK es necesaria para descifrar las DEK, los
clientes pueden borrar criptográficamente las DEK y los datos si deshabilitan la
KEK.
Los proveedores de recursos y las instancias de aplicación almacenan las claves de

cifrado de datos cifradas como metadatos. Solo una entidad con acceso a la clave de
cifrado de claves puede descifrar estas claves de cifrado de datos. Se admiten diferentes
modelos de almacenamiento de claves. Para más información, vea los modelos de
cifrado de datos.
Cifrado en reposo en servicios en la nube de

Microsoft
Los Servicios en la nube de Microsoft se utilizan en los tres modelos de la nube: IaaS,
PaaS, SaaS. A continuación encontrará ejemplos de cómo encajan en cada modelo:
Servicios de software, que se conocen como software como servicio o SaaS, que
tienen las aplicaciones proporcionadas por la nube, como Microsoft 365.
Servicios de plataforma en los que los clientes usan la nube en sus aplicaciones
para tareas como las de almacenamiento, análisis y funcionalidad de bus de
servicio.
Servicios de infraestructura o infraestructura como servicio (IaaS) en los que el
cliente implementa sistemas operativos y aplicaciones que se hospedan en la nube
y, posiblemente, saca provecho de otros servicios en la nube.
Cifrado en reposo para clientes de SaaS

Los clientes del software como servicio (SaaS) suelen tener el cifrado en reposo
habilitado o disponible en cada servicio. Microsoft 365 dispone de varias opciones para
que los clientes comprueben o habiliten el cifrado en reposo. Para información sobre los
servicios de Microsoft 365, consulte Cifrado en Microsoft 365.
Cifrado en reposo para clientes PaaS

Los datos del cliente de la plataforma como servicio (PaaS) residen normalmente en un
servicio de almacenamiento como Blob Storage, pero también pueden estar guardados
en caché o almacenados en el entorno de ejecución de la aplicación, como una máquina
virtual. Para ver las opciones disponibles del cifrado en reposo, examine la tabla
Modelos de cifrado de datos: servicios compatibles para las plataformas de aplicación y
almacenamiento que usa.
Cifrado en reposo para clientes de IaaS

Los clientes de la infraestructura como servicio (IaaS) pueden tener una variedad de
servicios y aplicaciones en uso. Los servicios de IaaS pueden habilitar el cifrado en
reposo en sus discos duros virtuales y máquinas virtuales que se hospedan en Azure
mediante Azure Disk Encryption.
Almacenamiento cifrado
Al igual que PaaS, las soluciones IaaS pueden sacar provecho de otros servicios de Azure
que almacenan los datos que se cifran en reposo. En estos casos, puede habilitar el
cifrado en el soporte del cifrado en reposo como proporciona cada servicio consumido
de Azure. La tabla Modelos de cifrado de datos: servicios compatibles enumera las
principales plataformas de aplicación, servicios y almacenamiento y el modelo de
cifrado en reposo admitido.
Compute de cifrado
Todos los discos, instantáneas e imágenes administrados están cifrados mediante
Storage Service Encryption con una clave administrada por servicio. Una solución de
cifrado en reposo más completa requiere que los datos no se conserven nunca en un
formato no cifrado. Al procesar los datos en una máquina virtual, los datos se pueden
conservar en el archivo de paginación de Windows o el archivo de intercambio de Linux,
un archivo de volcado o en un registro de aplicaciones. Para asegurarse de que estos
datos se cifran en reposo, las aplicaciones IaaS pueden usar Azure Disk Encryption en
una máquina virtual de IaaS de Azure (Windows o Linux) y un disco virtual.
Cifrado de datos en reposo personalizado
Se recomienda que siempre que sea posible, las aplicaciones IaaS saquen provecho de
las opciones de cifrado en reposo y Azure Disk Encryption proporcionadas por los
servicios de Azure consumidos. En algunos casos, como requisitos de cifrado irregulares
o almacenamiento que no se basa en Azure, un desarrollador de una aplicación de IaaS
podría necesitar implementar el cifrado en reposo. Las soluciones de los desarrolladores
de IaaS podrían integrarse mejor con las expectativas de administración y del cliente de
Azure mediante el aprovechamiento de ciertos componentes de Azure. En concreto, los
desarrolladores deben usar el servicio Azure Key Vault para proporcionar
almacenamiento seguro de claves, así como proporcionar a sus clientes opciones de
administración de claves coherentes con la mayoría de los servicios de la plataforma de
Azure. Además, las soluciones personalizadas deben usar identidades de servicio
administradas por Azure para permitir que las cuentas de servicio accedan a las claves
de cifrado. Para encontrar información para desarrolladores sobre Azure Key Vault y las
identidades de servicio administradas, consulte sus respectivos SDK.
Compatibilidad con modelo de cifrado de

proveedores de recursos de Azure
Los servicios de Microsoft Azure admitir uno o más modelos de cifrado en reposo. Para
algunos servicios, sin embargo, podrían no ser aplicables uno o varios de los modelos
de cifrado. Para los servicios que admiten escenarios clave administrados por el cliente,
puede que estos solo admitan un subconjunto de los tipos de clave que admite Azure
Key Vault para las claves de cifrado de claves. Además, los servicios pueden liberar
compatibilidad para estos escenarios y tipos de claves en distintas programaciones. Esta
sección describe el soporte del cifrado en reposo en el momento de redactar este
artículo para cada uno de los servicios de almacenamiento de datos principales de
Azure.
Cualquier cliente mediante las características de la infraestructura de Azure como
servicio (IaaS) puede lograr el cifrado en reposo para sus discos y máquinas virtuales de
IaaS y discos mediante Azure Disk Encryption. Para obtener más información sobre
Azure Disk Encryption, vea Azure Disk Encryption para VM Linux o Azure Disk Encryption
para máquinas virtuales Windows.
Todos los servicios de Azure Storage (Blob Storage, Queue Storage, Table Storage y
Azure Files) admiten el cifrado en reposo en el lado servidor; algunos servicios admiten
además el cifrado de las claves administradas por el cliente y el cifrado del lado cliente.
Lado servidor: de forma predeterminada, todos los servicios de Azure Storage

admiten el cifrado en el lado servidor mediante claves administradas por el
servicio, lo que es transparente para la aplicación. Para más información, consulte
Cifrado del servicio Azure Storage para datos en reposo. Azure Blob Storage y
Azure Files también admiten las claves RSA de 2048 bits administradas por el
cliente en Azure Key Vault. Para más información, consulte Cifrado del servicio
Storage mediante claves administradas por el cliente en Azure Key Vault.
Lado cliente: Azure Blobs, Tables y Queues admiten el cifrado en el lado cliente.
Cuando se usa el cifrado del lado cliente, los clientes cifran los datos y los cargan
como un blob cifrado. El cliente se encarga de la administración de claves.
Consulte Cifrado del lado de cliente y Azure Key Vault para Microsoft Azure
Storage para más información.
Azure SQL Database
Azure SQL Database admite actualmente el cifrado en reposo para escenarios de cifrado
en el lado cliente y en el lado servicio administrados por Microsoft.
Actualmente, la compatibilidad con el cifrado del servidor se proporciona a través de

una característica de SQL denominada Cifrado de datos transparente. Una vez que un
cliente de Azure SQL Database habilita la clave TDE, se crea y administra
automáticamente para él. El cifrado en reposo puede habilitarse en los niveles de base
de datos y servidor. Desde junio de 2017, el cifrado de datos transparente (TDE) se
habilita de forma predeterminada en las bases de datos recién creadas. Azure SQL
Database admite claves RSA de 2048 bits administradas por el cliente en Azure Key
Vault. Para más información, consulte Cifrado de datos transparente con BYOK (Bring
Your Own Key) para Azure SQL Database y Azure SQL Data Warehouse.
Se admite el cifrado del lado cliente de los datos de Azure SQL Database a través de la
característica Always Encrypted. Always Encrypted utiliza una clave que el cliente crea y
almacena. Los clientes pueden almacenar la clave maestra en el almacén de certificados
de Windows, Azure Key Vault, o un módulo de seguridad de hardware. Al usar SQL
Server Management Studio, los usuarios de SQL eligen qué clave les gustaría usar para
cifrar cada columna.
Conclusión
La protección de datos del cliente almacenados dentro de los servicios de Azure es de
gran importancia para Microsoft. Todos los servicios hospedados en Azure se
comprometen a proporcionar opciones de cifrado en reposo. Los servicios de Azure
admiten claves administradas por el servicio, claves administradas por el cliente o
cifrado del lado cliente. Los servicios de Azure están mejorando ampliamente la
disponibilidad del cifrado en reposo y se planean nuevas opciones para la versión
preliminar y la versión de disponibilidad general en los próximos meses.
Pasos siguientes
Consulte los modelos de cifrado de datos para obtener más información sobre las
claves administradas por el servicio y las claves administradas por el cliente.
Conozca lo que hace Microsoft para garantizar la integridad y seguridad de la
plataforma de los hosts que atraviesan las canalizaciones de compilación,
integración, operacionalización y reparación de hardware y firmware.
Modelos de cifrado de datos
Artículo • 05/05/2023
La comprensión de los distintos modelos de cifrado y sus ventajas y desventajas es

fundamental para entender cómo los distintos proveedores de recursos en Azure
implementan el cifrado en reposo. Estas definiciones se comparten entre todos los
proveedores de recursos en Azure para asegurar la taxonomía y el idioma común.
Hay tres escenarios para el cifrado del lado servidor:
Cifrado del lado servidor mediante claves administradas del servicio

Los proveedores de recursos de Azure realizan las operaciones de cifrado y
descifrado
Microsoft administra las claves
Funcionalidad de nube completa
Cifrado del lado servidor mediante claves administradas por el cliente en Azure
Key Vault
descifrado
El cliente controla las claves mediante Azure Key Vault
Cifrado del lado servidor mediante claves administradas por el cliente en el

hardware controlado por el cliente
descifrado
Claves de controles de cliente en el hardware controlado por el cliente
Los modelos de cifrado del lado servidor hacen referencia al cifrado que se realiza
mediante el servicio de Azure. En este modelo, el proveedor de recursos realiza las
operaciones de cifrado y descifrado. Por ejemplo, Azure Storage puede recibir datos en
las operaciones de texto sin formato y llevará a cabo el cifrado y descifrado
internamente. El proveedor de recursos podría utilizar claves de cifrado que están
administradas por Microsoft o por el cliente en función de la configuración
proporcionada.
Cada uno de los modelos de cifrado en reposo del lado servidor implica características
distintivas de administración de claves. Esto incluye dónde y cómo se crean y almacenan
las claves de cifrado, así como los modelos de acceso y los procedimientos de rotación
de claves.
Para el cifrado del lado cliente, tenga en cuenta lo siguiente:
Los servicios de Azure no pueden ver los datos descifrados

Los clientes administran y almacenan las claves en ubicaciones locales (o en otras
ubicaciones seguras). Las claves no están disponibles para los servicios de Azure
Funcionalidad de nube reducida
Los modelos de cifrado admitidos en Azure se dividen en dos grupos principales:

"Cifrado del cliente" y "Cifrado del servidor" como se mencionó anteriormente.
Independientemente del modelo de cifrado en reposo utilizado, los servicios de Azure
siempre recomiendan el uso de un transporte seguro como TLS o HTTPS. Por lo tanto, el
cifrado de transporte debe tratarse con el protocolo de transporte y no debe ser un
factor importante para determinar qué modelo de cifrado en reposo se utilizará.
Modelo de cifrado del cliente

El modelo de cifrado del cliente hace referencia al cifrado que se realiza fuera del
proveedor de recursos o Azure mediante el servicio o la aplicación que realiza la
llamada. El cifrado puede realizarse mediante la aplicación de servicio de Azure o por
una aplicación que se ejecuta en el centro de datos del cliente. En cualquier caso,
cuando se saca provecho de este modelo de cifrado, el proveedor de recursos de Azure
recibe un blob cifrado de datos sin la capacidad de descifrar los datos de ninguna forma
ni tener acceso a las claves de cifrado. En este modelo, la administración de claves se
realiza mediante el servicio o aplicación que realiza la llamada y es opaca para el servicio
de Azure.
Cifrado del lado servidor mediante claves
administradas del servicio
Para muchos clientes, el requisito esencial es asegurarse de que los datos se cifran
siempre que estén en reposo. El cifrado del lado servidor mediante las claves
administradas del servicio habilita este modelo al permitir a los clientes marcar el
recurso específico (cuenta de almacenamiento, SQL Database, etc.) para el cifrado y
dejar todos los aspectos de la administración de claves, como la emisión de claves, la
rotación y la copia de seguridad a Microsoft. La mayoría de los servicios de Azure que
admiten cifrado en reposo normalmente admiten este modelo de descarga de la
administración de las claves de cifrado de Azure. El proveedor de recursos de Azure crea
las claves, las coloca en un almacenamiento seguro y las recupera cuando es necesario.
Esto significa que el servicio tiene acceso completo a las claves y el servicio tiene control
total sobre la administración del ciclo de vida de las credenciales.
Por lo tanto, el cifrado del lado servidor mediante las claves administradas del servicio
satisface rápidamente la necesidad de que tengan el cifrado en reposo con poca
sobrecarga al cliente. Cuando esté disponible, un cliente abrirá con normalidad Azure
Portal para la suscripción de destino y el proveedor de recursos y comprobará un
cuadro que indica si desearía que los datos se cifraran. El cifrado del lado servidor de
algunas instancias de Resource Manager con las claves administradas del servicio se
encuentra activado de forma predeterminada.
El cifrado del lado servidor con las claves de Microsoft administradas implica que el
servicio tiene acceso completo para almacenar y administrar las claves. Aunque algunos
clientes podrían desear administrar las claves porque creen que pueden conseguir
mayor seguridad, se deben tener en cuenta los costos y riesgos asociados a una
solución de almacenamiento de claves personalizadas al evaluar este modelo. En
muchos casos, una organización podría determinar que los riesgos o restricciones de
recursos de una solución local pueden ser mayores que el riesgo de administración en la
nube de las claves de cifrado en reposo. Sin embargo, este modelo podría no ser
suficiente para las organizaciones que tienen requisitos para controlar la creación o el
ciclo de vida de las claves de cifrado o tener personal diferente para administrar las
claves de cifrado de un servicio al que administra el servicio (es decir, la segregación de
la administración de claves de todo el modelo de administración para el servicio).
Acceso a la clave
Cuando se usa el cifrado del lado servidor con las claves administradas del servicio, el
servicio administra la creación de claves, el almacenamiento y el acceso al servicio.
Normalmente, los proveedores fundamentales de recursos de Azure almacenarán las
claves de cifrado de datos en un almacén que se encuentra cerca de los datos y está
rápidamente disponible y accesible mientras las claves de cifrado de clave se almacenan
en un almacén interno seguro.
Ventajas
Instalación simple
Microsoft administra la rotación de claves, la copia de seguridad y la redundancia
El cliente no tiene el costo asociado con la implementación o el riesgo de un
esquema personalizado de administración de claves.
Desventajas
No hay control al cliente sobre las claves de cifrado (revocación, ciclo de vida,
especificación de clave, etc.)
La administración de la clave no se puede separar del modelo de administración
global para el servicio

administradas por el cliente en Azure Key Vault
Para escenarios donde el requisito es cifrar los datos en reposo y controlar los clientes
de las claves de cifrado, los clientes pueden usar el cifrado de lado servidor mediante las
claves almacenadas por el cliente en Key Vault. Algunos servicios solo pueden almacenar
la clave de cifrado de clave de raíz en Azure Key Vault y almacenar la clave de cifrado de
datos cifrada en una ubicación interna cercana a los datos. En este escenario, los clientes
pueden aportar sus propias claves a Key Vault (BYOK: aportar su propia clave), o generar
nuevas y usarlas para cifrar los recursos deseados. Mientras que el proveedor de
recursos realiza las operaciones de cifrado y descifrado, usa la clave de cifrado de claves
configurada como clave raíz para todas las operaciones de cifrado.
La pérdida de claves de cifrado de claves significa también la pérdida de los datos. Por
esta razón, no se deben eliminar las claves. Se debe realizar una copia de seguridad de
las claves cada vez que se creen o giren. La protección contra eliminación temporal y
purga debe habilitarse en cualquier almacén que guarde claves de cifrado de claves a fin
de proteger contra el borrado criptográfico accidental o malintencionado. En lugar de
eliminar una clave, se recomienda establecer el valor Enabled en false en la clave de
cifrado de claves. Use controles de acceso para revocar el acceso a usuarios o servicios
individuales en Azure Key Vault o HSM administrado.
Acceso a la clave
El modelo de cifrado del lado servidor con claves administradas del cliente en Azure Key
Vault implica el servicio de acceso a las claves para cifrar y descifrar según sea necesario.
Las claves del cifrado en reposo son accesibles para un servicio a través de una directiva
de control de acceso. Esta directiva concede el acceso de identidad de servicio para
recibir la clave. Un servicio de Azure que se ejecuta en nombre de una suscripción
asociada puede configurarse con una identidad dentro de esa suscripción. El servicio
puede realizar la autenticación de Azure Active Directory y recibir un token de
autenticación que se identifica como el servicio que actúa en nombre de la suscripción.
A continuación, se puede presentar ese token al Key Vault para obtener una clave a la
que se le haya dado acceso.
Para las operaciones con claves de cifrado, una identidad de servicio puede tener acceso
a cualquiera de las siguientes operaciones: descifrar, cifrar, unwrapKey, wrapKey,
comprobar, iniciar sesión, obtener, enumerar, actualizar, crear, importar, eliminar,
backup y restaurar.
Para obtener una clave para usar al cifrar o descifrar datos en reposo, la identidad de
servicio con la que se ejecutará la instancia de Resource Manager debe tener
UnwrapKey (para obtener la clave de descifrado) y WrapKey (para insertar una clave en
el almacén de claves al crear una nueva clave).
７ Nota
Para obtener más detalles sobre la autorización del Key Vault, vea la protección de
la página del almacén de claves en la documentación de Azure Key Vault.
Ventajas
Control total sobre las claves usadas: las claves de cifrado se administran en la
instancia de Key Vault del cliente bajo el control del cliente.
Capacidad de cifrar varios servicios en un patrón
Puede separar la administración de la clave del modelo de administración global
para el servicio
Puede definir el servicio y la ubicación de la clave en regiones
Desventajas
El cliente tiene responsabilidad total para la administración de acceso a las claves

El cliente tiene responsabilidad total para la administración del ciclo de vida de las
claves
Sobrecarga de configuración e instalación adicional

administradas por el cliente en el hardware
controlado por el cliente
Algunos servicios de Azure permiten el modelo de administración de claves Host Your
Own Key (HYOK). Este modo de administración es útil en escenarios donde hay una
necesidad para cifrar los datos en reposo y administrar las claves en un repositorio
patentado fuera del control de Microsoft. En este modelo, el servicio debe usar la clave
de un sitio externo para cifrar la clave de cifrado de datos (DEK). Las garantías de
rendimiento y disponibilidad se ven afectadas y la configuración es más compleja.
Además, puesto que el servicio tiene acceso a la DEK durante las operaciones de cifrado
y descifrado de las garantías de seguridad general de este modelo son similares a
cuando las claves son administradas en Azure Key Vault por el cliente. Como resultado,
este modelo no es adecuado para la mayoría de las organizaciones a menos que tengan
requisitos específicos de administración de claves. Debido a estas limitaciones, la
mayoría de los servicios de Azure no admiten el cifrado del lado del servidor mediante
claves administradas por el cliente en el hardware controlado por el cliente. Una de las
dos claves del cifrado de doble clave sigue este modelo.
Acceso a la clave
Cuando se usa el cifrado del lado del servidor mediante las claves administradas por el
cliente en el hardware controlado por el cliente, las claves del cifrado de claves se
mantienen en un sistema configurado por el cliente. Los servicios de Azure que admiten
este modelo proporcionan un medio para establecer una conexión segura en un
almacén de claves proporcionado por el cliente.
Ventajas
Control total sobre la clave raíz usada: una tienda proporcionada por el un cliente
administra las claves de cifrado
Capacidad de cifrar varios servicios en un patrón
Puede separar la administración de la clave del modelo de administración global
para el servicio
Puede definir el servicio y la ubicación de la clave en regiones
Desventajas
Responsabilidad total para la disponibilidad, rendimiento, seguridad y

almacenamiento de claves
Responsabilidad total para la administración de acceso a las claves
Responsabilidad total para la administración del ciclo de vida de las claves
Costos significativos de mantenimiento en curso, instalación y configuración
Dependencia aumentada sobre la disponibilidad de la red entre el centro de datos
del cliente y los centros de datos de Azure.
Servicios compatibles
Los servicios de Azure que admiten cada modelo de cifrado:
Producto, característica Lado servidor con Lado servidor con Lado cliente con
o servicio clave administrada clave administrada por clave
por el servicio el cliente administrada por
el cliente
Inteligencia artificial y
aprendizaje automático
Azure Cognitive Search Sí Sí -
Azure Cognitive Services Sí Sí, incluido HSM -

administrado
Azure Machine Learning Sí Sí -
Content Moderator Sí Sí, incluido HSM -

administrado
Caras Sí Sí, incluido HSM -

administrado
Language Understanding Sí Sí, incluido HSM -

administrado
Azure OpenAI Sí Sí, incluido HSM -

administrado
el cliente
Personalizer Sí Sí, incluido HSM -

administrado
QnA Maker Sí Sí, incluido HSM -

administrado
Speech Services Sí Sí, incluido HSM -

administrado
Translator Text Sí Sí, incluido HSM -

administrado
Power BI Sí Sí, RSA de 4096 bits -
Analytics
Azure Stream Analytics Sí Sí**, incluido HSM -

administrado
Event Hubs Sí Sí -
Functions Sí Sí -
Azure Analysis Services Sí - -
Azure Data Catalog Sí - -
HDInsight de Azure Sí All -
Azure Monitor Sí Sí -
Azure Monitor Log Sí Sí, incluido HSM -

Analytics administrado
Explorador de datos de Sí Sí -
Azure
Azure Data Factory Sí Sí, incluido HSM -

administrado
Azure Data Lake Store Sí Sí, RSA de 2048 bits -
Contenedores
Azure Kubernetes Service Sí Sí, incluido HSM -

administrado
el cliente
Azure Container Instances Sí Sí -
Container Registry Sí Sí -
Proceso
Virtual Machines Sí Sí, incluido HSM -

administrado
Conjunto de escalado de Sí Sí, incluido HSM -

máquinas virtuales administrado
SAP HANA Sí Sí -
App Service Sí Sí**, incluido HSM -

administrado
Automation Sí Sí -
Azure Functions Sí Sí**, incluido HSM -

administrado
Azure portal Sí Sí**, incluido HSM -

administrado
Azure VMware Solution Sí Sí, incluido HSM -

administrado
Logic Apps Sí Sí -
Aplicaciones Sí Sí**, incluido HSM -

administradas por Azure administrado
Azure Service Bus Sí Sí -
Site Recovery Sí Sí -
Bases de datos
SQL Server en máquinas Sí Sí Sí

virtuales
Azure SQL Database Sí Sí, RSA de 3072 bits, Sí

incluido HSM
administrado
el cliente
Instancia administrada de Sí Sí, RSA de 3072 bits, Sí

Azure SQL incluido HSM
administrado
Azure SQL Database for Sí - -

MariaDB
Azure SQL Database for Sí Sí -

MySQL
Azure SQL Database for Sí Sí, incluido HSM -

PostgreSQL administrado
Azure Synapse Analytics Sí Sí, RSA de 3072 bits, -

(solo grupo de SQL incluido HSM
dedicado (antes SQL administrado
DW))
SQL Server Stretch Sí Sí, RSA de 3072 bits Sí

Database
Table Storage Sí Sí Sí
Azure Cosmos DB Sí (más Sí, incluido HSM -

información) administrado (más
información y más
información)
Azure Databricks Sí Sí -
Azure Database Migration Sí N/A* -

Service
Identidad
Azure Active Directory Sí - -
Azure Active Directory Sí Sí -

Domain Services
Integración
Azure Service Bus Sí Sí Sí
Event Grid Sí - -
API Management Sí - -
el cliente
Servicios IoT
IoT Hub Sí Sí Sí
IoT Hub Device Sí Sí -

Provisioning
Administración y
gobernanza
Azure Managed Grafana Sí - N/D
Azure Site Recovery Sí - -
Azure Migrate Sí Sí -
Elementos multimedia
Media Services Sí Sí Sí
Seguridad
Microsoft Defender para Sí Sí -

IoT
Microsoft Sentinel Sí Sí, incluido HSM -

administrado
Storage
Blob Storage Sí Sí, incluido HSM Sí

administrado
Premium Blob Storage Sí Sí, incluido HSM Sí

administrado
Disk Storage Sí Sí, incluido HSM -

administrado
Almacenamiento en disco Sí Sí, incluido HSM -

Ultra administrado
Disk Storage Sí Sí, incluido HSM -

administrado administrado
File Storage Sí Sí, incluido HSM -

administrado
el cliente
Premium Storage de Sí Sí, incluido HSM -

archivos administrado
File Sync Sí Sí, incluido HSM -

administrado
Queue Storage Sí Sí, incluido HSM Sí

administrado
Data Lake Storage Gen2 Sí Sí, incluido HSM Sí

administrado
Avere vFXT Sí - -
Azure Cache for Redis Sí N/A* -
Azure NetApp Files Sí Sí Sí
Archive Storage Sí Sí -
StorSimple Sí Sí Sí
Azure Backup Sí Sí Sí
Data Box Sí - Sí
Data Box Edge Sí Sí -
Otros
Versión preliminar de Sí - Sí
Azure Data Manager for
Energy
* Este servicio no conserva los datos. Las memorias caché transitorias, si las hay, se cifran
con una clave de Microsoft.
** Este servicio admite el almacenamiento de datos en su propia instancia de Key Vault,

cuenta de almacenamiento u otro servicio de persistencia de datos que ya admita el
cifrado del lado servidor con una clave administrada por el cliente.
Pasos siguientes
Aprenda cómo se usa el cifrado de en Azure.
Introducción a las opciones de cifrado de
discos administrados
Artículo • 25/05/2023
Hay varios tipos de cifrado disponibles para los discos administrados, incluidos Azure Disk Encryption
(ADE), el cifrado del lado servidor (SSE) y el cifrado en el host.
El cifrado del lado del servidor de Azure Disk Storage (también conocido como cifrado en
reposo o cifrado de Azure Storage) siempre está habilitado y cifra automáticamente los datos
almacenados en los discos administrados de Azure (SO y discos de datos) cuando persisten en
los clústeres de almacenamiento. Cuando se configura con un conjunto de cifrado de disco
(DES), también admite claves administradas por el cliente. No cifra los discos temporales ni las
memorias caché de disco. Para obtener más información, consulte Cifrado del lado servidor de
Azure Disk Storage.
El cifrado en el host es una opción de máquina virtual que mejora el cifrado del lado del
servidor de Azure Disk Storage para garantizar que todos los discos temporales y las cachés de
disco se cifren en reposo y fluyen cifrados a los clústeres de almacenamiento. Para más
información, consulte Cifrado en el host; cifrado de un extremo a otro de los datos de la
máquina virtual.
Azure Disk Encryption ayuda a custodiar y proteger sus datos con el fin de satisfacer los
compromisos de cumplimiento y seguridad de su organización. ADE cifra los discos de datos y
del sistema operativo de las máquinas virtuales de Azure dentro de ellas mediante la
característica DM-Crypt de Linux o BitLocker de Windows. ADE se integra con Azure Key
Vault para ayudarle a controlar y administrar las claves y secretos de cifrado de disco, con la
opción de cifrar con una clave de cifrado de claves (KEK). Para obtener más información,
consulte Azure Disk Encryption para máquinas virtuales Linux o Azure Disk Encryption para
El cifrado de discos confidenciales enlaza las claves de cifrado de disco al TPM de la máquina
virtual y hace que el contenido de disco protegido solo esté accesible para la máquina virtual. El
estado de invitado de máquina virtual y TPM siempre se cifra en código atestiguado mediante
claves publicadas por un protocolo seguro que omite el hipervisor y el sistema operativo host.
Actualmente solo está disponible para el disco del sistema operativo. El cifrado en el host se
puede usar para otros discos de una máquina virtual confidencial además del cifrado de disco
confidencial. Para más información, consulte Máquinas virtuales confidenciales de las series
DCasv5 y ECasv5.
El cifrado forma parte de un enfoque por capas de la seguridad y debe usarse con otras
recomendaciones para proteger las máquinas virtuales y sus discos. Para más información, consulte
Recomendaciones de seguridad para máquinas virtuales en Azure y Restricción del acceso de
importación y exportación a discos administrados.
De comparación
A continuación se ofrece una comparación de SSE de Disk Storage, ADE, cifrado en el host y cifrado
de disco confidencial.
Cifrado del lado del Cifrado en el host Azure Disk Cifrado de disco
servidor de Azure Disk Encryption confidencial (solo para
Storage el disco del sistema
operativo)
Cifrado en reposo ✅ ✅ ✅ ✅
(discos de datos y
del sistema
operativo)
Cifrado de disco ❌ ✅ ✅ ❌
temporal
Cifrado de cachés ❌ ✅ ✅ ✅
Flujos de datos ❌ ✅ ✅ ✅
cifrados entre el
proceso y el
almacenamiento
Control de claves ✅ Cuando se configura ✅ Cuando se configura ✅ Cuando se ✅ Cuando se configura

por parte del con DES con DES configura con con DES
cliente KEK
Compatibilidad Azure Key Vault Premium Azure Key Vault Premium Azure Key Azure Key Vault Premium
con HSM y HSM administrado y HSM administrado Vault Premium y HSM administrado
No usa la CPU de ✅ ✅ ❌ ❌
la máquina virtual
Funciona con ✅ ✅ ❌ No ✅
imágenes funciona con
personalizadas imágenes
personalizadas
de Linux
Protección ❌ ❌ ❌ ✅
mejorada de las
claves
Estado de cifrado Unhealthy (Incorrecto) Healthy Healthy No aplicable

de disco de
Microsoft Defender
for Cloud*
） Importante
En el caso del cifrado de disco confidencial, Microsoft Defender for Cloud no tiene actualmente
una recomendación aplicable.
* Microsoft Defender for Cloud tiene las siguientes recomendaciones de cifrado de disco:
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre
los recursos informáticos y de almacenamiento (solo detecta Azure Disk Encryption)
[Vista previa]: las máquinas virtuales de Windows deben habilitar Azure Disk Encryption o
EncryptionAtHost (detecta Azure Disk Encryption y EncryptionAtHost)
[Vista previa]: las máquinas virtuales Linux deben habilitar Azure Disk Encryption o
EncryptionAtHost (detecta Azure Disk Encryption y EncryptionAtHost)
Pasos siguientes
Azure Disk Encryption para máquinas virtuales Linux
Azure Disk Encryption para máquinas virtuales Windows
Cifrado del lado servidor de Azure Disk Storage
Cifrado en el host
Máquinas virtuales confidenciales de las series DCasv5 y ECasv5
Aspectos básicos de seguridad de Azure: Información general del cifrado de Azure
Información general sobre las
capacidades de seguridad de
Azure SQL Database e Instancia
administrada de SQL
Artículo • 24/04/2023
Se aplica a: Azure SQL Database Azure SQL Managed Instance Azure Synapse
Analytics
En este artículo se detallan los fundamentos de la protección de la capa de datos de una

aplicación con Azure SQL Database e Azure SQL Managed Instance y Azure Synapse
Analytics. La estrategia de seguridad descrita sigue el enfoque por capas de defensa en
profundidad, como se muestra en la siguiente imagen, y se mueve desde el exterior
hacia el centro:

Microsoft Azure SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics
ofrecen un servicio de base de datos relacional para aplicaciones empresariales y en la
nube. Para ayudar a proteger los datos del cliente, los firewalls evitan el acceso de red al
servidor hasta que se concede acceso explícitamente según la dirección IP o el origen
del tráfico de red virtual de Azure.
Reglas de firewall de IP
Las reglas de firewall de IP otorgan acceso a las bases de datos según la dirección IP de
origen de cada solicitud. Para más información, consulte Introducción a las reglas de
firewall de Azure SQL Database y Azure Synapse Analytics.
Reglas de firewall de red virtual

Los puntos de conexión del servicio de redes virtuales amplía la conectividad de red
virtual a través de la red troncal de Azure y permite que Azure SQL Database identifique
la subred de la red virtual desde la que se origina el tráfico. Para permitir que el tráfico
llegue a Azure SQL Database, use las etiquetas de servicio de SQL para permitir el tráfico
saliente a través de grupos de seguridad de red.
Las reglas de red virtual permiten que Azure SQL Database solo acepte comunicaciones
que se envían desde subredes seleccionadas en una red virtual.
７ Nota
El control de acceso con reglas de firewall no se aplica a Instancia administrada de

SQL. Para más información sobre la configuración de red necesaria, consulte
Conexión a una instancia administrada.
） Importante
La administración de bases de datos y servidores en Azure se controla mediante las

asignaciones de roles de su cuenta de usuario del portal. Para obtener más
información sobre este artículo, consulte Control de acceso basado en roles de
Azure en Azure Portal.
Authentication
La autenticación es el proceso por el cual se demuestra que el usuario es quien dice ser.
Azure SQL Database y SQL Managed Instance admiten la autenticación SQL y la
autenticación de Azure AD. SQL Managed Instance admite además la autenticación de
Windows para entidades de seguridad de Azure AD.
Autenticación de SQL:
La autenticación de SQL hace referencia a la autenticación de un usuario al

conectarse a Azure SQL Database o Instancia administrada de Azure SQL con el
nombre de usuario y la contraseña. Cuando se crea el servidor, se debe especificar
un inicio de sesión de administrador de servidor con un nombre de usuario y una
contraseña. Con estas credenciales, un administrador de servidor puede
autenticarse en cualquier base de datos en ese servidor o instancia como
propietario de la base de datos. Después de eso, pueden crearse inicios de sesión
SQL y usuarios adicionales mediante el administrador del servidor, lo que permite
a los usuarios conectarse usando el nombre de usuario y contraseña.
Autenticación de Azure Active Directory:
la autenticación de Azure Active Directory es un mecanismo de conexión a Azure

SQL Database, Instancia administrada de Azure SQL y Azure Synapse Analytics
mediante identidades de Azure Active Directory (Azure AD). La autenticación de
Azure AD permite a los administradores administrar centralmente las identidades y
los permisos de los usuarios de la base de datos, junto con otros servicios de
Azure, en una ubicación central. Esto incluye la minimización de almacenamiento
de contraseñas y permite directivas centralizadas de rotación de contraseñas.
Debe crearse un administrador del servidor denominado Administrador de Active

Directory para usar la autenticación de Azure AD con SQL Database. Para más
información, consulte Usar la autenticación de Azure Active Directory para
autenticación con SQL. La autenticación de Azure AD admite cuentas tanto
administradas como federadas. Las cuentas federadas admiten usuarios y grupos
de Windows para un dominio de cliente federado con Azure AD.
Las opciones adicionales de autenticación de Azure AD disponibles son las

conexiones de autenticación universal de Active Directory con SQL Server
Management Studio, incluidas autenticación multifactor y acceso condicional.
Autenticación de Windows para entidades de seguridad de Azure AD:
La autenticación Kerberos para entidades de seguridad de Azure AD habilita la

autenticación de Windows para Azure SQL Managed Instance. La autenticación de
Windows para instancias administradas permite a los clientes trasladar los servicios
existentes a la nube y, al mismo tiempo, mantener una experiencia de usuario
fluida, proporcionando la base para la modernización de la infraestructura.
Para habilitar la autenticación de Windows para entidades de seguridad de Azure

Active Directory (Azure AD), convertirá el inquilino de Azure AD en un dominio
Kerberos independiente y creará una confianza de entrada en el dominio del
cliente. Obtenga información sobre la implementación de la autenticación de
Windows para Azure SQL Managed Instance con Azure Active Directory y
Kerberos.
） Importante
La administración de bases de datos y servidores en Azure se controla mediante las

asignaciones de roles de su cuenta de usuario del portal. Para obtener más
información sobre este artículo, consulte Introducción al control de acceso basado
en roles de Azure en Azure Portal. El control de acceso con reglas de firewall no se
aplica a Instancia administrada de SQL. Para más información acerca de la
configuración de red necesaria, consulte el artículo siguiente sobre cómo
conectarse a una instancia administrada.
Authorization
La autorización hace referencia al control del acceso en los recursos y comandos dentro
de una base de datos. Esto se realiza mediante la asignación de permisos a un usuario
dentro de una base de datos en Azure SQL Database o Azure SQL Managed Instance.
Los permisos se administran idealmente mediante la adición de cuentas de usuario a
roles de base de datos y la asignación de permisos de nivel de base de datos a estos
roles. Como alternativa, también se pueden conceder determinados permisos de nivel
de objeto a un usuario individual. Para más información, consulte Inicios de sesión y
usuarios.
Como procedimiento recomendado, cree roles personalizados cuando sea necesario.

Agregue usuarios al rol con los privilegios mínimos necesarios para realizar su función
de trabajo. No asigne permisos directamente a los usuarios. La cuenta de administrador
del servidor es un miembro del rol db_owner integrado, que tiene amplios permisos y se
debe conceder solo a pocos usuarios con responsabilidades administrativas. Para limitar
aún más el ámbito de lo que un usuario puede hacer, se puede usar EJECUTAR COMO
para especificar el contexto de ejecución del módulo llamado. Seguir estos
procedimientos recomendados también es un paso fundamental hacia la separación de
obligaciones.
Seguridad de nivel de fila

La seguridad de nivel de fila permite a los clientes controlar el acceso a las filas de una
tabla de base de datos según las características del usuario que ejecuta una consulta
(por ejemplo, la pertenencia a grupos o el contexto de ejecución). La seguridad de nivel
de fila también puede utilizarse para implementar los conceptos de seguridad basados
en etiquetas personalizados. Para más información, consulte Seguridad de nivel de fila.
Protección contra amenazas

SQL Database e Instancia administrada de SQL protegen los datos de los clientes al
ofrecer capacidades de auditoría y detección de amenazas.
Auditoría de SQL en los registros de Azure Monitor y

Event Hubs
La auditoría de SQL Database e Instancia administrada de SQL hace un seguimiento de
las actividades de la base de datos y ayuda a mantener el cumplimiento de los
estándares de seguridad mediante la grabación de eventos de la base de datos en un
registro de auditoría de una cuenta de almacenamiento de Azure propiedad del cliente.
La auditoría permite a los usuarios supervisan las actividades de la base de datos en
curso, así como analizar e investigar la actividad histórica para identificar posibles
amenazas o supuestas infracciones de seguridad y abusos. Para más información,
consulte la introducción a la auditoría de base de datos de SQL.
Protección contra amenazas avanzada

Advanced Threat Protection analiza los registros para detectar un comportamiento poco
habitual e intentos potencialmente peligrosos de acceder o aprovechar las bases de
datos. Las alertas se crean para detectar actividades sospechosas, como inyección de
código SQL, infiltración potencial de datos y ataques de fuerza bruta, o anomalías en los
patrones de acceso para detectar elevaciones de privilegios y uso de credenciales
vulneradas. Las alertas se ven desde Microsoft Defender for Cloud , donde se
proporcionan detalles de las actividades sospechosas y se dan recomendaciones para
una investigación más minuciosa, junto con acciones para mitigar la amenaza. La
protección contra amenazas avanzada se puede habilitar por servidor, bajo una cuota
adicional. Para más información, vea Introducción a la protección de amenazas
avanzadas de SQL Database.
Protección y cifrado de información
Seguridad de la capa de transporte (cifrado en tránsito)

SQL Database, SQL Managed Instance y Azure Synapse Analytics protegen los datos de
los clientes mediante el cifrado de datos en movimiento con Seguridad de la capa de
transporte (TLS) .
SQL Database, SQL Managed Instance y Azure Synapse Analytics aplican el cifrado
(SSL/TLS) en todo momento para todas las conexiones. Esto garantiza que todos los
datos se cifran "en tránsito" entre el cliente y el servidor independientemente de la
configuración de Encrypt o TrustServerCertificate en la cadena de conexión.
Como procedimiento recomendado, en la cadena de conexión usada por la aplicación,

especifique una conexión cifrada y no confíe en el certificado de servidor. Esto obliga a
la aplicación a comprobar el certificado de servidor y, por tanto, impide que la
aplicación sea vulnerable a ataques de tipo "Man in the middle".
Por ejemplo, cuando se usa el controlador ADO.NET, esto se logra mediante

Encrypt=True y TrustServerCertificate=False. Si obtiene la cadena de conexión en Azure
Portal, tendrá la configuración correcta.
） Importante
Tenga en cuenta que algunos controladores que no son de Microsoft pueden no

usar TLS de manera predeterminada o basarse en una versión anterior de TLS
(<1.2) para funcionar. En este caso, el servidor sigue permitiendo conectarse a la
base de datos. Pero recomendamos que evalúe los riesgos de seguridad de
permitir que estos controladores y aplicaciones se conecten a SQL Database,
especialmente si almacena datos confidenciales.
Para obtener información adicional sobre TLS y la conectividad, vea

Consideraciones de TLS
Cifrado de datos transparente (cifrado en reposo)

Cifrado de datos transparente (TDE) para Azure SQL Database, SQL Managed Instance y
Azure Synapse Analytics agrega una capa de seguridad para ayudar a proteger los datos
en reposo frente al acceso no autorizado o sin conexión a archivos sin formato o copias
de seguridad. Los escenarios habituales incluyen el robo del centro de datos o la
eliminación no segura de hardware o medios como unidades de disco y cintas de copia
de seguridad. TDE cifra toda la base de datos mediante un algoritmo de cifrado de AES,
lo que no requiere que los desarrolladores de aplicaciones hagan cambios en las
aplicaciones existentes.
En Azure, todas las bases de datos recién creadas se cifran de forma predeterminada y
la clave de cifrado de la base de datos se protege mediante un certificado de servidor
integrado. El servicio administra el mantenimiento y la rotación de certificados, y no se
requiere ninguna acción por parte del usuario. Los clientes que prefieren tomar el
control de las claves de cifrado pueden administrar las claves en Azure Key Vault.
Administración de claves con Azure Key Vault

La compatibilidad de Bring Your Own Key (BYOK) con el Cifrado de datos transparente
(TDE) permite a los clientes asumir la propiedad de la administración y la rotación de
claves mediante Azure Key Vault, el sistema de administración de claves externo basado
en la nube de Azure. Si se revoca el acceso de la base de datos al almacén de claves,
una base de datos no se puede descifrar y leer en la memoria. Azure Key Vault ofrece
una plataforma de administración central de claves, aprovecha los módulos de
seguridad de hardware (HSM) extremadamente supervisados y permite la separación de
obligaciones entre la administración de claves y los datos para ayudar a cumplir los
requisitos de cumplimiento de seguridad.
Always Encrypted (cifrado en uso)
Always Encrypted es una característica creada para proteger la información confidencial

almacenada en columnas específicas de bases de datos (por ejemplo, números de
tarjeta de crédito, números de identificación nacional o regional, o datos según la
necesidad de conocimiento). Esto incluye a administradores de bases de datos u otros
usuarios con privilegios que tengan autorización para acceder a la base de datos para
realizar tareas de administración, pero que no tienen necesidades empresariales de
acceder a datos específicos de las columnas cifradas. Los datos están siempre cifrados,
lo que significa que los datos cifrados se descifran solo para el procesamiento por parte
de las aplicaciones cliente con acceso a la clave de cifrado. La clave de cifrado nunca se
expone a SQL Database ni a Instancia administrada de SQL, y se puede almacenar en el
almacén de certificados de Windows o en Azure Key Vault.
Enmascaramiento de datos dinámicos
El enmascaramiento dinámico de datos limita la exposición de información confidencial

ocultándolos a los usuarios sin privilegios. La característica Enmascaramiento dinámico
de datos detecta automáticamente datos posiblemente confidenciales en Azure SQL
Database e Instancia administrada de SQL y proporciona recomendaciones accionables
para enmascarar estos campos, con un impacto mínimo en la capa de aplicación. Su
funcionamiento consiste en ocultar los datos confidenciales del conjunto de resultados
de una consulta en los campos designados de la base de datos, mientras que los datos
de la base de datos no cambian. Para obtener más información, vea Introducción al
enmascaramiento dinámico de datos de SQL Database e Instancia administrada de SQL.
Administración de la seguridad
Evaluación de vulnerabilidades
La evaluación de vulnerabilidades es un servicio fácil de configurar que puede detectar,
realizar un seguimiento y corregir posibles puntos vulnerables en la base de datos con
el objetivo de mejorar de manera proactiva la seguridad general de las bases de datos.
La evaluación de vulnerabilidades (VA) forma parte de la oferta Microsoft Defender para
SQL, que es un paquete unificado de funcionalidades de seguridad avanzadas de SQL.
Se puede acceder a la evaluación de vulnerabilidades y administrarla a través del portal
central de Microsoft Defender para SQL.
Clasificación y detección de datos

La clasificación y detección de datos (actualmente en versión preliminar) proporciona
capacidades básicas integradas en Azure SQL Database y SQL Managed Instance para
detectar, clasificar y etiquetar los datos confidenciales de las bases de datos. Las
funciones de detección y clasificación de la información confidencial más importante
(empresarial, financiera, médica, personal, etc.) desempeñan un rol fundamental en el
modo en que se protege la información de su organización. Puede servir como
infraestructura para lo siguiente:
Varios escenarios de seguridad, como la supervisión (auditoría) y las alertas

relacionadas con accesos anómalos a información confidencial.
Controlar el acceso y mejorar la seguridad de las bases de datos que contienen
información altamente confidencial.
Ayudar a cumplir los requisitos de cumplimiento de normas y los estándares
relacionados con la privacidad de datos.
Para más información, consulte Clasificación y detección de datos.
Además de las anteriores características y funcionalidades que pueden ayudar a la
aplicación a cumplir distintos requisitos de seguridad, Azure SQL Database también
participa en las auditorías regulares y ha obtenido la certificación de una serie de
normas de cumplimiento. Para obtener más información, vea el Centro de confianza de
Microsoft Azure , donde encontrará la lista más reciente de certificaciones de
cumplimiento de SQL Database.
Pasos siguientes
Para obtener más información sobre el uso de inicios de sesión, cuentas de
usuario, roles de base de datos y permisos en SQL Database e Instancia
administrada de SQL, vea Administración de inicios de sesión y cuentas de usuario.
Para obtener más información sobre la auditoría de bases de datos, vea Auditoría.
Para obtener más información sobre la detección de amenazas, vea Detección de
amenazas.
Cuaderno de estrategias para abordar
requisitos de seguridad comunes con
Azure SQL Database y Azure SQL
Managed Instance
Artículo • 26/04/2023
Se aplica a: Azure SQL Database Azure SQL Managed Instance
En este documento se proporcionan los procedimientos recomendados para resolver los

requisitos de seguridad comunes. No todos los requisitos se pueden aplicar a todos los
entornos y debe consultar la base de datos y al equipo de seguridad qué características
implementar.
Resolución de requisitos de seguridad comunes

En este documento se proporcionan instrucciones sobre cómo resolver los requisitos de
seguridad comunes para aplicaciones nuevas o existentes mediante Azure SQL Database
e Instancia administrada de Azure SQL. Está organizado por áreas de seguridad de nivel
alto. Para abordar amenazas específicas, consulte la sección Amenazas de seguridad
comunes y posibles mitigaciones. Aunque algunas de las recomendaciones presentadas
se pueden aplicar al migrar aplicaciones desde el entorno local a Azure, los escenarios
de migración no son el foco de este documento.
Ofertas de implementación de Azure SQL Database que

se describen en esta guía
Azure SQL Database: bases de datos únicas y grupos elásticos en servidores
Instancia administrada de Azure SQL
Ofertas de implementación que no se describen en esta

guía
Azure Synapse Analytics
Máquinas virtuales de Azure SQL (IaaS)
SQL Server
Público
Esta guía está pensada para clientes que se preguntan cómo proteger
Azure SQL Database. Los roles interesados en este artículo de procedimientos
recomendados incluyen, entre otros:
Arquitectos de seguridad
Administradores de seguridad
Responsables de cumplimiento normativo
Responsables de privacidad
Ingenieros de seguridad
Cómo usar esta guía

Este documento está pensado como complemento de la documentación de seguridad
de Azure SQL Database.
A menos que se indique lo contrario, se recomienda seguir todos los procedimientos

recomendados que aparecen en cada sección para lograr el objetivo o requisito
respectivo. Para cumplir con los procedimientos recomendados o los estándares de
cumplimiento de seguridad específicos, los controles de cumplimiento normativo
importantes se muestran en la sección Requisitos u Objetivos, siempre que corresponda.
Estos son los estándares y reglamentaciones de seguridad a las que se hace referencia
en este documento:
FedRAMP : AC-04, AC-06

SOC : CM-3, SDL-3
ISO/IEC 27001 : Control de acceso, Criptografía
Procedimientos de Garantía de seguridad operacional (OSA) de Microsoft :
Procedimiento n.° 1 a 6 y n.° 9
Controles de seguridad NIST Special Publication 800-53 : AC-5, AC-6
PCI DSS : 6.3.2, 6.4.2
Tenemos previsto seguir actualizando las recomendaciones y los procedimientos

recomendados que se describen aquí. Para proporcionar entradas o correcciones en
este documento, use el vínculo Comentarios que se encuentra en la parte inferior de
este artículo.
Authentication
La autenticación es el proceso por el cual se demuestra que el usuario es quien dice ser.
Azure SQL Database e Instancia administrada de SQL admiten dos tipos de
autenticación:
Autenticación SQL
Autenticación con Azure Active Directory
７ Nota
Es posible que la autenticación con Azure Active Directory no se admita en todas

las herramientas y aplicaciones de terceros.
Administración central de identidades

La administración de identidades central ofrece estas ventajas:
Administre cuentas de grupo y controle los permisos de usuario sin duplicar los
inicios de sesión en servidores, bases de datos e instancias administradas.
Administración de permisos simplificada y flexible.
Administración de aplicaciones a gran escala.
Cómo se implementan
Use la autenticación de Azure Active Directory (Azure AD) para la administración

de identidades centralizada.
procedimientos recomendados
Cree un inquilino de Azure AD y cree usuarios para representar a los usuarios

humanos y cree entidades de servicio para representar aplicaciones, servicios y
herramientas de automatización. Las entidades de servicio son equivalentes a las
cuentas de servicio de Windows y Linux.
Asigne derechos de acceso a los recursos a entidades de seguridad de Azure AD a

través de la asignación de grupos: Cree grupos de Azure AD, conceda acceso a los
grupos y agregue miembros individuales a los grupos. En la base de datos, cree
usuarios de bases de datos independientes que asignen los grupos de Azure AD.
Para asignar permisos dentro de la base de datos, coloque los usuarios que están
asociados con los grupos de Azure AD en los roles de base de datos con los
permisos adecuados.
Consulte los artículos Configuración y administración de la autenticación de
Azure Active Directory con SQL y Usar la autenticación de
Azure Active Directory para autenticación con SQL.
７ Nota
En Instancia administrada de SQL, también puede crear inicios de sesión que

se asignen a entidades de seguridad de Azure AD en la master base de datos
maestra. Consulte CREATE LOGIN (Transact-SQL).
El uso de grupos de Azure AD simplifica la administración de permisos y tanto el

propietario del grupo como el propietario del recurso puede agregar o quitar
miembros del grupo.
Cree un grupo independiente para los administradores de Azure AD para cada

servidor o instancia administrada.
Consulte el artículo Aprovisionamiento de un administrador de
Azure Active Directory para su servidor.
Supervise los cambios en la pertenencia a los grupos de Azure AD con los informes
de actividad de auditoría de Azure AD.
En el caso de una instancia administrada, se requiere un paso aparte para crear un

administrador de Azure AD.
Consulte el artículo Aprovisionamiento de un administrador de
Azure Active Directory para su instancia administrada.
７ Nota
La autenticación de Azure AD se registra en los registros de auditoría de

Azure SQL, pero no en los registros de inicio de sesión de Azure AD.
Los permisos de Azure RBAC concedidos en Azure no se aplican a los
permisos de Azure SQL Database ni de SQL Managed Instance. Estos
permisos se deben crear o asignar manualmente con los permisos de SQL
existentes.
En el lado cliente, la autenticación de Azure AD necesita acceso a Internet o, a
través de una ruta definida por el usuario (UDR), a una red virtual.
El token de acceso de Azure AD se almacena en caché en el lado cliente y su
vigencia depende de la configuración del token. Consulte el artículo Vigencia
de tokens configurable en Azure Active Directory.
Para encontrar instrucciones de solución de problemas con la autenticación
de Azure AD, consulte el siguiente blog: Solución de problemas de Azure
AD .
Azure AD Multi-Factor Authentication
Se menciona en: Procedimiento n.° 2 de OSA, Control de acceso (CA) de ISO
Azure AD Multi-Factor Authentication ayuda a proporcionar más seguridad al requerir

más de una forma de autenticación.
Habilite Multi-Factor Authentication en Azure AD mediante el acceso condicional y

use la autenticación interactiva.
La alternativa es habilitar Multi-Factor Authentication para todo el dominio de AD

o Azure AD.
Active el acceso condicional en Azure AD (requiere una suscripción Premium).

Consulte el artículo Acceso condicional en Azure°AD.
Cree grupos de Azure AD y habilite la directiva de Multi-Factor Authentication para

los grupos seleccionados con el acceso condicional de Azure AD.
Consulte el artículo Planeamiento de la implementación del Acceso condicional.
Multi-Factor Authentication se puede habilitar para todo Azure AD o para todo

Active Directory federado con Azure AD.
Use el modo de autenticación interactiva de Azure AD para Azure SQL Database y

Azure SQL Managed Instance, donde se solicita una contraseña de manera
interactiva, seguida de la autenticación de Multi-Factor Authentication:
Use la autenticación universal en SSMS. Consulte el artículo Uso de la
autenticación multifactor de Azure AD con Azure SQL Database, SQL Managed
Instance y Azure Synapse (compatibilidad de SSMS con Multi-Factor
Authentication).
Use la autenticación interactiva admitida en SQL Server Data Tools (SSDT).
Consulte el artículo Compatibilidad de Azure Active Directory con SQL Server
Data Tools (SSDT).
Use otras herramientas de SQL que admitan Multi-Factor Authentication.
Compatibilidad con el Asistente de SSMS para exportar, extraer e
implementar una base de datos
SqlPackage: opción "/ua"
Utilidad sqlcmd : opción -G (interactiva)
Utilidad bcp: opción -G (interactiva)
Implemente las aplicaciones para conectarse a Azure SQL Database o Azure SQL
Managed Instance mediante la autenticación interactiva con compatibilidad con
Multi-Factor Authentication.
Vea el artículo Conexión a Azure SQL Database con Azure AD Multi-Factor
Authentication.
７ Nota
Este modo de autenticación requiere identidades basadas en el usuario. En los

casos en los que se usa un modelo de identidad de confianza que omite la
autenticación de usuario individual de Azure AD (por ejemplo, mediante la
identidad administrada para recursos de Azure), Multi-Factor Authentication
no se aplica.
Minimización del uso de la autenticación de usuarios

basada en contraseñas
Los métodos de autenticación basados en contraseña son una forma menos segura de
autenticación. Las credenciales pueden verse comprometidas o se pueden entregar por
error.
Use una autenticación integrada de Azure AD que elimine el uso de contraseñas.
Use la autenticación de inicio de sesión único con credenciales de Windows.

Federe el dominio de AD local con Azure AD y use la autenticación integrada de
Windows (para máquinas unidas a un dominio con Azure AD).
Consulte el artículo Compatibilidad de SSMS con la autenticación integrada de
Azure AD.
Minimización del uso de la autenticación de aplicaciones

basada en contraseñas
Habilite la identidad administrada de Azure. También puede usar la autenticación

integrada o basada en certificados.
Use identidades administradas para recursos de Azure.

Identidad administrada asignada por el sistema
Identidad administrada asignada por el usuario
Uso de Azure SQL Database desde Azure App Service con identidad
administrada (sin cambios de código)
Use la autenticación basada en certificados para una aplicación.

Consulte este ejemplo de código .
Use la autenticación de Azure AD para una máquina unida a un dominio y un

dominio federado integrado (consulte la sección anterior).
Consulte la aplicación de ejemplo para la autenticación integrada .
Protección de contraseñas y secretos

En caso de que no se puedan evitar las contraseñas, asegúrese de que estén protegidas.
Use Azure Key Vault para almacenar contraseñas y secretos. Siempre que sea
aplicable, use Multi-Factor Authentication para Azure SQL Database con usuarios
de Azure AD.
Si no es posible evitar contraseñas o secretos, almacene las contraseñas de usuario

y los secretos de aplicación en Azure Key Vault y administre el acceso a través de
las directivas de acceso de Key Vault.
Varios marcos de desarrollo de aplicaciones también pueden ofrecer mecanismos

específicos del marco para proteger los secretos de la aplicación. Por ejemplo:
Aplicación de ASP.NET Core.
Uso de la autenticación de SQL para las aplicaciones

heredadas
La autenticación de SQL hace referencia a la autenticación de un usuario al conectarse a
Azure SQL Database o Instancia administrada de SQL con el nombre de usuario y la
contraseña. Se debe crear un inicio de sesión en cada servidor o instancia administrada
y se debe crear un usuario en cada base de datos.
Use la autenticación de SQL.
Como administrador del servidor o la instancia, cree inicios de sesión y usuarios. A

menos que use usuarios de bases de datos independientes con contraseñas, todas
las contraseñas se almacenan en la master base de datos.
Consulte el artículo Control y concesión de acceso de la base de datos a
SQL Database, Instancia administrada de SQL y Azure Synapse Analytics.
La administración de acceso (también denominada Autorización) es el proceso de
controlar y administrar los privilegios y el acceso de los usuarios autorizados a
Azure SQL Database o Instancia administrada de SQL.
Implementación del principio de privilegio mínimo

Se menciona en: FedRamp controla AC-06, NIST: AC-6, Procedimiento n.° 3 de OSA
El principio de privilegio mínimo indica que los usuarios no deben tener más privilegios
de los necesarios para completar sus tareas. Para más información, consulte el artículo
Just Enough Administration.
Asigne solo los permisos necesarios para completar las tareas necesarias:
En SQL Database:
Use permisos granulares y roles de bases de datos definidos por el usuario (o
roles de servidor en SQL Managed Instance):
1. Cree los roles necesarios

CREATE ROLE
CREATE SERVER ROLE
2. Cree los usuarios necesarios
CREATE USER
3. Agregue usuarios como miembros a los roles
ALTER ROLE
ALTER SERVER ROLE
4. Luego, asigne permisos a los roles.
GRANT
Asegúrese de no asignar usuarios a roles innecesarios.
En Azure Resource Manager:

Use los roles integrados, si están disponibles, o roles personalizados de Azure y
asigne los permisos necesarios.
Roles personalizados en los recursos de Azure
Los procedimientos recomendados siguientes son opcionales, pero darán lugar a una
mejor capacidad de administración y compatibilidad con la estrategia de seguridad:
Si es factible, empiece con el menor conjunto de permisos posible y comience a

agregar permisos de uno en uno si es realmente necesario (y se justifica), en lugar
del enfoque opuesto: eliminar los permisos paso a paso.
Evite asignar permisos a usuarios individuales. En su lugar, use roles (roles de base
de datos o de servidor) de manera coherente. Los roles ayudan en gran medida a
los informes y a la solución de problemas. (Azure RBAC solo admite la asignación
de permisos a través de roles).
Cree y use roles personalizados con los permisos específicos necesarios. Roles
típicos que se usan en la práctica:
Implementación de seguridad
Administrador
Desarrollador
Personal de soporte técnico
Auditor
Procesos automatizados
Usuario final
Use roles integrados solo cuando los permisos de los roles coincidan exactamente
con los que necesite el usuario. Puede asignar usuarios a varios roles.
Recuerde que los permisos del motor de base de datos se pueden aplicar dentro
de los siguientes ámbitos (cuanto más pequeño sea el ámbito, menor será el
impacto de los permisos concedidos):
Servidor (roles especiales en la master base de datos) en Azure
Base de datos
Esquema
El uso de esquemas para conceder permisos en una base de datos es un
procedimiento recomendado
Objeto (tabla, vista, procedimiento, etc.)
７ Nota
No se recomienda aplicar permisos en el nivel de objeto porque este nivel

agrega complejidad innecesaria a la implementación global. Si decide usar
permisos en el nivel de objeto, se deben documentar claramente. Lo mismo
se aplica a los permisos en el nivel de columna, que se recomiendan incluso
menos por las mismas razones. Tenga también en cuenta también que, de
forma predeterminada, una instrucción DENY de nivel de tabla no invalida
una instrucción GRANT de nivel de columna. Esto requeriría la activación de la
configuración de un servidor que cumpla criterios comunes.
Lleve a cabo comprobaciones periódicas con Evaluación de vulnerabilidades (VA)

para probar si hay demasiados permisos.
Implementación de la separación de tareas

Se menciona en: FedRamp: AC-04, NIST: AC-5, ISO: A.6.1.2, PCI 6.4.2, SOC: CM-3,
SDL-3
La separación de tareas, que también se denomina "separación de obligaciones",

describe el requisito de dividir las tareas confidenciales en varias tareas que se asignan a
distintos usuarios. La separación de tareas ayuda a evitar infracciones de datos.
Identifique el nivel necesario de separación de tareas. Ejemplos:

Entre entornos de desarrollo/prueba y entornos de producción
Tareas confidenciales de seguridad frente a tareas en el nivel de administración
del Administrador de base de datos (DBA) frente a tareas del desarrollador.
Ejemplos: Auditor, creación de la directiva de seguridad para la seguridad de
nivel de fila (RLS), implementación de objetos de SQL Database con permisos
de DDL.
Identifique una jerarquía completa de los usuarios (y procesos automatizados) que
tienen acceso al sistema.
Cree roles según los grupos de usuarios necesarios y asigne permisos a los roles.
En el caso de las tareas en el nivel de administración en Azure Portal o a través
de la automatización de PowerShell, use los roles de Azure. Busque un rol
integrado que coincida con el requisito o cree un rol personalizado de Azure
con los permisos disponibles.
Cree roles de servidor para las tareas de servidor (crear inicios de sesión y bases
de datos) en una instancia administrada.
Cree roles de base de datos para las tareas en el nivel de base de datos.
En el caso de ciertas tareas confidenciales, considere la posibilidad de crear

procedimientos almacenados especiales firmados por un certificado para ejecutar
las tareas en nombre de los usuarios. Una ventaja importante de los
procedimientos almacenados firmados digitalmente es que, si se cambia el
procedimiento, se quitan inmediatamente los permisos concedidos a la versión
anterior del procedimiento.
Ejemplo: Tutorial: Firmar procedimientos almacenados con un certificado
Implemente el Cifrado de datos transparente (TDE) con claves administradas por el

cliente en Azure Key Vault para habilitar la separación de tareas entre el
propietario de los datos y el propietario de la seguridad.
Consulte el artículo Configuración de las claves administradas del cliente para el
cifrado de Azure Storage desde Azure Portal.
Para asegurarse de que un DBA no pueda ver los datos que se consideran muy
sensibles y pueda seguir realizando las tareas de DBA, puede usar Always
Encrypted con separación de roles.
Consulte los artículos Información general de administración de claves de
Always Encrypted, Aprovisionamiento de claves con separación de roles y
Rotación de claves maestras de columna con separación de roles.
En los casos en los que no sea factible el uso de Always Encrypted, al menos sin
costos importantes y esfuerzos que puedan hacer que el sistema quede casi
inutilizable, es posible llegar a consensos y mitigar los riesgos mediante el uso de
controles de compensación como:
Intervención humana en los procesos.
Pistas de auditoría: para más información sobre la auditoría, consulte Auditoría
de eventos de seguridad críticos.
Asegúrese de que se usan cuentas distintas para los entornos de
desarrollo/pruebas y de producción. Las distintas cuentas ayudan a cumplir con la
separación de los sistemas de prueba y producción.
Evite asignar permisos a usuarios individuales. En su lugar, use roles (roles de base
de datos o de servidor) de manera coherente. Tener roles ayuda en gran medida a
los informes y a la solución de problemas.
Use roles integrados cuando los permisos coincidan exactamente con los permisos
necesarios: si la unión de todos los permisos de varios roles integrados genera una
coincidencia del 100 %, puede asignar también varios roles de manera simultánea.
Cree y use roles definidos por el usuario cuando los roles integrados concedan
demasiados permisos o permisos insuficientes.
Las asignaciones de roles también se pueden realizar de manera temporal, algo

que también se conoce como "separación dinámica de tareas" (DSD), ya sea
dentro de los pasos de trabajo del Agente SQL en T-SQL o mediante Azure PIM
para los roles de Azure.
Asegúrese de que los administradores de bases de datos no tengan acceso a las

claves de cifrado o los almacenes de claves y que los administradores de seguridad
con acceso a las claves no tengan, a su vez, acceso a la base de datos. El uso de la
Administración extensible de claves (EKM) puede facilitar esta separación. Azure
Key Vault se puede usar para implementar EKM.
Asegúrese siempre de tener una pista de auditoría para las acciones relacionadas
con la seguridad.
Puede recuperar la definición de los roles integrados de Azure para ver los
permisos usados y crear un rol personalizado basado en extractos y acumulaciones
de estos a través de PowerShell.
Puesto que cualquier miembro del rol de base de datos db_owner puede cambiar
una configuración de seguridad como Cifrado de datos transparente (TDE) o
cambiar el SLO, es necesario tener cuidado al conceder esta pertenencia. No
obstante, existen muchas tareas que requieren privilegios db_owner. Tareas como
cambiar cualquier valor de base de datos (por ejemplo, opciones de la base de
datos). La auditoría desempeña un papel clave en cualquier solución.
No es posible restringir los permisos de db_owner ni, por consiguiente, impedir

que una cuenta administrativa vea datos de usuario. Si hay datos altamente
confidenciales en una base de datos, Always Encrypted se pueden usar para
impedir que db_owners o cualquier otro DBA puedan verlos.
７ Nota
Lograr la separación de tareas (SoD) es desafiante para las tareas relacionadas con
la seguridad o la solución de problemas. Otras áreas como el desarrollo y los roles
de usuario final son más fáciles de separar. La mayoría de los controles
relacionados con el cumplimiento permiten el uso de funciones de control
alternativas, como la auditoría, cuando otras soluciones no resultan prácticas.
En el caso de los lectores que quieran profundizar en SoD, se recomiendan los recursos
siguientes:
Para Azure SQL Database y SQL Managed Instance:

Control y concesión de acceso a bases de datos
Motor Separación de tareas para el desarrollador de aplicaciones
Separación de obligaciones
Firmar procedimientos almacenados
Para la administración de recursos de Azure:

Roles personalizados en los recursos de Azure
Uso de Azure AD Privileged Identity Management para acceso con privilegios
elevados
Realización de revisiones de código periódicas

Se menciona en: PCI: 6.3.2, SOC: SDL-3
La separación de tareas no se limita a los datos de una base de datos, sino que incluye
el código de la aplicación. El código malintencionado puede eludir los controles de
seguridad. Antes de implementar el código personalizado en el entorno de producción,
es esencial revisar lo que se está implementando.
Use una herramienta de base de datos como Azure Data Studio que admita el
control de código fuente.
Implemente un proceso de implementación de código separado.
Antes de confirmar en la rama principal, una persona (que no sea el creador del
código mismo) tiene que inspeccionar el código para detectar posibles riesgos de
elevación de privilegios, así como modificaciones de datos malintencionados como
protección contra fraudes y accesos no autorizados. Esto se puede hacer mediante
el uso de mecanismos de control de código fuente.
Normalización: ayuda a implementar un procedimiento estándar que se va a seguir

para cualquier actualización de código.
La Evaluación de vulnerabilidades contiene reglas que comprueban si hay permisos

excesivos, el uso de algoritmos de cifrado antiguos y otros problemas de
seguridad dentro de un esquema de base de datos.
Se pueden realizar más comprobaciones en un entorno de control de calidad o de

prueba mediante Advanced Threat Protection que examina el código que es
vulnerable a la inyección de código SQL.
Ejemplos de lo que se debe observar:

La creación de un usuario o el cambio de la configuración de seguridad desde
una implementación automatizada de actualización de código SQL.
Un procedimiento almacenado que, en función de los parámetros
proporcionados, actualiza un valor monetario de una celda de una manera no
conforme.
Asegúrese de que la persona que realiza la revisión es un individuo distinto del

autor del código de origen y experto en revisiones de código y codificación
segura.
Asegúrese de conocer todos los orígenes de los cambios de código. El código

puede estar en scripts T-SQL. Puede tratarse de comandos ad hoc que se
ejecutarán o implementarán en forma de vistas, funciones, desencadenadores y
procedimientos almacenados. Puede formar parte de las definiciones del trabajo
(pasos) del Agente SQL. También se puede ejecutar desde paquetes SSIS,
Azure Data Factory y otros servicios.

La protección de datos es un conjunto de funcionalidades para proteger la información
importante del riesgo mediante cifrado o ofuscación.
７ Nota
Microsoft certifica que Azure SQL Database e Instancia administrada de SQL

cumplen con el nivel 1 de FIPS 140-2. Esto se hace después de comprobar el uso
estricto de los algoritmos aceptables de nivel 1 de FIPS 140-2 y las instancias
validadas de nivel 1 de FIPS 140-2 de esos algoritmos, incluida la coherencia con
las longitudes de clave, la administración de claves, la generación de claves y el
almacenamiento de claves necesarios. Esta atestación está pensada para permitir
que nuestros clientes respondan a la necesidad o al requisito de usar las instancias
validadas de nivel 1 de FIPS 140-2 en el procesamiento de datos o la entrega de
sistemas o aplicaciones. Definimos los términos "Conforme con el nivel 1 de FIPS
140-2" y "Cumplimiento con el nivel 1 de FIPS 140-2" que se usan en la afirmación
anterior para demostrar su aplicabilidad prevista según el uso del término
"Validado para el nivel 1 de FIPS 140-2" de la administración pública de los Estados
Unidos y Canadá.
Cifrado de los datos en tránsito

Se menciona en: Procedimiento n.° 6 de OSA, familia de control de ISO:
Cryptography
Protege los datos mientras se mueven entre el cliente y el servidor. Consulte Seguridad
de las redes.

Se menciona en: Procedimiento n.° 6 de OSA, familia de control de ISO:
Cryptography
El cifrado en reposo es la protección criptográfica de los datos cuando persisten en

archivos de copias de seguridad, registros y bases de datos.
El Cifrado de datos transparente (TDE) con claves administradas por el servicio

están habilitadas de manera predeterminada para todas las bases de datos creadas
después de 2017 en Azure SQL Database e Instancia administrada de SQL.
En una instancia administrada, si la base de datos se crea a partir de una operación
de restauración mediante un servidor local, se respetará la configuración de TDE
de la base de datos original. Si la base de datos original no tiene habilitado TDE, se
recomienda que TDE se active manualmente para la instancia administrada.
No almacene datos que requieran cifrado en reposo en la master base de datos. La
master base de datos no se puede cifrar con TDE.
Use claves administradas por el cliente en Azure Key Vault si necesita mayor
transparencia y control granular sobre la protección de TDE. Azure Key Vault
permite revocar los permisos en cualquier momento para representar la base de
datos como inaccesible. Puede administrar de forma centralizada los protectores
de TDE junto con otras claves, o bien rotar el protector de TDE según su propia
programación mediante Azure Key Vault.
Si usa claves administradas por el cliente en Azure Key Vault, siga los artículos
Directrices para configurar TDE con Azure Key Vault y Configuración de la
recuperación ante desastres con localización geográfica con Azure Key Vault.
７ Nota
Algunos elementos considerados contenido del cliente, como nombres de tablas,

nombres de objetos y nombres de índices, se pueden transmitir en archivos de
registro para soporte técnico y solución de problemas por parte de Microsoft.
Protección de datos confidenciales en uso de usuarios no

autorizados con privilegios elevados
Los datos en uso son los datos almacenados en memoria del sistema de la base de
datos durante la ejecución de consultas SQL. Si la base de datos almacena información
confidencial, es posible que la organización deba asegurarse de que los usuarios con
privilegios elevados no puedan ver datos confidenciales en la base de datos. Los
usuarios con privilegios elevados, como los operadores de Microsoft o los
administradores de bases de datos de su organización, deben ser capaces de
administrar la base de datos, pero no de ver ni extraer datos confidenciales de la
memoria del proceso de SQL o mediante una consulta a la base de datos.
Las directivas que determinan qué datos son confidenciales y si estos datos se deben
cifrar en la memoria y si los administradores no deben tener acceso a ellos en texto sin
formato, son específicas tanto de la organización como de las regulaciones de
cumplimiento que se deben cumplir. Consulte el requisito relacionado: Identificación y
etiquetado de datos confidenciales.
Use Always Encrypted para asegurarse de que los datos confidenciales no se
exponen en texto sin formato en Azure SQL Database o Instancia administrada de
SQL, incluso en la memoria o en uso. Always Encrypted protege los datos de los
administradores de bases de datos (DBA) y los administradores de la nube (o
actores no válidos que pueden suplantar a usuarios con privilegios elevados pero
no autorizados) y proporciona más control sobre quién puede acceder a los datos.
Always Encrypted no es un sustituto para cifrar los datos en reposo (TDE) o en

tránsito (SSL/TLS). Always Encrypted no deben usarse para datos no confidenciales
con el fin de minimizar el rendimiento y el impacto de la funcionalidad. Se
recomienda usar Always Encrypted junto con TDE y Seguridad de la capa de
transporte (TLS) para una protección integral de los datos en reposo, en tránsito y
en uso.
Evalúe el impacto de cifrar las columnas de datos confidenciales identificadas

antes de implementar Always Encrypted en una base de datos de producción. En
general, Always Encrypted reduce la funcionalidad de las consultas en columnas
cifradas y tiene otras limitaciones, que se enumeran en Always Encrypted: detalles
de las características. Por consiguiente, es posible que tenga que rediseñar la
aplicación para volver a implementar la funcionalidad (que una consulta no
admite) en el lado del cliente o refactorizar el esquema de la base de datos, lo que
incluye las definiciones de los procedimientos, funciones, vistas y
desencadenadores almacenados. Si no cumplen las restricciones y limitaciones de
Always Encrypted, es posible que las aplicaciones existentes no funcionen con
columnas cifradas. Aunque el ecosistema de herramientas, productos y servicios de
Microsoft que admiten Always Encrypted está creciendo, hay una serie de ellos que
no funciona con columnas cifradas. El cifrado de una columna también puede
afectar al rendimiento de las consultas, en función de las características de la carga
de trabajo.
Administre las claves de Always Encrypted con la separación de roles si usa Always
Encrypted para proteger los datos de DBA malintencionados. Con la separación de
roles, un administrador de seguridad crea las claves físicas. El DBA crea objetos de
metadatos de clave maestra de columna y de cifrado de columna, que describen
las claves físicas en la base de datos. Durante este proceso, el administrador de
seguridad no necesita tener acceso a la base de datos y el DBA no necesita tener
acceso a las claves físicas en texto sin formato.
Consulte el artículo Administración de claves con separación de roles para
detalles.
Almacene las claves maestras de columna en Azure Key Vault para facilitar la
administración. Evite usar el Almacén de certificados de Windows (y, en general, las
soluciones de almacén de claves distribuidas, a diferencia de las soluciones de
administración de claves centrales) que dificultan la administración de claves.
Piense detenidamente en las ventajas y desventajas de usar varias claves (clave

maestra de columna o claves de cifrado de columna). Mantenga reducido el
número de claves para reducir el costo de administración de claves. Una clave
maestra de columna y una clave de cifrado de columna por base de datos suele ser
suficiente en entornos de estado estable (no en medio de una rotación de claves).
Es posible que necesite claves adicionales si tiene grupos de usuarios diferentes,
que usan claves diferentes y acceden a datos diferentes.
Rote las claves maestras de columna según los requisitos de cumplimiento. Si

también necesita rotar las claves de cifrado de columna, considere la posibilidad
de usar el cifrado en línea para minimizar el tiempo de inactividad de la aplicación.
Consulte el artículo Consideraciones sobre rendimiento y disponibilidad.
Use el cifrado determinista si es necesario admitir cálculos (igualdad) en los datos.

De lo contrario, use el cifrado aleatorio. Evite usar el cifrado determinista para
conjuntos de datos de baja entropía o conjuntos de datos con distribución
conocida públicamente.
Si le preocupa el acceso de terceros a los datos de manera legal y sin su

consentimiento, asegúrese de que todas las aplicaciones y herramientas que
tienen acceso a las claves y los datos en texto no cifrado se ejecuten fuera de la
nube de Microsoft Azure. Sin acceso a las claves, el tercero no tendrá forma de
descifrar los datos a menos que eludan el cifrado.
Always Encrypted no admite fácilmente la concesión de acceso temporal a las

claves (y a los datos protegidos). Por ejemplo, si necesita compartir las claves con
un DBA para permitir que el DBA realice algunas operaciones de limpieza en datos
confidenciales y cifrados. La única forma de revocar de forma confiable el acceso a
los datos del DBA será girar las claves de cifrado de columnas y las claves maestras
de columna que protegen los datos, lo que es una operación costosa.
Para acceder a los valores de texto no cifrado de las columnas cifradas, un usuario
debe tener acceso a la Clave maestra de columna (CMK) que protege las columnas,
que están configuradas en el almacén de claves que contiene la CMK. El usuario
también debe tener los permisos de base de datos VIEW ANY COLUMN MASTER
KEY DEFINITION y VIEW ANY COLUMN ENCRYPTION KEY DEFINITION.
Controle el acceso de los usuarios de la aplicación a los
datos confidenciales a través del cifrado
El cifrado se puede usar como una manera de asegurarse de que solo usuarios
específicos de la aplicación que tengan acceso a las claves criptográficas puedan ver o
actualizar los datos.
Use Cifrado de nivel de celda (CLE). Para detalles, consulte el artículo Cifrar una
columna de datos.
Use Always Encrypted, pero tenga en cuenta sus limitaciones. Las limitaciones se
indican a continuación.
Procedimientos recomendados:
Al usar CLE:
Controle el acceso a las claves a través de permisos y roles de SQL.
Use AES (se recomienda AES 256) para el cifrado de datos. Los algoritmos, como
RC4, DES y TripleDES, están en desuso y no se deben utilizar debido a
vulnerabilidades conocidas.
Proteja las claves simétricas con certificados o claves asimétricos (no contraseñas)
para evitar el uso de 3DES.
Tenga cuidado al migrar una base de datos mediante el Cifrado de nivel de celda a
través de Export/Import (archivos bacpac).
Consulte el artículo de recomendaciones para usar el cifrado de nivel de celda
en Azure SQL Database para saber cómo evitar perder claves al migrar datos y
otras instrucciones de procedimientos recomendados.
Tenga en cuenta que Always Encrypted está diseñado principalmente para proteger los
datos confidenciales en uso de los usuarios con privilegios elevados de
Azure SQL Database (operadores de nube, DBA). Consulte Protección de datos
confidenciales en uso de usuarios no autorizados con privilegios elevados. Tenga en
cuenta los siguientes desafíos al usar Always Encrypted para proteger los datos de los
usuarios de la aplicación:
De manera predeterminada, todos los controladores cliente de Microsoft que

admiten Always Encrypted mantienen una caché global (una por aplicación) de
claves de cifrado de columnas. Una vez que un controlador cliente adquiere una
clave de cifrado de columna de texto no cifrado poniéndose en contacto con un
almacén de claves que contiene una clave maestra de columna, la clave de cifrado
de columna de texto no cifrado se almacena en caché. Esto dificulta el aislamiento
de los datos de los usuarios de una aplicación de varios usuarios. Si la aplicación
suplanta a los usuarios finales al interactuar con un almacén de claves (como
Azure Key Vault), una vez que la consulta de un usuario rellena la memoria caché
con una clave de cifrado de columna, una consulta posterior que requiera la misma
clave, pero que la desencadene otro usuario, utilizará el clave almacenada en
caché. El controlador no llamará al almacén de claves y no comprobará si el
segundo usuario tiene permiso de acceso a la clave de cifrado de columna. Como
resultado, el usuario puede ver los datos cifrados aunque no tenga acceso a las
claves. Para lograr el aislamiento de usuarios en una aplicación de varios usuarios,
puede deshabilitar el almacenamiento en caché de claves de cifrado de columna.
Al deshabilitar el almacenamiento en caché, se producirán sobrecargas de
rendimiento adicionales, ya que el controlador deberá ponerse en contacto con el
almacén de claves para cada operación de cifrado o descifrado de datos.
Protección de datos contra la visualización no autorizada

por parte de los usuarios de la aplicación al tiempo que
se conserva el formato de los datos
Otra técnica para impedir que usuarios no autorizados vean datos es ofuscar o
enmascarar los datos al tiempo que se conservan los tipos de datos y los formatos para
asegurarse de que las aplicaciones de usuario puedan seguir controlando y mostrando
los datos.
Use el Enmascaramiento dinámico de datos para ofuscar las columnas de las

tablas.
７ Nota
Always Encrypted no funciona con el Enmascaramiento dinámico de datos. No es

posible cifrar y enmascarar la misma columna, lo que implica que debe dar
prioridad a la protección de los datos en uso en comparación con enmascarar los
datos de los usuarios de la aplicación a través del Enmascaramiento dinámico de
datos.
７ Nota
El Enmascaramiento dinámico de datos no se puede usar para proteger los datos

de usuarios con privilegios elevados. Las directivas de enmascaramiento no se
aplican a los usuarios con acceso administrativo como db_owner.
No permita a los usuarios de la aplicación ejecutar consultas ad hoc (ya que es

posible que encuentren una solución alternativa para el Enmascaramiento
dinámico de datos).
Para detalles, consulte el artículo Omisión del enmascaramiento con técnicas de
fuerza bruta o inferencia.
Use una directiva de control de acceso adecuada (a través de RLS, roles y permisos
de SQL) para limitar los permisos de usuario para hacer actualizaciones en las
columnas enmascaradas. La creación de una máscara en una columna no impide
que se efectúen actualizaciones en ella. Los usuarios que reciban datos
enmascarados cuando realicen una consulta en una columna enmascarada podrán
actualizar los datos si cuentan con permisos de escritura.
La función Enmascaramiento dinámico de datos no conserva las propiedades

estadísticas de los valores enmascarados. Esto puede afectar a los resultados de la
consulta (por ejemplo, las consultas que contienen predicados de filtrado o
combinaciones en los datos enmascarados).

La seguridad de las redes hace referencia a los controles de acceso y a los
procedimientos recomendados para proteger los datos en tránsito a
Azure SQL Database.
Configuración de mi cliente para una conexión segura a

SQL Database o Instancia administrada de SQL
Procedimientos recomendados para impedir que las máquinas cliente y las aplicaciones
con vulnerabilidades conocidas (por ejemplo, que utilizan protocolos y conjuntos de
cifrado TLS) se conecten a Azure SQL Database e Instancia administrada de SQL.
Asegúrese de que las máquinas cliente que se conectan a Azure SQL Database y
SQL Managed Instance usan la última versión de Seguridad de la capa de
transporte (TLS).
Aplique una versión mínima de TLS en el nivel de servidor de SQL Database o SQL
Managed Instance con la configuración mínima de la versión TLS. Se recomienda
establecer la versión mínima de TLS en 1.2, después de realizar pruebas para
confirmar que las aplicaciones la admiten. TLS 1.2 incluye correcciones para
vulnerabilidades encontradas en versiones anteriores.
Configure todas las aplicaciones y herramientas para conectarse a SQL Database

con cifrado habilitado
Encrypt = On, TrustServerCertificate = Off (o equivalente con controladores que
no son de Microsoft).
Si la aplicación usa un controlador que no admite TLS o que admite una versión
anterior de TLS, reemplace el controlador, si es posible. Si no es posible, evalúe
detenidamente los riesgos de seguridad.
Para reducir los vectores de ataque a través de vulnerabilidades en SSL 2.0,
SSL 3.0, TLS 1.0 y TLS 1.1, deshabilítelos en las máquinas cliente que se conectan
a Azure SQL Database por configuración del Registro de Seguridad de la capa
de transporte (TLS).
Compruebe los conjuntos de cifrado disponibles en el cliente: Conjuntos de
cifrado en TLS/SSL (Schannel SSP). En concreto, deshabilite 3DES para
configurar el orden de los conjuntos de cifrado TLS.
Minimización de la superficie expuesta a ataques

Minimice el número de características susceptibles de sufrir el ataque de un usuario
malintencionado. Implemente controles de acceso a la red para Azure SQL Database.
Se menciona en: Procedimiento n.° 5 de OSA
En SQL Database:
Establezca Permitir el acceso a servicios de Azure en OFF en el nivel de servidor.

Utilice puntos de conexión de servicio de red virtual y reglas de firewall de red
virtual.
Usar vínculo privado.
En SQL Managed Instance:

Siga las instrucciones que aparece en Requisitos de red.
Restringir el acceso a Azure SQL Database e Instancia administrada de SQL

mediante la conexión en un punto de conexión privado (por ejemplo, mediante
una ruta de acceso a datos privada):
Una instancia administrada se puede aislar dentro de una red virtual para evitar
el acceso externo. Las aplicaciones y herramientas que se encuentran en la
misma red virtual o en una red virtual emparejada en la misma región podrían
acceder a ella directamente. Las aplicaciones y herramientas que se encuentran
en una región distinta podrían usar la conexión de red virtual a red virtual o el
emparejamiento de circuito ExpressRoute para establecer la conexión. El cliente
debe usar los grupos de seguridad de red (NSG) para restringir el acceso a
través del puerto 1433 solo a los recursos que requieren acceso a una instancia
administrada.
Para una instancia de SQL Database, use la característica Private Link, que
proporciona una dirección IP privada dedicada para el servidor dentro de la red
virtual. También puede usar puntos de conexión de servicio de red virtual con
reglas de firewall de red virtual para restringir el acceso a los servidores.
Los usuarios móviles deben usar conexiones VPN de punto a sitio para
conectarse a través de la ruta de acceso a los datos.
Los usuarios conectados a su red local deben usar la conexión VPN de sitio a
sitio o ExpressRoute para conectarse a través de la ruta de acceso a los datos.
Puede acceder a Azure SQL Database e Instancia administrada de SQL mediante la

conexión a un punto de conexión público (por ejemplo, mediante una ruta de
acceso a datos pública). Se deben tener en cuenta los procedimientos
recomendados siguientes:
Para un servidor de SQL Database, use las reglas de firewall de IP para restringir
el acceso solo a direcciones IP autorizadas.
En el caso de SQL Managed Instance, use los grupos de seguridad de red (NSG)
para restringir el acceso a través del puerto 3342 solo a los recursos necesarios.
Para obtener más información, consulte Uso de una instancia administrada de
forma segura con puntos de conexión públicos.
７ Nota
El punto de conexión público de SQL Managed Instance no está habilitado de

forma predeterminada y debe habilitarse explícitamente. Si la directiva de la
empresa no permite usar puntos de conexión públicos, use Azure Policy para
impedir que se habiliten los puntos de conexión públicos en primer lugar.
Configure los componentes de Redes:

Siga los Procedimientos recomendados de seguridad de la red de Azure.
Planee la configuración de las redes virtuales según los procedimientos
recomendados que se describen en las Preguntas más frecuentes (P+F) acerca
de Azure Virtual Network.
Segmente una red virtual en varias subredes y asigne recursos para un rol
similar a la misma subred (por ejemplo, recursos front-end frente a recursos
back-end).
Use los grupos de seguridad de red (NSG) para controlar el tráfico entre las
subredes dentro del límite de la red virtual de Azure.
Habilite Azure Network Watcher de su suscripción para supervisar el tráfico de
red entrante y saliente.
Configuración de Power BI para proteger las conexiones a

Azure SQL Database o Instancia administrada de SQL
Para Power BI Desktop, utilice la ruta de acceso a datos privada siempre que sea
posible.
Asegúrese de que Power BI Desktop se está conectando mediante TLS 1.2

estableciendo la clave del Registro en la máquina equipo cliente según la
configuración del Registro de Seguridad de la capa de transporte (TLS).
Restrinja el acceso a los datos para usuarios específicos a través de la Seguridad de

nivel de fila (RLS) con Power BI.
Para el servicio Power BI, use la puerta de enlace de datos local, teniendo en
cuenta las limitaciones y consideraciones.
Configuración de App Service para proteger las

conexiones a Azure SQL Database o Instancia
administrada de SQL
En el caso de una aplicación web simple, la conexión a través de un punto de
conexión público requiere que la opción Allow Azure Services (Permitir servicios
de Azure) esté establecida en ON.
Integre su aplicación con una instancia de Azure Virtual Network para la

conectividad de la ruta de acceso a datos privada con una instancia administrada.
De manera opcional, también puede implementar una aplicación web con
instancias de App Service Environment (ASE).
En el caso de la aplicación web con ASE o la aplicación web integrada de red

virtual con conexión a una base de datos en SQL Database, puede usar los puntos
de conexión de servicio de red virtual y las reglas de firewall de red virtual para
limitar el acceso desde una red virtual y una subred específicas. A continuación,
establezca Allow Azure Services (Permitir servicios de Azure) en OFF. También
puede conectar ASE a una instancia administrada en Instancia administrada de SQL
a través de una ruta de acceso a datos privada.
Asegúrese de que la aplicación web está configurada según el artículo

Procedimientos recomendados para proteger aplicaciones web y móviles de
plataforma como servicio (PaaS) con Azure App Service.
Instale Firewall de aplicaciones web (WAF) para proteger la aplicación web de

vulnerabilidades y aprovechamientos comunes.
Configuración del hospedaje de máquina virtual de Azure

para proteger las conexiones a SQL Database o SQL
Managed Instance
Use una combinación de reglas de permiso y denegación en los grupos de

seguridad de red de las máquinas virtuales de Azure para controlar a qué regiones
se puede acceder desde la máquina virtual.
Asegúrese de que la máquina virtual está configurada según el artículo

Procedimientos de seguridad recomendados para cargas de trabajo de IaaS de
Azure.
Asegúrese de que todas las máquinas virtuales están asociadas con una red virtual
y una subred específicas.
Evalúe si necesita la ruta predeterminada 0.0.0.0/Internet según las instrucciones

que se encuentran en Información acerca de la tunelización forzada.
Si es así (por ejemplo, subred de front-end), mantenga la ruta predeterminada.
Si no (por ejemplo, subred de back-end o nivel intermedio), habilite la
tunelización forzada para que ningún tráfico pase a través de Internet para
llegar a un entorno local (que también se conoce como entre locales).
Implemente Rutas predeterminadas opcionales si usa el emparejamiento o la

conexión al entorno local.
Implemente rutas definidas por el usuario si necesita enviar todo el tráfico de la

red virtual a una aplicación virtual de red para la inspección de paquetes.
Use puntos de conexión de servicio de red virtual para el acceso seguro a los
servicios de PaaS, como Azure Storage, a través de la red troncal de Azure.
Protección contra ataques de denegación de servicio

distribuido (DDoS)
Los ataques de denegación de servicio distribuido (DDoS) son intentos por parte de un
usuario malintencionado de enviar una avalancha de tráfico de red a
Azure SQL Database con el objetivo de sobrecargar la infraestructura de Azure y hacer
que rechace la carga de trabajo y los inicios de sesión válidos.
Se menciona en: Procedimiento n.° 9 de OSA
La protección contra DDoS está habilitada de manera automática como parte de la

plataforma de Azure. Incluye la supervisión del tráfico siempre activa y la mitigación en
tiempo real de los ataques en el nivel de red en puntos de conexión públicos.
Use Azure DDoS Protection para supervisar las direcciones IP públicas asociadas a
los recursos implementados en redes virtuales.
Utilice Advanced Threat Protection en Azure SQL Database para detectar ataques
de denegación de servicio (DoS) contra las bases de datos.
Siga los procedimientos que se describen en Minimización de la superficie

expuesta a ataques para minimizar las amenazas de ataques DDoS.
La alerta Credenciales de SQL por fuerza bruta de Advanced Threat Protection

ayuda a detectar los ataques por fuerza bruta. En algunos casos, la alerta puede
incluso distinguir las cargas de trabajo de pruebas de penetración.
En el caso de las máquinas virtuales de Azure que hospedan aplicaciones que se
conectan a SQL Database:
Siga las recomendaciones para restringir el acceso a través de puntos de
conexión accesibles desde Internet en Microsoft Defender for Cloud.
Use los conjuntos de escalado de máquinas virtuales para ejecutar varias
instancias de la aplicación en máquinas virtuales de Azure.
Deshabilite RDP y SSH desde Internet para evitar los ataques por fuerza bruta.
Supervisión, registro y auditoría

En esta sección se hace referencia a las funcionalidades que lo ayudan a detectar
actividades anómalas que indican intentos inusuales y potencialmente dañinos para
acceder o vulnerar las bases de datos. También se describen los procedimientos
recomendados para configurar la auditoría de base de datos a fin de realizar un
seguimiento de los eventos de base de datos y capturarlos.
Protección de las bases de datos frente a ataques

La protección de amenazas avanzada le permite detectar posibles amenazas y
responder a ellas si fuera necesario, gracias a las alertas de seguridad sobre actividades
anómalas que se proporcionan.
Use Advanced Threat Protection para SQL para detectar intentos inusuales y
potencialmente dañinos para acceder o vulnerar las bases de datos, entre los que
se incluyen los siguientes:
Ataque por inyección de código SQL.
Robo o pérdida de credenciales.
Abuso de privilegios.
Filtración de datos.
Configure Microsoft Defender para SQL para un servidor o una instancia

administrada concretos. También puede configurar Microsoft Defender para SQL
para todos los servidores y las instancias administradas de una suscripción. Para
ello, habilite Microsoft Defender for Cloud.
Para obtener una experiencia de investigación completa, se recomienda habilitar

SQL Database Auditing. Con la auditoría, puede realizar un seguimiento de los
eventos de base de datos y escribirlos en un registro de auditoría en una cuenta
de Azure Storage o en el área de trabajo de Azure Log Analytics.
Auditoría de eventos de seguridad críticos

El seguimiento de los eventos de base de datos ayuda a comprender la actividad de las
bases de datos. Puede obtener información sobre discrepancias y anomalías que
pueden indicar problemas en el negocio o infracciones de seguridad sospechosas.
También habilita y facilita el cumplimiento de los estándares de cumplimiento.
Habilite Auditoría de SQL Database o Auditoría de Instancia administrada para

realizar un seguimiento de los eventos de base de datos y escribirlos en un
registro de auditoría en una cuenta de Azure Storage, en un área de trabajo de
Log Analytics (versión preliminar) o en Event Hubs (versión preliminar).
Los registros de auditoría se pueden escribir en una cuenta de Azure Storage, en

un área de trabajo de Log Analytics para su consumo en registros de
Azure Monitor o en un centro de eventos para consumirlos mediante el centro de
eventos. Puede configurar cualquier combinación de estas opciones, y los registros
de auditoría se escribirán en cada una.
Al configurar Auditoría de SQL Database en el servidor o Auditoría de Instancia

administrada para auditar los eventos, se auditarán todas las bases de datos
existentes y recién creadas en ese servidor.
De manera predeterminada, la directiva de auditoría incluye todas las acciones
(consultas, procedimientos almacenados e inicios de sesión correctos y erróneos)
en las bases de datos, lo que puede dar lugar a un gran volumen de registros de
auditoría. Se recomienda a los clientes configurar la auditoría para diferentes tipos
de acciones y grupos de acciones mediante PowerShell. Configurarla ayudará a
controlar el número de acciones auditadas y a minimizar el riesgo de pérdida de
eventos. Las configuraciones de auditoría personalizadas permiten a los clientes
capturar solo los datos de auditoría necesarios.
Los registros de auditoría se pueden consumir directamente en Azure Portal o
desde la ubicación de almacenamiento que se configuró.
７ Nota
La habilitación de la auditoría en Log Analytics incurrirá en costos en función de las
tarifas de ingesta. Tenga en cuenta el costo asociado al uso de esta opción ,o
considere la posibilidad de almacenar los registros de auditoría en una cuenta de
almacenamiento de Azure.
Auditoría de base de datos SQL

Auditoría de SQL Server
Protección de los registros de auditoría

Restrinja el acceso a la cuenta de almacenamiento para permitir la separación de tareas
y separar a los DBA de los auditores.
Al guardar los registros de auditoría en Azure Storage, asegúrese de que el acceso

a la cuenta de almacenamiento está restringido a los principios de seguridad
mínimos. Controle quién tiene acceso a la cuenta de almacenamiento.
Para más información, consulte Autorización de acceso a Azure Storage.
Controlar el acceso al destino de auditoría es un concepto clave en la separación

de los DBA de los auditores.
Al auditar el acceso a datos confidenciales, considere la posibilidad de proteger los

datos con el cifrado de datos para evitar la fuga de información al auditor. Para
más información, consulte la sección Protección de datos confidenciales en uso de
usuarios no autorizados con privilegios elevados.
Administración de seguridad
En esta sección se describen los distintos aspectos y procedimientos recomendados
para administrar su posición de seguridad de las bases de datos. Incluye procedimientos
recomendados para garantizar que las bases de datos están configuradas para cumplir
con los estándares de seguridad, para detectar y para clasificar y realizar el seguimiento
del acceso a datos potencialmente confidenciales en las bases de datos.
Comprobación de que las bases de datos están
configuradas para cumplir con los procedimientos
recomendados de seguridad
Mejore de manera proactiva la seguridad de la base de datos mediante la detección y
corrección de posibles vulnerabilidades de la base de datos.
Habilite la Evaluación de vulnerabilidades de SQL (VA) para examinar la base de

datos en busca de problemas de seguridad y para que se ejecute periódicamente
en las bases de datos.
Para empezar, ejecute VA en sus bases de datos y realice una iteración mediante la
corrección de las comprobaciones con errores que se oponen a los procedimientos
recomendados de seguridad. Configure líneas de base para las configuraciones
aceptables hasta obtener un examen limpio o superar todas las comprobaciones.
Configure exámenes periódicos recurrentes para que se ejecuten una vez a la

semana y configure al usuario correspondiente para que reciba los correos
electrónicos de resumen.
Revise el resumen de VA después de cada examen semanal. En el caso de las

vulnerabilidades detectadas, evalúe el desfase del resultado del examen anterior y
determine si se debe resolver la comprobación. Revise si hay una razón legítima
para el cambio en la configuración.
Resuelva las comprobaciones y actualice las líneas de base cuando proceda. Cree
elementos de vale para resolver acciones y realizar un seguimiento de estos hasta
que se resuelvan.
Evaluación de vulnerabilidad de SQL

El servicio de evaluación de vulnerabilidad de SQL le ayuda a identificar los puntos
vulnerables de la base de datos
Identificación y etiquetado de datos confidenciales

Detecte las columnas que posiblemente contengan datos confidenciales. Lo que se
considera datos confidenciales depende en gran medida del cliente, del reglamento de
cumplimiento, etc. y los deben evaluar los usuarios a cargo de esos datos. Clasifique las
columnas para utilizar escenarios avanzados de protección y auditoría basadas en la
confidencialidad.
Use Clasificación y detección de datos de SQL para detectar, clasificar, etiquetar y

proteger los datos confidenciales en las bases de datos.
Vea las recomendaciones de clasificación creadas por la detección automatizada
en el panel Clasificación y detección de datos SQL. Acepte las clasificaciones
pertinentes, de modo que los datos confidenciales se etiqueten de forma
persistente con las etiquetas de clasificación.
Agregue manualmente las clasificaciones para los campos de datos
confidenciales adicionales que no haya descubierto el mecanismo
automatizado.
Para obtener más información, consulte Clasificación y detección de datos de SQL.
Supervise periódicamente el panel de clasificación para obtener una evaluación

precisa del estado de la clasificación de la base de datos. Un informe sobre el
estado de la clasificación de la base de datos se puede exportar o imprimir para
compartirlo con fines de cumplimiento y auditoría.
Supervise continuamente el estado de los datos confidenciales recomendados en

Evaluación de vulnerabilidad de SQL. Realice un seguimiento de la regla de
detección de datos confidenciales e identifique cualquier desfase en las columnas
recomendadas para la clasificación.
Use la clasificación de una manera que esté adaptada a las necesidades específicas
de su organización. Personalice la directiva Information Protection (etiquetas de
confidencialidad, tipos de información, lógica de detección) en la directiva SQL
Information Protection de Microsoft Defender for Cloud.
Seguimiento del acceso a datos confidenciales

Supervise quién tiene acceso a los datos confidenciales y capture consultas sobre los
datos confidenciales en los registros de auditoría.
Use la auditoría de SQL y la clasificación de datos en combinación.

En el registro de auditoría de SQL Database, puede realizar un seguimiento del
acceso a datos confidenciales específicamente. También puede ver información,
como los datos a los que se accedió, así como su etiqueta de confidencialidad.
Para obtener más información, consulte Clasificación y detección de datos y
Auditoría del acceso a datos confidenciales.
Consulte los procedimientos recomendados para las secciones de Auditoría y

Clasificación de datos:
Auditoría de eventos de seguridad críticos
Identificación y etiquetado de datos confidenciales
Visualización del estado de la seguridad y del

cumplimiento
Use un sistema de administración de la seguridad de infraestructura unificada que
refuerce la posición de seguridad de los centros de datos (incluidas las bases de datos
de SQL Database). Vea una lista de recomendaciones sobre la seguridad de las bases de
datos y el estado de cumplimiento.
Supervise las recomendaciones de seguridad relacionadas con SQL y las amenazas

activas en Microsoft Defender for Cloud.
Amenazas de seguridad comunes y posibles

mitigaciones
Esta sección lo ayuda a encontrar medidas de seguridad para protegerse contra
determinados vectores de ataque. Se espera que la mayoría de las mitigaciones se
puedan lograr siguiendo una o varias de las directrices de seguridad mencionadas.
Amenaza de seguridad: Filtración de datos

La filtración de datos es la copia, transferencia o recuperación no autorizada de los
datos de un equipo o servidor. Consulte una definición de filtración de datos en
Wikipedia.
La conexión al servidor a través de un punto de conexión público presenta un riesgo de

filtración de datos, ya que requiere que los clientes abran sus firewalls a direcciones IP
públicas.
Escenario 1: una aplicación en una VM de Azure se conecta a una base de datos de una
instancia de Azure SQL Database. Un actor no autorizado obtiene acceso a la máquina
virtual y la pone en peligro. En este escenario, la filtración de datos significa que una
entidad externa que usa la VM no autorizada se conecta a la base de datos, copia la
información personal y la almacena en un almacenamiento de blobs o en una base de
datos SQL Database diferente en una suscripción distinta.
Escenario 2: un DBA no autorizado. A menudo, este escenario lo generan los clientes

confidenciales de sectores regulados. En este escenario, un usuario con privilegios
elevados podría copiar datos de Azure SQL Database a otra suscripción no controlada
por el propietario de los datos.
Posibles mitigaciones
En la actualidad, Azure SQL Database e Instancia administrada de SQL ofrecen las

técnicas siguientes para mitigar las amenazas de filtración de datos:
Use una combinación de reglas de permiso y denegación en los grupos de

seguridad de red de las máquinas virtuales de Azure para controlar a qué regiones
se puede tener acceso desde la máquina virtual.
Si usa un servidor de SQL Database, establezca las opciones siguientes:
Establezca Allow Azure Services (Permitir servicios de Azure) en OFF.
Permita solo el tráfico desde la subred que contiene la máquina virtual de Azure
mediante la configuración de una regla de firewall de red virtual.
Use Private Link.
En el caso de SQL Managed Instance, el uso del acceso IP privado de manera
predeterminada aborda la primera preocupación relacionada con la filtración de
datos de una máquina virtual no autorizada. Active la característica de delegación
de subred en una subred para establecer automáticamente la directiva más
restrictiva en una subred de Instancia administrada de SQL.
El problema de DBA no autorizado se expone más con SQL Managed Instance, ya
que tiene un área expuesta mayor y los requisitos de red son visibles para los
clientes. La mejor mitigación para esto es aplicar todos los procedimientos de esta
guía de seguridad para evitar en primer lugar el escenario de un DBA no
autorizado (no solo para la filtración de datos). Always Encrypted es un método
para proteger los datos confidenciales mediante su cifrado e impidiendo que el
DBA pueda acceder a la clave.
Aspectos de seguridad de la disponibilidad y
continuidad empresarial
La mayoría de los estándares de seguridad abordan la disponibilidad de los datos en
términos de la continuidad operativa, gracias a la implementación de funcionalidades de
redundancia y conmutación por error para evitar únicos puntos de error. En escenarios
de desastre, un procedimiento común es mantener copias de seguridad de los archivos
de datos y de registro. En la sección siguiente se proporciona información general de
alto nivel sobre las funcionalidades integradas en Azure. También se proporcionan
opciones adicionales que se pueden configurar para satisfacer necesidades específicas:
Azure ofrece alta disponibilidad integrada: Alta disponibilidad con SQL Database y
SQL Managed Instance
El nivel Crítico para la empresa incluye grupos de conmutación por error, copias de
seguridad de registros completas y diferenciales y copias de seguridad de
restauración a un momento dado habilitadas de manera predeterminada:
Copias de seguridad automatizadas
Recuperación de una base de datos mediante copias de seguridad
automatizadas de base de datos - Restauración a un momento dado
Se pueden configurar otras características de continuidad empresarial, como la

configuración con redundancia de zona y los grupos de conmutación por error
automática en diferentes zonas geográficas de Azure:
Alta disponibilidad: configuración con redundancia de zona para los niveles de
servicio Premium y Crítico para la empresa
Alta disponibilidad: configuración con redundancia de zona para el nivel de
servicio De uso general
Información general sobre la continuidad empresarial
Pasos siguientes
Consulte Información general sobre las funcionalidades de seguridad de
Azure SQL Database.
Lista de comprobación de la seguridad
de Azure Database
Artículo • 27/04/2023
Para ayudar a mejorar la seguridad, Azure Database incluye muchos controles de

seguridad integrados que puede usar para limitar y controlar el acceso.
Los controles de seguridad incluyen estos elementos:
Un firewall que permite crear reglas de firewall que limitan la conectividad en

función de su dirección IP
Firewall de nivel de servidor accesible desde Azure Portal
Reglas de firewall de nivel de base de datos accesibles desde SSMS
Conectividad segura a una base de datos mediante cadenas de conexión seguras
Uso de la administración del acceso
Cifrado de datos
Auditoría de SQL Database
Detección de amenazas de SQL Database
Introducción
La informática en la nube requiere nuevos paradigmas de seguridad que son poco
conocidos para muchos usuarios de aplicaciones, administradores de bases de datos y
programadores. Como resultado, algunas organizaciones dudan de si implementar una
infraestructura en la nube para la administración de datos debido a los riesgos de
seguridad percibidos. Sin embargo, se puede mitigar gran parte de este problema
mediante una mejor comprensión de las características de seguridad integradas en
Microsoft Azure y Microsoft Azure SQL Database.
Lista de comprobación
Le recomendamos que lea el artículo Prácticas recomendadas de seguridad de Azure
Database antes de revisar esta lista. Cuando comprenda los procedimientos
recomendados, podrá obtener el máximo partido de esta lista de comprobación. A
continuación, puede usarla para asegurarse de que ha abordado las cuestiones
importantes de la seguridad para las bases de datos de Azure.
Categoría de la Descripción
lista de
comprobación
Protección de
datos
Seguridad de la capa de transporte, para el cifrado de datos cuando

Cifrado en los datos se pasan a las redes.
movimiento o Las bases de datos requieren una comunicación segura desde los
tránsito clientes basados en el protocolo TDS (Tabular Data Stream) a través
de TLS (Seguridad de la capa de transporte).
Cifrado de datos transparente, cuando los datos inactivos se

Cifrado en reposo almacenan físicamente en cualquier formato digital.
Control de acceso
Autenticación (Autenticación de Azure Active Directory). La

Acceso a la base autenticación de AD usa las identidades administradas por Azure
de datos Active Directory.
Autorización. Conceda a los usuarios los privilegios mínimos
necesarios.
Seguridad de nivel de fila (Se usa la directiva de seguridad, al mismo

Acceso a las tiempo que se restringe el acceso de nivel de fila según el contexto
aplicaciones de ejecución, rol o identidad de un usuario).
Enmascaramiento dinámico de datos (El uso de directivas y permisos
limita la exposición de información confidencial al enmascararla para
los usuarios sin privilegios)
Supervisión
proactiva
La auditoría realiza un seguimiento de los eventos de bases de datos

Seguimiento y y los escribe en un registro de auditoría y de actividad en su cuenta
detección de Azure Storage.
Seguimiento del estado de Azure Database mediante registros de
actividad de Azure Monitor.
Detección de amenazas detecta actividades anómalas en la base de
datos que indican posibles amenazas de seguridad.
Supervisión de datos. Use Microsoft Defender for Cloud como

Microsoft Defender solución de supervisión de seguridad centralizada para SQL y otros
for Cloud servicios de Azure.
Conclusión
Azure Database es una sólida plataforma de base de datos, con una amplia gama de
características de seguridad que satisfacen muchos de los requisitos de cumplimiento
tanto normativos como organizativos. Puede proteger fácilmente los datos controlando
el acceso físico a los mismos, y con diversas opciones de seguridad de datos a nivel de
archivo, columna o fila con el Cifrado de datos transparente, el Cifrado de nivel de celda
o la Seguridad de nivel de fila. Always Encrypted también permite operaciones en los
datos cifrados, simplificando el proceso de actualizaciones de las aplicaciones. A su vez,
el acceso a los registros auditoría de la actividad de SQL Database le proporciona la
información que necesita, lo que le permite saber cómo y cuándo se tiene acceso a
datos.
Pasos siguientes
Con unos pocos pasos sencillos puede mejorar la protección de su base de datos contra
usuarios malintencionados o acceso no autorizado. En este tutorial, aprenderá a:
Configurar reglas de firewall para un servidor o una base de datos.

Proteger los datos con cifrado.
Habilitar la auditoría de SQL Database.
Recomendaciones de seguridad para
Blob Storage
Artículo • 06/04/2023
Este artículo contiene recomendaciones de seguridad para Blob Storage. La

implementación de estas recomendaciones le ayudará a cumplir sus obligaciones de
seguridad, tal y como se describe en nuestro modelo de responsabilidad compartida.
Para más información sobre cómo Microsoft cumple las responsabilidades del
proveedor de servicios, consulte Responsabilidad compartida en la nube.
Microsoft Defender for Cloud puede supervisar automáticamente algunas de las

recomendaciones incluidas en este artículo, que es la primera línea de defensa para
proteger los recursos de Azure. Para obtener más información sobre Microsoft Defender
for Cloud, consulte ¿Qué es Microsoft Defender for Cloud?.
Microsoft Defender for Cloud analiza periódicamente el estado de seguridad de los

recursos de Azure para identificar posibles puntos vulnerables de la seguridad. Después,
proporciona recomendaciones sobre cómo abordarlas. Para más información sobre las
recomendaciones de Microsoft Defender for Cloud, consulte el artículo sobre las
recomendaciones de seguridad.

Recomendación Comentarios Defender
for Cloud
Usar el modelo de Cree cuentas de almacenamiento mediante el modelo de -

implementación de implementación de Azure Resource Manager, ya que así
Azure Resource logrará importantes mejoras en la seguridad, entre las que se
Manager incluyen el control de acceso basado en roles (RBAC) y una
auditoría superiores, gobernanza e implementación basados en
Resource Manager, acceso a identidades administradas, acceso
a los secretos de Azure Key Vault y autorización y autenticación
de Azure Active Directory (Azure AD) para acceder a datos y
recursos de Azure Storage. Si es posible, migre las cuentas de
almacenamiento existentes que usan el modelo de
implementación clásica para que usen Azure Resource
Manager. Para más información sobre Azure Resource
Manager, consulte Introducción a Azure Resource Manager.
for Cloud
Habilitación de Microsoft Defender para Storage proporciona una capa Sí

Microsoft Defender adicional de inteligencia de seguridad que detecta intentos
para todas las poco habituales y potencialmente peligrosos de acceder a las
cuentas de cuentas de almacenamiento o vulnerarlas. En
almacenamiento Microsoft Defender for Cloud se desencadenan alertas de
seguridad cuando se producen anomalías en alguna actividad y
también se envían por correo electrónico a los administradores
de las suscripciones con detalles de la actividad sospechosa y
recomendaciones sobre cómo investigar y solucionar las
amenazas. Para más información, consulte el artículo sobre
configuración de Microsoft Defender para Storage.
Activar la La eliminación temporal de los blobs permite recuperar datos -

eliminación de blobs después de haberlos eliminado. Para más información
temporal de blobs sobre la eliminación temporal de blobs, consulte Eliminación
temporal de blobs de Azure Storage.
Activar la La eliminación temporal de los contenedores le permite -

eliminación recuperar un contenedor después de haberlo eliminado. Para
temporal de más información sobre la eliminación temporal de blobs,
contenedores consulte Eliminación temporal de contenedores.
Bloquear la cuenta Aplique un bloqueo de Azure Resource Manager a su cuenta

de de almacenamiento para protegerla de la eliminación
almacenamiento accidental o malintencionada o del cambio de configuración. El
para evitar bloqueo de una cuenta de almacenamiento no impide que se
cambios en la eliminen los datos de esa cuenta. Solo evita que se elimine la
configuración o la cuenta. Para más información, consulte Aplicación de un
eliminación bloqueo de Azure Resource Manager a una cuenta de
accidental o almacenamiento.
malintencionada
Almacenar datos Configure las suspensiones legales y las directivas de retención -

críticos para la durante un tiempo para almacenar los datos de los blobs en
empresa en blobs estado WORM (escribir una vez, leer muchas). Los blobs que se
inmutables hayan almacenado de forma inmutable se pueden leer, pero no
se pueden modificar ni eliminar mientras dure el intervalo de
retención. Para más información, consulte Almacenamiento de
datos de blobs críticos para la empresa con almacenamiento
inmutable.
for Cloud
Exigir la Cuando se requiere una transferencia segura para una cuenta -

transferencia de almacenamiento, todas las solicitudes a la cuenta de
segura (HTTPS) a la almacenamiento deben realizarse mediante HTTPS. Las
cuenta de solicitudes realizadas a través de HTTP se rechazan. Microsoft
almacenamiento recomienda que siempre se requiera una transferencia segura
para todas las cuentas de almacenamiento. Para obtener más
información, consulte Requisito de transferencia segura para
garantizar conexiones seguras.
Limitar los tokens Requerir HTTPS cuando un cliente usa un token de SAS para -
de firma de acceso acceder a los datos de los blobs ayuda a minimizar el riesgo de
compartido (SAS) espionaje. Para obtener más información, consulte Otorgar
solo a conexiones acceso limitado a recursos de Azure Storage con firmas de
HTTPS acceso compartido (SAS).
Deshabilitar la De forma predeterminada, un usuario autorizado puede -

replicación de configurar una directiva de replicación de objetos en la que la
objetos entre cuenta de origen se encuentra en un inquilino de Azure AD y la
inquilinos cuenta de destino, en otro diferente. No permita la replicación
de objetos entre inquilinos para requerir que las cuentas de
origen y de destino que participan en una directiva de
replicación de objetos estén en el mismo inquilino. Para
obtener más información, vea Impedir la replicación de objetos
entre inquilinos de Azure Active Directory.

for Cloud
Usar Azure AD proporciona mayor seguridad y facilidad de uso -

Azure Active Directory que la clave compartida para autorizar solicitudes en Blob
(Azure AD) para Storage. Para más información, consulte Autorización del
autorizar el acceso a acceso a datos en Azure Storage.
los datos de los blobs
Tenga en cuenta el Al asignar un rol a un usuario, grupo o aplicación, conceda a -

principio de esa entidad de seguridad exclusivamente los permisos
privilegios mínimos al necesarios para que pueda realizar sus tareas. La limitación
asignar permisos a del acceso a los recursos ayuda a prevenir el mal uso
una entidad de involuntario y malintencionado de los datos.
seguridad de
Azure AD a través de
Azure RBAC.
for Cloud
Usar una SAS de Una SAS de delegación de usuarios está protegida con -
delegación de usuario credenciales de Azure Active Directory (Azure AD) y también
para conceder a los con los permisos especificados para la SAS. Una SAS de
clientes acceso delegación de usuario tiene el mismo ámbito y función que
limitado a los datos una SAS de servicio, pero ofrece más seguridad. Para
de los blobs obtener más información, consulte Otorgar acceso limitado
a recursos de Azure Storage con firmas de acceso
compartido (SAS).
Proteger las claves de Microsoft recomienda usar Azure AD para autorizar las -
acceso de su cuenta solicitudes que se realicen a Azure Storage. Sin embargo, si
con Azure Key Vault debe usar la autorización de clave compartida, proteja sus
claves de cuenta con Azure Key Vault. Estas claves se
pueden recuperar del almacén de claves en tiempo de
ejecución, en lugar de guardarlas con la aplicación. Para más
información sobre Azure Key Vault, consulte Introducción a
Azure Key Vault.
Volver a generar las El cambio periódico de las claves de una cuenta reduce el -
claves de cuenta riesgo de exponer los datos a actores malintencionados.
periódicamente
Impedir la Cuando se impide la autorización con clave compartida para -

autorización con clave una cuenta de almacenamiento, Azure Storage rechaza
compartida todas las solicitudes posteriores a esa cuenta autorizadas
con las claves de acceso de la cuenta. Solo se realizarán
correctamente las solicitudes protegidas que estén
autorizadas con Azure AD. Para obtener más información,
consulte Impedir la autorización con clave compartida para
una cuenta de Azure Storage.
Tener en cuenta el Al crear una SAS, especifique solo aquellos permisos que el -
principio de cliente requiera para realizar su función. La limitación del
privilegios mínimos al acceso a los recursos ayuda a prevenir el mal uso
asignar permisos a involuntario y malintencionado de los datos.
una SAS
for Cloud
Tener en vigor un plan Si alguna SAS corre peligro, seguro que deseará poder -
de revocación para revocarla lo antes posible. Para revocar una SAS de
cualquier SAS que delegación de usuario, revoque la clave de delegación de
emita a los clientes usuario para invalidar rápidamente todas las firmas
asociadas con ella. Para revocar una SAS de servicio
asociada a una directiva de acceso almacenado, puede
eliminar esta, cambiar el nombre de la directiva, o bien
cambiar su tiempo de vencimiento a un tiempo pasado. Para
obtener más información, consulte Otorgar acceso limitado
a recursos de Azure Storage con firmas de acceso
compartido (SAS).
Si una SAS de servicio Las SAS de servicio que no estén asociadas con alguna -
no está asociada a directiva de acceso almacenada no se pueden revocar. Por
una directiva de eso se recomienda limitar el tiempo de expiración para que
acceso almacenado, la SAS sea válida durante una hora, o menos.
establezca el tiempo
de vencimiento en
una hora, o menos
Deshabilitar el acceso El acceso de lectura público anónimo a un contenedor y sus -

de lectura público y blobs concede a todos los clientes acceso de solo lectura a
anónimo a estos recursos. Evite habilitar el acceso de lectura público,
contenedores y blobs salvo que el escenario lo requiera. Para aprender a
deshabilitar el acceso público anónimo para una cuenta de
almacenamiento, consulte Introducción: Corrección del
acceso de lectura público anónimo a los datos de blobs.
Redes
for Cloud
Configurar la Exija a los clientes que usen una versión más segura de TLS para -
versión mínima realizar solicitudes en una cuenta de Azure Storage configurando
necesaria de la versión mínima de TLS para esa cuenta. Para más información,
Seguridad de la consulte Configuración de la versión mínima necesaria de
capa de Seguridad de la capa de transporte (TLS) para una cuenta de
transporte (TLS) almacenamiento.
para una cuenta
de
almacenamiento
for Cloud
Habilitar la Cuando habilite la opción Se requiere transferencia segura, Sí

opción Se deben usarse conexiones seguras para realizar todas las
requiere solicitudes realizadas en la cuenta de almacenamiento. Las
transferencia solicitudes realizadas a través de HTTP producirán un error. Para
segura en todas más información, consulte Requerir transferencia segura en Azure
las cuentas de Storage.
almacenamiento
Habilitar reglas Configure las reglas de firewall para limitar el acceso a su cuenta -
de firewall de almacenamiento a las solicitudes que partan de direcciones IP
o intervalos especificados, o de una lista de subredes de una red
virtual de Azure (VNet). Para más información acerca de la
configuración de reglas de firewall, consulte Configuración de
redes virtuales y firewalls de Azure Storage.
Permitir que los La activación de las reglas de firewall para la cuenta de -

servicios de almacenamiento bloquea las solicitudes entrantes para los datos
Microsoft de de forma predeterminada, a menos que las solicitudes procedan
confianza de un servicio que funcione en una instancia de Azure Virtual
accedan a la Network (VNet) o desde direcciones IP públicas permitidas. Las
cuenta de solicitudes que bloquean incluyen aquellas de otros servicios de
almacenamiento Azure, desde Azure Portal, desde los servicios de registro y de
métricas, etc. Para permitir solicitudes de otros servicios de Azure,
agregue una excepción que permita que los servicios de
Microsoft de confianza accedan a la cuenta de almacenamiento.
Para más información acerca de la adición de una excepción para
los servicios de Microsoft de confianza, consulte Configuración de
redes virtuales y firewalls de Azure Storage.
Usar puntos de Un punto de conexión privado asigna una dirección IP privada de -

conexión Azure Virtual Network (red virtual) a la cuenta de
privados almacenamiento. Protege todo el tráfico que circule entre su red
virtual y la cuenta de almacenamiento mediante un enlace
privado. Para más información sobre los puntos de conexión
privados, consulte Conexión privada a una cuenta de
almacenamiento mediante el punto de conexión privado de
Azure.
for Cloud
Uso de etiquetas Una etiqueta de servicio representa un grupo de prefijos de -

de servicio de direcciones IP de un servicio de Azure determinado. Microsoft
red virtual administra los prefijos de direcciones que la etiqueta de servicio
incluye y actualiza automáticamente dicha etiqueta a medida que
las direcciones cambian. Para más información sobre las etiquetas
de servicio compatibles con Azure Storage, consulte Introducción
a las etiquetas de servicio de Azure. Para ver un tutorial que
muestra cómo usar las etiquetas de servicio para crear reglas de
red de salida, consulte Restricción del acceso a los recursos de
PaaS.
Limitar el acceso La limitación del acceso a la red a redes que hospeden clientes Sí
a la red a que requieran acceso reduce la exposición de sus recursos a
determinadas ataques en la red.
redes
Configuración Puede configurar mediante el enrutamiento de Internet o de red -

de las global de Microsoft la preferencia de enrutamiento de red para la
preferencias de cuenta de Azure Storage a fin de especificar cómo se enruta el
enrutamiento de tráfico de red a su cuenta desde los clientes por Internet. Para
red obtener más información, consulte Configuración de las
preferencias de enrutamiento de red para Azure Storage.
Registro y supervisión
for Cloud
Hacer un Habilite el registro de Azure Storage para realizar un seguimiento -

seguimiento de de cómo se autorizan las solicitudes al servicio. Los registros
cómo se indican si una solicitud se realizó de forma anónima o mediante
autorizan las un token OAuth 2.0, una clave compartida o una firma de acceso
solicitudes compartido (SAS). Para más información, consulte Supervisión de
Azure Blob Storage con Azure Monitor o Registro de análisis de
Azure Storage con supervisión clásica.
Configuración Configure alertas de registro para evaluar los registros de los -

de alertas en recursos según una frecuencia establecida y activar una alerta en
Azure Monitor función de los resultados. Para obtener más información, consulte
Alertas de registro en Azure Monitor.
Pasos siguientes
Documentación de Azure Security Center
Documentación sobre desarrollo seguro
Caja de seguridad del cliente de
Microsoft Azure
Artículo • 18/08/2023
７ Nota
Para usar esta característica, su organización debe tener un plan de soporte

técnico de Azure con un nivel mínimo de tipoDesarrollador.
La mayoría de las operaciones, el soporte técnico y la solución de problemas a cargo del

personal de Microsoft y los subprocesos no requieren el acceso a los datos del cliente.
En aquellas circunstancias excepcionales en las que se necesite dicho acceso, Caja de
seguridad del cliente para Microsoft Azure proporciona una interfaz para los clientes
que les permite revisar y aprobar o rechazar las solicitudes de acceso a los datos de
clientes. Se usa en casos en los que un ingeniero de Microsoft necesita acceso a los
datos de los clientes, ya sea en respuesta a una incidencia de soporte técnico iniciada
por el cliente o a un problema detectado por Microsoft.
Este artículo se describe cómo habilitar Caja de seguridad del cliente y cómo se inician,
siguen y almacenan las solicitudes de Caja de seguridad del cliente para revisiones y
auditorías posteriores.
Servicios y escenarios admitidos
Disponibilidad general
Los servicios siguientes están disponibles con carácter general para Caja de seguridad
del cliente:
Azure API Management

Azure App Service
Azure Cognitive Search
Servicios de Azure AI
Azure Container Registry
Azure Data Box
Explorador de datos de Azure
Azure Data Factory
Azure Database for MySQL
Servidor flexible para Azure Database for MySQL
Azure Database for PostgreSQL
Azure Databricks
Azure Edge Zone Platform Storage
Azure Functions
HDInsight de Azure
Azure Health Bot
Azure Intelligent Recommendations
Azure Kubernetes Service
Azure Logic Apps
Azure Monitor
Azure Spring Apps
Azure SQL Database
Azure SQL Managed Instance
Azure Storage
Transferencias de suscripciones de Azure
Azure Synapse Analytics
Azure Unified Vision Service
Microsoft Azure Attestation
Versión preliminar de Azure Data Manager for Energy
OpenAI
Máquinas virtuales de Azure (que abarcan el acceso de escritorio remoto, el acceso
a los volcados de memoria y los discos administrados)
Vista previa pública

Los siguientes servicios están actualmente en versión preliminar para Caja de seguridad
del cliente:
Azure Machine Learning

Azure Batch
Habilitación de Caja de seguridad del cliente

Ahora puede habilitar Caja de seguridad del cliente desde el módulo de
administración en la hoja Caja de seguridad del cliente.
７ Nota
Para habilitar Caja de seguridad del cliente, la cuenta de usuario debe tener
asignado el rol de administrador global.
Flujo de trabajo
Los siguientes pasos describen un flujo de trabajo típico para una solicitud de la Caja de
seguridad del cliente.
1. Un usuario en una organización tiene un problema con su carga de trabajo de

Azure.
2. Esta persona soluciona el problema pero, como no puede corregirlo, se abre una
incidencia de soporte técnico desde Azure Portal . La incidencia de soporte
técnico se asigna a un ingeniero del servicio de soporte técnico de Azure.
3. Un ingeniero del soporte técnico de Azure revisa la solicitud de servicio y

determina los pasos siguientes para resolver el problema.
4. Si el ingeniero de soporte técnico no puede solucionar el problema mediante las

herramientas estándar y los datos generados por el servicio, el siguiente paso es
solicitar permisos con privilegios elevados mediante un servicio de acceso Just-In-
Time (JIT). Esta solicitud puede ser del ingeniero de soporte técnico original o de
otro, porque el problema se ha escalado al equipo de DevOps de Azure.
5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el servicio Just-In-
Time evalúa la solicitud teniendo en cuenta factores como:
El ámbito del recurso

Si el solicitante es una identidad aislada o si usa autenticación multifactor.
Para los niveles de permisos basados en la regla JIT, esta solicitud también
puede incluir una aprobación de los aprobadores internos de Microsoft. Por
ejemplo, el aprobador podría ser el líder del soporte técnico al cliente o el
encargado de DevOps.
6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia
una solicitud de Caja de seguridad del cliente. Por ejemplo, se obtiene acceso
desde el escritorio remoto a la máquina virtual de un cliente.
La solicitud se encuentra ahora en un estado de Cliente notificado, según el cual

se espera la aprobación del cliente antes de conceder el acceso.
7. Los aprobadores de la organización del cliente para una solicitud de Caja de

seguridad determinada se determinan de la siguiente manera:
En el caso de las solicitudes con ámbito de suscripción (solicitudes para
acceder a recursos específicos contenidos en una suscripción), los usuarios a
los que se les ha asignado el rol Propietario en la suscripción asociada.
En el caso de las solicitudes con ámbito de inquilino (solicitudes para acceder
al inquilino de Azure Active Directory), los usuarios a los que se les ha
asignado el rol de administrador global en el inquilino.
７ Nota
Las asignaciones de roles deben estar en vigor antes de que la Caja de

seguridad comience a procesar una solicitud. La Caja de seguridad no
reconocerá las asignaciones de roles realizadas después de que la Caja de
seguridad comience a procesar una solicitud determinada. Debido a esto,
para usar asignaciones aptas de PIM para el rol propietario de la suscripción,
los usuarios deben activar el rol antes de que se inicie la solicitud de caja de
seguridad del cliente. Consulte Activación de roles de Azure AD en PIM /
Activar roles de recursos de Azure en PIM para obtener más información
sobre cómo activar roles aptos para PIM.
Las asignaciones de roles con ámbito a grupos de administración no se

admiten en la Caja de seguridad en este momento.
8. En la organización del cliente, los aprobadores designados de la caja de seguridad

(Propietario de suscripción de Azure/Administrador global de Azure AD reciben un
correo electrónico de Microsoft para notificarles acerca de la solicitud de acceso
pendiente.
Correo electrónico de ejemplo:

9. La notificación por correo electrónico proporciona un vínculo a la hoja Caja de
seguridad del cliente del módulo Administración. Al usar este enlace, el aprobador
designado inicia sesión en Azure Portal para ver las solicitudes pendientes que su
organización tiene para la Caja de seguridad del cliente:
La solicitud permanece en la cola del cliente durante cuatro días. Transcurrido ese
tiempo, la solicitud de acceso expira automáticamente y no se concede acceso a
los ingenieros de Microsoft.
10. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede
seleccionar la solicitud de la caja de seguridad desde Solicitudes pendientes:
11. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE

SERVICIO para ver la solicitud de la incidencia de soporte técnico que creó el
usuario original. Esta información proporciona un contexto para el motivo por el
cual el Soporte técnico de Microsoft está involucrado y el historial del problema
informado. Por ejemplo:
12. Después de revisar la solicitud, el aprobador designado selecciona Aprobar o

Denegar:
Como resultado de la selección:
Aprobar: se concede acceso al ingeniero de Microsoft. El acceso se concede

durante un período predeterminado de ocho horas.
Denegar: La solicitud de acceso con privilegios elevados del ingeniero de
Microsoft se rechaza y no se realiza ninguna otra acción.
Con fines de auditoría, las acciones realizadas en este flujo de trabajo se registran
en los registros de solicitud de la Caja de seguridad del cliente.
Registros de auditoría
Los registros de la Caja de seguridad del cliente se almacenan en los registros de
actividad. En Azure Portal, seleccione Registros de actividad para ver la información de
auditoría relacionada con las solicitudes de la Caja de seguridad del cliente. Puede filtrar
acciones específicas, tales como:
Denegar la solicitud de la caja de seguridad
Crear la solicitud de la caja de seguridad
Aprobar la solicitud de la caja de seguridad
Expiración de la solicitud de la caja de seguridad
Por ejemplo:
Integración de la Caja de seguridad del cliente

con la prueba comparativa de seguridad en la
nube de Microsoft
Hemos introducido un nuevo control de línea base (PA-8: Determinar el proceso de
acceso para la compatibilidad con el proveedor de nube) en la prueba comparativa de
seguridad en la nube de Microsoft que cubre la aplicabilidad de la Caja de seguridad del
cliente. Ahora los clientes pueden aprovechar el punto de referencia para revisar la
aplicabilidad de Caja de seguridad del cliente para un servicio.
Exclusiones
Las solicitudes de Caja de seguridad del cliente no se activan en los siguientes
escenarios de soporte técnico de ingeniería:
Escenarios de emergencia que se encuentran fuera de los procedimientos

operativos estándar. Por ejemplo, una interrupción importante del servicio requiere
atención inmediata para recuperar o restaurar servicios en un escenario inesperado
o impredecible. Estos eventos de "interrupción" son poco frecuentes y, en la
mayoría de los casos, no requieren ningún acceso a los datos del cliente para
resolverlos.
Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la
solución de problemas y, sin darse cuenta, obtiene acceso a los datos del cliente.
Por ejemplo, el equipo de Azure Network realiza la resolución de problemas que
resulta en una captura de paquetes en un dispositivo de red. No es habitual que
en dichos escenarios se acceda a cantidades significativas de datos de los clientes.
Los clientes pueden proteger aún más sus datos mediante el cifrado en tránsito y
en reposo.
Además, las demandas jurídicas externas tampoco desencadenan solicitudes de Caja de

seguridad del cliente. Para obtener más información, consulte la explicación de las
solicitudes de datos por parte del Gobierno en el Centro de confianza de Microsoft.
Pasos siguientes
Caja de seguridad del cliente está disponible para todos los clientes que tengan un plan
de Soporte técnico de Azure con un nivel mínimo de Desarrollador. Puede habilitar
Caja de seguridad del cliente desde el módulo de administración en la hoja Caja de
seguridad del cliente.
Un ingeniero de Microsoft inicia las solicitudes de Caja de seguridad del cliente si esta
acción es necesaria para avanzar un caso de soporte técnico.
Base de referencia de seguridad de
Azure para Caja de seguridad del cliente
para Microsoft Azure
Artículo • 20/09/2023
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de
pruebas de seguridad en la nube de Microsoft a caja de seguridad del cliente para
Microsoft Azure. El punto de referencia de seguridad en la nube de Microsoft
proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en
Azure. El contenido se agrupa mediante los controles de seguridad definidos por el
banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas
aplicables a la Caja de seguridad del cliente para Microsoft Azure.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante

Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección
Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en

esta línea de base para ayudarle a medir el cumplimiento de los controles y
recomendaciones de las pruebas comparativas de seguridad en la nube de Microsoft.
Algunas recomendaciones pueden requerir un plan de Microsoft Defender de pago para
habilitar determinados escenarios de seguridad.
７ Nota
Se han excluido las características no aplicables a la Caja de seguridad del cliente

para Microsoft Azure. Para ver cómo la Caja de seguridad del cliente para Microsoft
Azure se asigna completamente a la prueba comparativa de seguridad en la nube
de Microsoft, consulte el archivo completo de asignación de línea de base de
seguridad de Microsoft Azure .
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de la Caja de
seguridad del cliente para Microsoft Azure, lo que puede dar lugar a un aumento de las
consideraciones de seguridad.
Categoría de productos Seguridad
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. False
Almacena el contenido del cliente en reposo False
Seguridad de red
Para más información, consulte la prueba comparativa de seguridad en la nube de
Microsoft: Seguridad de red.
NS-1: Establecimiento de límites de segmentación de red
Características
Integración de Virtual Network
Descripción: el servicio admite la implementación en el Virtual Network privado (VNet)

del cliente. Más información.
False No es aplicable No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Compatibilidad con grupos de seguridad de red
Descripción: el tráfico de red de servicio respeta la asignación de reglas de grupos de

seguridad de red en sus subredes. Más información.
NS-2: Servicios en la nube seguros con controles de red

Características
Azure Private Link
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red
(no confundir con NSG o Azure Firewall). Más información.
Deshabilitación del acceso de la red pública
Descripción: el servicio admite la deshabilitación del acceso a la red pública mediante el

uso de una regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall)
o mediante un modificador de alternancia "Deshabilitar acceso a la red pública". Más
información.
Administración de identidades
Para obtener más información, consulte La prueba comparativa de seguridad en la nube
de Microsoft: Administración de identidades.
IM-1: Uso de una identidad centralizada y un sistema de

autenticación
Características
Autenticación de Azure AD necesaria para el acceso al plano de

datos
Descripción: el servicio admite el uso de la autenticación de Azure AD para el acceso al

plano de datos. Más información.
True True Microsoft
Guía de configuración: no se requieren configuraciones adicionales, ya que está

habilitada en una implementación predeterminada.
Métodos de autenticación local para el acceso al plano de datos
Descripción: métodos de autenticación locales admitidos para el acceso al plano de

datos, como un nombre de usuario y una contraseña locales. Más información.
IM-3: Administración de identidades de aplicaciones de

forma segura y automática
Características
Identidades administradas
Descripción: las acciones del plano de datos admiten la autenticación mediante

identidades administradas. Más información.
Entidades de servicio
Descripción: el plano de datos admite la autenticación mediante entidades de servicio.

Más información.

IM-7: Restricción del acceso a los recursos en función de

las condiciones
Características
Acceso condicional para el plano de datos
Descripción: el acceso al plano de datos se puede controlar mediante directivas de

acceso condicional de Azure AD. Más información.
IM-8: Restricción de la exposición de credenciales y

secretos
Características
Integración y almacenamiento de credenciales y secretos de

servicio en Azure Key Vault
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén
de credenciales y secretos. Más información.
Acceso con privilegios

de Microsoft: Acceso con privilegios.
PA-1: Separación y limitación de usuarios administrativos
o con muchos privilegios
Características
Cuentas de Administración locales
Descripción: el servicio tiene el concepto de una cuenta administrativa local. Más

información.
PA-7: Seguimiento del principio de administración

suficiente (privilegios mínimos)
Características
RBAC de Azure para el plano de datos
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para
administrar el acceso a las acciones del plano de datos del servicio. Más información.
PA-8: Determinación del proceso de acceso para soporte

técnico a proveedores de nube
Características
Caja de seguridad del cliente

Descripción: La Caja de seguridad del cliente se puede usar para el acceso de soporte
técnico de Microsoft. Más información.
True False Customer
Notas de características: este es el servicio Caja de seguridad del cliente.
Guía de configuración: en escenarios de soporte técnico en los que Microsoft necesita

acceder a los datos, use caja de seguridad del cliente para revisar y, a continuación,
aprobar o rechazar cada una de las solicitudes de acceso a datos de Microsoft.
Referencia: Caja de seguridad del cliente para Microsoft Azure

de Microsoft: Protección de datos.
DP-1: detección, clasificación y etiquetado de datos

confidenciales
Características
Clasificación y detección de datos confidenciales
Descripción: las herramientas (como Azure Purview o Azure Information Protection) se

pueden usar para la detección y clasificación de datos en el servicio. Más información.
DP-2: Supervisión de anomalías y amenazas dirigidas a

datos confidenciales
Características
Prevención de pérdida y pérdida de datos
Descripción: el servicio admite la solución DLP para supervisar el movimiento de datos

confidenciales (en el contenido del cliente). Más información.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos.

Más información.
DP-6: Uso de un proceso seguro de administración de

claves
Características
Administración de claves en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos
o certificados de cliente. Más información.

DP-7: Uso de un proceso seguro de administración de
certificados
Características
Administración de certificados en Azure Key Vault
Descripción: el servicio admite la integración de Azure Key Vault para los certificados de
cliente. Más información.
Administración de recursos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube
de Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones de servicio se pueden supervisar y aplicar a través de

Azure Policy. Más información.
Notas de características: versión preliminar privada que requiere onbaording manual
Registro y detección de amenazas

Para más información, consulte la prueba comparativa de seguridad en la nube de
Microsoft: Registro y detección de amenazas.
LT-1: Habilitación de las funcionalidades de detección de

amenazas
Características
Microsoft Defender para la oferta de servicio o producto
Descripción: el servicio tiene una solución de Microsoft Defender específica de la oferta

para supervisar y alertar sobre problemas de seguridad. Más información.
LT-4: Habilitación del registro para la investigación de

seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas

y registros mejorados específicos del servicio. El cliente puede configurar estos registros
de recursos y enviarlos a su propio receptor de datos, como una cuenta de
almacenamiento o un área de trabajo de Log Analytics. Más información.
Notas de características: Aunque la Caja de seguridad del cliente no admite esta

característica, el cliente tiene acceso a los registros de actividad del servicio.
Para obtener más información, visite: Registros de auditoría

Pasos siguientes
Consulte la introducción a la prueba comparativa de seguridad en la nube de
Microsoft.
Obtenga más información sobre las líneas de base de seguridad de Azure.
Administración de identidades de
hardware de confianza
Artículo • 30/05/2023
El servicio Trusted Hardware Identity Management controla la administración de caché

de certificados de todos los entornos de ejecución de confianza (TEE) que residen en
Azure. También proporciona información de base de computación de confianza (TCB)
para aplicar una línea de base mínima para las soluciones de atestación.
Interacciones de atestación y Trusted Hardware

Identity Management
Trusted Hardware Identity Management define la línea de base de seguridad de Azure
para los nodos de computación confidencial de Azure (ACC) y almacena en caché la
garantía de los proveedores de TEE. Los servicios de atestación y los nodos de ACC
pueden usar la información almacenada en caché para validar las TEE. En el diagrama
siguiente se muestran las interacciones entre un servicio de atestación o un nodo,
Trusted Hardware Identity Management y un host de enclave.
Preguntas más frecuentes
¿Cómo usar Trusted Hardware Identity Management con

procesadores Intel?
Para generar ofertas de Intel SGX e Intel TDX, Intel Quote Generation Library (QGL)
necesita acceso a la garantía de validación o generación de ofertas. Toda esta garantía o
partes de ella se deben capturar desde Trusted Hardware Identity Management. Puede
capturarlo mediante Intel Quote Provider Library (QPL) o la biblioteca cliente de Azure
Data Center Attestation Primitives (DCAP).
La fecha de "próxima actualización" de la API del servicio

de almacenamiento en caché interno de Azure, que usa
Azure Attestation, parece que no está actualizada. ¿Sigue
en funcionamiento y se puede usar?
El campo tcbinfo contiene la información de TCB. El servicio Trusted Hardware Identity
Management proporciona información de tcbinfo anterior de manera predeterminada.
La actualización a la información de tcbinfo más reciente de Intel provocaría errores de
atestación para los clientes que no hayan migrado al SDK de Intel más reciente, así
como interrupciones.
Sin embargo, Open Enclave SDK y Azure Attestation no examinan la fecha de

nextUpdate y pasarán la atestación.
¿Qué es la biblioteca de Azure DCAP?

La biblioteca de Azure Data Center Attestation Primitives (DCAP), un reemplazo de Intel
Quote Provider Library (QPL), captura la garantía de generación y validación de ofertas
directamente del servicio Trusted Hardware Identity Management. La captura de
material de garantía directamente del servicio Trusted Hardware Identity Management
garantiza que todos los hosts de Azure tengan garantías disponibles en la nube de
Azure para reducir las dependencias externas. La versión que se recomienda
actualmente de la biblioteca DCAP es la 1.11.2.
¿Dónde puedo descargar los paquetes DCAP más

recientes?
Use los vínculos siguientes para descargar los paquetes:
Ubuntu 20.04
Ubuntu 18.04
Windows
¿Por qué Trusted Hardware Identity Management e Intel

tienen líneas de base diferentes?
Trusted Hardware Identity Management e Intel proporcionan diferentes niveles de línea
de base de la base de computación de confianza. Cuando los clientes asumen que Intel
tiene las líneas de base más recientes, deben asegurarse de que se cumplen todos los
requisitos. Este enfoque puede provocar una interrupción si los clientes no han
actualizado a los requisitos especificados.
Trusted Hardware Identity Management adopta un enfoque más lento para actualizar la
línea de base de TCB para que los clientes puedan hacer los cambios necesarios a su
propio ritmo. Aunque este enfoque proporciona una línea de base de TCB anterior, los
clientes no experimentarán una interrupción si no han cumplido los requisitos de la
nueva línea de base de TCB. Este es el motivo por el que la línea de base de TCB de
Trusted Hardware Identity Management es una versión diferente de la línea de base de
Intel. Queremos capacitar a los clientes para que cumplan los requisitos de la nueva
línea de base de TCB a su ritmo, en lugar de obligarlos a actualizar y provocar una
interrupción que requeriría volver a priorizar las series de tareas.
Con Coffee Lake, puedo obtener mis certificados

directamente desde Intel PCK. ¿Por qué, con Ice Lake,
debo obtener los certificados de Trusted Hardware
Identity Management? ¿Y cómo puedo capturar esos
certificados?
Los certificados se capturan y almacenan en caché en el servicio Trusted Hardware
Identity Management mediante un manifiesto de plataforma y un registro indirecto.
Como resultado, la directiva de almacenamiento en caché de claves se establece en
"Nunca almacenar las claves raíz de una plataforma". Es de esperar que se produzca un
error en las llamadas directas al servicio Intel desde dentro de la VM.
Para recuperar el certificado, debe instalar la biblioteca de Azure DCAP, que reemplaza a
Intel QPL. Esta biblioteca dirige las solicitudes de captura al servicio Trusted Hardware
Identity Management que se ejecuta en la nube de Azure. Para obtener vínculos de
descarga, consulte ¿Dónde puedo descargar los paquetes DCAP más recientes?
¿Cómo usar Intel QPL con Trusted Hardware Identity
Management?
Es posible que los clientes quieran la flexibilidad de usar Intel QPL para interactuar con
Trusted Hardware Identity Management sin tener que descargar otra dependencia de
Microsoft (es decir, la biblioteca cliente de Azure DCAP). Los clientes que quieran usar
Intel QPL con el servicio Trusted Hardware Identity Management deben ajustar el
archivo de configuración de Intel QPL, sgx_default_qcnl.conf.
La garantía de generación o comprobación de ofertas usada para generar las ofertas de

Intel SGX o Intel TDX se puede dividir en las siguientes opciones:
El certificado PCK. Para recuperarlo, los clientes deben usar un punto de conexión
de Trusted Hardware Identity Management.
El resto del material de garantía de comprobación o generación de ofertas. Para
recuperarlo, los clientes pueden usar un punto de conexión de Trusted Hardware
Identity Management o un punto de conexión de Intel Provisioning Certification
Service (PCS).
El archivo de configuración de Intel QPL (sgx_default_qcnl.conf) contiene tres claves para

definir los puntos de conexión de garantías. La clave pccs_url define el punto de
conexión que se utiliza para recuperar los certificados PCK. La clave collateral_service
puede definir el punto de conexión que se utiliza para recuperar todas las demás
garantías de comprobación o generación de ofertas. Si no se define la clave
collateral_service , se recupera toda la garantía de comprobación de ofertas desde el
punto de conexión definido con la clave pccs_url .
En la tabla siguiente, se muestra cómo se pueden establecer estas claves.
Nombre Posibles puntos de conexión
pccs_url Punto de conexión de Trusted Hardware Identity Management:

https://global.acccache.azure.net/sgx/certification/v3 .
collateral_service Punto de conexión de Trusted Hardware Identity Management

( https://global.acccache.azure.net/sgx/certification/v3 ) o punto de
conexión Intel PCS. El archivo sgx_default_qcnl.conf siempre muestra el
punto de conexión más actualizado de la clave collateral_service .
El siguiente fragmento de código es de un ejemplo de un archivo de configuración de

Intel QPL:
Bash
{
"pccs_url":
"https://global.acccache.azure.net/sgx/certification/v3/",
"use_secure_cert": true,
"collateral_service":
"https://global.acccache.azure.net/sgx/certification/v3/",
"pccs_api_version": "3.1",
"retry_times": 6,
"retry_delay": 5,
"local_pck_url":
"http://169.254.169.254/metadata/THIM/sgx/certification/v3/",
"pck_cache_expire_hours": 24,
"verify_collateral_cache_expire_hours": 24,
"custom_request_options": {
"get_cert": {
"headers": {
"metadata": "true"
},
"params": {
"api-version ": "2021-07-22-preview"
}
}
}
}
En los procedimientos siguientes se explica cómo cambiar el archivo de configuración

de Intel QPL y activar los cambios.
En Windows
1. Haga los cambios en el archivo de configuración.
2. Asegúrese de que haya permisos de lectura para el archivo desde la siguiente

ubicación del registro y clave o valor.
Bash
[HKEY_LOCAL_MACHINE\SOFTWARE\Intel\SGX\QCNL]
"CONFIG_FILE"="<Full File Path>"
3. Reinicie el servicio AESMD. Por ejemplo, abra PowerShell como administrador y use
los comandos siguientes:
Bash
Restart-Service -Name "AESMService" -ErrorAction Stop

Get-Service -Name "AESMService"
En Linux
1. Haga los cambios en el archivo de configuración. Por ejemplo, puede usar Vim
para los cambios mediante el siguiente comando:
Bash
sudo vim /etc/sgx_default_qcnl.conf
2. Reinicie el servicio AESMD. Abra cualquier terminal y ejecute los comandos

siguientes:
Bash
sudo systemctl restart aesmd

systemctl status aesmd
¿Cómo solicitar garantías en una máquina virtual

confidencial?
Use el ejemplo siguiente en un invitado de máquina virtual confidencial (CVM), para
solicitar garantías de AMD que incluya el certificado VCEK y la cadena de certificados.
Para más información sobre estas garantías y su origen, consulte Certificado de clave de
aprobación de chip con versiones (VCEK) y especificación de la interfaz de KDS .
Parámetros del identificador URI
Bash
GET "http://169.254.169.254/metadata/THIM/amd/certification"
Cuerpo de la solicitud
Nombre Tipo Descripción
Metadata Boolean Si se establece en True , se permite devolver material de garantía.
Solicitud de ejemplo
Bash
curl GET "http://169.254.169.254/metadata/THIM/amd/certification" -H
"Metadata: true"
Respuestas
Nombre Descripción
200 OK Muestra el material de garantía disponible en el cuerpo HTTP en formato

JSON
Other Status Describe por qué se produjo un error en la operación

Codes
Definiciones
Clave Descripción
VcekCert Certificado X.509v3 tal y como se define en RFC 5280
tcbm Base de computación de confianza
certificateChain Certificados AMD SEV Key (ASK) y AMD Root Key (ARK)
¿Cómo solicitar garantías de AMD en un contenedor de

Azure Kubernetes Service en un nodo de CVM?
Siga estos pasos para solicitar garantías de AMD en un contenedor confidencial:
1. Para empezar, cree un clúster de Azure Kubernetes Service (AKS) en un nodo de

CVM o agregue un grupo de nodos de CVM a un clúster existente:
Cree un clúster de AKS en un nodo de CVM:
a. Cree un grupo de recursos en una de las regiones compatibles con CVM:
Bash
az group create --resource-group <RG_NAME> --location

<LOCATION>
b. Cree un clúster de AKS con un nodo de CVM en el grupo de recursos:
Bash
az aks create --name <CLUSTER_NAME> --resource-group <RG_NAME>
-l <LOCATION> --node-vm-size Standard_DC4as_v5 --nodepool-name
<POOL_NAME> --node-count 1
c. Configure kubectl para conectarse al clúster:
Bash
az aks get-credentials --resource-group <RG_NAME> --name

<CLUSTER_NAME>
Agregue un grupo de nodos de CVM a un clúster de AKS existente:
Bash
az aks nodepool add --cluster-name <CLUSTER_NAME> --resource-group

<RG_NAME> --name <POOL_NAME > --node-vm-size Standard_DC4as_v5 --
node-count 1
2. Compruebe la conexión al clúster con el comando kubectl get . Este comando

devuelve una lista de los nodos del clúster.
Bash
kubectl get nodes
En el ejemplo de salida siguiente se muestra el nodo único que creó en los pasos
anteriores. Asegúrese de que el estado del nodo es Ready .
NOMBRE STATUS ROLES AGE VERSION
aks-nodepool1-31718369-0 Ready agente 6 m 44 s v1.12.8
3. Cree un archivo curl.yaml con el siguiente contenido. Define un trabajo que ejecuta
un contenedor curl para capturar la garantía de AMD del punto de conexión de
Trusted Hardware Identity Management. Para más información sobre los trabajos
de Kubernetes, consulte la documentación de Kubernetes .
Bash
apiVersion: batch/v1
kind: Job
metadata:
name: curl
spec:
template:
metadata:
labels:
app: curl
spec:
nodeSelector:
kubernetes.azure.com/security-type: ConfidentialVM
containers:
- name: curlcontainer
image: alpine/curl:3.14
imagePullPolicy: IfNotPresent
args: ["-H", "Metadata:true",
"http://169.254.169.254/metadata/THIM/amd/certification"]
restartPolicy: "Never"
El archivo curl.yaml contiene los argumentos siguientes.
Nombre Tipo Descripción
Metadata Boolean Si se establece en True , se permite devolver material de garantía.
4. Aplique el archivo curl.yaml para ejecutar el trabajo:
Bash
kubectl apply -f curl.yaml
5. Compruebe el pod y espere a que complete su trabajo:
Bash
kubectl get pods
Este es un ejemplo de respuesta:
Denominación Ready Estado Reinicios Age
Curl-w7nt8 0/1 Completado 0 72 s
6. Ejecute el siguiente comando para obtener los registros de trabajo y comprobar

que funciona. Una salida correcta debe incluir vcekCert , tcbm y certificateChain .
Bash
kubectl logs job/curl

Pasos siguientes
Obtenga más información sobre la documentación de Azure Attestation.
Obtenga más información sobre la computación confidencial de Azure .
Protección de implementaciones de
PaaS
Artículo • 06/04/2023
En este artículo se proporciona información que ayuda a:
Comprender las ventajas de seguridad del hospedaje de aplicaciones en la nube

Evaluar las ventajas de seguridad de plataforma como servicio (PaaS) en
comparación con otros modelos de servicio en la nube
Cambiar el enfoque de seguridad de un perímetro basado en la red por un
perímetro basado en identidades
Implementar recomendaciones generales de procedimientos recomendados de
PaaS
Desarrollo de aplicaciones seguras en Azure es una guía general que incluye los
controles y las preguntas de seguridad que se deben considerar en cada fase del ciclo
de vida de desarrollo de software al desarrollar aplicaciones para la nube.
Ventajas de seguridad en la nube

Es importante comprender la división de responsabilidad entre usted y Microsoft. De
forma local, es propietario de la pila completa, pero a medida que se pasa a la nube,
algunas responsabilidades se transfieren a Microsoft.
La nube ofrece ventajas de seguridad. En un entorno local, las organizaciones

probablemente tengan responsabilidades inadecuadas y recursos limitados disponibles
para invertir en seguridad, de tal manera que se crea un entorno donde los atacantes
pueden aprovechar vulnerabilidades a todos los niveles.
Las organizaciones pueden mejorar los tiempos de detección de amenazas y respuesta

mediante la utilización de inteligencia de la nube y funciones de seguridad basada en la
nube del proveedor. Con la transferencia de responsabilidades al proveedor de nube, las
organizaciones pueden obtener más cobertura de seguridad, lo que les permite
reasignar recursos de seguridad y presupuestos a otras prioridades empresariales.
Ventajas de seguridad de un modelo de

servicio en la nube de PaaS
Ahora se examinarán las ventajas de seguridad de una implementación de PaaS de
Azure frente a las instalaciones locales.
A partir de la parte inferior de la pila, la infraestructura física, Microsoft mitiga las

responsabilidades y los riesgos comunes. Dado que Microsoft supervisa continuamente
Microsoft Cloud, es difícil atacarla. No tiene sentido que un atacante se fije en
Microsoft Cloud como un objetivo. A menos que el atacante tenga una gran cantidad de
dinero y recursos, lo más probable es que el atacante se fije otro objetivo.
En el medio de la pila, no hay ninguna diferencia entre una implementación de PaaS y

una implementación local. A nivel de aplicación y de cuenta y administración del acceso,
tiene riesgos similares. En la siguiente sección de pasos de este artículo, presentamos
los procedimientos recomendados para eliminar o minimizar estos riesgos.
En la parte superior de la pila, gobernanza de datos y administración de derechos, corre

un riesgo que puede mitigarse con la administración de claves. (La administración de
claves se cubre en los procedimientos recomendados). Si bien la administración de
claves es una responsabilidad adicional, tiene áreas en una implementación de PaaS que
ya no tiene que administrar, por lo que puede mover recursos a la administración de
claves.
La plataforma Azure también proporciona protección segura contra ataques DDoS

mediante el uso de varias tecnologías basadas en red. Sin embargo, todos los tipos de
métodos de protección contra ataques DDoS basados en red tienen sus límites por
vínculo y por centro de datos. Para ayudar a evitar el impacto de los ataques DDoS
grandes, puede beneficiarse de la funcionalidad de nube principal de Azure que permite
escalar horizontalmente de manera rápida y automática para defenderse frente a
ataques DDoS. En los artículos de procedimientos recomendados se proporcionan más
detalles sobre cómo se puede hacer esto.
Modernización de la mentalidad de Defender

for Cloud
Las implementaciones de PaaS conllevan un cambio del enfoque general en relación con
la seguridad. Se pasa de la necesidad de controlar todo por uno mismo a compartir la
responsabilidad con Microsoft.
Otra importante diferencia entre las implementaciones de PaaS y las implementaciones

locales tradicionales es una nueva visión de lo que define el perímetro de seguridad
principal. Históricamente, el perímetro de seguridad local principal era la red, y la
mayoría de los diseños de seguridad locales utilizan la red como la dinámica de
seguridad principal. Para las implementaciones de PaaS, se recomienda considerar la
identidad como el perímetro de seguridad principal.
Adoptar una directiva de identidad como

perímetro de seguridad principal
Una de las cinco características fundamentales de la informática en la nube es el acceso
amplio a la red, lo que hace que el concepto basado en la red resulte menos relevante.
El objetivo de gran parte de la informática en la nube es permitir a los usuarios acceder
a los recursos con independencia de su ubicación. Para la mayoría de los usuarios, su
ubicación estará en alguna parte de Internet.
En la figura siguiente se muestra cómo el perímetro de seguridad ha evolucionado de

un perímetro de red a un perímetro de identidad. La seguridad se centra menos en
proteger la red y más en proteger los datos, así como en administrar la seguridad de las
aplicaciones y los usuarios. La diferencia principal es que la intención es basar más la
seguridad en lo que resulta importante para su empresa.
Inicialmente, los servicios PaaS en Azure (por ejemplo, los roles web y Azure SQL)
ofrecían poca o ninguna defensa para el perímetro de red tradicional. Se entiende que
el propósito del elemento era exponerse a Internet (rol web) y que la autenticación
ofrece el nuevo perímetro (por ejemplo, BLOB o Azure SQL).
Las prácticas de seguridad modernas asumen que el adversario ha infringido el

perímetro de red. Por lo tanto, las prácticas de defensa modernas se han pasado al
perímetro de identidad. Las organizaciones deben establecer un perímetro de seguridad
basado en identidades con autenticación sólida e higiene de autorización
(procedimientos recomendados).
Durante décadas, se han encontrado disponibles principios y patrones para el perímetro

de red. En cambio, el sector tiene relativamente poca experiencia con el uso de la
identidad como el perímetro de seguridad principal. Dicho esto, se ha adquirido
suficiente experiencia para ofrecer algunas recomendaciones generales que se han
probado sobre el terreno y que se han aplicado a casi todos los servicios PaaS.
Aquí tiene unas recomendaciones para administrar el perímetro de identidad.
Procedimiento recomendado: proteger las claves y las credenciales para proteger la

implementación de PaaS. Detalles: La pérdida de claves y credenciales es un problema
común. Puede usar una solución centralizada que permita almacenar claves y secretos
en módulos de seguridad de hardware (HSM). Azure Key Vault guarda claves y secretos
mediante el cifrado de claves de autenticación, claves de cuenta de almacenamiento,
claves de cifrado de datos, archivos .pfx y contraseñas a través del uso de claves
protegidas por HSM.
Procedimiento recomendado: no incluya credenciales y otros secretos en el código

fuente o en GitHub. Detalles: mucho peor que perder las claves y las credenciales es que
otra persona no autorizada acceda a ellas. Los atacantes pueden aprovechar las
tecnologías de bots para encontrar claves y secretos almacenados en repositorios de
código, como GitHub. No guarde claves ni secretos en estos repositorios públicos de
código.
Procedimiento recomendado: proteja las interfaces de administración de las máquinas

virtuales en servicios híbridos PaaS e IaaS. Para ello, use una interfaz de administración
que permita administrar de manera remota estas máquinas virtuales directamente.
Detalles: se pueden usar protocolos de administración remota como SSH , RDP y de
comunicación remota de PowerShell. En general, se recomienda no habilitar el acceso
remoto directo a máquinas virtuales desde Internet.
Si es posible, siga otros enfoques, como usar redes privadas virtuales en una red virtual
de Azure. Si no hay otros métodos disponibles, asegúrese de usar frases de contraseña
complejas y la autenticación en dos fases (como Azure AD Multi-Factor Authentication).
Procedimiento recomendado: use plataformas sólidas de autenticación y autorización.

Detalles: Use identidades federadas en Azure AD en lugar de tiendas de usuarios
personalizadas. Cuando se usan identidades federadas, se puede beneficiar de un
enfoque basado en plataformas y delegar la administración de identidades autorizadas
en sus asociados. Un enfoque federado resulta especialmente importante cuando los
empleados terminan los contratos y dicha información necesita reflejarse a través de
varios sistemas de identidad y autorización.
Use los mecanismos de autenticación y autorización proporcionados en la plataforma

en lugar del código personalizado. La razón es que desarrollar código de autenticación
personalizado puede resultar un método propenso a errores. La mayoría de los
desarrolladores no son expertos en seguridad y es poco probable que conozcan los
detalles y los últimos desarrollos en términos de autenticación y autorización. El código
comercial (por ejemplo, de Microsoft) suele revisarse de manera amplia a efectos de
seguridad.
Use la autenticación en dos fases. La autenticación en dos fases es el estándar actual

para la autenticación y autorización porque evita las vulnerabilidades de seguridad
inherentes a tipos de nombres de usuario y contraseñas de autenticación. El acceso a las
interfaces de administración de Azure (portal/PowerShell remoto) y a los servicios
usados por el cliente debe diseñarse y configurarse para que use Azure AD Multi-Factor
Authentication.
Use los protocolos de autenticación estándar, como OAuth2 y Kerberos. Estos

protocolos se han sometido a revisiones exhaustivas del mismo nivel y posiblemente se
implementen como parte de las bibliotecas de la plataforma a efectos de autenticación
y autorización.
Usar el modelado de amenazas durante el

diseño de la aplicación
El ciclo de vida de desarrollo de seguridad de Microsoft especifica que los equipos
deben llevar a cabo un proceso denominado modelado de amenazas durante la fase de
diseño. Para que este proceso sea más sencillo, Microsoft ha creado SDL Threat
Modeling Tool. Al modelar el diseño de la aplicación y enumerar las amenazas de
STRIDE en todos los límites de confianza, pueden detectarse errores de diseño desde
el principio.
En esta tabla se enumeran las amenazas STRIDE y se incluyen algunos ejemplos de

mitigación donde se usan características de Azure. Estas mitigaciones no funcionarán en
todas las situaciones.
Threat Propiedad de Posibles mitigaciones de la plataforma Azure

seguridad
Suplantación Authentication Necesita conexiones HTTPS.

de identidad
Alteración de Integridad Valida certificados TLS/SSL.

datos
Rechazo No rechazo Habilita opciones de supervisión y diagnóstico de Azure.
Divulgación Confidencialidad Cifra datos confidenciales en reposo mediante certificados de

de servicio.
información
Denegación Disponibilidad Supervisa las métricas de rendimiento de las posibles

de servicio condiciones de denegación de servicio. Implementa filtros de
conexión.
Elevación de Authorization Usa Privileged Identity Management.

privilegios
Desarrollar en Azure App Service
Azure App Service es una oferta PaaS que permite crear aplicaciones web y móviles para
cualquier plataforma o dispositivo y conectarse a datos en cualquier lugar, en la nube o
en un entorno local. App Service incluye las funcionalidades web y móviles que
anteriormente se ofrecían por separado como Azure Websites y Azure Mobile Services.
También incluye nuevas funcionalidades para automatizar procesos empresariales y
hospedar las API en la nube. Como único servicio integrado, App Service ofrece un
amplio conjunto de funcionalidades para escenarios web, móviles y de integración.
Estas son algunos procedimientos recomendados para usar App Service.
Procedimiento recomendado: autenticación mediante Azure Active Directory. Detalles:

App Service proporciona un servicio OAuth 2.0 para el proveedor de identidades. OAuth
2.0 se centra en la sencillez del desarrollador del cliente y ofrece flujos de autorización
específicos de aplicaciones web, aplicaciones de escritorio y teléfonos móviles. Azure AD
usa OAuth 2.0 para permitir la autorización del acceso a los dispositivos móviles y a las
aplicaciones web.
Procedimiento recomendado: Restricción del acceso siguiendo los principios de

seguridad de limitar el acceso a lo que se necesita saber y a los principios de seguridad
con privilegios mínimos. Detalles: La restricción del acceso es fundamental para las
organizaciones que deseen aplicar directivas de seguridad para el acceso a los datos.
Puede usar Azure RBAC para asignar permisos a los usuarios, los grupos y las
aplicaciones en un ámbito determinado. Vea Introducción a la administración de acceso
para aprender más sobre cómo conceder acceso a los usuarios a las aplicaciones.
Procedimiento recomendado: Protección de las claves. Detalles: Azure Key Vault ayuda
a proteger las claves criptográficas y los secretos que usan los servicios y aplicaciones en
la nube. Con Key Vault, puede cifrar claves y secretos (por ejemplo claves de
autenticación, claves de cuenta de almacenamiento, claves de cifrado de datos, archivos
.PFX y contraseñas) a través del uso de claves que están protegidas por módulos de
seguridad de hardware (HSM). Para tener mayor seguridad, puede importar o generar
las claves en HSM. Vea Azure Key Vault para más información. También puede utilizar
Key Vault para administrar los certificados TLS con renovación automática.
Procedimiento recomendado: Restricción de las direcciones IP de origen entrantes.

Detalles: App Service Environment tiene una característica de integración de la red
virtual que ayuda a restringir las direcciones IP de origen entrantes mediante grupos de
seguridad de red. Las redes virtuales permiten colocar recursos de Azure en una red que
se pueda enrutar distinta de Internet y a la que se controla el acceso. Vea Integración de
su aplicación con una instancia de Azure Virtual Network para más información.
Procedimiento recomendado: supervise el estado de seguridad de los entornos de App
Service. Detalle: use Microsoft Defender for Cloud para supervisar los entornos de App
Service. Cuando Defender for Cloud identifica posibles vulnerabilidades de seguridad,
crea recomendaciones que lo guiarán por el proceso de configuración de los controles
necesarios.
Azure Cloud Services

Azure Cloud Services es un ejemplo de PaaS. Al igual que Azure App Service, esta
tecnología está diseñada para ser compatible con aplicaciones escalables, confiables y
de funcionamiento asequible. En la misma manera que App Service se hospeda en
máquinas virtuales (VM), así ocurre también con Azure Cloud Services. Sin embargo,
tiene más control sobre las máquinas virtuales. Puede instalar su propio software en las
máquinas virtuales que usan Azure Cloud Services y puede tener acceso a ellas
remotamente.
Instalar un firewall de aplicaciones web

Las aplicaciones web son cada vez más los objetivos de ataques malintencionados que
aprovechan vulnerabilidades comunes conocidas, como ataques por inyección de
código SQL o ataques de scripts de sitios, por nombrar unos pocos. Impedir tales
ataques en el código de aplicación puede ser un verdadero desafío y requerir tareas
rigurosas de mantenimiento, aplicación de revisiones y supervisión en varias capas de la
topología de aplicación. Un firewall de aplicaciones web centralizado facilita
enormemente la administración de la seguridad y proporciona mayor protección a los
administradores de la aplicación frente a amenazas o intrusiones. Las soluciones de WAF
también pueden reaccionar más rápido ante una amenaza de la seguridad aplicando
revisiones que aborden una vulnerabilidad conocida en una ubicación central en lugar
de proteger cada una de las aplicaciones web por separado.
El firewall de aplicaciones web (WAF) ofrece una protección centralizada de las

aplicaciones web contra las vulnerabilidades de seguridad más habituales.
Protección frente a DDOS

Azure DDoS Protection, combinado con los procedimientos recomendados de diseño
de aplicaciones, proporciona características mejoradas de mitigación de DDoS para
ofrecer una mejor defensa frente a los ataques DDoS. Debe habilitar Azure DDOS
Protection en cualquier red virtual perimetral.
Supervisar el rendimiento de las aplicaciones
La supervisión es el acto de recopilar y analizar datos para determinar el rendimiento, el
mantenimiento y la disponibilidad de su aplicación. Una estrategia de supervisión eficaz
le ayuda a comprender el funcionamiento detallado de los componentes de la
aplicación. También sirve para aumentar el tiempo de actividad, ya que le notifica de
cuestiones críticas para que pueda resolverlas antes de que se conviertan en problemas.
También permite detectar anomalías que podrían estar relacionados con la seguridad.
Use Azure Application Insights para supervisar la disponibilidad, el rendimiento y el uso

de la aplicación, tanto si se hospeda en la nube como en un entorno local. Con
Application Insights, podrá identificar y diagnosticar rápidamente errores en la
aplicación sin tener que esperar a que un usuario informe de ellos. Con la información
que recopile, puede tomar decisiones informadas sobre el mantenimiento y las mejoras
de la aplicación.
Application Insights tiene numerosas herramientas para interactuar con los datos que
recopila. Application Insights almacena sus datos en un repositorio común. Puede sacar
partido a las funciones compartidas, como alertas, paneles y análisis detallados con el
lenguaje de consulta de Kusto.
Realizar pruebas de penetración de seguridad

Validar defensas de seguridad es tan importante como probar cualquier otra
característica. Convierta las pruebas de penetración en una parte estándar del proceso
de compilación e implementación. Programe pruebas de seguridad y exámenes de
vulnerabilidades periódicos en las aplicaciones, y supervise si hay puertos abiertos,
ataques y puntos de conexión.
Las pruebas de vulnerabilidad ante datos aleatorios o inesperados son un método para
buscar errores de programa (errores de código), proporcionando los datos de entrada
con formato incorrecto para interfaces de programación (puntos de entrada) que
analizan y consumen estos datos.
Pasos siguientes
Este artículo se centra en las ventajas de seguridad que ofrece una implementación de
PaaS de Azure y los procedimientos de seguridad recomendados para aplicaciones en la
nube. Después, conocerá los procedimientos recomendados para proteger las
soluciones móviles y web de PaaS mediante determinados servicios de Azure.
Empezaremos con Azure App Service, Azure SQL Database, Azure Synapse Analytics,
Azure Storage y Azure Cloud Services. A medida que estén disponibles los artículos
sobre procedimientos recomendados para otros servicios de Azure, se proporcionarán
los vínculos correspondientes en la lista siguiente:
Azure App Service

Azure SQL Database y Azure Synapse Analytics
Azure Cloud Services
Azure Cache for Redis
Azure Service Bus
Vea Desarrollo de aplicaciones seguras en Azure para profundizar en los controles y las
preguntas de seguridad que se deben considerar en cada fase del ciclo de vida de
desarrollo de software al desarrollar aplicaciones para la nube.


Ciclo de vida de los productos de Microsoft: para directrices coherentes y

predecibles sobre el soporte técnico durante toda la vida útil de un producto
Procedimientos recomendados para
proteger aplicaciones web y móviles
PaaS con Azure App Service
Artículo • 29/08/2023
En este artículo se expone una colección de procedimientos recomendados de

seguridad de Azure App Service para proteger las aplicaciones web y móviles PaaS.
Estos procedimientos recomendados proceden de nuestra experiencia con Azure y las
experiencias de clientes como usted.
Azure App Service es una oferta de plataforma como servicio (PaaS) que permite crear
aplicaciones web y móviles para cualquier plataforma o dispositivo y conectarse a datos
en cualquier lugar, en la nube o en un entorno local. App Service incluye las
funcionalidades web y móviles que anteriormente se ofrecían por separado como Azure
Websites y Azure Mobile Services. También incluye nuevas funcionalidades para
automatizar procesos empresariales y hospedar las API en la nube. Como único servicio
integrado, App Service ofrece un amplio conjunto de funcionalidades para escenarios
web, móviles y de integración.
Autenticación mediante Azure Active Directory

(AD)
App Service proporciona un servicio OAuth 2.0 para el proveedor de identidades. OAuth
2.0 se centra en la sencillez del desarrollador del cliente y ofrece flujos de autorización
específicos de aplicaciones web, aplicaciones de escritorio y teléfonos móviles. Azure AD
usa OAuth 2.0 para permitir la autorización del acceso a los dispositivos móviles y a las
aplicaciones web. Para obtener más información, vea Autenticación y autorización en
Azure App Service.
Restricción de acceso según el rol

La restricción del acceso es fundamental para las organizaciones que deseen aplicar
directivas de seguridad para el acceso a los datos. Puede usar el control de acceso
basado en rol de Azure (Azure RBAC) para asignar permisos a usuarios, grupos y
aplicaciones en un ámbito determinado, como la necesidad de información y los
principios de seguridad de privilegios mínimos. Si quiere saber más sobre cómo
conceder a los usuarios acceso a las aplicaciones, consulte ¿Qué es el control de acceso
basado en rol de Azure (Azure RBAC)?
Protección de las claves

No importa la calidad de la seguridad si pierde las claves de suscripción. Azure Key Vault
ayuda a proteger claves criptográficas y secretos usados por servicios y aplicaciones en
la nube. Con Key Vault, puede cifrar claves y secretos (por ejemplo claves de
autenticación, claves de cuenta de almacenamiento, claves de cifrado de datos, archivos
.PFX y contraseñas) a través del uso de claves que están protegidas por módulos de
seguridad de hardware (HSM). Para tener mayor seguridad, puede importar o generar
las claves en HSM. También puede utilizar Key Vault para administrar los certificados TLS
con renovación automática. Vea ¿Qué es Azure Key Vault? para más información.
Restricción de las direcciones IP de origen

entrante
App Service Environments tiene una característica de integración de la red virtual con la
que es más fácil restringir las direcciones IP de origen entrantes mediante grupos de
seguridad de red (NSG). Si no conoce Azure Virtual Network, se trata de una
funcionalidad que permite colocar muchos de los recursos de Azure en una red no
enrutable sin conexión a Internet cuyo acceso controla. Consulte Integración de su
aplicación con una instancia de Azure Virtual Network para más información.
En Windows, App Service también permite restringir las direcciones IP dinámicamente

mediante el archivo web.config. Para más información, consulte Seguridad de
direcciones IP dinámicas.
Pasos siguientes
En este artículo se presenta una colección de procedimientos recomendados de
seguridad de App Service para proteger las aplicaciones web y móviles PaaS. Para
obtener más información sobre cómo proteger las implementaciones de PaaS, vea:
Protección de implementaciones de PaaS

Protección de bases de datos PaaS en Azure
proteger aplicaciones web y móviles
PaaS con Azure Storage
Artículo • 01/06/2023
En este artículo se explican una serie de procedimientos recomendados de seguridad de

Azure Storage para proteger las aplicaciones web y móviles PaaS (plataforma como
servicio). Estos procedimientos recomendados proceden de nuestra experiencia con
Azure y las experiencias de clientes como usted.
Azure permite implementar y usar el almacenamiento de formas inauditas con un

entorno local. Gracias a Azure Storage, se pueden alcanzar altos niveles de escalabilidad
y disponibilidad con relativamente poco esfuerzo. Azure Storage no solo constituye la
base de Azure Virtual Machines con Windows y Linux, sino que también puede admitir
aplicaciones distribuidas de gran tamaño.
Azure Storage proporciona los cuatro servicios siguientes: Blob storage, Table storage,
Queue storage y File storage. Para obtener más información, consulte Introducción a
Microsoft Azure Storage.
En este artículo se explican los siguientes procedimientos recomendados:
Firmas de acceso compartido (SAS)

Control de acceso basado en roles de Azure (RBAC de Azure)
Cifrado del lado cliente para datos de gran valor
Cifrado del servicio Storage
Usar una firma de acceso compartido en lugar

de una clave de cuenta de almacenamiento
El control de acceso es fundamental. Para ayudar a controlar el acceso a Azure Storage,
Azure genera dos claves de cuenta de almacenamiento (SAK) de 512 bits al crear una
cuenta de almacenamiento. El nivel de redundancia de claves permite evitar
interrupciones del servicio durante la rotación de claves rutinaria.
Las claves de acceso de almacenamiento son secretos de prioridad alta y solo deben
estar accesibles a los responsables del control de acceso de almacenamiento. Si los
usuarios equivocados consiguen acceder a estas claves, controlarían por completo el
almacenamiento y podrían reemplazar, eliminar o agregar archivos en él. Por ejemplo,
software malintencionado y otro tipo de contenido que puede poner en peligro a sus
clientes u organización.
Seguirá necesitando una forma de proporcionar acceso a los objetos del

almacenamiento. Para proporcionar un acceso más detallado, puede aprovechar la firma
de acceso compartido (SAS). La SAS permite compartir objetos específicos en el
almacenamiento durante intervalo de tiempo predefinido y con permisos concretos.
Una firma de acceso compartido permite definir lo siguiente:
El intervalo durante el que la SAS es válida, incluida la hora de inicio y la hora de

caducidad.
Los permisos concedidos por la SAS. Por ejemplo, una SAS de un blob podría
conceder a un usuario permisos de lectura y escritura para el blob, pero no
permisos de eliminación.
Una dirección IP opcional o un intervalo de direcciones IP de las que Azure Storage
aceptará la SAS. Por ejemplo, podría especificar un intervalo de direcciones IP que
pertenezcan a su organización. Esto proporciona otra medida de seguridad para su
SAS.
El protocolo a través del cual Azure Storage aceptará la SAS. Puede usar este
parámetro opcional para restringir el acceso a los clientes mediante HTTPS.
SAS permite compartir contenido de la forma que se quiera sin tener que proporcionar
las claves de cuenta de almacenamiento. Utilizar siempre SAS en la aplicación es una
forma segura de compartir los recursos de almacenamiento sin poner en peligro las
claves de cuenta de almacenamiento.
Para obtener más información sobre la firma de acceso compartido, vea Uso de firmas
de acceso compartido (SAS).
Uso de los controles de acceso basados en rol

de Azure
Otra forma administrar el acceso es usando la funcionalidad Control de acceso basado
en roles de Azure (RBAC de Azure). Gracias a Azure RBAC, podrá centrarse en
proporcionar a los empleados los permisos exactos que necesiten, según la necesidad
de información y los principios de seguridad de privilegios mínimos. Un número elevado
de permisos puede provocar que la cuenta esté expuesta a los atacantes. Si se conceden
muy pocos, los empleados no podrán realizar su trabajo de manera eficaz. Azure RBAC
ayuda a abordar este problema, ya que es posible realizar una administración avanzada
del acceso para Azure. El control de acceso es fundamental para las organizaciones que
deseen aplicar directivas de seguridad para el acceso a los datos.
En Azure, puede usar roles integrados de Azure para asignar privilegios a los usuarios.
Por ejemplo, use Colaborador de la cuenta de almacenamiento para los operadores en
la nube que necesiten administrar cuentas de almacenamiento, y el rol Colaborador de
la cuenta de almacenamiento clásica para administrar cuentas de almacenamiento
clásicas. En el caso de los operadores en la nube que necesitan administrar máquinas
virtuales, pero no la red virtual ni la cuenta de almacenamiento a la que están
conectadas, puede agregarlos al rol Colaborador de la máquina virtual.
Puede que las organizaciones que no aplican el control de acceso de datos mediante
funcionalidades como Azure RBAC estén concediendo más privilegios de los necesarios
a sus usuarios. Más privilegios de los necesarios pueden llevar a comprometer los datos
al permitir que algunos usuarios accedan a datos que no deberían tener en primer lugar.
Para obtener más información sobre Azure RBAC, consulte:
Asignación de roles de Azure mediante Azure Portal

Recomendaciones de seguridad para Blob Storage
Uso del cifrado del lado cliente para datos de

gran valor
El cifrado del lado cliente permite cifrar datos en tránsito mediante programación antes
de cargarlos en Azure Storage y descifrarlos de la misma manera al recuperarlos. El
cifrado del lado del cliente proporciona el cifrado de los datos en tránsito, pero también
el cifrado de los datos en reposo. El cifrado del lado cliente el método más seguro para
cifrar los datos, pero hay que realizar cambios mediante programación en la aplicación e
implementar procesos de administración de claves.
El cifrado del lado cliente también permite controlar de forma exclusiva las claves de
cifrado. Puede generar y administrar sus propias claves de cifrado. Usa una técnica de
sobre que consiste en que la biblioteca cliente de Azure Storage genera una clave de
cifrado de contenido (CEK) que se encapsula (se cifra) mediante la clave de cifrado de
claves (KEK). La KEK se identifica mediante un identificador de clave y puede ser un par
de clave asimétrico o una clave simétrica que puede administrarse de forma local o
guardarse en Azure Key Vault.
El cifrado del lado cliente se integra en las bibliotecas de cliente de almacenamiento. de

Java y .NET. Vea Cifrado del lado de cliente y Azure Key Vault para Microsoft Azure
Storage para obtener información sobre cómo cifrar los datos en las aplicaciones cliente
y cómo generar y administrar claves de cifrado propias.
Habilitar Storage Service Encryption para datos
en reposo
Cuando el cifrado del servicio Storage está habilitado en File Storage, los datos se cifran
automáticamente con el cifrado AES-256. Microsoft controla todo el proceso de cifrado,
descifrado y administración de claves. Esta característica está disponible en los tipos de
redundancia LRS y GRS.
Pasos siguientes
En este artículo se presenta una serie de procedimientos recomendados de seguridad
de Azure Storage para proteger aplicaciones web y móviles PaaS. Para obtener más
información sobre cómo proteger las implementaciones de PaaS, vea:

Protección de aplicaciones web y móviles PaaS con Azure App Services
proteger bases de datos PaaS en Azure
Artículo • 03/04/2023

seguridad de Azure SQL Database y Azure Synapse Analytics para proteger las
aplicaciones web y móviles de plataforma como servicio (PaaS). Estos procedimientos
recomendados proceden de nuestra experiencia con Azure y las experiencias de clientes
como usted.
Azure SQL Database y Azure Synapse Analytics proporcionan un servicio de base de

datos relacional para aplicaciones basadas en Internet. Veamos los servicios que ayudan
a proteger las aplicaciones y los datos al usar Azure SQL Database y Azure Synapse
Analytics en una implementación de PaaS:
Autenticación de Azure Active Directory (en lugar de la autenticación de SQL

Server)
Firewall de Azure SQL
Cifrado de datos transparente (TDE)
Usar un repositorio centralizado de identidades

Azure SQL Database puede configurarse para usar uno de los dos tipos de
autenticación:
Autenticación de SQL usa un nombre de usuario y una contraseña. Al crear el

servidor de la base de datos, especificó un inicio de sesión de "administrador de
servidor" con un nombre de usuario y una contraseña. Con estas credenciales,
puede autenticarse en cualquier base de datos en ese servidor como propietario
de la base de datos.
Autenticación de Azure Active Directory usa las identidades administradas por

Azure Active Directory y es compatible con dominios administrados e integrados.
Para usar la autenticación de Azure Active Directory, debe crear otro administrador
de servidor llamado "administrador de Azure AD" con permiso para administrar
usuarios y grupos de Azure AD. Este administrador también puede realizar todas
las operaciones de un administrador de servidor normal.
La autenticación de Azure Active Directory es un mecanismo de conexión a Azure SQL

Database y Azure Synapse Analytics mediante identidades de Azure Active Directory
(Azure AD). Azure AD proporciona una alternativa a la autenticación de SQL Server, por
lo que puede detener la proliferación de identidades de usuario entre los servidores de
base de datos. La autenticación de Azure AD permite administrar centralmente las
identidades de los usuarios de la base de datos y otros servicios de Microsoft en una
ubicación central. La administración de identificadores central ofrece una ubicación
única para administrar usuarios de base de datos y simplifica la administración de
permisos.
Ventajas de usar la autenticación de Azure AD en lugar de

la autenticación de SQL
Permite la rotación de contraseñas en un solo lugar.
Administra los permisos de la base de datos con grupos externos de Azure AD.
Elimina el almacenamiento de contraseñas mediante la habilitación de la
autenticación integrada de Windows y otras formas de autenticación compatibles
con Azure AD.
Usa usuarios de base de datos independiente para autenticar las identidades en el
nivel de base de datos.
Admite la autenticación basada en token para las aplicaciones que se conectan a
SQL Database.
Admite la federación de dominios con Servicios de federación de Active Directory
(ADFS) o la autenticación nativa de usuario y contraseña para una instancia de
Azure Active Directory local sin sincronización de dominios.
Admite conexiones de SQL Server Management Studio que usan la autenticación
universal de Active Directory, lo cual incluye Multi-Factor Authentication (MFA).
MFA incluye autenticación segura con una gama de opciones de comprobación
sencillas. Las opciones de verificación son llamadas telefónicas, mensajes de texto,
tarjetas inteligentes con pin o notificaciones de aplicaciones móviles. Para más
información, consulte Autenticación universal con SQL Database y Azure Synapse
Analytics.
Para obtener más información sobre la autenticación de Azure AD, vea:
Uso de la autenticación de Azure Active Directory para autenticación con SQL

Database, Instancia administrada o Azure Synapse Analytics
Autenticación en Azure Synapse Analytics
Compatibilidad de la autenticación basada en tokens para Azure SQL Database
mediante la autenticación de Azure AD
７ Nota
Para asegurarse de que Azure Active Directory sea una buena elección para su
entorno, vea Características y limitaciones de Azure AD.
Restricción de acceso según la dirección IP

Puede crear reglas de firewall que especifiquen intervalos de direcciones IP aceptables.
Estas reglas pueden orientarse a los niveles de servidor y de base de datos. Se
recomienda usar reglas de firewall de nivel de base de datos siempre que sea posible a
fin de mejorar la seguridad y aumentar la portabilidad de la base de datos. Las reglas de
firewall de nivel de servidor son más eficaces para administradores y cuando tenga
muchas bases de datos con los mismos requisitos de acceso y no quiera dedicar tiempo
a configurar cada una de ellas por separado.
Las restricciones de direcciones IP de origen predeterminadas de SQL Database

permiten acceder desde cualquier dirección de Azure (incluidas otras suscripciones y
otros inquilinos). Puede restringir esto para permitir que solo sus direcciones IP accedan
a la instancia. A pesar de las restricciones de direcciones IP y del firewall de SQL,
también se necesita una autenticación sólida. Vea las recomendaciones que se han
realizado anteriormente en este artículo.
Para obtener más información sobre las restricciones de IP y el firewall de Azure SQL,
vea:
Control de acceso a Azure SQL Database y Azure Synapse Analytics

Reglas de firewall de Azure SQL Database y Azure Synapse Analytics

Cifrado de datos transparente (TDE) está habilitado de forma predeterminada. TDE cifra
de forma transparente los archivos de datos y de registro de SQL Server, Azure SQL
Database y Azure Synapse Analytics. TDE protege contra un posible peligro de acceso
directo a los archivos o las copias de seguridad. Esto le permite cifrar los datos en
reposo sin cambiar las aplicaciones existentes. TDE siempre debería permanecer
habilitado, si bien esto no impedirá que un atacante use la ruta de acceso normal. TDE
ofrece la posibilidad de cumplir muchas leyes, normativas y directrices establecidas en
diversos sectores.
Azure SQL administra los problemas relacionados con las claves para TDE. Al igual que
con TDE, debe tener especial cuidado en el entorno local para garantizar la capacidad
de recuperación y al mover las bases de datos. En escenarios más complejos, las claves
se pueden administrar explícitamente en Azure Key Vault mediante la administración
extensible de claves. Vea Habilitar TDE en SQL Server con EKM. Esto también permite la
funcionalidad Bring Your Own Key (BYOK), que incorpora Azure Key Vault.
Azure SQL ofrece cifrado de columnas mediante Always Encrypted. Esta funcionalidad
permite que solo las aplicaciones autorizadas accedan a las columnas confidenciales.
Mediante este tipo de cifrado, se limitan las consultas SQL en las columnas cifradas a
valores basados en la igualdad.
También debe usarse el cifrado a nivel de aplicación para datos selectivos. Las
cuestiones sobre la soberanía de los datos se pueden mitigar en ocasiones mediante el
cifrado de datos con una clave que se mantiene en el país o región correctos. Esto
impide incluso que las transferencias de datos accidentales causen algún error, ya que
resultará imposible descifrar los datos sin la clave, suponiendo que se emplee un
algoritmo seguro (como AES 256).
Puede tomar precauciones adicionales con las que proteger aún más la base de datos,
como diseñar un sistema seguro, cifrar los recursos confidenciales e instalar un firewall
alrededor de los servidores de base de datos.
Pasos siguientes
seguridad de SQL Database y Azure Synapse Analytics para proteger las aplicaciones
web y móviles PaaS. Para obtener más información sobre cómo proteger las
implementaciones de PaaS, vea:

Protección de aplicaciones web y móviles PaaS con Azure App Services
seguridad de Azure Service Fabric
Artículo • 29/08/2023
Además de este artículo, revise también Seguridad de Azure Service Fabric para más
información.
La implementación de una aplicación en Azure es un proceso rápido, sencillo y rentable.

Antes de implementar la aplicación en la nube en producción, revise la lista de
procedimientos recomendados y fundamentales para implementar clústeres seguros en
la aplicación.
Azure Service Fabric es una plataforma de sistemas distribuidos que facilita el

empaquetamiento, la implementación y la administración de microservicios escalables y
confiables. Service Fabric también aborda los desafíos importantes en el desarrollo y la
administración de aplicaciones en la nube. Los desarrolladores y administradores
pueden evitar problemas complejos de infraestructura y centrarse en su lugar en las
cargas de trabajo más exigentes y críticas que son escalables, confiables y fáciles de
administrar.
Para cada procedimiento recomendado, explicaremos:
El procedimiento recomendado.
Por qué debería implementar el procedimiento recomendado.
Qué puede ocurrir si no se implementa el procedimiento recomendado.
Cómo aprender a implementar el procedimiento recomendado.
Disponemos de los siguientes procedimientos recomendados de seguridad de Azure

Service Fabric:
Usar plantillas de Azure Resource Manager y el módulo de PowerShell de Service

Fabric para crear clústeres seguros.
Usar certificados X.509.
Configurar directivas de seguridad.
Implementar la configuración de seguridad de Reliable Actors.
Configurar TLS para Azure Service Fabric.
Usar aislamiento y seguridad de red con Azure Service Fabric.
Configurar Azure Key Vault para la seguridad.
Asignar usuarios a roles.
Aspectos que se deben tener en cuenta si se hospedan aplicaciones que no son de
confianza en un clúster de Service Fabric.
Procedimientos recomendados para proteger
los clústeres
Use siempre un clúster seguro:
Implemente la seguridad del clúster mediante el uso de certificados.

Proporcione acceso de cliente (administrador y de solo lectura) mediante el uso de
Azure Active Directory (Azure AD).
Use implementaciones automatizadas:
Use scripts para generar, implementar y sustituir secretos.

Almacene los secretos en Azure Key Vault y use Azure AD para todos los otros
accesos de cliente.
Requiera autenticación para el acceso de usuario a los secretos.
Además, tenga en cuenta las siguientes opciones de configuración:
Cree redes perimetrales (también conocido como DMZ y subredes filtradas)

mediante el uso de grupos de seguridad de red (NSG) de Azure.
Use servidores de salto con conexión a Escritorio remoto para obtener acceso a las
máquinas virtuales (VM) del clúster o administrar el clúster.
Los clústeres deben estar protegidos para evitar que usuarios no autorizados se
conecten a ellos, especialmente cuando un clúster está en producción. Aunque es
posible crear un clúster sin protección, si este expone los puntos de conexión de
administración a Internet público, podrían conectarse a él usuarios anónimos.
Hay tres escenarios para implementar la seguridad del clúster mediante el uso de varias
tecnologías:
Seguridad de nodo a nodo: este escenario protege la comunicación entre las

máquinas virtuales y los equipos del clúster. Esta forma de seguridad garantiza que
solo los equipos que están autorizados a unirse al clúster pueden hospedar
aplicaciones y servicios en el clúster. En este escenario, los clústeres que se
ejecutan en Azure o los independientes que se ejecutan en Windows pueden
utilizar una seguridad basada en certificados o la seguridad de Windows para las
máquinas con Windows Server.
Seguridad de cliente a nodo: este escenario protege la comunicación entre un
cliente de Service Fabric y los nodos individuales del clúster.
Control de acceso basado en rol de Service Fabric (RBAC de Service Fabric): este
escenario utiliza identidades diferentes (certificados, Azure AD, etc) para cada rol
de cliente de administrador y usuario que tiene acceso al clúster. Se especifican las
identidades de rol cuando se crea el clúster.
７ Nota
Recomendación de seguridad para los clústeres de Azure: utilice la seguridad de

Azure AD para autenticar a los clientes y certificados para la seguridad de nodo a
nodo.
Para configurar el clúster de Windows independiente, consulte Opciones de

configuración de un clúster de Windows independiente.
Use plantillas de Azure Resource Manager y el módulo de PowerShell de Service Fabric

para crear un clúster seguro. Para instrucciones paso a paso sobre la creación de un
clúster seguro de Service Fabric con las plantillas de Azure Resource Manager, consulte
Creación de un clúster de Service Fabric.
Utilice la plantilla de Azure Resource Manager:
Personalice el clúster mediante la plantilla para configurar el almacenamiento

administrado para los discos duros virtuales (VHD) de la máquina virtual.
Realice los cambios al grupo de recursos mediante la plantilla para facilitar la
administración de la configuración y la auditoría.
Trate la configuración del clúster como código:
Sea exhaustivo al comprobar las configuraciones de implementación.

Evite el uso de comandos implícitos para modificar directamente los recursos.
Muchos aspectos del ciclo de vida de la aplicación de Service Fabric pueden

automatizarse. El módulo de PowerShell de Service Fabric automatiza las tareas
comunes para implementar, actualizar, eliminar y probar aplicaciones de Azure Service
Fabric. También cuenta con API HTTP y administradas para la administración de
aplicaciones.
Uso de certificados X.509

Proteja siempre los clústeres mediante el uso de certificados X.509 o con la seguridad
de Windows. Solo se configura la seguridad en el momento de creación de clúster. No
es posible activar la seguridad una vez creado el clúster.
Para especificar un certificado de clúster, establezca el valor de la propiedad

ClusterCredentialType en X509. Para especificar un certificado de servidor para
conexiones externas, establezca la propiedad ServerCredentialType en X509.
Además, siga estos procedimientos:
Cree los certificados para los clústeres de producción mediante un servicio de

certificados de Windows Server configurado correctamente. También puede
obtener los certificados de una entidad de certificación aprobada (CA).
Nunca utilice a un certificado temporal o de prueba para clústeres de producción
si el certificado se creó mediante MakeCert.exe u otra herramienta similar.
Use un certificado autofirmado para clústeres de prueba, pero no para clústeres de
producción.
Si el clúster no es seguro, cualquiera puede conectarse de forma anónima y realizar

operaciones de administración. Por esta razón, proteja siempre los clústeres de
producción mediante el uso de certificados X.509 o con la seguridad de Windows.
Para más información sobre el uso de certificados X.509, consulte Agregar o quitar
certificados para un clúster de Service Fabric.
Configuración de directivas de seguridad

Service Fabric también protege los recursos utilizados por las aplicaciones. Los recursos
tales como archivos, directorios y certificados se almacenan en las cuentas de usuario
cuando se implementa la aplicación. Esta característica aumenta la seguridad entre las
aplicaciones en ejecución, incluso en un entorno hospedado compartido.
Use un usuario o un grupo de dominios de Active Directory: ejecute el servicio con

las credenciales de una cuenta de usuario o grupo de Active Directory. Asegúrese
de utilizar Active Directory local dentro del dominio y no Azure Active Directory.
Utilice un usuario o grupo de dominio para tener acceso a otros recursos del
dominio en los que se le hayan concedido permisos. Por ejemplo, recursos
compartidos de archivos.
Asigne una directiva de acceso de seguridad a los puntos de conexión HTTP y

HTTPS: especifique la propiedad SecurityAccessPolicy para aplicar una directiva
RunAs a un servicio cuando el manifiesto de servicio declare los recursos del punto
de conexión con HTTP. Los puertos asignados a los puntos de conexión HTTP son
listas de acceso controlado para la cuenta de usuario RunAs en la que se ejecuta el
servicio. Cuando la directiva no está establecida, http.sys no tiene acceso al servicio
y pueden aparecer errores en las llamadas del cliente.
Para más información sobre el uso de directivas de seguridad en un clúster de Service

Fabric, consulte Configuración de directivas de seguridad para la aplicación.
Implementación de la configuración de
seguridad de Reliable Actors
Service Fabric Reliable Actors es una implementación del modelo de diseño del actor. Al
igual que sucede con cualquier modelo de diseño de software, la decisión de usar un
modelo específico se toma en función de si un problema de diseño de software se
adapta al modelo o no.
En general, utilice el modelo de diseño de actor para ayudar a modelar soluciones para
los siguientes problemas de software o escenarios de seguridad:
El espacio del problema implica un gran número (miles o más) de unidades

pequeñas, independientes y aisladas de estado y lógica.
Trabaja con objetos de un único subproceso que no requieren una interacción
importante con componentes externos, incluida la consulta del estado en un
conjunto de actores.
Las instancias de actor no bloquean a los autores de llamadas con retrasos
imprevisibles emitiendo operaciones de E/S.
En Service Fabric, los actores se implementan en el marco de trabajo de la aplicación de

Reliable Actors. Este marco de trabajo se basa en el patrón de actor y está construido
sobre Reliable Services de Service Fabric. Cada servicio de Reliable Actors que escribe es
un servicio de confianza con estado particionado.
Cada actor se define como una instancia de un tipo de actor, similar a la forma en que
un objeto de .NET es una instancia de un tipo de .NET. Por ejemplo, un tipo de actor
que implementa la funcionalidad de una calculadora puede tener muchos actores de
ese tipo distribuidos en varios nodos en un clúster. Cada uno de los actores distribuidos
se caracteriza de forma única por un identificador de actor.
Las configuraciones de seguridad del replicador se usan para proteger el canal de

comunicación que se utiliza durante la replicación. Esta configuración impide que los
servicios vean el tráfico de replicación de otros servicios y garantiza que los datos de
alta disponibilidad son seguros. De forma predeterminada, una sección de configuración
de seguridad vacía impide la seguridad de la replicación. Las configuraciones de
replicador configuran el replicador que es responsable de hacer que el proveedor de
estado del actor resulte altamente confiable.
Configuración de TLS para Azure Service Fabric

El proceso de autenticación de servidor autentica los puntos de conexión de
administración del clúster a un cliente de administración. El cliente de administración, a
continuación, reconoce que se comunica con el clúster real. Este certificado proporciona
también un TLS para la API de administración de HTTPS y para Service Fabric Explorer
sobre HTTPS. Debe adquirir un nombre de dominio personalizado para el clúster.
Cuando solicite un certificado de una entidad de certificación, el nombre de sujeto del
certificado debe coincidir con el nombre de dominio personalizado del clúster.
Para configurar TLS para una aplicación, primero debe obtener un certificado SSL/TLS
firmado por una entidad de certificación. La entidad de certificación es un tercero de
confianza que emite certificados para TLS por motivos de seguridad. Si todavía no tiene
un certificado SSL/TLS, deberá obtenerlo de una compañía que los venda.
El certificado debe cumplir los siguientes requisitos de certificados SSL/TLS en Azure:
El certificado debe contener una clave privada.
El certificado debe crearse para el intercambio de claves, que se puedan exportar a

un archivo Personal Information Exchange (.pfx).
El nombre de sujeto del certificado debe coincidir con el nombre de dominio

usado para tener acceso al servicio en la nube.
Debe adquirir un nombre de dominio personalizado para el acceso a su servicio
en la nube.
Solicite un certificado a una entidad de certificación con un nombre de sujeto
que coincida con el nombre de dominio personalizado del servicio. Por ejemplo,
si el nombre de dominio personalizado es contoso.com, el certificado de la CA
debe tener el nombre de sujeto .contoso.com o www.contoso.com.
７ Nota
No se puede obtener un certificado SSL/TLS de una entidad de certificación

para el dominio cloudapp.net.
Este certificado debe usar un cifrado de 2,048 bits como mínimo.
El protocolo HTTP no es seguro y está sujeto a ataques de interceptación. Los datos que
se transmiten a través de HTTP se envían como texto sin formato desde el explorador
web al servidor web o entre otros puntos de conexión. Los atacantes pueden interceptar
y ver datos confidenciales enviados a través de HTTP, como los detalles de las tarjetas
de crédito e inicios de sesión de cuenta. Cuando los datos se envían o se publican a
través de un explorador mediante HTTPS, SSL garantiza que esa información se cifra y
protege de la interceptación.
Para más información sobre el uso de certificados SSL/TLS, consulte Configuración de
TLS para una aplicación en Azure.
Uso de aislamiento y seguridad de red con

Azure Service Fabric
Configure un clúster seguro de 3 tipos de nodo mediante la plantilla de Azure Resource
Manager como ejemplo. Controle el tráfico de red entrante y saliente mediante el uso
de la plantilla y los grupos de seguridad de red.
La plantilla tiene un grupo de seguridad de red para cada uno de los conjuntos de
escalado de máquinas virtuales a fin de controlar el tráfico dentro y fuera del conjunto.
De forma predeterminada, las reglas se configuran para permitir todo el tráfico que
necesitan los servicios del sistema y los puertos de la aplicación especificados en la
plantilla. Revise esas reglas y realice los cambios que necesite, incluido agregar nuevas
reglas para las aplicaciones.
Para más información, consulte Escenarios comunes de redes para Azure Service Fabric.
Configuración de Azure Key Vault para la

seguridad
Service Fabric usa certificados para proporcionar autenticación y cifrado con el fin de
proteger un clúster y sus aplicaciones.
Service Fabric usa certificados X.509 para proteger un clúster y proporcionar

características de seguridad de las aplicaciones. Azure Key Vault se usa para administrar
certificados para clústeres de Service Fabric en Azure. El proveedor de recursos de Azure
que crea los clústeres extrae los certificados de un almacén de claves. El proveedor, a
continuación, instala los certificados en las máquinas virtuales cuando el clúster se
implementa en Azure.
Existe una relación de certificados entre Azure Key Vault, el clúster de Service Fabric y el
proveedor de recursos que usa los certificados. Cuando se crea el clúster, la información
sobre la relación de certificados se almacena en un almacén de claves.
Hay dos pasos básicos para configurar un almacén de claves:
1. Crear un grupo de recursos específico para el almacén de claves.

Se recomienda colocar el almacén de claves en su propio grupo de recursos. Esta
acción ayuda a evitar la pérdida de las claves y secretos si se eliminan otros grupos
de recursos, como almacenamiento, proceso o el grupo que contiene el clúster. El
grupo de recursos que contiene el almacén de claves debe estar en la misma
región que el clúster que lo usa.
2. Crear un almacén de claves en el nuevo grupo de recursos.
El almacén de claves debe estar habilitado para la implementación. El proveedor

de recursos de proceso, a continuación, puede obtener los certificados del
almacén e instalarlos en las instancias de máquina virtual.
Para obtener más información sobre cómo configurar un almacén de claves, consulte
¿Qué es Azure Key Vault?.
Asignación de usuarios a roles

Una vez que haya creado las aplicaciones para representar el clúster, debe asignar los
usuarios a los roles compatibles con Service Fabric: solo lectura y administrador. Puede
asignar los roles mediante Azure Portal.
７ Nota
Para más información sobre el uso de roles en Service Fabric, consulte Control de
acceso basado en roles de Service Fabric para clientes de Service Fabric.
Azure Service Fabric admite dos tipos de control de acceso para los clientes que están
conectados a un clúster de Service Fabric: administrador y usuario. El administrador del
clúster puede usar el control de acceso para limitarlo a determinadas operaciones del
clúster para los diferentes grupos de usuarios. El control de acceso hace que el clúster
sea más seguro.
Aspectos que se deben tener en cuenta si se

hospedan aplicaciones que no son de confianza
en un clúster de Service Fabric
Consulte Hospedaje de aplicaciones que no son de confianza en un clúster de Service
Fabric.
Pasos siguientes
Lista de comprobación de seguridad de Service Fabric
Configurar el entorno de desarrollo de Service Fabric.
Más información sobre las opciones de soporte técnico de Service Fabric.
Registro y auditoría de seguridad de
Azure
Artículo • 29/08/2023
Azure proporciona una amplia gama de opciones de registro y auditoría de seguridad

configurables para ayudarle a identificar vacíos en las directivas y mecanismos de
seguridad. Este artículo describe la generación, recopilación y análisis de los registros de
seguridad provenientes de los servicios hospedados en Azure.
７ Nota
Algunas de las recomendaciones de este artículo pueden provocar un aumento del

uso de datos, de la red o de los recursos de proceso, lo que podría incrementar los
costos de las licencias o las suscripciones.
Tipos de registros de Azure

Las aplicaciones de nube son complejas y tienen muchas partes móviles. Los datos de
registro pueden proporcionar información detallada sobre las aplicaciones y ayudarle a:
Solucionar problemas pasados o impedir posibles problemas

Mejorar el rendimiento o el mantenimiento de la aplicación
Automatizar acciones que, de otro modo, requerirían intervención manual
Los registros de Azure se clasifican en los tipos siguientes:
Los registros de control y administración proporcionan información sobre las

operaciones CREATE, UPDATE y DELETE de Azure Resource Manager. Para más
información, consulte Registros de actividad de Azure.
Los registros del plano de datos proporcionan información sobre los eventos
desencadenados como parte del uso de los recursos de Azure. Ejemplos de este
tipo de registro son los registros de eventos del sistema de Windows, de seguridad
y de aplicaciones en una máquina virtual, así como los registros de diagnóstico
que se han configurado mediante Azure Monitor.
Los eventos procesados proporcionan información sobre eventos y alertas

analizados que se han procesado en su nombre. Ejemplos de este tipo son las
alertas de Microsoft Defender for Cloud, donde Microsoft Defender for Cloud ha
procesado y analizado su suscripción, y proporciona unas alertas de seguridad
concisas.
En la tabla siguiente se enumeran los tipos más importante de registros disponibles en

Azure.
Categoría del registro Tipo de registro Uso Integración
Registros de actividad Eventos de plano de Proporciona API REST y Azure

control de los recursos información detallada Monitor
de Azure Resource sobre las operaciones
Manager que se realizaron en los
recursos de la
suscripción.
Registros de recursos Datos frecuentes Proporciona Azure Monitor

de Azure acerca del información detallada
funcionamiento de los sobre las operaciones
recursos de Azure que el mismo recurso
Resource Manager de realiza.
la suscripción
Informes de Registros e informes Informa sobre las Microsoft Graph

Azure Active Directory actividades de inicio de
sesión de usuario e
información de
actividades del sistema
acerca de la
administración de
grupos y usuarios.
Máquinas virtuales y Servicio de Registro de Captura los datos del Windows (con el
servicios en la nube eventos de Windows y sistema y los datos de almacenamiento
Syslog de Linux registro en las de Azure
máquinas virtuales, y Diagnostics]) y
transfiere estos datos a Linux en Azure
la cuenta de Monitor
almacenamiento que
elija.
Análisis de Azure El registro de Proporciona API de REST o

Storage almacenamiento información detallada biblioteca de
proporciona datos de sobre seguimiento de cliente
métricas de una cuenta solicitudes, análisis de
de almacenamiento tendencias de uso y
diagnóstico de
problemas con la
cuenta de
almacenamiento.
Categoría del registro Tipo de registro Uso Integración
Registros de flujo de Tiene formato JSON y Muestra información Azure Network

los grupos de muestra flujos sobre el tráfico IP de Watcher
seguridad de red (NSG) entrantes y salientes entrada y salida a
por cada regla través de un grupo de
seguridad de red.
Application Insights Registros, excepciones Proporciona un servicio API de REST, Power

y diagnósticos de supervisión de BI
personalizados rendimiento de
aplicaciones (APM)
para desarrolladores
web en varias
plataformas.
Datos de proceso y Alertas de Proporciona API de REST, JSON

alertas de seguridad Microsoft Defender for información y alertas
Cloud, alertas de de seguridad.
registros de Azure
Monitor
Integración de registros con sistemas locales de

SIEM
En Integración de alertas de Defender for Cloud se trata cómo sincronizar las alertas de
Defender for Cloud, los eventos de seguridad de máquina virtual que recopilan los
registros de diagnóstico de Azure y los registros de auditoría de Azure, con los registros
de Azure Monitor o una solución SIEM.
Pasos siguientes
Auditoría y registro: proteja los datos mediante el mantenimiento de la visibilidad
y la rápida respuesta a las alertas de seguridad puntuales
Configuración de auditoría para una colección de sitios : si es el administrador de

una colección de sitios, recupere el historial de las acciones de un usuario
individua y el historial de las acciones realizadas durante un intervalo de fechas
concreto.
Búsqueda del registro de auditoría en el portal de Microsoft 365 Defender: use el

portal de Microsoft 365 Defender para buscar en el registro de auditoría unificado
y ver la actividad de usuario y administrador de su organización.
Información general sobre la
administración y la supervisión de la
seguridad en Azure
Artículo • 22/10/2023
En este artículo se proporciona información general sobre los servicios y características

de seguridad que proporciona Azure para ayudarle a administrar y supervisar servicios
en la nube y máquinas virtuales de Azure.
Control de acceso basado en roles de Azure

El control de acceso basado en roles de Azure (Azure RBAC) le permite administrar de
manera avanzada el acceso a los recursos de Azure. Gracias a Azure RBAC, puede
conceder a los usuarios únicamente el grado de acceso que necesitan para realizar sus
trabajos. Asimismo, Azure RBAC le ayudará a garantizar que cuando los usuarios dejan
la organización, pierden el acceso a los recursos en la nube.
Más información:
Control de acceso basado en roles de Azure (Azure RBAC)
Antimalware
Con Azure, puede usar el software antimalware que ofrecen los principales proveedores
de seguridad como Microsoft, Symantec, Trend Micro, McAfee y Kaspersky. Este
software le ayudará a proteger las máquinas virtuales de archivos malintencionados,
adware y otras amenazas.
Microsoft Antimalware para Azure Cloud Services y Virtual Machines le ofrece la

posibilidad de instalar un agente antimalware tanto para roles PaaS como para
máquinas virtuales. Esta característica, basada en System Center Endpoint Protection,
lleva a la nube tecnología de seguridad local de demostrada eficacia.
Symantec Endpoint Protection (SEP) también se admite en Azure. Mediante la

integración del portal, tiene la posibilidad de especificar su intención de usar SEP en una
máquina virtual. SEP puede instalarse en una máquina virtual nueva a través de Azure
Portal, o bien en una máquina virtual existente mediante PowerShell.
Más información:
Microsoft Antimalware para Azure Cloud Services y Virtual Machines
New Antimalware Options for Protecting Azure Virtual Machines (Nuevas
opciones de antimalware para proteger máquinas virtuales de Azure)
La autenticación multifactor de Microsoft Entra es un método de autenticación que
requiere el uso de más de un método de verificación. Proporciona una segunda capa de
seguridad crítica a los inicios de sesión y transacciones de los usuarios.
La autenticación multifactor ayuda a proteger el acceso a los datos y las aplicaciones, a

la vez que satisface la demanda de usuarios para un proceso de inicio de sesión sencillo.
Asimismo, proporciona autenticación sólida mediante una gran variedad de opciones de
comprobación, como llamadas telefónicas, mensajes de texto, notificaciones de
aplicaciones móviles, códigos de verificación y tokens OATH de terceros.
Más información:
Cómo funciona la autenticación multifactor de Microsoft Entra
ExpressRoute
Puede usar Azure ExpressRoute para ampliar sus redes locales en Microsoft Cloud a
través de una conexión privada y dedicada que facilita un proveedor de conectividad.
Mediante ExpressRoute, se pueden establecer conexiones con servicios en la nube de
Microsoft, como Azure, Microsoft 365 y CRM Online. La conectividad puede provenir de:
Una red cualquiera (IP VPN).

Una red de ethernet de punto a punto.
Una conexión cruzada virtual a través de un proveedor de conectividad en una
instalación de colocalización.
Conexiones de ExpressRoute que no fluyen a través de la red pública de Internet.

Ofrecen más confiabilidad, velocidades más altas, menores latencias y mayor seguridad
que las conexiones habituales a través de Internet.
Más información:
Información técnica de ExpressRoute
Puertas de enlace de red virtual

Las puertas de enlace de VPN, también llamadas puertas de enlace de Azure Virtual
Network, se usan para enviar tráfico de red entre las redes virtuales y las ubicaciones
locales. También se usan para enviar el tráfico entre varias redes virtuales dentro de
Azure (de red a red). Las puertas de enlace de VPN proporcionan conectividad local
segura entre Azure y su infraestructura.
Más información:
Información acerca de las puertas de enlace de VPN

Security)

En ocasiones, los usuarios necesitan llevar a cabo operaciones con privilegios en
recursos de Azure u otras aplicaciones para SaaS. Esto suele significar que las
organizaciones les conceden acceso con privilegios permanentes en Microsoft Entra ID.
Este hecho representa un riesgo creciente para la seguridad de los recursos hospedados
en la nube, ya que las organizaciones no pueden supervisar lo suficiente todo lo que
hacen esos usuarios con su acceso privilegiado. Además, si se pone en peligro una
cuenta de usuario que tiene acceso con privilegios, esta situación podría afectar a la
seguridad de la organización en la nube global. Microsoft Entra Privileged Identity
Management ayuda a resolver este riesgo reduciendo el tiempo de exposición de los
privilegios y aumentando la visibilidad del uso.
Privileged Identity Management introduce el concepto de administrador temporal para

un rol o acceso de administrador "just in time". Este tipo de administrador es un usuario
que necesita completar un proceso de activación para ese rol asignado. El proceso de
activación cambia la asignación del usuario a un rol de Microsoft Entra ID de inactivo a
activo durante un período de tiempo especificado.
Más información:
Microsoft Entra Privileged Identity Management (PIM)

Empiece a usar Privileged Identity Management
La protección de Microsoft Entra ID proporciona una vista consolidada de actividades de
inicio de sesión sospechosas y posibles vulnerabilidades para ayudar a proteger su
negocio. Identity Protection detecta actividades sospechosas en los usuarios e
identidades con privilegios (administradores), en función de señales como:
Ataques por fuerza bruta.

Filtración de credenciales.
Inicios de sesión desde ubicaciones desconocidas y dispositivos infectados.
Al proporcionar notificaciones y soluciones recomendadas, Identity Protection ayuda a

mitigar los riesgos en tiempo real. Calcula la gravedad del riesgo para el usuario.
Permite configurar directivas basadas en el riesgo que ayudan a proteger
automáticamente el acceso a la aplicación frente a futuras amenazas.
Más información:
Protección de Microsoft Entra ID
Defender para la nube

Microsoft Defender para la nube ayuda a evitar y a detectar las amenazas, además de a
responder a ellas. Defender para la nube aporta visibilidad mejorada en la seguridad de
los recursos de Azure y de los del entorno de nube híbrida, así como control sobre
todos estos recursos.
Defender para la nube realiza valoraciones de seguridad continuas de los recursos

conectados y compara su configuración e implementación con el punto de referencia de
seguridad en la nube de Microsoft para proporcionar recomendaciones de seguridad
detalladas adaptadas al entorno.
Defender para la nube ayuda a optimizar y supervisar la seguridad de los recursos de

Azure de la manera siguiente:
Le permite definir directivas para los recursos de suscripción de Azure de acuerdo

con:
Las necesidades de seguridad de su organización.
El tipo de aplicaciones o confidencialidad de los datos en cada suscripción.
Cualquier norma o prueba comparativa del sector o reguladora que aplique a
sus suscripciones.
Supervisa el estado de las máquinas virtuales, las redes y las aplicaciones de Azure.
Proporciona una lista de alertas de seguridad clasificadas por orden de prioridad,
incluyendo alertas de soluciones de socios integradas. Asimismo, también
proporciona la información que necesita para investigar rápidamente un ataque y
recomendaciones sobre cómo remediarlo.
Más información:
Introducción a Microsoft Defender para la nube

Mejore la puntuación de seguridad en Microsoft Defender para la nube
Pasos siguientes
Información sobre el modelo de responsabilidad compartida y las tareas de seguridad
que administra Microsoft y las que administra el usuario.
Para obtener más información sobre la administración de la seguridad, consulte

Administración de la seguridad en Azure.
Administración de la seguridad en
Azure
Artículo • 17/04/2023
Los suscriptores de Azure pueden administrar sus entornos de nube desde diversos
dispositivos, incluidas estaciones de trabajo de administración, equipos de desarrollador
e incluso dispositivos de usuario final con privilegios que tengan permisos específicos
para la tarea. En algunos casos, las funciones administrativas se realizan mediante
consolas web tales como Azure Portal . En otros casos, puede haber conexiones
directas a Azure desde sistemas locales a través de redes privadas virtuales (VPN),
Terminal Services, protocolos de aplicaciones cliente o (mediante programación) el
modelo de implementación clásico de Azure. Además, los puntos de conexión de cliente
pueden estar unidos a un dominio o aislados y no administrados, como tabletas o
smartphones.
Aunque las diversas funcionalidades de administración y acceso proporcionan un

amplio conjunto de opciones, esta variabilidad puede suponer un riesgo importante
para una implementación en la nube y dificultar la administración, el seguimiento y la
auditoría de las acciones administrativas. Esta variabilidad también puede presentar
amenazas para la seguridad debidas al acceso no regulado a los puntos de conexión de
cliente que se usan para administrar los servicios en la nube. El uso de estaciones de
trabajo personales o generales para desarrollar y administrar infraestructuras abre la
puerta a amenazas impredecibles que se producen tanto en la exploración web (por
ejemplo, ataques a los sitios web más utilizados) como en el correo electrónico (tales
como ingeniería social y suplantación de identidad [phishing]).
En este tipo de entorno aumenta el potencial de ataques, ya que es difícil crear políticas
y mecanismos de seguridad para gestionar adecuadamente el acceso a las interfaces de
Azure (como SMAPI) desde puntos de conexión muy variados.
Amenazas de la administración remota

Para obtener acceso con privilegios, los atacantes intentan comprometer las
credenciales de cuenta (por ejemplo, forzando la contraseña, mediante suplantación de
identidad [phishing] o recopilando credenciales), o intentan engañar a los usuarios para
que ejecuten código perjudicial (por ejemplo, desde sitios web malintencionados con
descargas ocultas o desde datos adjuntos de correo electrónico perjudiciales). En un
entorno de nube administrado de forma remota, las infracciones de cuenta permiten el
acceso desde cualquier lugar y en cualquier momento, lo que provoca un riesgo mayor.
Incluso con controles estrictos en las cuentas de los administradores principales, las
cuentas de usuario de niveles inferiores se pueden usar para vulnerar los puntos débiles
de la estrategia de seguridad de cada uno. La falta de un aprendizaje de seguridad
adecuado también puede provocar infracciones debidas a la revelación o la exposición
accidental de información de la cuenta.
Cuando una estación de trabajo de usuario se usa también para realizar tareas
administrativas, puede presentar muchos puntos de riesgo distintos, por ejemplo, al
explorar la Web, al utilizar herramientas de código abierto y de terceros o al abrir un
documento perjudicial que contiene un troyano.
En general, la mayoría de los ataques dirigidos que provocan infracciones de datos
pueden rastrearse hasta vulnerabilidades del navegador, complementos (por ejemplo,
Flash, PDF, Java) y suplantación de identidad (correo electrónico) en equipos de
escritorio. Estos equipos pueden tener permisos de nivel administrativo o de nivel de
servicio para tener acceso a los servidores activos o los dispositivos de red para
operaciones cuando se usan para el desarrollo o la administración de otros activos.
Fundamentos de la seguridad operativa

Para que la administración y las operaciones sean más seguras, puede minimizar la
superficie de ataque de un cliente reduciendo el número de posibles puntos de entrada.
Esto puede hacerse a través de los principios de seguridad: "segregación de controles" y
"segregación de entornos".
Aislamiento de funciones confidenciales entre sí para reducir la probabilidad de que un

error en un nivel dé lugar a una infracción de seguridad en otro. Ejemplos:
Las tareas administrativas no deben combinarse con las actividades que pueden
suponer un riesgo (por ejemplo, un malware en el correo electrónico de un
administrador que luego infecte un servidor de la infraestructura).
Una estación de trabajo que se usa para operaciones de alta confidencialidad no
debería estar en el mismo sistema que se usa para acciones de alto riesgo, como
explorar Internet.
Reducción de la superficie de ataque del sistema mediante la eliminación de software

innecesario. Ejemplo:
Por ejemplo, una estación de trabajo administrativa, de soporte técnico o de

desarrollo estándar no debería requerir la instalación de un cliente de correo
electrónico o de otras aplicaciones de productividad si la finalidad principal del
dispositivo es administrar servicios en la nube.
Sistemas cliente que tienen acceso de administrador a los componentes de la

infraestructura deben estar sujetos a la directiva más estricta posible para reducir los
riesgos de seguridad. Ejemplos:
Entre las directivas de seguridad pueden incluirse la configuración de directiva de

grupo que deniega el acceso a Internet abierto desde el dispositivo y el uso de una
configuración restrictiva de firewall.
Uso de redes VPN con protocolo de seguridad de Internet (IPsec) si se necesita
acceso directo.
Configuración de dominios de Active Directory de desarrollo y administración
independientes.
Aislamiento y filtrado del tráfico de red de las estaciones de trabajo de
administración.
Uso de software antimalware.
Implementación de la autenticación multifactor para reducir el riesgo de
credenciales robadas.
La consolidación de los recursos de acceso y la eliminación de puntos de conexión no

administrados también simplifica las tareas de administración.
Seguridad para la administración remota de Azure

Azure proporciona mecanismos de seguridad para ayudar a los administradores que
administran servicios en la nube y máquinas virtuales de Azure. Estos mecanismos
incluyen:
Autenticación y control de acceso basado en rol de Azure (Azure RBAC).

Supervisión, registro y auditoría.
Certificados y comunicación cifrada.
Un portal de administración web.
Filtrado de paquetes de red.
Mediante la configuración de la seguridad del lado cliente y de la implementación de

una puerta de enlace de administración en el centro de datos, es posible restringir y
supervisar el acceso del administrador a datos y aplicaciones en la nube.
７ Nota
Algunas de las recomendaciones de este artículo pueden provocar un aumento del

uso de datos, de la red o de los recursos de proceso, lo que podría incrementar los
costos de las licencias o las suscripciones.
Estación de trabajo protegida para

administración
El objetivo de proteger una estación de trabajo es eliminar todas las funciones excepto
las más necesarias para que funcione, reduciendo así al mínimo la superficie de ataque.
Para proteger el sistema se minimiza también el número de servicios y aplicaciones
instalados, se limita la ejecución de aplicaciones, se restringe el acceso de red a lo
estrictamente necesario y el sistema se mantiene siempre actualizado. Además, el uso
de estaciones de trabajo protegidas para la administración aísla las herramientas y las
actividades administrativas de las demás tareas del usuario final.
Dentro de un entorno empresarial local, puede limitar la superficie de ataque de la

infraestructura física mediante redes de administración dedicadas, salas de servidores
con acceso por tarjeta y estaciones de trabajo que se ejecutan en las áreas protegidas
de la red. En un modelo de TI de nube o híbrido, ser diligente con los servicios de
administración segura puede resultar más complejo debido a la falta de acceso físico a
los recursos de TI. La implementación de soluciones de protección requiere una
cuidadosa configuración del software, procesos centrados en la seguridad y directivas
completas.
Usar una huella digital de software minimizada con privilegios mínimos en una estación
de trabajo bloqueada para la administración en la nube, así como para el desarrollo de
aplicaciones, normaliza los entornos de desarrollo y administración remota y reduce el
riesgo de incidentes de seguridad. La configuración de una estación de trabajo
protegida puede ayudar a cerrar muchas de las vías vulnerables normalmente usadas
por el malware, lo que ayuda a evitar riesgos en las cuentas que se usan para
administrar recursos de nube críticos. En concreto, puede usar Windows AppLocker y la
tecnología Hyper-V para controlar y aislar el comportamiento del sistema de cliente y
mitigar las amenazas, incluido el correo electrónico o la exploración de Internet.
En una estación de trabajo protegida, el administrador ejecuta una cuenta de usuario

estándar (que impide la ejecución en el nivel administrativo) y las aplicaciones asociadas
se controlan mediante una lista de permitidos. Los elementos básicos de una estación
de trabajo protegida son los siguientes:
Análisis y revisión activos. Implementar software antimalware, realizar un análisis

regular de vulnerabilidades y actualizar todas las estaciones de trabajo con la
actualización de seguridad más reciente de manera oportuna.
Funcionalidad limitada Desinstale todas las aplicaciones que no sean necesarias y
deshabilite los servicios innecesarios (inicio).
Protección de la red. Use reglas de Firewall de Windows para permitir solo
direcciones IP, puertos y direcciones URL válidos relacionados con la
administración de Azure. Asegúrese de bloquear también las conexiones remotas
entrantes a la estación de trabajo.
Restricción de la ejecución. Permita solo el conjunto de archivos ejecutables
predefinidos que se necesitan para realizar la administración (lo que se conoce
como "denegación predeterminada"). De forma predeterminada, se deberá
denegar el permiso a los usuarios para ejecutar cualquier programa a menos que
esté definido explícitamente en la lista de permitidos.
Privilegios mínimos. Los usuarios de las estaciones de trabajo de administración no
deben tener privilegios administrativos en el propio equipo local. De este modo,
no pueden cambiar la configuración del sistema ni los archivos del sistema, ya sea
intencionadamente o por accidente.
Para aplicar todo esto, puede usar objetos de directiva de grupo (GPO) en Active
Directory Domain Services (AD DS) y aplicarlos mediante su dominio de administración
(local) a todas las cuentas de administración.
Administración de servicios, aplicaciones y datos

La configuración de servicios en la nube de Azure se realiza mediante el Portal de Azure
o SMAPI, mediante la interfaz de línea de comandos de Windows PowerShell o
mediante una aplicación personalizada que aprovecha estas interfaces de RESTful. Los
servicios que usan estos mecanismos son Azure Active Directory (Azure AD), Azure
Storage, Azure Websites y Azure Virtual Network, entre otros.
Máquina virtual: las aplicaciones implementadas proporcionan sus propias herramientas

e interfaces de cliente según sea necesario, como Microsoft Management Console
(MMC), una consola de administración empresarial (Microsoft System Center o Windows
Intune) u otra aplicación de administración (Microsoft SQL Server Management Studio,
por ejemplo). Estas herramientas suelen residir en una red de cliente o en un entorno
empresarial. Pueden depender de protocolos de red específicos, como el Protocolo de
escritorio remoto (RDP), que requiere conexiones directas con estado. Algunos pueden
tener interfaces habilitadas para web que no se deben publicar ni ser accesibles a través
de Internet.
Puede restringir el acceso a la administración de los servicios de infraestructura y

plataforma en Azure mediante la autenticación multifactor, los certificados de
administración X.509 y las reglas de firewall. El Portal de Azure y SMAPI requieren
Seguridad de capa de transporte (TLS). Sin embargo, los servicios y las aplicaciones que
implemente en Azure requieren que tome medidas de protección adecuadas en función
de la aplicación. Estos mecanismos se suelen habilitar más fácilmente mediante una
configuración de estación de trabajo protegida estándar.
Directrices de seguridad
En general, para ayudar a proteger las estaciones de trabajo de administrador para su
uso con la nube se usan procedimientos similares a los usados para cualquier estación
de trabajo local. Por ejemplo, se minimizan los permisos de compilación y restrictivos.
Algunos aspectos únicos de la administración en la nube son más parecidos a la
administración remota o empresarial fuera de banda. Estos incluyen el uso y la auditoría
de credenciales, el acceso remoto con seguridad mejorada y la detección de amenazas y
respuesta a las mismas.
Authentication
Puede usar las restricciones de inicio de sesión de Azure para impedir que direcciones IP
de origen tengan acceso a herramientas administrativas y solicitudes de acceso de
auditoría. Para ayudar a Azure a identificar los clientes de administración (estaciones de
trabajo o aplicaciones), puede configurar SMAPI (mediante herramientas desarrolladas
por el cliente tales como cmdlets de Windows PowerShell) y Azure Portal para que
requieran la instalación de certificados de administración del cliente, además de los
certificados SSL/TLS. Se recomienda también que el acceso de administrador requiera
autenticación multifactor.
Algunas aplicaciones o servicios que se implementan en Azure pueden tener sus propios
mecanismos de autenticación para el acceso de usuario final y de administrador,
mientras que otras aprovechan toda la funcionalidad de Azure AD. Dependiendo de si
desea federar credenciales mediante Servicios de federación de Active Directory (AD FS),
usar la sincronización de directorios o mantener las cuentas de usuario únicamente en la
nube, el uso de Microsoft Identity Manager (parte de Azure AD Premium) lo ayuda a
administrar los ciclos de vida de las identidades entre los recursos.
Conectividad
Existen varios mecanismos para ayudar a proteger las conexiones de cliente de las redes
virtuales de Azure. Dos de estos mecanismos, VPN de sitio a sitio (S2S) y VPN de punto
a sitio (P2S), permiten usar el estándar del sector IPsec (S2S) para el cifrado y la
tunelización. Cuando Azure se conecta a la administración de servicios de Azure
accesibles desde Internet, como Azure Portal, requiere el protocolo HTTPS.
Una estación de trabajo protegida independiente que no se conecta a Azure mediante

Puerta de enlace de Escritorio remoto debe usar VPN de punto a sitio basada en SSTP
para crear la conexión inicial a Azure Virtual Network y, después, establecer la conexión
RDP a las máquinas virtuales individuales desde el túnel VPN.
Auditoría de administración y aplicación de directivas

Normalmente, hay dos enfoques para proteger los procesos de administración:
auditoría y aplicación de directivas. Ambos proporcionarán controles completos, pero
que pueden no ser posibles en todas las situaciones. Además, cada método tiene
distintos niveles de riesgo, costo y esfuerzo asociados con la administración de la
seguridad, especialmente en relación con el nivel de confianza en las personas y las
arquitecturas del sistema.
La supervisión, el registro y la auditoría proporcionan una base para el seguimiento y la

descripción de las actividades administrativas, pero puede que no siempre sea factible
auditar todas las acciones con detalle debido a la cantidad de datos generados. Sin
embargo, auditar la efectividad de las directivas de administración es un procedimiento
recomendado.
La aplicación de directivas que incluyen controles estrictos de acceso coloca

mecanismos de programación que rigen la acciones del administrador, y ayuda a
garantizar que se están usando todas las medidas de protección posibles. El registro
proporciona una prueba de cumplimiento, además de un registro de quién hizo qué,
desde dónde y cuándo. El registro también permite auditar y verificar la información
acerca de cómo los administradores usan las directivas, y proporciona pruebas de las
actividades.
Configuración de cliente
Se recomiendan tres configuraciones principales para una estación de trabajo protegida.
Los principales puntos de diferencia entre ellas son el costo, la facilidad de uso y la
accesibilidad, pero el perfil de seguridad es similar en todas las opciones. La tabla
siguiente proporciona un breve análisis de las ventajas y los riesgos de cada una.
(Observe que "equipos corporativos" hace referencia a una configuración de PC de
escritorio estándar que se puede implementar para todos los usuarios del dominio,
independientemente de sus roles).
Configuración Ventajas Desventajas
Estación de trabajo protegida Estación de trabajo estrechamente mayor costo para

independiente controlada escritorios dedicados
- Menor riesgo de vulnerabilidades Mayor esfuerzo de

de la aplicación administración
- Clara separación de las tareas -
Equipo corporativo como Menores costos de hardware -

máquina virtual
- Separación de roles y aplicaciones -

Es importante que la estación de trabajo protegida sea el host y no el invitado, y que no
haya nada entre el sistema operativo host y el hardware. Para seguir el "principio del
origen limpio" (también conocido como "origen seguro"), el host debe estar lo más
protegido posible. De lo contrario, la estación de trabajo protegida (invitado) puede ser
objeto de ataques en el sistema en el que se hospeda.
Puede separar aún más las funciones administrativas mediante imágenes de sistema
dedicadas para cada estación de trabajo protegida, que solo tengan las herramientas y
los permisos necesarios para administrar determinadas aplicaciones de Azure y en la
nube, con GPO de AD DS locales específicos para las tareas en la nube.
Para los entornos de TI que carecen de infraestructura local (por ejemplo, sin acceso a
una instancia de AD DS local para los GPO porque todos los servidores se encuentran
en la nube), un servicio como Microsoft Intune puede simplificar la implementación y el
mantenimiento de configuraciones de estación de trabajo.
Estación de trabajo protegida independiente para

administración
Con una estación de trabajo protegida independiente, los administradores tienen un
equipo o un portátil que usan para las tareas administrativas, y otro equipo o portátil
diferente para las tareas no administrativas. En el escenario de la estación de trabajo
protegida independiente (se muestra a continuación), la instancia local de Firewall de
Windows (o un firewall de cliente no sea de Microsoft) está configurada para bloquear
las conexiones entrantes, como RDP. El administrador puede iniciar sesión en la estación
de trabajo protegida e iniciar una sesión de RDP que se conecta a Azure después de
establecer una conexión de VPN con Azure Virtual Network, pero no puede iniciar
sesión en un equipo corporativo ni usar RDP para conectarse a la propia estación de
trabajo protegida.
Equipo corporativo como máquina virtual
En aquellos casos en los que una estación de trabajo independiente protegida sea muy
cara o no resulte conveniente, la estación de trabajo protegida puede hospedar una
máquina virtual para llevar a cabo tareas no administrativas.
Para evitar varios riesgos de seguridad que pueden surgir del uso de una estación de
trabajo para la administración de sistemas y otras tareas del trabajo diario, puede
implementar una máquina virtual de Windows Hyper-V en la estación de trabajo
protegido. Esta máquina virtual puede usarse como equipo corporativo. El entorno del
equipo corporativo puede permanecer aislado del host, lo que reduce la superficie de
ataque y evita que las actividades diarias del usuario (por ejemplo, el correo electrónico)
coexistan con tareas administrativas importantes.
La máquina virtual del equipo corporativo se ejecuta en un espacio protegido y

proporciona aplicaciones de usuario. El host sigue siendo un "origen limpio" y aplica
directivas de red estrictas en el sistema operativo de raíz (por ejemplo, bloqueo del
acceso RDP desde la máquina virtual).
Procedimientos recomendados
Tenga en cuenta las siguientes directrices adicionales cuando administre aplicaciones y
datos en Azure.
Qué hacer y qué no hacer

No dé por sentado que si una estación de trabajo está bloqueada ya no es necesario
cumplir otros requisitos de seguridad comunes. El riesgo potencial es mayor debido a
los niveles de acceso con privilegios elevados que normalmente poseen las cuentas de
administrador. En la tabla siguiente se muestran ejemplos de riesgos y los
procedimientos de seguridad alternativos.
Lo que debe evitar: Lo que es necesario hacer:
No envíe por correo electrónico Mantenga la confidencialidad; para ello, entregue los nombres
credenciales de acceso de y las contraseñas de las cuentas de palabra (pero no los
administrador ni otros secretos almacene en buzones de voz), realice una instalación remota
(por ejemplo, certificados de los certificados de cliente y servidor (a través de una sesión
TLS/SSL o de administración) cifrada), descárguelos desde un recurso compartido de red
protegido o distribúyalos manualmente mediante soportes
físicos extraíbles.
- Administre activamente los ciclos de vida de sus certificados

de administración.
No almacene contraseñas de Establezca principios de administración de seguridad y

cuentas sin cifrar o sin hash en directivas de protección del sistema, y aplíquelos a su entorno
almacenamiento de aplicaciones de desarrollo.
(por ejemplo, en hojas de
cálculo, recursos compartidos de
archivos o sitios de SharePoint).
Lo que debe evitar: Lo que es necesario hacer:
No comparta cuentas ni Cree una cuenta de Microsoft dedicada para administrar su

contraseñas entre los suscripción de Azure, una cuenta que no se use para el correo
administradores o reutilice electrónico personal.
contraseñas en diferentes
cuentas de usuario o servicios,
especialmente las de medios
sociales o de otras actividades
no administrativas.
No envíe archivos de Los perfiles y los archivos de configuración deben instalarse

configuración por correo desde un origen de confianza (por ejemplo, una unidad flash
electrónico. USB cifrada), no desde un mecanismo que pueda verse
comprometido fácilmente, como el correo electrónico.
No use contraseñas de inicio de Aplique directivas de contraseña segura, ciclos de expiración

sesión simples o débiles. (cambio en el primer uso), tiempos de espera de la consola y
bloqueos de cuentas automáticos. Use un sistema de
administración de contraseñas de cliente con autenticación
multifactor para el acceso al almacén de contraseñas.
No exponga los puertos de Bloquee los puertos y las direcciones IP de Azure para
administración a Internet. restringir el acceso de administración.
- Use NAP, VPN y firewalls para todas las conexiones de

administración.
Operaciones de Azure
Dentro de las operaciones que Microsoft realiza con Azure, los ingenieros de
operaciones y el personal de soporte técnico que tienen acceso a los sistemas de
producción de Azure usan equipos de estación de trabajo protegidos con máquinas
virtuales aprovisionadas en ellos para el acceso a las aplicaciones y a la red corporativa
interna (como correo electrónico, intranet, etc.). Todos los equipos de estación de
trabajo de administración tienen TPM, la unidad de arranque del host está cifrada con
BitLocker y están unidas a una unidad organizativa (OU) especial en el dominio
corporativo principal de Microsoft.
La protección del sistema se aplica mediante la directiva de grupo, con actualizaciones

de software centralizadas. Para auditoría y análisis, los registros de eventos (por
ejemplo, seguridad y AppLocker) se recopilan desde estaciones de trabajo de
administración y se guardan en una ubicación central.
Además, en la red de Microsoft se usan cuadros de salto dedicados que requieren

autenticación en dos fases para conectarse a la red de producción de Azure.
Lista de comprobación de seguridad de Azure
Reducir el número de tareas que los administradores pueden realizar en una estación de
trabajo protegida ayuda a minimizar la superficie de ataque en su entorno de
administración y desarrollo. Use las siguientes tecnologías para ayudar a asegurar su
estación de trabajo protegida:
Un explorador web es un punto de entrada clave para el código dañino debido a

sus amplias interacciones con servidores externos. Revise las directivas de sus
clientes y aplique la ejecución en modo protegido, la desactivación de
complementos y la desactivación de descargas de archivos. Asegúrese de que se
muestran las advertencias de seguridad. Aproveche las ventajas de las zonas de
Internet y crear una lista de sitios de confianza para los que ha configurado una
protección razonable. Bloquee todos los demás sitios y el código en el explorador,
como ActiveX y Java.
Usuario estándar Trabajar como usuario estándar ofrece una serie de ventajas, la
principal es que dificulta el robo de las credenciales de administrador mediante
software malintencionado. Además, una cuenta de usuario estándar no tiene
privilegios elevados en el sistema operativo raíz, y muchas opciones de
configuración y API están bloqueadas de forma predeterminada.
Firma del código. La firma del código de todas las herramientas y scripts que usan
los administradores es un mecanismo fácil de administrar para la implementación
de directivas de bloqueo de aplicaciones. Los valores hash no se escalan con
cambios rápidos al código y las rutas de acceso de archivo no proporcionan un
alto nivel de seguridad. Establecer las directivas de ejecución de PowerShell para
equipos Windows.
Directiva de grupo. Cree una directiva administrativa global que se aplique a
cualquier estación de trabajo del dominio que se use para administración (y
bloquee el acceso de todas los demás), así como a las cuentas de usuario
autenticadas en esas estaciones de trabajo.
Aprovisionamiento con seguridad mejorada. Proteja la imagen de su estación de
trabajo protegida de referencia contra la manipulación. Use medidas de seguridad
tales como cifrado y aislamiento para almacenar imágenes, máquinas virtuales y
scripts, y restrinja el acceso (quizás con un proceso de inserción y extracción del
repositorio que se pueda auditar).
Aplicación de revisiones. Mantenga una compilación coherente (o use imágenes
diferentes para desarrollo, operaciones y otras tareas administrativas), examine de
forma rutinaria si hay cambios y malware, mantenga la compilación al día y active
los equipos solo cuando se necesiten.
Gobernanza. Use GPO de AD DS para controlar todas las interfaces de Windows de
los administradores, como el uso compartido de archivos. Incluya las estaciones de
trabajo de administración de procesos de auditoría, supervisión y registro. Realice
un seguimiento del acceso y uso de los administradores y programadores.
Resumen
Usar una configuración de estación de trabajo protegida para administrar los servicios
en la nube de Azure, las máquinas virtuales y las aplicaciones puede ayudarle a evitar
muchos riesgos y amenazas que pueden derivar de la administración remota de la
infraestructura de TI esencial. Tanto Azure como Windows proporcionan mecanismos
que puede emplear para ayudar a proteger y controlar el comportamiento de las
comunicaciones, la autenticación y los clientes.
Pasos siguientes
En los siguientes recursos se ofrece más información general sobre Azure y los servicios
de Microsoft relacionados:
Securing Privileged Access (Protección del acceso con privilegios): consulte la

información técnica para diseñar y crear una estación de trabajo administrativa
segura para la administración de Azure.
Centro de confianza de Microsoft : conozca las funcionalidades de la plataforma
Azure que protegen el tejido de Azure y las cargas de trabajo que se ejecutan en
Azure.
Información general sobre la seguridad
operativa de Azure
Artículo • 29/08/2023
Con seguridad operativa de Azure, se hace referencia a los servicios, los controles y las
otros recursos en Microsoft Azure. Es un marco que incorpora el conocimiento
adquirido a través de una variedad de funcionalidades exclusivas de Microsoft. Estas
funcionalidades incluyen el Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft,
el programa Microsoft Security Response Center y un conocimiento profundo del
panorama de amenazas de ciberseguridad.
Servicios de administración de Azure

Un equipo de operaciones de TI es el responsable de administrar la infraestructura del
centro de datos, las aplicaciones y los datos, incluida la estabilidad y la seguridad de
estos sistemas. Sin embargo, la obtención de información de seguridad sobre el cada
vez mayor número de entornos de TI complejos, a menudo requiere que las
organizaciones reúnan datos a partir de distintos sistemas de administración y
seguridad.
Los registros de Microsoft Azure Monitor es una solución de administración de TI

basada en la nube de Microsoft que le permite administrar y proteger su infraestructura
local y en la nube. Los siguientes servicios que se ejecutan en Azure proporcionan su
funcionalidad principal. En Azure, se incluyen varios servicios que le permiten
administrar y proteger la infraestructura local y en la nube. Cada servicio proporciona
una función de administración específica. Puede combinar los servicios para lograr
distintos escenarios de administración.
Azure Monitor
Azure Monitor recopila datos de orígenes administrados en almacenes de datos
centralizados. Estos datos pueden incluir eventos, datos de rendimiento o datos
personalizados proporcionados mediante la API. Una vez recopilados los datos, están
disponibles para las alertas, el análisis y la exportación.
Puede consolidar datos de varios orígenes y combinar datos de los servicios de Azure
con el entorno local existente. Los registros de Azure Monitor también separan
claramente la recopilación de los datos de la acción realizada en los datos para que
todas las acciones estén disponibles para todos los tipos de datos.
Automation
Azure Automation le ofrece una manera de automatizar las tareas manuales, propensas
a errores, con una ejecución prolongada y repetidas con frecuencia que se realizan
normalmente en un entorno empresarial y en la nube. Ahorra tiempo y aumenta la
confiabilidad de las tareas administrativas. Incluso programa estas tareas para que se
realicen automáticamente a intervalos regulares. Puede automatizar procesos mediante
runbooks o automatizar la administración de configuración mediante la configuración
de estado deseada.
Copia de seguridad
Azure Backup es el servicio de Azure que puede usar para hacer una copia de seguridad
de los datos (protegerlos) y restaurarlos en Microsoft Cloud. Azure Backup reemplaza su
solución de copia de seguridad local o remota existente por una solución confiable,
segura y rentable basada en la nube.
Azure Backup ofrece componentes que se descargan e implementan en el equipo o

servidor adecuados, o en la nube. El componente, o agente, que se implemente
depende de lo que quiera proteger. Todos los componentes de Azure Backup (tanto si
va a proteger los datos de forma local como en la nube) se pueden usar para realizar
una copia de seguridad de datos en un almacén de Azure Recovery Services en Azure.
Para obtener más información, consulte la tabla de componentes de Azure Backup.
Site Recovery
Azure Site Recovery proporciona continuidad del negocio a través de la organización de
la replicación de máquinas virtuales y físicas locales en Azure o en un sitio secundario. Si
su sitio primario no está disponible, se realizará la conmutación por error a la ubicación
secundaria para que los usuarios pueden seguir trabajando. Se realizará una
conmutación por recuperación cuando los sistemas vuelvan a las condiciones de
funcionamiento normales. Use Microsoft Defender for Cloud para realizar una detección
de amenazas más inteligente y eficaz.

Azure Active Directory (Azure AD) es un servicio de identidad completo que:
Habilita la Administración de identidad y acceso (IAM) como servicio en la nube.
Proporciona administración de acceso central, inicio de sesión único (SSO) y
creación de informes.
Admite la administración de acceso integrado para miles de aplicaciones de
Azure Marketplace, como Salesforce, Google Apps, Box y Concur.
Azure AD también incluye un conjunto completo de funcionalidades de administración

de identidades, como las siguientes:
Administración de contraseñas de autoservicio
Administración de grupos de autoservicio
Administración de cuentas con privilegios
Control de acceso basado en roles de Azure (Azure RBAC)
Supervisión del uso de la aplicación
Auditoría avanzada
Supervisión de seguridad y alertas
Con Azure Active Directory, todas las aplicaciones que publica para sus asociados y
clientes (empresa o consumidor) tendrán las mismas funcionalidades de administración
de identidad y acceso. Esto permite reducir significativamente los costos operativos.

Proporciona una supervisión de la seguridad y una administración de directivas
integradas en sus suscripciones. Le ayuda a detectar amenazas que podrían pasar
desapercibidas, y funciona con un amplio ecosistema de soluciones de seguridad.
Proteja los datos de máquinas virtuales (VM) en Azure proporcionando visibilidad a la

configuración de seguridad de su máquina virtual y supervisando las amenazas.
Defender for Cloud puede supervisar las máquinas virtuales para:
Configuración de seguridad del sistema operativo con las reglas de configuración

recomendadas.
Seguridad del sistema y actualizaciones críticas que faltan.
Recomendaciones de protección de puntos de conexión.
Validación de cifrado de disco.
Ataques basados en la red.
Defender for Cloud usa el control de acceso basado en rol de Azure (RBAC de Azure).
Azure RBAC proporciona roles integrados que se pueden asignar a usuarios, grupos y
servicios de Azure.
Defender for Cloud evalúa la configuración de los recursos para identificar problemas de
seguridad y vulnerabilidades. En Defender for Cloud, se muestra información
relacionada con un recurso solo cuando tiene asignado el rol de Propietario,
Colaborador o Lector a la suscripción o grupo de recursos al que pertenece un recurso.
７ Nota
Consulte Permisos en Microsoft Defender for Cloud para obtener más información
sobre los roles y las acciones permitidas en Defender for Cloud.
Defender for Cloud usa Microsoft Monitoring Agent. Es el mismo agente que usa el
servicio de Azure Monitor. Los datos que recopila este agente se almacenan en una área
de trabajo existente de Log Analytics asociada con la suscripción a Azure o en una
nueva área de trabajo, según la geolocalización de la VM.
Azure Monitor
Los problemas de rendimiento de la aplicación en la nube pueden afectar a su negocio.
Con varios componentes interconectados y versiones frecuentes, las degradaciones
pueden ocurrir en cualquier momento. Y, si va a desarrollar una aplicación, los usuarios
normalmente encuentran problemas que no se han detectado durante las pruebas.
Debe tener conocimiento de estos problemas de inmediato y disponer de las
herramientas de diagnóstico y solución de problemas.
Azure Monitor es una herramienta básica para la supervisión de servicios que se

ejecutan en Azure. Proporciona datos a nivel de infraestructura sobre el rendimiento de
un servicio y el entorno circundante. Si va a administrar todas las aplicaciones en Azure
y debe decidir si quiere ampliar o reducir los recursos, Azure Monitor es el punto de
partida.
También puede usar datos de supervisión para extraer conclusiones detalladas sobre la
aplicación. Este conocimiento puede ayudarle a mejorar el rendimiento o
mantenimiento de la aplicación, o a automatizar acciones que de lo contrario
requerirían intervención manual.
Azure Monitor incluye los siguientes componentes.

Azure Activity Log
El registro de actividad de Azure proporciona información sobre las operaciones que se
realizaron en los recursos de su suscripción. Antes, se conocía como "Registro de
auditoría" o "Registro operativo", ya que notifica eventos del plano de control para las
suscripciones.
Registros de diagnósticos de Azure

Un recurso emite registros de diagnóstico de Azure que proporcionan datos exhaustivos
y frecuentes acerca del funcionamiento de ese recurso. El contenido de estos registros
varía según el tipo de recurso.
Los registros del sistema de eventos de Windows son una categoría de registros de
diagnóstico para VM. Los registros de BLOB, tabla y cola son categorías de registros de
diagnóstico para cuentas de almacenamiento.
Lo registros de diagnóstico son distintos del registro de actividad. El registro de

actividad proporciona información sobre las operaciones que se realizaron en los
recursos de su suscripción. Los registros de diagnóstico proporcionan conclusiones
detalladas sobre las operaciones que el propio recurso realiza.
Métricas
Azure Monitor proporciona telemetría que le ofrece visibilidad sobre el rendimiento y el
estado de las cargas de trabajo en Azure. El tipo de telemetría de datos de Azure más
importante son las métricas (también denominadas contadores de rendimiento)
emitidas por la mayoría de los recursos de Azure. Azure Monitor proporciona varias
maneras de configurar y usar estas métricas para supervisar y solucionar problemas.
Diagnóstico de Azure
Azure Diagnostics habilita la recopilación de datos de diagnóstico en una aplicación
implementada. Puede utilizar la extensión de Diagnostics desde diversos orígenes.
Actualmente, se admiten roles de servicio en la nube de Azure, máquinas virtuales de
Azure que ejecutan Microsoft Windows y Azure Service Fabric.
Azure Network Watcher

Los clientes pueden crear una red integral en Azure mediante la orquestación y
composición de varios recursos de red individuales, como, por ejemplo, redes virtuales,
Azure ExpressRoute, Azure Application Gateway y equilibradores de carga. Se puede
supervisar cada uno de los recursos de la red.
La red integral puede tener configuraciones complejas e interacciones entre recursos. El

resultado es un escenario complejo que necesita supervisión basada en el escenario a
través de Azure Network Watcher.
Network Watcher simplifica la supervisión y diagnóstico de la red de Azure. Puede usar

las herramientas de diagnóstico y visualización de Network Watcher para:
Realizar capturas de paquetes remotos en una máquina virtual de Azure.

Extraer conclusiones sobre el tráfico de la red mediante registros de flujo.
Diagnosticar Azure VPN Gateway y conexiones.
En la actualidad, Network Watcher dispone de las siguientes funcionalidades:
Topología: proporciona una vista de las diversas interconexiones y asociaciones

entre los recursos de red de un grupo de recursos.
Captura de paquetes variable: captura datos de paquetes dentro y fuera de una
máquina virtual. Las opciones de filtrado avanzadas y controles optimizados, con
los que se pueden establecer límites de tiempo y de tamaño, proporcionan una
gran versatilidad. Los datos de paquete se pueden almacenar en un almacén de
blobs o en el disco local en formato .cap.
Comprobar el flujo de IP: comprueba si un paquete está permitido o no en función
de los parámetros del paquete de 5 tuplas de información del flujo (IP de destino,
IP de origen, puerto de destino, puerto de origen y protocolo). Si un grupo de
seguridad deniega un paquete, se devuelve la regla y el grupo que lo deniegan.
Próximo salto: determina el próximo salto para los paquetes que se enrutan en el
tejido de red de Azure, lo que le permite diagnosticar cualquier ruta definida por el
usuario que se haya configurado incorrectamente.
Vista de grupo de seguridad: Obtiene las reglas de seguridad eficaces que se
aplican en una máquina virtual.
Registros de flujo de NSG para grupos de seguridad de red : Permiten capturar
registros relacionados con el tráfico que las reglas de seguridad del grupo
aprueban o deniegan. El flujo se define mediante una información de 5 tuplas: IP
de origen, IP de destino, puerto de origen, puerto de destino y protocolo.
Solución de problemas de las conexiones y la puerta de enlace de Virtual Network:
Proporciona la capacidad para solucionar problemas con las puertas de enlace de
red virtual y las conexiones.
Límites de suscripción de red: permite ver el uso de los recursos de la red en
comparación con los límites.
Registros de diagnóstico: Proporciona un único panel para habilitar o deshabilitar
los registros de diagnóstico para los recursos de red de un grupo de recursos.
Para más información, consulte Configurar Network Watcher.
Transparencia de acceso del proveedor de

servicio en la nube
Caja de seguridad del cliente de Microsoft Azure es un servicio integrado en Azure
Portal que proporciona un control explícito en aquellos casos poco frecuentes en que el
ingeniero de soporte técnico de Microsoft necesita acceso a sus datos para resolver un
problema. Son muy escasas las ocasiones en que un ingeniero de soporte técnico de
Microsoft requiere permisos elevados para resolver un problema; por ejemplo, la
depuración de un acceso remoto. En tales casos, los ingenieros de Microsoft usan el
servicio de acceso just-in-time que proporciona autorización temporal y limitada con
acceso restringido al servicio.
Si bien Microsoft siempre ha obtenido el consentimiento del usuario para el acceso, la
Caja de seguridad del cliente ahora la ofrece la posibilidad de revisar y aprobar o
denegar tales solicitudes desde Azure Portal. Los ingenieros de soporte técnico de
Microsoft no tendrán acceso hasta que se apruebe la solicitud.
Implementaciones estandarizadas y conformes

Los planos técnicos de Azure permiten a los grupos de arquitectos de la nube y de TI
central definir un conjunto repetible de recursos de Azure que implementa y cumple los
estándares de la organización, sus requisitos y sus patrones.
Esto hace posible que los equipos de DevOps compilen y pongan en funcionamiento
rápidamente nuevos entornos y confíen en que los están generando con una
infraestructura que mantiene el cumplimiento de la organización. Los planos técnicos
ofrecen una manera declarativa de organizar la implementación de varias plantillas de
recursos y de otros artefactos, como son:
Asignaciones de roles
Asignaciones de directiva
Plantillas del Administrador de recursos de Azure
Grupos de recursos
DevOps
Antes del desarrollo de aplicaciones de Developer Operations (DevOps) , los equipos
eran los responsables de recopilar los requisitos de negocio para un programa de
software y de escribir el código. A continuación, un equipo independiente de QA
probaba el programa en un entorno de desarrollo aislado. Si se cumplían los requisitos,
el equipo de QA liberaba el código de las operaciones para implementarlo. Los equipos
de implementación se dividieron más en grupos, como redes y bases de datos. Cada vez
que se pasaba un programa de software a un equipo independiente, se agregaban
cuellos de botella.
DevOps permite a los equipos ofrecer soluciones más seguras y de mayor calidad,
además de más rápidas y baratas. Los clientes esperan una experiencia dinámica y
confiable al consumir servicios y software. Los equipos deben iterar rápidamente en
actualizaciones de software y medir el impacto de las actualizaciones. Deben responder
rápidamente con nuevas iteraciones de desarrollo para solucionar problemas o para
proporcionar más valor.
Las plataformas en la nube, como Microsoft Azure, han quitado los cuellos de botella
tradicionales y ayudaron a homogeneizar la infraestructura. El software impera en cada
negocio como factor y diferenciador claves en los resultados empresariales. Ninguna
organización, desarrollador o trabajador de TI puede o debe evitar el movimiento de
DevOps.
Los profesionales de DevOps consolidados adoptarán algunos de los siguientes

procedimientos. Estos procedimientos implican que personas realicen estrategias
basadas en escenarios empresariales. Las herramientas pueden ayudar a automatizar
varios procedimientos.
Las técnicas de administración de proyectos y planificación ágiles se usan para

planear y aislar el trabajo en sprints, administrar la capacidad del equipo y ayudar
a los equipos a adaptarse rápidamente ante las cambiantes necesidades
empresariales.
Control de versiones, normalmente con Git, permite que los equipos ubicados en
cualquier lugar del mundo para compartir código fuente e integrarlo con
herramientas de desarrollo de software para automatizar la canalización de
versiones.
La integración continua impulsa la fusión en curso y la prueba de código, que
permite la detección temprana de defectos. Entre otras ventajas se incluye menos
tiempo perdido en la lucha de problemas de fusión y comentarios rápidos para los
equipos de desarrollo.
La entrega continua de soluciones de software para los entornos de producción y
prueba ayudan a las organizaciones a solucionar los problemas rápidamente y a
responder a los requisitos empresariales en constante cambio.
La supervisión de aplicaciones en ejecución, incluidos los entornos de producción
para el estado de la aplicación, así como el uso del cliente, ayudan a las
organizaciones a plantear una hipótesis y validar o refutar estrategias rápidamente.
Los datos enriquecidos se capturan y almacenan en distintos formatos de registro.
La infraestructura como código (IaC) es un procedimiento que permite la
automatización y validación de la creación y destrucción de redes y máquinas
virtuales para ayudar a proporcionar plataformas de hospedaje de aplicaciones
estables y seguras.
La arquitectura de microservicios se usa para aislar casos de uso empresariales en
pequeños servicios reutilizables. Esta arquitectura permite la escalabilidad y la
eficacia.
Pasos siguientes
Para obtener información sobre la solución Seguridad y auditoría, vea los artículos
siguientes:
Seguridad y cumplimiento normativo

Azure Monitor
seguridad operativa de Azure
Artículo • 20/04/2023
En este artículo se proporciona un conjunto de procedimientos recomendados

operativos para proteger los datos, aplicaciones y otros recursos en Azure.

Como las opiniones y las tecnologías cambian con el tiempo, este artículo se actualiza
de forma periódica para reflejar dichos cambios.
Definición e implementación de
procedimientos de seguridad operativa
exhaustivos
Por seguridad operativa de Azure, se entienden los servicios, los controles y las
otros recursos en Azure. La seguridad operativa de Azure se basa en un marco que
incorpora el conocimiento adquirido a través de diversas funcionalidades exclusivas de
Microsoft, incluido el ciclo de vida de desarrollo de seguridad (SDL) , el programa
Microsoft Security Response Center y un conocimiento en profundidad del panorama
de amenazas de ciberseguridad.

Se recomienda exigir la verificación en dos pasos a todos los usuarios. Esto incluye a los
administradores y otras personas de su organización, ya que el hecho de que su cuenta
esté en peligro puede tener un impacto significativo (por ejemplo, los directores
financieros).
Existen varias opciones para exigir la verificación en dos pasos. La mejor opción para
usted depende de sus objetivos, la edición de Azure AD que ejecuta y su programa de
licencias. Consulte Exigencia de verificación en dos pasos para un usuario para
determinar la mejor opción para usted. Puede encontrar más información sobre
licencias y precios en las páginas de precios de Azure AD y Azure AD Multi-Factor
Authentication .
A continuación, se indican las opciones y ventajas para habilitar la verificación en dos
pasos:
Opción 1: Habilite MFA para todos los usuarios y métodos de inicio de sesión con la
Ventaja de los valores predeterminados de seguridad de Azure AD: Esta opción le
permite aplicar de forma rápida y sencilla MFA para todos los usuarios de su entorno
con una directiva estricta para:
Desafiar a cuentas administrativas y mecanismos de inicio de sesión administrativo;

Solicitar el desafío de MFA a través de Microsoft Authenticator para todos los
usuarios;
Restringir los protocolos de autenticación heredados.
Este método está disponible para todos los niveles de licencia, pero no se puede
mezclar con las directivas de acceso condicional existentes. Puede encontrar más
información en los valores predeterminados de seguridad de Azure AD.
Opción 2: habilitar Multi-factor Authentication mediante el cambio de estado de

usuario.
Ventaja: este es el método tradicional para exigir la verificación en dos pasos. Funciona
tanto con Azure AD Multi-Factor Authentication en la nube como en el Servidor
Azure AD Multi-Factor Authentication. El uso de este método requiere que los usuarios
realicen la verificación en dos pasos cada vez que inicien sesión, e invalida las directivas
de acceso condicional.
Para averiguar dónde debe habilitarse Multi-Factor Authentication, consulte ¿Qué

versión de Azure AD MFA es adecuada en mi organización?
Opción 3: habilitar Multi-Factor Authentication con la directiva de acceso condicional.

Ventaja: esta opción permite solicitar la verificación en dos pasos en condiciones
específicas mediante el uso del acceso condicional. Las condiciones específicas pueden
ser el inicio de sesión del usuario desde distintas ubicaciones, dispositivos no confiables
o aplicaciones que considere de riesgo. Definir condiciones específicas donde exija la
verificación en dos pasos le permite evitar pedirla constantemente a los usuarios, lo cual
puede ser una experiencia desagradable para el usuario.
Esta es la forma más flexible de habilitar la verificación en dos pasos para los usuarios.
Habilitar la directiva de acceso condicional solo funciona con Azure AD Multi-Factor
Authentication en la nube y es una característica premium de Azure AD. Puede
encontrar más información sobre este método en Implementación de Azure AD Multi-
Factor Authentication en la nube.
Opción 4: habilitar Multi-Factor Authentication con directivas de acceso condicional
mediante la evaluación de directivas de acceso condicional basadas en riesgos.
Ventaja: esta opción le permite:
Detecte posibles vulnerabilidades que afectan a las identidades de la organización.

Configure respuestas automatizadas a acciones sospechosas detectadas que están
relacionadas con las identidades de la organización.
Investigar incidentes sospechosos y tomar las medidas adecuadas para resolverlos.
Este método utiliza la evaluación de riesgos de Azure AD Identity Protection para

determinar si se requiere la verificación en dos pasos en función de los riesgos del
usuario y el inicio de sesión para todas las aplicaciones en la nube. Este método requiere
una licencia de Azure Active Directory P2. Para obtener más información sobre este
método, consulte Azure Active Directory Identity Protection.
７ Nota
La opción 2, en la que se habilita Multi-Factor Authentication al cambiar el estado

del usuario, invalida las directivas de acceso condicional. Dado que las opciones de
3 y 4 usan directivas de acceso condicional, no puede usar la opción 2 con ellas.
Las organizaciones que no agregan capas de protección de la identidad adicionales,

como la verificación en dos pasos, son más susceptibles a ataques de robo de
credenciales. Un ataque de robo de credenciales puede poner en peligro la seguridad
de los datos.
Administración y supervisión de contraseñas de

usuario
En la tabla siguiente se enumeran varios procedimientos recomendados relacionados
con la administración de contraseñas de usuario:
Procedimiento recomendado: Asegúrese de que tiene el nivel adecuado de protección

de contraseñas en la nube.
Detalles: Siga las instrucciones de Microsoft Password Guidance (Instrucciones para
contraseñas de Microsoft), dirigidas a los usuarios de las plataformas de identidad de
Microsoft (Azure Active Directory, Active Directory y cuenta de Microsoft).
Procedimiento recomendado: Supervise acciones sospechosas relacionadas con las

cuentas de usuario.
Detalles: Supervise usuarios en riesgo e inicios de sesión en riesgo mediante los
informes de seguridad de Azure AD.
Procedimiento recomendado: Detectar y corregir de forma automática las contraseñas

de alto riesgo.
Detalles: Azure AD Identity Protection es una característica de la edición Azure AD
Premium P2 que permite:
Detectar posibles vulnerabilidades que afectan a las identidades de la organización

Configurar respuestas automatizadas a acciones sospechosas detectadas que están
relacionadas con las identidades de la organización
Investigar incidentes sospechosos y tomar las medidas adecuadas para resolverlos
Recepción de notificaciones de incidentes de

Microsoft
Asegúrese de que el equipo de operaciones de seguridad recibe notificaciones de
incidentes de Azure de Microsoft. Una notificación de incidentes permite al equipo de
seguridad saber que hay recursos de Azure en peligro, para que puedan responder
rápidamente y corregir posibles riesgos de seguridad.
En el portal de inscripción de Azure, puede asegurarse de que la información de

contacto del administrador incluye detalles que notifican operaciones de seguridad. La
información de los contactos es una dirección de correo electrónico y un número de
teléfono.
Organización de las suscripciones de Azure en

grupos de administración
Si su organización tiene varias suscripciones, podría necesitar una manera de
administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma
eficaz. Los grupos de administración de Azure proporcionan un nivel de ámbito por
encima de las suscripciones. Las suscripciones se organizan en contenedores llamados
grupos de administración y las condiciones de gobernanza se aplican a los grupos de
administración. Todas las suscripciones dentro de un grupo de administración heredan
automáticamente las condiciones que se aplican al grupo de administración.
Puede crear una estructura flexible de grupos de administración y suscripciones en un

directorio. A cada directorio se le asigna un único grupo de administración de nivel
superior denominado grupo de administración raíz. Este grupo de administración raíz
está integrado en la jerarquía de manera que contiene todos los grupos de
administración y suscripciones. Este grupo de administración raíz permite que las
directivas globales y las asignaciones de roles de Azure se apliquen en el nivel de
directorio.
Estos son algunos procedimientos recomendados para el uso de grupos de

administración:
Procedimiento recomendado: Asegúrese de que las suscripciones nuevas aplican los

elementos de gobernanza, como directivas y permisos, a medida que se agregan.
Detalles: Use el grupo de administración raíz para asignar elementos de seguridad de
toda la empresa que se apliquen a todos los recursos de Azure. Las directivas y los
permisos son ejemplos de elementos.
Procedimiento recomendado: Alinee los niveles superiores de los grupos de

administración con la estrategia de segmentación para proporcionar un punto de
control y directivas coherentes dentro de cada segmento.
Detalles: Cree un único grupo de administración para cada segmento del grupo de
administración raíz. No cree otros grupos de administración en el directorio raíz.
Procedimiento recomendado: Limite la profundidad del grupo de administración para

evitar la confusión que imposibilita las operaciones y la seguridad.
Detalles: Limite la jerarquía a tres niveles, incluido el nivel raíz.
Procedimiento recomendado: Seleccione cuidadosamente qué elementos se aplican a

toda la empresa con el grupo de administración raíz.
Detalles: Asegúrese de que la necesidad de aplicar los elementos del grupo de
administración raíz en todos los recursos sea evidente y de que su impacto sea bajo.
Entre los candidatos adecuados destacan los siguientes:
Requisitos normativos que tengan un impacto empresarial claro (por ejemplo,

restricciones relacionadas con la soberanía de datos)
Requisitos con un posible efecto negativo casi nulo en las operaciones, como
directivas con efecto de auditoría o asignaciones de permisos Azure RBAC que se
hayan revisado con cuidado
Procedimiento recomendado: Planifique y pruebe con atención todos los cambios en

toda la empresa en el grupo de administración raíz antes de aplicarlos (directiva,
modelo de Azure RBAC, etc.).
Detalles: Los cambios en el grupo de administración raíz pueden afectar a todos los
recursos en Azure. Aunque proporcionan una manera eficaz de garantizar la coherencia
en toda la empresa, los errores o un uso incorrecto pueden afectar negativamente a las
operaciones de producción. Pruebe todos los cambios en el grupo de administración
raíz en un laboratorio de pruebas o piloto de producción.
Optimización de la creación de entornos con

Blueprints
El servicio Azure Blueprints permite a los arquitectos de nube y grupos de TI central
definir un conjunto repetible de recursos de Azure que implementa y cumple los
estándares, patrones y requisitos de la organización. Azure Blueprints permite a los
equipos de desarrollo aprovisionar y crear rápidamente entornos con un conjunto de
componentes integrados, con la confianza de que se crean de acuerdo a la normativa
de la organización.
Supervisar servicios de almacenamiento para

detectar cambios inesperados de
comportamiento
Diagnosticar y solucionar problemas en una aplicación distribuida hospedada en un
entorno de nube puede ser más complicado que en los entornos tradicionales. Las
aplicaciones se pueden implementar en una infraestructura PaaS o IaaS, en una
ubicación local, en un dispositivo móvil o en varios de estos entornos combinados. El
tráfico de red de la aplicación puede atravesar redes públicas y privadas, y la aplicación
podría usar varias tecnologías de almacenamiento.
Debe supervisar continuamente los servicios de almacenamiento que usa la aplicación

para detectar cualquier cambio inesperado de comportamiento (por ejemplo, tiempos
de respuesta más lentos). Use los registros para recopilar datos más detallados y
analizar un problema en profundidad. La información de diagnóstico obtenida de la
supervisión y los registros le ayuda a determinar la causa raíz del problema detectado
por la aplicación. Luego puede solucionar el problema y determinar los pasos
adecuados para remediarlo.
Azure Storage Analytics registra y proporciona datos de métricas de una cuenta de

Azure Storage. Se recomienda usar estos datos para hacer un seguimiento de
solicitudes, analizar tendencias de uso y diagnosticar problemas con la cuenta de
almacenamiento.
Prevención de las amenazas, detección y
respuesta
ellas proporcionando más visibilidad y control sobre la seguridad de sus recursos de
Azure. Proporciona administración de directivas y supervisión de seguridad integradas
en las suscripciones de Azure, ayuda a detectar las amenazas que podrían pasar
desapercibidas y funciona con distintas soluciones de seguridad.
El nivel Gratis de Defender for Cloud ofrece seguridad limitada para los recursos de
Azure, así como recursos habilitados para Arc fuera de Azure. Las características de
seguridad mejoradas amplían estas funcionalidades para incluir la administración de
amenazas y vulnerabilidades, así como informes de cumplimiento normativo. Los planes
de Defender for Cloud ayudan a encontrar y corregir vulnerabilidades de seguridad,
aplicar controles de acceso y de aplicación para bloquear actividades malintencionadas,
detectar amenazas mediante análisis e inteligencia, y responder rápidamente en caso de
ataque. Puede probar Defender for Cloud Estándar sin costo alguno durante los
primeros 30 días. Se recomienda habilitar características de seguridad mejoradas en las
suscripciones de Azure en Defender for Cloud.
Use Defender for Cloud para obtener una vista central del estado de seguridad de todos
los recursos de sus propios centros de datos, Azure y otras nubes. Compruebe que los
controles de seguridad adecuados se han implementado y configurado correctamente,
e identifique de un vistazo cualquier recurso que demande atención.
Defender for Cloud también se integra con Microsoft Defender para punto de conexión,
que proporciona funcionalidades completas de detección y respuesta de puntos de
conexión (EDR). Con la integración de Microsoft Defender para punto de conexión,
puede detectar anomalías y detectar vulnerabilidades. También puede detectar y
responder a ataques avanzados en los puntos de conexión de servidor supervisados por
Defender for Cloud.
Casi todas las organizaciones empresariales tienen un sistema de administración de

eventos e información de seguridad (SIEM) para facilitar la identificación de las
amenazas emergentes mediante la consolidación de la información de registro de
distintos dispositivos de recopilación de señales. Después, un sistema de análisis de
datos analiza los registros para ayudar a identificar lo que es "interesante" del ruido que
es inevitable en todas las soluciones de análisis y recopilación de registros.

seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) que
es escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad
inteligentes e inteligencia frente a amenazas a través de la detección de alertas, la
visibilidad de amenazas, la búsqueda proactiva y la respuesta automatizada antes las
amenazas.
Estos son algunos procedimientos recomendados para evitar, detectar y responder a las
amenazas:
Procedimiento recomendado: Aumente la velocidad y escalabilidad de la solución SIEM

mediante SIEM basado en la nube.
Detalles: investigue las características y funciones de Microsoft Sentinel y compárelas
con las que use actualmente en el entorno local. Considere la posibilidad de adoptar
Microsoft Sentinel si cumple los requisitos de SIEM de la organización.
Procedimiento recomendado: Identifique las vulnerabilidades de seguridad más graves

para poder clasificar por orden de prioridad la investigación.
Detalles: revise la puntuación segura de Azure para ver las recomendaciones resultantes
de las iniciativas y directivas de Azure integradas en Microsoft Defender for Cloud. Estas
recomendaciones ayudan a abordar los riesgos más graves como actualizaciones de
seguridad, protección de puntos de conexión, cifrado, configuraciones de seguridad,
ausencia de WAF, máquinas virtuales conectadas a Internet y muchos más.
La puntuación segura, que se basa en controles del Centro de seguridad de Internet

(CIS), permite realizar pruebas comparativas de la seguridad de Azure de la organización
sobre orígenes externos. La validación externa ayuda a validar y enriquecer la estrategia
de seguridad del equipo.
Procedimiento recomendado: Supervise la posición de seguridad de equipos, redes,

almacenamiento y servicios de datos y aplicaciones para detectar y clasificar por orden
de prioridad los posibles problemas de seguridad.
Detalles: siga las recomendaciones de seguridad de Defender for Cloud, empezando
con los elementos de mayor prioridad.
Procedimiento recomendado: integre las alertas de Defender for Cloud en la solución

de administración de eventos e información de seguridad (SIEM).
Detalles: La mayoría de las organizaciones con una solución SIEM la usan como un
centro de enrutamiento para las alertas de seguridad que requieren la respuesta de un
analista. Los eventos procesados generados por Defender for Cloud se publican en el
Registro de actividad de Azure, uno de los registros disponibles a través de Azure
Monitor. Azure Monitor ofrece una canalización consolidada para el enrutamiento de
cualquiera de los datos supervisados en una herramienta SIEM. Consulte Transmisión de
alertas a una solución de administración de servicios de TI, SIEM o SOAR para obtener
instrucciones. Si usa Microsoft Sentinel, consulte Conexión de Microsoft Defender for
Cloud.
Procedimiento recomendado: Integre los registros de Azure con la solución SIEM.
Detalles: Use Azure Monitor para recopilar y exportar datos. Este procedimiento es
fundamental para habilitar la investigación de incidentes de seguridad, y la retención de
registro en línea es limitada. Si usa Microsoft Sentinel, vea Conexión de orígenes de
datos.
Procedimiento recomendado: Acelere los procesos de investigación y búsqueda, y

reduzca los falsos positivos mediante la integración de funciones de detección y
respuesta (EDR) de puntos de conexión en la investigación del ataque.
Detalles: habilite la integración de Microsoft Defender para punto de conexión
mediante la directiva de seguridad de Defender for Cloud. Considere la posibilidad de
usar Microsoft Sentinel para la búsqueda de amenazas y la respuesta a los incidentes.
Supervisión de redes de un extremo a otro

basada en escenarios
Los clientes crean una red de un extremo a otro en Azure mediante la combinación de
recursos de red como una red virtual, ExpressRoute, Application Gateway y
equilibradores de carga. Se puede supervisar cada uno de los recursos de la red.
Azure Network Watcher es un servicio regional. Use sus herramientas de diagnóstico y

visualización para supervisar y diagnosticar problemas en un nivel de escenario de red
en, hacia y desde Azure.
A continuación se ofrecen procedimientos recomendados para la supervisión de redes y

se indican las herramientas disponibles.
Procedimiento recomendado: Automatización de la supervisión de la red remota con

captura de paquetes.
Detalles: supervise y diagnostique problemas de red sin iniciar sesión en las máquinas
virtuales mediante Network Watcher. Desencadene la captura de paquetes
estableciendo alertas y obtenga acceso a información de rendimiento en tiempo real en
el ámbito de paquete. Cuando vea un problema, podrá investigar en detalle para
mejorar los diagnósticos.
Procedimiento recomendado: Extraer conclusiones sobre el tráfico de la red mediante

registros de flujo.
Detalles: conozca al detalle los patrones de tráfico de red mediante los registros de flujo
del grupo de seguridad de red. La información de los registros de flujo le ayuda a
recopilar datos para el cumplimiento, la auditoría y la supervisión del perfil de seguridad
de red.
Procedimiento recomendado: diagnóstico de problemas de conectividad VPN.
Detalles: use Network Watcher para diagnosticar los problemas más comunes de
conexión y VPN Gateway. No solo puede identificar el problema, sino también usar
registros detallados para investigar más.
Implementación segura mediante herramientas

de DevOps comprobadas
Use los siguientes procedimientos recomendados de DevOps para garantizar que la
empresa y los equipos sean productivos y eficientes.
Procedimiento recomendado: automatizar la compilación e implementación de

servicios.
Detalles: Infraestructura como código es un conjunto de técnicas y procedimientos que
ayudan a los profesionales de TI a eliminar la carga que supone la compilación y
administración cotidianas de una infraestructura modular. Permite a los profesionales de
TI compilar y mantener sus entornos de servidores modernos de forma similar a como
los desarrolladores de software compilan y mantienen el código de las aplicaciones.
Puede usar Azure Resource Manager para aprovisionar las aplicaciones mediante una
plantilla declarativa. En una plantilla, puede implementar varios servicios junto con sus
dependencias. Use la misma plantilla para implementar la aplicación de forma repetida
durante cada fase de su ciclo de vida.
Procedimiento recomendado: compilar e implementar automáticamente en

aplicaciones web o servicios en la nube de Azure.
Detalle: puede configurar Azure DevOps Projects para que se compile e implemente de
forma automática en aplicaciones web de Azure o en servicios en la nube. Azure
DevOps implementa automáticamente los archivos binarios después de realizar una
compilación en Azure tras cada comprobación de código. El proceso de compilación del
paquete es equivalente al comando Package de Visual Studio y los pasos de publicación
son equivalentes al comando Publish de Visual Studio.
Procedimiento recomendado: Automatice la administración de versiones.

Detalles: Azure Pipelines es una solución para automatizar la implementación en varias
fases y la administración del proceso de publicación. Cree canalizaciones de
implementación continua y administrada con el fin de que el lanzamiento sea rápido,
sencillo y frecuente. Con Azure Pipelines, puede automatizar el proceso de publicación y
tener flujos de trabajo de aprobación predefinidos. Realice la implementación de forma
local y en la nube, amplíela y personalícela según sea necesario.
Procedimiento recomendado: Compruebe el rendimiento de su aplicación antes de
iniciarla o de implementar actualizaciones en la producción.
Detalles: Ejecute pruebas de carga basadas en la nube para:
Detectar problemas de rendimiento en la aplicación.

Mejorar la calidad de implementación.
Asegurarse de que la aplicación siempre está disponible.
Asegurarse de que la aplicación puede controlar el tráfico de la siguiente campaña
de marketing o el siguiente lanzamiento.
Apache JMeter es una conocida herramienta gratuita de código abierto que cuenta
con el respaldo de una sólida comunidad.
Procedimiento recomendado: supervisar el rendimiento de las aplicaciones.

Detalles: Azure Application Insights es un servicio de Application Performance
Management (APM) extensible para desarrolladores web en varias plataformas. Use
Application Insights para supervisar la aplicación web en vivo. Se detectan
automáticamente las anomalías de rendimiento. Incluye herramientas de análisis que le
ayudan a diagnosticar problemas y a comprender lo que hacen realmente los usuarios
con la aplicación. Está diseñado para ayudarle a mejorar continuamente el rendimiento
y la facilidad de uso.
Mitigar y proteger frente a DDoS

La denegación de servicio distribuido (DDoS) es un tipo de ataque que intenta agotar
los recursos de la aplicación. El objetivo es afectar a la disponibilidad de la aplicación y a
su capacidad para administrar solicitudes legítimas. Estos ataques son cada vez más
sofisticados y tienen un mayor tamaño e impacto. Pueden ir dirigidos a cualquier punto
de conexión que sea públicamente accesible a través de Internet.
Diseñar y compilar para la resistencia frente a DDoS requiere planear y diseñar para una
serie de modos de error. Estos son los procedimientos recomendados para compilar
servicios resistentes a DDoS en Azure.
Procedimiento recomendado: Asegúrese de que la seguridad es prioritaria durante

todo el ciclo de vida de una aplicación, desde su diseño e implementación hasta la
implementación y las operaciones. Las aplicaciones pueden tener errores que permiten
que un volumen relativamente bajo de solicitudes usen muchos recursos y produzcan
una interrupción del servicio.
Detalles: Para proteger un servicio que se ejecuta en Microsoft Azure, debe conocer
bien la arquitectura de su aplicación y centrarse en los cinco pilares de la calidad del
software. Debe conocer los volúmenes de tráfico típicos, el modelo de conectividad
entre la aplicación y otras aplicaciones, y los puntos de conexión del servicio expuestos
a la red pública de Internet.
Es de vital importancia garantizar que una aplicación sea lo suficientemente resistente

para tratar con un ataque de denegación de servicio dirigido a la propia aplicación. La
seguridad y la privacidad están integradas en la plataforma Azure, comenzando por el
ciclo de vida del desarrollo de la seguridad (SDL) . El SDL aborda la seguridad en cada
fase de desarrollo y se asegura de que Azure se actualice continuamente para que sea
aún más seguro.
Procedimiento recomendado: Debe diseñar sus aplicaciones de modo que se puedan

escalar horizontalmente para satisfacer la demanda de una carga mayor,
específicamente en caso de un ataque de DDoS. Si la aplicación depende de una única
instancia de un servicio, crea un único punto de error. El aprovisionamiento de varias
instancias hace que el sistema sea más resistente y más escalable.
Detalles: Para Azure App Service, seleccione un Plan de App Service que ofrezca varias
instancias.
Para Azure Cloud Services, configure cada uno de los roles para utilizar varias instancias.
En el caso de Azure Virtual Machines, asegúrese de que la arquitectura de las máquinas

virtuales incluya más de una máquina virtual y de que cada una de ellas se incluya en un
conjunto de disponibilidad. Se recomienda usar conjuntos de escalado de máquinas
virtuales para contar con funcionalidades de escalado automático.
Procedimiento recomendado: Disponer en niveles la defensa de la seguridad en una

aplicación reduce las probabilidades de éxito de un ataque. Implemente diseños
seguros para las aplicaciones con las funcionalidades integradas de la plataforma Azure.
Detalles: el riesgo de ataque aumenta con el tamaño (área expuesta) de la aplicación.
Puede reducir el área expuesta mediante una lista de aprobación para cerrar el espacio
de direcciones IP expuesto y los puertos de escucha que no sean necesarios en los
equilibradores de carga (Azure Load Balancer y Azure Application Gateway).
Los grupos de seguridad de red constituyen otra manera de reducir el área expuesta a
ataques. Puede usar etiquetas de servicio y grupos de seguridad de la aplicación para
minimizar la complejidad de la creación de reglas de seguridad y configurar la
seguridad de la red como una extensión natural de la estructura de una aplicación.
Debe implementar los servicios de Azure en una red virtual siempre que sea posible.
Este procedimiento permite que los recursos del servicio se comuniquen mediante
direcciones IP privadas. De forma predeterminada, el tráfico de los servicios Azure desde
una red virtual usa direcciones IP públicas como direcciones IP de origen.
Con los puntos de conexión de servicio, el tráfico del servicio cambia para usar
direcciones privadas de red virtual como direcciones IP de origen al acceder al servicio
de Azure desde una red virtual.
Con frecuencia vemos ataques a los recursos locales de un cliente, además de a los
recursos en Azure. Si conecta un entorno local a Azure, minimice la exposición de los
recursos locales a la red pública de Internet.
Azure tiene dos ofertas de servicio de DDoS que proporcionan protección frente a
ataques de red:
La protección básica se integra en Azure de forma predeterminada sin costo

adicional. El tamaño y la capacidad de la red de implementación global de Azure
proporciona una defensa contra los ataques al nivel de red más comunes mediante
la supervisión constante del tráfico y la mitigación en tiempo real. La protección
básica no requiere ningún cambio de configuración ni de aplicación y ayuda a
proteger todos los servicios de Azure, incluidos servicios PaaS como Azure DNS.
La protección estándar proporciona funcionalidades avanzadas de mitigación de
DDoS frente a ataques de red. Se ajusta automáticamente para proteger los
recursos específicos de Azure. La protección se puede habilitar fácilmente durante
la creación de redes virtuales. También puede realizarse después de la creación y
no requiere ningún cambio de aplicación o recurso.
Habilitación de Azure Policy

Azure Policy es un servicio de Azure que se usa para crear, asignar y administrar
directivas. Estas directivas aplican reglas y efectos a los recursos, con el fin de que estos
sigan siendo compatibles con los estándares corporativos y los acuerdos de nivel de
servicio. Azure Policy satisface esta necesidad mediante la evaluación de los recursos
que incumplen las directivas asignadas.
Habilite Azure Policy para supervisar y aplicar la directiva escrita de la organización. Esto
garantizará el cumplimiento de los requisitos de seguridad normativos o de la empresa
mediante la administración centralizada de las directivas de seguridad en todas las
cargas de trabajo en la nube híbrida. Más información sobre cómo crear y administrar
directivas para aplicar el cumplimiento. Vea Estructura de definición de Azure Policy para
obtener información general de los elementos de una directiva.
Estos son algunos procedimientos recomendados de seguridad que se pueden seguir

tras la adopción de Azure Policy:
Procedimiento recomendado: La directiva admite varios tipos de efectos. Puede leer
sobre ellos en Estructura de definición de Azure Policy. Las operaciones empresariales se
pueden ver afectadas negativamente por los efectos deny (denegar) y remediate
(corregir), por lo que debe comenzar con el efecto audit (auditar) para limitar el riesgo
de impacto negativo de la directiva.
Detalles: Inicie las implementaciones de directiva en modo audit y, después, avance a
deny o remediate. Pruebe y revise los resultados del efecto audit antes de pasar a deny
o remediate.
Para más información, vea Creación y administración de directivas para aplicar el

cumplimiento.
Procedimiento recomendado: Identifique los roles responsables de supervisar las

infracciones de directivas y garantizar que la acción correctora adecuada se realiza de
forma rápida.
Detalles: El rol asignado debe supervisar el cumplimiento normativo a través de Azure
Portal o la línea de comandos.
Procedimiento recomendado: Azure Policy es una representación técnica de las

directivas escritas de una organización. Para reducir la confusión y aumentar la
coherencia, asigne todas las definiciones de Azure Policy a las directivas de la
organización.
Detalles: Para asignar documentos en la documentación de una organización o en la
propia definición de Azure Policy, agregue una referencia a la directiva de la
organización en la descripción de la definición de la directiva o de la definición de la
iniciativa.
Supervisión de los informes de riesgo de Azure

AD
La mayoría de las infracciones de seguridad tienen lugar cuando los atacantes obtienen
acceso a un entorno mediante el robo de identidad de un usuario. Descubrir las
identidades en peligro no es tarea fácil. Azure AD emplea algoritmos y heurística de
aprendizaje automático adaptable para detectar acciones sospechosas que están
relacionadas con las cuentas de usuario. Cada acción sospechosa detectada se almacena
en un registro llamado detección de riesgos. Las detecciones de riesgo se registran en
los informes de seguridad de Azure AD. Para más información, vea el informe de
seguridad de usuarios en riesgo y el informe de seguridad de inicios de sesión en
riesgo.
Pasos siguientes


Lista de comprobación de seguridad
operativa de Azure
Artículo • 23/10/2023
La implementación de una aplicación en la nube en Azure es un proceso rápido, sencillo

y rentable. Antes de implementar una aplicación, resulta útil tener una lista de
comprobación. Una lista de comprobación puede ayudarle a evaluar la aplicación con
respecto a una lista de acciones de seguridad esenciales y recomendadas.
Introducción
Azure ofrece un conjunto de servicios de infraestructura que puede usar para
implementar las aplicaciones. Con seguridad operativa de Azure, se hace referencia a los
servicios, los controles y las características disponibles para los usuarios para proteger
sus datos, aplicaciones y otros recursos en Microsoft Azure.
Para conseguir el máximo beneficio de la plataforma en la nube, recomendamos usar los

servicios de Azure y seguir la lista de comprobación. Las organizaciones que invierten
tiempo y recursos en evaluar la disponibilidad operativa de sus aplicaciones antes del
inicio tienen una tasa de satisfacción mucho más elevada que las que no. Al realizar este
trabajo, las listas de comprobación pueden ser un mecanismo valioso para garantizar
que las aplicaciones se evalúan de forma coherente y holística.
Lista de comprobación
Esta lista de comprobación se ha creado para ayudar a las empresas a pensar en
distintas consideraciones de la seguridad operativa a medida que se implementan
aplicaciones empresariales sofisticadas en Azure. También puede utilizarse para ayudarle
a crear una estrategia segura de operación y migración a nube para la organización.
Categoría de la lista de Descripción

comprobación
Utilice el control de acceso basado en rol de Azure (Azure RBAC)

Roles de seguridad y para proporcionar un usuario específico que usar para asignar
controles de acceso permisos a los usuarios, grupos y aplicaciones en un ámbito
determinado.
Utilice la seguridad en el plano de la administración para

Protección y proteger su cuenta de almacenamiento mediante el control de
comprobación
almacenamiento de acceso basado en rol de Azure (Azure RBAC).

datos Seguridad en el plano de los datos para garantizar el acceso a
los datos con firmas de acceso compartido (SAS) y directivas de
acceso almacenadas.
Utilice el cifrado de nivel de trasporte: mediante HTTPS y el
cifrado que usa SMB (protocolos del bloque de mensajes del
servidor) 3.0 para recursos compartidos de archivos de Azure.
Utilice el cifrado de cliente para proteger los datos que envía a
cuentas de almacenamiento cuando precisa un control único de
las claves de cifrado.
Use Storage Service Encryption (SSE) para cifrar
automáticamente los datos en Azure Storage, y Azure Disk
Encryption para máquinas virtuales de Linux y Azure Disk
Encryption para máquinas virtuales de Windows para cifrar los
archivos de disco de la máquina virtual para el sistema operativo
y los discos de datos.
Use Azure Storage Analytics para supervisar el tipo de
autorización; como con Blob Storage, que puede ver si los
usuarios han usado una firma de acceso compartido o claves de
cuenta de almacenamiento.
Use Uso compartido de recursos entre orígenes (CORS) para
acceder a los recursos de almacenamiento desde diferentes
dominios.
Use Microsoft Defender for Cloud para implementar soluciones

Directivas de seguridad de punto de conexión.
y recomendaciones Agregue un firewall de aplicaciones web (WAF) para proteger las
aplicaciones web.
Use Azure Firewall para aumentar las protecciones de seguridad.
Aplique los detalles de contacto de seguridad de la suscripción
de Azure. El Centro de respuestas de seguridad de Microsoft
(MSRC) se pondrá en contacto con usted en caso de que
descubra que una entidad ilegal o no autorizada ha accedido a
los datos de sus clientes.
Sincronice el directorio local con el directorio en la nube

Administración de mediante Microsoft Entra ID.
identidad y acceso Usar el Inicio de sesión único para permitir a los usuarios tener
acceso a sus aplicaciones SaaS basándose en sus cuentas
profesionales de Azure AD.
Utilice la Actividad de registro de restablecimiento de
contraseñas para supervisar los usuarios que se registran.
Habilite Multi-factor authentication (MFA) para los usuarios.
Los desarrolladores tienen que usar capacidades de identidad
seguras como Ciclo de vida de desarrollo de seguridad (SDL) de
comprobación
Microsoft .
Supervise activamente las actividades sospechosas mediante
informes de anomalías de Microsoft Entra ID P1 o P2 y la
funcionalidad Microsoft Entra ID Protection.
Utilice la solución Malware Assessment de registros de Azure

Supervisión continuada Monitor para informar del estado de la protección antimalware
de la seguridad en su infraestructura.
Use Update Management para determinar la exposición general
a posibles problemas de seguridad y la importancia de estas
actualizaciones para su entorno.
El centro de administración de Microsoft Entra proporciona
visibilidad sobre la integridad y la seguridad del directorio de la
organización.
Use la administración de la posición de seguridad en la nube

Funcionalidades de (CSPM) para obtener instrucciones de protección que le ayuden
detección de Microsoft a mejorar la seguridad de forma eficaz.
Defender for Cloud Use alertas para recibir notificaciones cuando se identifiquen
amenazas en el entorno local, híbrido o en la nube.
Use directivas de seguridad, iniciativas y recomendaciones para
mejorar la posición de seguridad.
Conclusión
Muchas organizaciones han implementado y puesto en funcionamiento correctamente
sus aplicaciones en la nube en Azure. Las listas de comprobación proporcionadas
destacan algunas listas de comprobación que son fundamentales y le ayudan a mejorar
la probabilidad de implementaciones correctas y operaciones sin frustraciones.
Recomendamos fehacientemente estas consideraciones operativas y estratégicas para
las implementaciones de aplicaciones nuevas y existentes en Azure.
Pasos siguientes
Para más información sobre seguridad en Azure, vea los artículos siguientes:

Seguridad integral en Azure
Servicios y tecnologías de seguridad
disponibles en Azure
Artículo • 23/10/2023
En nuestras conversaciones con los clientes de Azure actuales y futuros, se nos pregunta
a menudo si tenemos una lista de todos los servicios y tecnologías relacionados con la
seguridad que ofrece Azure.
Al evaluar las opciones del proveedor de servicios en la nube, es útil tener esta
información. Por este motivo, hemos preparado esta lista para que pueda empezar.
Con el tiempo, esta lista cambiará y aumentará, igual que lo hace Azure. Asegúrese de
que consultar esta página periódicamente para mantenerse informado sobre nuestros
servicios relacionados con la seguridad y las tecnologías.
Seguridad general de Azure

Microsoft Defender for Cloud Solución de protección que proporciona administración de la

seguridad y protección avanzada contra amenazas para cargas
de trabajo en la nube híbrida.
Microsoft Sentinel Una solución escalable y nativa de la nube que ofrece análisis de
seguridad inteligentes e inteligencia sobre amenazas en toda la
empresa.
Azure Key Vault Almacén de secretos seguro para las contraseñas, las cadenas
de conexión y otra información que necesita para mantener sus
aplicaciones en funcionamiento.
Registros de Azure Monitor Servicio de supervisión que recopila datos de telemetría y otros
datos, y proporciona un motor de lenguaje de consultas y
análisis para proporcionar información detallada sobre sus
aplicaciones y recursos. Puede utilizarse solo o con otros
servicios como Defender for Cloud.
Documentación de Azure Servicio que ayuda a los desarrolladores y evaluadores a crear

Dev/Test Lab rápidamente entornos de Azure al tiempo que se optimizan los
recursos y se controlan los costos.
Seguridad para almacenamiento

Cifrado del servicio Característica de seguridad que permite cifrar automáticamente los datos
Azure Storage en Azure Storage.
Azure StorSimple Una solución de almacenamiento integrada que administra las tareas de
Virtual Array almacenamiento de información entre una matriz virtual local que se
ejecuta en un hipervisor y el almacenamiento en la nube de Microsoft
Azure.
Cifrado de cliente Una solución de cifrado en el lado del cliente que admite el cifrado de
para blobs datos dentro de las aplicaciones cliente antes de cargarlos en Azure Storage
y el descifrado de los datos mientras se descargan en el cliente.
Firmas de acceso Una Firma de acceso compartido (SAS) ofrece acceso delegado a los
compartido de recursos en la cuenta de almacenamiento.
Azure Storage
Acerca de las Un método de control de acceso de Azure Storage que se usa para
cuentas de Azure autorizar las solicitudes a la cuenta de almacenamiento mediante las claves
Storage de acceso de la cuenta o una cuenta de Microsoft Entra (valor
predeterminado).
Recursos Una solución tecnológica de seguridad del almacenamiento que ofrece

compartidos de recursos compartidos de archivos en la nube totalmente administrados, a
archivos de Azure los que se puede acceder mediante el protocolo Bloque de mensajes del
servidor (SMB) estándar, el protocolo Network File System (NFS) y la API
REST de Azure Files.
Análisis de Azure Tecnología de generación y registro de métricas para los datos de la cuenta
Storage de almacenamiento.
Seguridad de bases de datos

Cómo configurar un Característica de control de acceso de red que protege frente a ataques
firewall de base de basados en red a una base de datos.
datos SQL de Azure
Instrucciones y Para proporcionar seguridad, SQL Database controla el acceso con

limitaciones de reglas de firewall que limitan la conectividad por dirección IP, con
seguridad de Base de mecanismos de autenticación que requieren a los usuarios que
datos SQL de Azure demuestren su identidad y con mecanismos de autorización que limitan
a los usuarios el acceso a datos y acciones específicos.
Azure SQL Always Protege la información confidencial, como números de tarjetas de

Encrypted crédito o números de identificación nacionales o regionales (por
ejemplo, números del seguro social de EE. UU.), almacenados en bases
de datos de Azure SQL Database, Azure SQL Managed Instance o

SQL Server.
Cifrado de datos Una característica de seguridad de bases de datos que ayuda a

transparente de Azure proteger Azure SQL Database, Azure SQL Managed Instance y Azure
SQL Synapse Analytics frente a amenazas de actividad malintencionada sin
conexión, mediante el cifrado de los datos en reposo.
Auditoría de Azure SQL Una característica de auditoría para Azure SQL Database y
Database Azure Synapse Analytics que realiza el seguimiento de eventos de base
de datos y los escribe en un registro de auditoría en la cuenta de Azure
Storage, el área de trabajo de Log Analytics o Event Hubs.
Reglas de red virtual Una característica de seguridad de firewall que controla si el servidor de
las bases de datos y de los grupos elásticos de Azure SQL Database o
de las bases de datos del grupo de SQL dedicado (anteriormente,
SQL DW) de Azure Synapse Analytics acepta las comunicaciones que se
envían desde subredes específicas de redes virtuales.

Control de acceso Característica de control de acceso diseñada para que los usuarios
basado en rol accedan únicamente a los recursos necesarios en función de sus roles
dentro de la organización.
Microsoft Entra ID Un servicio de administración de identidad y acceso basado en la nube

que admite un directorio en la nube de varios inquilinos y varios servicios
de administración de identidades en Azure.
Azure Active Una solución de administración de identidad y acceso (CIAM) que permite
Directory B2C controlar la manera en que los clientes se registran, inician sesión y
administran sus perfiles al usar las aplicaciones basadas en Azure.
Servicios de dominio Una versión basada en la nube y administrada de Active Directory Domain
de Microsoft Entra Services que proporciona servicios de dominio administrados como, por
ejemplo, unión a un dominio, directivas de grupo, protocolo ligero de
acceso a directorios (LDAP) y autenticación Kerberos o NTLM.
Autenticación Aprovisionamiento de seguridad que utiliza diferentes formas de

multifactor de autenticación y comprobación antes de permitir el acceso a información
Microsoft Entra protegida.
Copia de seguridad y recuperación ante
desastres
Azure Servicio de Azure que se usa para realizar copias de seguridad y restaurar los
Backup datos en la nube de Azure.
Azure Site Servicio en línea que replica las cargas de trabajo que se ejecutan en máquinas
Recovery físicas y virtuales desde un sitio principal a una ubicación secundaria para poder
recuperar los servicios después de un error.
Redes
Grupos de seguridad Una característica de control de acceso basado en red para filtrar el
de red tráfico de red entre los recursos de Azure de una red virtual de Azure.
Acerca de VPN Dispositivo de red que se usa como un punto de conexión VPN para
Gateway permitir el acceso entre entornos locales a las redes virtuales de Azure.
Introducción a Puerta Un equilibrador de carga avanzado para administrar el tráfico a las

de enlace de aplicaciones web.
aplicaciones
Firewall de Una función que ofrece una protección centralizada de las aplicaciones
aplicaciones web web contra las vulnerabilidades de seguridad comunes.
(WAF)
Equilibrador de carga Equilibrador de carga de red para aplicaciones TCP/UDP.

de Azure
Información técnica de Una característica que le permite ampliar las redes locales a la nube de
ExpressRoute Microsoft mediante una conexión privada con la ayuda de un proveedor
de conectividad.
Azure Traffic Manager Un equilibrador de carga de tráfico basado en DNS.
Proxy de aplicación de Un servidor front-end de autenticación que se usa para proteger el

Microsoft Entra acceso remoto a aplicaciones web hospedadas en entornos locales.
Azure Firewall Un servicio de seguridad de firewall de red inteligente y nativo de nube

que proporciona protección contra amenazas para las cargas de trabajo
de nube que se ejecutan en Azure.
Azure DDoS Junto con los procedimientos recomendados de diseño de aplicaciones,

Protection constituyen una defensa frente a los ataques DDoS.
Puntos de conexión de Proporciona conectividad directa y segura con los servicios de Azure por
servicio de red virtual medio de una ruta optimizada a través de la red troncal de Azure.
Azure Private Link Permite acceder a los servicios PaaS de Azure (por ejemplo, Azure
Storage y SQL Database) y a los servicios hospedados en Azure que son
propiedad de los clientes, o a los servicios de asociados, a través de un
punto de conexión privado de la red virtual.
Azure Bastion Un servicio que se implementa que le permite conectarse a una

máquina virtual mediante el explorador y Azure Portal o a través del
cliente RDP o SSH nativo ya instalado en el equipo local.
Azure Front Door Proporciona capacidad de protección de aplicaciones web para blindar
las aplicaciones web frente a ataques de red y vulnerabilidades web
habituales, tales como la inyección de código SQL o scripts entre sitios
(XSS).
Pasos siguientes
Obtenga más información acerca de la seguridad total de Azure y sobre cómo estos
servicios le ayudan a satisfacer las necesidades de seguridad de su empresa y a proteger
a los usuarios, los dispositivos, los recursos, los datos y las aplicaciones en la nube.
Disponibilidad de las características en
la nube para clientes de la
Administración Pública de Estados
Unidos
Artículo • 31/08/2023
En este artículo se describe la disponibilidad de las características en las nubes de

Microsoft Azure Government. Las características se muestran como disponibilidad
general (disponible con carácter general), versión preliminar pública o No disponible
para los siguientes servicios de seguridad:
Azure Information Protection

Microsoft Sentinel
Azure Attestation
７ Nota
Pronto se agregarán servicios de seguridad adicionales a este artículo.
Azure Government
Azure Government usa las mismas tecnologías subyacentes que Azure (a veces
denominadas Azure Commercial o Azure Public), que incluye los componentes
principales de la infraestructura como servicio (IaaS), la plataforma como servicio (PaaS)
y el software como servicio (SaaS). Tanto Azure como Azure Government cuentan con
controles de seguridad integrales y el compromiso de Microsoft para la protección de
los datos de los clientes.
Azure Government es un entorno en la nube aislado físicamente que está dedicado a los
gobiernos federales, estatales, locales y tribales de Estados Unidos, así como a sus
asociados. Mientras que ambos entornos en la nube se evalúan y autorizan en el nivel
de impacto FedRAMP High, Azure Government proporciona un nivel adicional de
protección a los clientes a través de compromisos contractuales relacionados con el
almacenamiento de los datos de clientes en Estados Unidos y la limitación del posible
acceso a los sistemas que procesen los datos del cliente a personas seleccionadas de
Estados Unidos. Estos compromisos pueden ser de interés para los clientes que usan la
nube a fin de almacenar o procesar datos sujetos a las regulaciones de control de
exportación de Estados Unidos, como EAR, ITAR y 10 CFR parte 810 del Departamento
de Energía de Estados Unidos.
Para obtener más información acerca de Azure Government, consulte ¿Qué es Azure
Government?
Integración de Microsoft 365

Las integraciones entre productos se basan en la interoperabilidad entre las plataformas
de Azure y Office. Las ofertas hospedadas en el entorno de Azure son accesibles desde
las plataformas Microsoft 365 Enterprise y Microsoft 365 Government. Office 365 y
Office 365 GCC trabajan con Azure Active Directory (Azure AD) en Azure. Office 365 GCC
High y Office 365 DoD se trabajan con Azure AD en Azure Government.
En el diagrama siguiente se muestra la jerarquía de nubes de Microsoft y cómo se

relacionan entre sí.
El entorno de Office 365 GCC ayuda a los clientes a cumplir los requisitos de la
Administración Pública de Estados Unidos, incluidos FedRAMP High, CJIS y la
publicación 1075 de IRS. Los entornos de Office 365 GCC High y DoD admiten a los
clientes que necesitan cumplir con DoD IL4/5, DFARS 7012, NIST 800-171 e ITAR.
Para obtener más información acerca de los entornos de Office 365 para la
Administración Pública de Estados Unidos, consulte:
Office 365 GCC

Office 365 GCC High y DoD
En las siguientes secciones se identifica cuándo un servicio tiene una integración con
Microsoft 365 y la disponibilidad de características para Office 365 GCC, Office 365 GCC
High y Office 365 DoD.
Azure Information Protection

Azure Information Protection (AIP) es una solución basada en la nube que permite a las
organizaciones descubrir, clasificar y proteger documentos y correos electrónicos
mediante la aplicación de etiquetas al contenido.
AIP forma parte de la solución Microsoft Purview Information Protection (MIP) y amplía
las funcionalidades de etiquetado y clasificación que proporciona Microsoft 365.
Para obtener más información, consulte la documentación del producto Azure

Information Protection.
Office 365 GCC trabaja con Azure Active Directory (Azure AD) en Azure. Office 365
GCC High y Office 365 DoD se trabajan con Azure AD en Azure Government.
Asegúrese de prestar atención al entorno de Azure para comprender dónde es
posible la interoperabilidad. En la tabla siguiente, la interoperabilidad que no es
posible está marcada con un guion (-) a fin de indicar que la compatibilidad no es
pertinente.
Se requieren configuraciones adicionales para clientes de GCC High y DoD. Para

obtener más información, consulte Descripción del servicio Azure Information
Protection Premium para Administración Pública.
７ Nota
En las notas al pie de la tabla se muestran más detalles sobre el soporte técnico
para los clientes de la administración pública.
Se requieren pasos adicionales para configurar Azure Information Protection para

clientes de GCC High y DoD. Para obtener más información, consulte la Descripción
del servicio de Azure Information Protection Premium para la Administración
Pública.
Característica o servicio Azure Azure

Government
Analizador de Azure Information Protection1
- Office 365 GCC GA -

Característica o servicio Azure Azure
Government
- Office 365 GCC High - GA
- Office 365 DoD - Disponibilidad

general
Administración
Portal de Azure Information Protection para la administración del

analizador

general
Clasificación y etiquetado2
Analizador de AIP para aplicar una etiqueta predeterminada a todos

los archivos de un repositorio o servidor de archivos local

general
Analizador de AIP para la clasificación, el etiquetado y la protección

automatizados de archivos locales compatibles

general
1
El analizador puede funcionar sin Office 365 para examinar archivos únicamente. El
analizador no puede aplicar etiquetas a los archivos sin Office 365.
2 El complemento de clasificación y etiquetado solo se admite para los clientes de la

administración pública con Aplicaciones Microsoft 365 (versión 9126.1001 o posterior),
incluidas las versiones Profesional Plus (ProPlus) y Hacer clic y ejecutar (C2R). No se
admite Office 2010, Office 2013 ni otras versiones de Office 2016.
Características de Office 365
Característica o servicio Office 365 GCC Office 365 GCC Office 365
High DoD
Administración
-- Disponibilidad Disponibilidad GA
general general
--
SDK
general general
Personalizaciones
-- Disponibilidad No disponible No
general disponible
Administración de claves
general general
general general
Archivos de Office3
-- Disponibilidad GA 4 GA 4
general
-- GA 5 GA 6 GA 6
general general
general general
-- Disponibilidad GA 7 GA 7
general
Clasificación y etiquetado2 / 8
- Plantillas personalizadas, incluidas las Disponibilidad Disponibilidad GA

plantillas de departamento general general
Característica o servicio Office 365 GCC Office 365 GCC Office 365
High DoD
- Clasificación manual, predeterminada y Disponibilidad Disponibilidad GA

obligatoria de documentos general general
- Configuración de condiciones para la GA GA

disponibilidad general de la clasificación
automática y recomendada
general general
3
La extensión de dispositivos móviles para AD RMS no está disponible actualmente
para los clientes de la administración pública.
4
Information Rights Management con SharePoint Online (sitios y bibliotecas protegidos
por IRM) no está disponible actualmente.
5
Information Rights Management (IRM) solo se admite para Aplicaciones de
Microsoft 365 (versión 9126.1001 o posterior), incluidas las versiones Profesional Plus
(ProPlus) y Hacer clic y ejecutar (C2R). No se admite Office 2010, Office 2013 ni otras
versiones de Office 2016.
6 Solo se admite Exchange local. No se admiten las reglas de protección de Outlook. No

se admite la infraestructura de clasificación de archivos. No se admite SharePoint local.
7
Actualmente no está disponible el uso compartido de documentos y correos
electrónicos protegidos desde nubes gubernamentales con los usuarios de la nube
comercial. Incluye usuarios de Aplicaciones de Microsoft 365 en la nube comercial,
usuarios distintos de Aplicaciones de Microsoft 365 en la nube comercial y usuarios con
una licencia de RMS for Individuals.
8
El número de tipos de información confidencial del portal de cumplimiento de
Microsoft Purview puede variar en función de la región.

Microsoft Defender for Cloud es un sistema unificado de administración de seguridad
de la infraestructura que fortalece la posición de seguridad de los centros de datos y
proporciona una protección contra amenazas avanzada de todas las cargas de trabajo
híbridas que se encuentran en la nube, ya sea que estén en Azure o no, así como
Para obtener más información, consulte la documentación del producto
Microsoft Defender for Cloud.
En la tabla siguiente se muestra la disponibilidad actual de características de

Microsoft Defender for Cloud en Azure y Azure Government.
Característica o servicio Azure Azure Government
Características gratuitas de
Exportación continua Disponibilidad general GA
Automatización de flujos de trabajo Disponibilidad general GA

(versión preliminar)
Reglas de exención de recomendaciones Vista previa pública No disponible
Reglas de eliminación de alertas Disponibilidad general GA
Notificaciones de correo electrónico para Disponibilidad general GA

alertas de seguridad
Aprovisionamiento automático de agentes Disponibilidad general GA

y extensiones
Inventario de recursos Disponibilidad general GA
Informes de Libros de Azure Monitor en la Disponibilidad general GA

galería de libros de Defender for Cloud
Planes y extensiones de Microsoft Defender
Microsoft Defender para servidores Disponibilidad general GA
Microsoft Defender para App Service GA No disponible
Microsoft Defender para DNS No disponible para las No disponible para las
nuevas suscripciones nuevas suscripciones
Microsoft Defender para Containers9 GA GA
Microsoft Defender para registros de GA GA 2

contenedor1 (en desuso)
Microsoft Defender para registros de Vista previa pública No disponible

contenedor que examinan imágenes en flujos
de trabajo de CI/CD3
Microsoft Defender para Kubernetes4 (en GA Disponibilidad general

desuso)
Extensión de Defender para Kubernetes Vista previa pública No disponible

habilitado para Azure Arc, servidores o
servicios de datos5
Microsoft Defender para servidores de Disponibilidad general GA

Azure SQL Database
Microsoft Defender para servidores Disponibilidad general GA

SQL Server en máquinas
Microsoft Defender para bases de datos GA No disponible

relacionales de código abierto
Microsoft Defender para Key Vault GA No disponible
Microsoft Defender para Resource Disponibilidad general GA

Manager
Microsoft Defender para Storage6 GA Disponibilidad general
Microsoft Defender para Azure Cosmos DB GA No disponible
Protección de cargas de trabajo de Disponibilidad general GA

Kubernetes
Sincronización de alertas bidireccional con Vista previa pública Vista previa pública
Microsoft Sentinel
Características de Microsoft Defender para

servidores7
Acceso de máquina virtual Just-In-Time Disponibilidad general GA
Supervisión de la integridad de los Disponibilidad general GA

archivos
Controles de aplicación adaptables Disponibilidad general GA
Protección de red adaptable GA No disponible
Protección de hosts de Docker Disponibilidad general GA
Evaluación integrada de vulnerabilidades GA No disponible

para las máquinas
Panel informes de cumplimiento Disponibilidad general GA

normativo8
Implementación de Microsoft Defender Disponibilidad general GA

para punto de conexión y licencia integrada
Conexión de cuentas de AWS GA No disponible
Conexión de cuentas de GCP GA No disponible
1
Parcialmente en disponibilidad general: la capacidad de deshabilitar los resultados
específicos de los exámenes de vulnerabilidades está en versión preliminar pública.
2
Los exámenes de vulnerabilidades de los registros de contenedor en Azure Gov solo se
pueden realizar con la característica de examen en inserción.
3
Requiere Microsoft Defender para registros de contenedor.
4
Parcialmente en disponibilidad general: la compatibilidad con clústeres habilitados
para Azure Arc está en versión preliminar pública y no está disponible en Azure
Government.
5
Requiere Microsoft Defender para Kubernetes.
6
Parcialmente en disponibilidad general: algunas de las alertas de protección contra
amenazas de Microsoft Defender para Storage están en versión preliminar pública.
7
Todas estas características requieren Microsoft Defender para servidores.
8
Puede haber diferencias en los estándares ofrecidos por cada tipo de nube.
9
Disponibilidad general parcial: la compatibilidad con clústeres de Kubernetes
habilitados para Arc (y, por tanto, también EKS de AWS) está en versión preliminar
pública y no está disponible en Azure Government. La visibilidad en tiempo de ejecución
de las vulnerabilidades de las imágenes de contenedor también es una característica en
vista previa.
Microsoft Sentinel
seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) que
es escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad
inteligente e inteligencia frente a amenazas en toda la empresa, de forma que
proporciona una única solución para la detección de alertas, la visibilidad de amenazas,
la búsqueda proactiva y la respuesta a amenazas.
Para obtener más información, consulte la documentación del producto Microsoft

Sentinel.
Para la disponibilidad de características de Microsoft Sentinel en Azure, Azure
Government y Azure China 21Vianet, consulte Compatibilidad de características de
Microsoft Sentinel con nubes de Azure.
Conectores de datos de Microsoft Purview

Office 365 GCC trabaja con Azure Active Directory (Azure AD) en Azure. Office 365 GCC
High y Office 365 DoD se trabajan con Azure AD en Azure Government.
 Sugerencia
Asegúrese de prestar atención al entorno de Azure para comprender dónde es

posible la interoperabilidad. En la tabla siguiente, la interoperabilidad que no es
posible está marcada con un guion (-) a fin de indicar que la compatibilidad no es
pertinente.
Conector Azure Azure Government
Office IRM
- Office 365 GCC Vista previa pública -
- Office 365 GCC High - No disponible
- Office 365 DoD - No disponible
Dynamics 365
Microsoft 365 Defender
- Office 365 GCC High - Vista previa pública
- Office 365 DoD - Vista previa pública
Microsoft Defender para aplicaciones en la nube

- Office 365 DoD - Disponibilidad general

Registros de Shadow IT

Alertas
Microsoft Defender para punto de conexión
- Office 365 DoD - GA
Microsoft Defender for Identity
Microsoft Defender para Office 365
--

--
Office 365
- Office 365 DoD - Disponibilidad general
Teams

Microsoft Defender para IoT le permite acelerar la innovación de IoT/OT con seguridad
integral en todos los dispositivos de IoT/OT. Para las organizaciones de usuarios finales,
Microsoft Defender para IoT ofrece una seguridad de capa de red sin agentes que se
implementa rápidamente, funciona con diversos equipos industriales, e interopera con
Microsoft Sentinel y otras herramientas de SOC. Se puede implementar de forma local o
en entornos conectados a Azure. Para los fabricantes de dispositivos de IoT, los agentes
de seguridad de Microsoft Defender para IoT permiten compilar la seguridad
directamente en los nuevos dispositivos IoT y en proyectos de Azure IoT. El micro-
agente tiene opciones de implementación flexibles, incluida la capacidad de
implementarse como un paquete binario o de modificar código fuente. Y está
disponible para los sistemas operativos de IoT estándar como Linux y Azure RTOS. Para
obtener más información, consulte la documentación del producto Microsoft Defender
para IoT.
En la tabla siguiente se muestra la disponibilidad actual de características de Microsoft

Defender para IoT en Azure y Azure Government.
Para organizaciones
Característica Azure Azure

Government
Inventario y detección de dispositivos locales GA GA
Administración de vulnerabilidades GA GA
Detección de amenazas con IoT, y análisis de comportamiento de GA GA

OT
Actualizaciones manuales y automáticas de inteligencia sobre GA GA

amenazas
Unificación de la seguridad de TI y OT con SIEM, SOAR y XDR
Active Directory GA GA
ArcSight GA GA
ClearPass (alertas inventario) GA GA
CyberArk PSM GA GA
Correo electrónico GA GA
FortiGate GA GA
FortiSIEM GA GA
Microsoft Sentinel GA GA
NetWitness GA GA
Palo Alto NGFW GA GA
Palo Alto Panorama GA GA
ServiceNow (alertas inventario) GA GA
Supervisión de MIB del protocolo simple de administración de GA GA

redes
Splunk GA GA
Servidor de SYSLOG (formato CEF) GA GA
Servidor de SYSLOG (formato LEEF) GA GA
Servidor de SYSLOG (objeto) GA GA
Servidor SYSLOG (mensaje de texto) GA GA

Government
Devolución de llamada web (webhook) GA GA
Para fabricantes de dispositivos

Government
Microagente para Azure RTOS GA GA
Configuración de Sentinel con Azure Defender para GA GA

IoT
Microagente independiente para Linux
Instalación binaria de agentes independientes Vista previa Vista previa pública

pública
Azure Attestation
Microsoft Azure Attestation es una solución unificada para comprobar de forma remota
la confiabilidad de una plataforma y la integridad de los archivos binarios que se
ejecutan en ella. El servicio recibe evidencia de la plataforma, la valida según estándares
de seguridad, la evalúa con directivas configurables y genera un token de atestación
para aplicaciones basadas en notificaciones (por ejemplo, usuarios de confianza o
entidades de auditoría).
Azure Attestation está disponible actualmente en varias regiones en las nubes públicas y
de administración pública de Azure. En Azure Government, el servicio está disponible en
versión preliminar en US Gov Virginia y US Gov Arizona.
Para obtener más información, consulte la documentación pública de Azure Attestation.

Government
Experiencia del portal para realizar operaciones de plano Disponibilidad -

de control y plano de datos general
Experiencia del PowerShell para realizar operaciones de Disponibilidad GA

plano de control y plano de datos general
Cumplimiento de TLS 1.2 Disponibilidad GA

Government
general
Compatibilidad con BCDR Disponibilidad -

general
Integración de etiquetas de servicio Disponibilidad GA

general
Almacenamiento de registros inmutable Disponibilidad GA

general
Aislamiento de red mediante vínculo privado Vista previa -

pública
Certificación FedRAMP High Disponibilidad -

general
Caja de seguridad del cliente Disponibilidad -

general
Pasos siguientes
Información sobre el modelo de responsabilidad compartida, las tareas de
seguridad que administra el proveedor de nube y las tareas que administra el
usuario.
Información sobre las capacidades de la nube de Azure Government y de la
seguridad y el diseño de confianza que se usa para apoyar el cumplimiento
aplicable a organizaciones locales, estatales, federales y sus asociados.
Información sobre el plan de Office 365 Administración Pública.
Información sobre el cumplimiento en Azure de los estándares legales y
normativos.
Patrones y procedimientos
recomendados de seguridad en Azure
Artículo • 21/10/2023
Los artículos siguientes contienen procedimientos recomendados de seguridad que

puede aplicar cuando diseñe, implemente y administre soluciones en la nube mediante
Azure. Estos procedimientos recomendados proceden de nuestra experiencia con la
seguridad de Azure y las experiencias de clientes como usted.
Los procedimientos recomendados están diseñados como recurso para los

profesionales de la TI. Aquí podrían caber diseñadores, arquitectos, desarrolladores y
evaluadores que compilen e implementen soluciones seguras de Azure.
Procedimientos recomendados para la seguridad de las bases de datos de Azure

Procedimientos recomendados de cifrado y seguridad de datos en Azure
Procedimientos recomendados para la administración de identidades y la
seguridad del control de acceso en Azure
Procedimientos recomendados de seguridad de la red de Azure
Procedimientos recomendados de seguridad operativa de Azure
Procedimientos recomendados de PaaS de Azure
Procedimientos recomendados de seguridad de Azure Service Fabric
Procedimientos recomendados de seguridad para las máquinas virtuales de Azure
Implementación de una arquitectura de red híbrida segura en Azure
Procedimientos recomendados de seguridad de Internet de las cosas
Protección de aplicaciones web y móviles PaaS con Azure App Service
Protección de aplicaciones web y móviles PaaS con Azure Storage
Pasos siguientes
Microsoft ha descubierto que el uso de pruebas comparativas de seguridad puede
ayudarle a proteger rápidamente las implementaciones en la nube. Las
recomendaciones para las pruebas comparativas del proveedor de servicios en la nube
ofrecen un punto de partida para seleccionar opciones de configuración de seguridad
específicas en su entorno y le permiten reducir rápidamente los riesgos para su
organización. Consulte Microsoft Cloud Security Benchmark para una recopilación de
recomendaciones de seguridad de gran impacto que puede usar para ayudar a proteger
los servicios que usa en Azure.
Servicios de Microsoft en
ciberseguridad
Artículo • 06/04/2023
Los servicios de Microsoft proporcionan un enfoque integral para la seguridad, la

identidad y la ciberseguridad. Incluyen una matriz de servicios de seguridad e identidad
a través de la estrategia, la planificación, la implementación y el soporte técnico
continuado. Estos servicios pueden ayudar a los clientes Enterprise a implementar
soluciones de seguridad que se alineen con sus objetivos estratégicos.
Los servicios de Microsoft pueden crear soluciones que integren y mejoren las
funcionalidades de seguridad e identidad más recientes de nuestros productos para
ayudar a proteger sus negocios e impulsar la innovación.
Nuestro equipo de profesionales técnicos está formado por expertos altamente

cualificados que ofrecen una gran experiencia en identidad y seguridad.
Aprenda más acerca de los servicios de consultoría de seguridad de Servicios de

Microsoft.
Registro de un problema de seguridad
Artículo • 01/06/2023
Visite el Centro de respuestas de seguridad de Microsoft (MSRC) para notificar un

problema específico de seguridad.
También puede crear una solicitud personalizada de soporte técnico de Azure en Azure
Portal. Visite Azure Portal aquí . Siga las indicaciones para recibir soluciones
recomendadas o para registrar una solicitud de soporte técnico.
Pasos siguientes
MSRC forma parte de la comunidad de seguridad. Obtenga información sobre cómo
MSRC ayuda a proteger a los clientes y al ecosistema en general.
Pruebas de penetración
Artículo • 06/04/2023
Una de las ventajas del uso de Azure para las pruebas y la implementación de
aplicaciones es que puede crear entornos rápidamente. No tiene que preocuparse del
pedido, la adquisición, la "instalación en bastidor y apilamiento" de su propio hardware
local.
Crear entornos rápidamente está muy bien, pero debe asegurarse de realizar sus
diligencias de seguridad normales. Una de las cosas que quizá desee hacer es realizar
pruebas de penetración de las aplicaciones que implemente en Azure. No realizamos
pruebas de penetración de su aplicación, pero sabemos que quiere y necesita realizar
dichas pruebas en sus propias aplicaciones. Eso es bueno, ya que al mejorar la
seguridad de sus aplicaciones, ayuda a hacer que todo el ecosistema de Azure sea más
seguro.
Desde el 15 de junio de 2017, Microsoft ya no requiere la aprobación previa para llevar

a cabo pruebas de penetración con recursos de Azure. Este proceso solo está
relacionado con Microsoft Azure y no es aplicable ningún otro servicio de Microsoft
Cloud.
） Importante
Aunque notificar a Microsoft de las actividades de pruebas de penetración ya no es

obligatorio, los clientes deben cumplir las reglas de compromiso de las pruebas de
penetración unificadas de Microsoft Cloud de todos modos.
Entre las pruebas estándar que puede realizar se incluyen:
Pruebas en los puntos de conexión para descubrir las 10 principales

vulnerabilidades del Proyecto de seguridad de aplicación web abierta (OWASP)
Pruebas de vulnerabilidad ante datos aleatorios o inesperados de los puntos de
conexión
Exploración de puertos de los puntos de conexión
Un tipo de prueba que no puede realizar es cualquier tipo de ataque de denegación de

servicio (DoS) . Esta prueba incluye iniciar un ataque de denegación de servicio o
realizar pruebas relacionadas que puedan determinar, demostrar o simular cualquier
tipo de ataque de denegación de servicio.
７ Nota
Solo puede simular ataques mediante partners de prueba aprobados por Microsoft:
BreakingPoint Cloud : un generador de tráfico de autoservicio donde los

clientes pueden generar tráfico destinado a los puntos de conexión públicos
que tengan habilitado el servicio DDoS Protection con fines de simulación.
Red Button : trabaje con un equipo dedicado de expertos para simular
escenarios de ataque DDoS reales en un entorno controlado.
RedWolf es un proveedor de pruebas de DDoS guiadas o de autoservicio
con control en tiempo real.
Para más información sobre estos partners de simulación, consulte Pruebas con
partners de simulación.
Pasos siguientes
Más información sobre las reglas de compromiso de pruebas de penetración .
Lista de referencia de dominios de
Azure (no es exhaustiva)
Artículo • 21/10/2023
En esta página se muestra una lista parcial de los dominios de Azure en uso. Algunos de
ellos son puntos de conexión de la API de REST.
Servicio Subdominio
Azure Access Control Service (retirado) *.accesscontrol.windows.net
Microsoft Entra ID *.graph.windows.net/*.onmicrosoft.com
Azure API Management *.azure-api.net
Azure BizTalk Services (retirado) *.biztalk.windows.net
Almacenamiento de blobs de Azure *.blob.core.windows.net
Azure Cloud Services y Azure Virtual Machines *.cloudapp.net
Azure Cloud Services y Azure Virtual Machines *.cloudapp.azure.com
Azure Container Registry *.azurecr.io
Azure Container Service (ACS) (en desuso) *.azurecontainer.io
Azure Content Delivery Network *.vo.msecnd.net
Azure Cosmos DB *.cosmos.azure.com
Azure Cosmos DB *.documents.azure.com
Archivos de Azure *.file.core.windows.net
Azure Front Door *.azurefd.net
Azure Key Vault *.vault.azure.net
Azure Kubernetes Service *.azmk8s.io
Servicios de administración de Azure *.management.core.windows.net
Azure Media Services *.origin.mediaservices.windows.net
Azure Mobile Apps *.azure-mobile.net
Azure Queue Storage *.queue.core.windows.net

Servicio Subdominio
Azure Service Bus *.servicebus.windows.net
Azure SQL Database *.database.windows.net
Azure Stack Edge y Azure IoT Edge *.azureedge.net
Azure Table Storage *.table.core.windows.net
Azure Traffic Manager *.trafficmanager.net
Azure Websites *.azurewebsites.net
GitHub Codespaces *.visualstudio.com

Azure Security Fundamentals

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Azure Security Fundamentals

Cargado por

Copyright:

Formatos disponibles

Díganos qué opina sobre la experiencia de descarga del PDF.

Documentación de los aspectos básicos

Acerca de la seguridad en Azure

Introducción a la seguridad de Azure

Funcionalidades técnicas de seguridad

¿Cómo protege Microsoft la infraestructura de Azure?

Responsabilidad compartida en la nube

Servicios y tecnologías de seguridad

Controles de seguridad integrados

Mitigar las amenazas

Microsoft Defender for Cloud

Protección contra amenazas

Procedimientos recomendados para proteger las soluciones en la nube

Seguridad de las redes

Cargas de trabajo de IaaS

Administración de identidades y control del acceso

Seguridad y cifrado de datos

Protección de los recursos de Azure

Protección de los datos

Seguridad de las redes

Seguridad de las máquinas virtuales

Seguridad de la administración de identidades

Protección de las aplicaciones en la nube

Desarrollo de aptitudes de seguridad

Implementación de seguridad de red

Administración de identidades y accesos

Implementación de la seguridad de hosts de máquinas virtuales

En este artículo se proporciona una visión completa de la seguridad disponible con

El objetivo principal de este documento se centra en los controles orientados al

Para información sobre cómo Microsoft protege la plataforma de Azure, consulte

Resumen de las funcionalidades de seguridad

Las funcionalidades integradas se organizan en seis áreas funcionales: Operaciones,

Microsoft Defender for Cloud

Además, Defender for Cloud le ayuda con las operaciones de seguridad, al

Azure Resource Manager

Las implementaciones basadas en plantillas de Azure Resource Manager ayudan a

Registros de Azure Monitor

Firewall de aplicaciones web

Autenticación y autorización en Azure App Service

Arquitectura de seguridad por niveles

La primera característica nueva es la información de estado en tiempo real sobre grupos

Para habilitar la recopilación de estos eventos de seguimiento, se puede configurar IIS 7

Control de acceso basado en roles de Azure (RBAC de

Firma de acceso compartido

Cifrado en el cliente, para cifrar los datos antes de transferirlos al almacenamiento

Cifrado del servicio de almacenamiento permite solicitar que el servicio de

Cifrado de cliente también proporciona la característica de cifrado en reposo.

Habilitación de clientes basados en explorador mediante

Controles de nivel de red

Control de ruta y tunelización forzada

Esto es diferente a poder aceptar conexiones entrantes y luego responder a ellas. En

Dispositivos de seguridad de red virtual

Azure Virtual Network

Conexión de estaciones de trabajo individuales a una instancia de Azure Virtual

Conexión de instancias de Azure Virtual Network entre sí

Proporciona conmutación por error, solicitudes HTTP de enrutamiento de rendimiento

La aplicación proporciona numerosas características de controlador de entrega de

Firewall de aplicaciones web

Protección contra la inyección de código SQL

Protección contra ataques web comunes, como inyección de comandos,

Protección contra infracciones del protocolo HTTP

Protección contra anomalías del protocolo HTTP, como la falta de agentes de

Prevención contra bots, rastreadores y escáneres