Documentos de Académico
Documentos de Profesional
Documentos de Cultura
e INFORMACIÓN GENERAL
p CONCEPTO
Introducción
e INFORMACIÓN GENERAL
e INFORMACIÓN GENERAL
p CONCEPTO
Administración y supervisión
p CONCEPTO
Implementaciones de PaaS
Seguridad operativa
p CONCEPTO
Cifrado en reposo
d CURSOS
d CURSOS
Información general
Sabemos que la seguridad tiene la máxima prioridad en la nube y conocemos la
importancia que tiene que buscar información exacta y a tiempo sobre la seguridad de
Azure. Una de las mejores razones para usar Azure en sus aplicaciones y servicios es
poder aprovechar su amplia gama de funcionalidades y herramientas de seguridad.
Estas herramientas y funcionalidades permiten crear soluciones seguras en la plataforma
Azure segura. Microsoft Azure proporciona confidencialidad, integridad y disponibilidad
para los datos del cliente, al mismo tiempo que hace posible una responsabilidad
transparente.
Plataforma Azure
Azure es una plataforma de servicios en la nube pública que admite una amplia
selección de sistemas operativos, lenguajes de programación, plataformas,
herramientas, bases de datos y dispositivos. Puede ejecutar contenedores de Linux con
integración de Docker, compilar aplicaciones con JavaScript, Python, .NET, PHP, Java,
Node.js y crear back-ends para dispositivos iOS, Android y Windows.
Los servicios en la nube pública de Azure admiten las mismas tecnologías en las que ya
confían millones de desarrolladores y profesionales de TI. Al crear en un proveedor de
servicios en la nube pública o al migrar recursos de TI a uno, confía en las capacidades
de la organización para proteger sus aplicaciones y datos con los servicios y los
controles que facilitan para administrar la seguridad de sus recursos en la nube.
La infraestructura de Azure está diseñada desde la instalación hasta las aplicaciones para
hospedar millones de clientes simultáneamente, y proporciona una base de confianza
en la que las empresas pueden satisfacer sus requisitos de seguridad.
Además, Azure ofrece una amplia gama de opciones de seguridad configurables, así
como la capacidad de controlarlas, por lo que puede personalizar la seguridad para
satisfacer los requisitos exclusivos de las implementaciones de su organización. Este
documento explica cómo las funcionalidades de seguridad de Azure pueden ayudarle a
cumplir estos requisitos.
7 Nota
Operaciones
En esta sección se proporciona información adicional acerca de características
fundamentales para las operaciones de seguridad y un resumen de estas
funcionalidades.
Microsoft Sentinel
Microsoft Sentinel es una solución de administración de eventos e información de
seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR)
escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad inteligente
e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una
única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda
proactiva y la respuesta a amenazas.
Application Insights
Application Insights es un servicio de Application Performance Management (APM)
extensible para desarrolladores web. Con Application Insights, puede supervisar sus
aplicaciones web en directo y detectar automáticamente anomalías de rendimiento.
Incluye herramientas de análisis eficaces que le ayudan a diagnosticar problemas y
comprender lo que hacen realmente los usuarios con la aplicación. Supervisa la
aplicación durante todo el tiempo que se ejecute, tanto durante las pruebas como
después de haberla publicado o implementado.
Application Insights crea gráficos y tablas que muestran, por ejemplo, en qué horas del
día se obtiene la mayoría de los usuarios, la capacidad de respuesta de la aplicación y lo
bien que la atienden los servicios externos de los que depende.
Si hay bloqueos, errores o problemas de rendimiento, puede buscar en los datos de la
telemetría para diagnosticar la causa. Además, el servicio le envía mensajes de correo
electrónico si se produce cualquier cambio en la disponibilidad y el rendimiento de la
aplicación. Por tanto, Application Insights se convierte en una valiosa herramienta de
seguridad porque ayuda con la disponibilidad, parte de la tríada de seguridad formada
también por la confidencialidad y la integridad.
Azure Monitor
Azure Monitor ofrece funciones de visualización, consulta, enrutamiento, alertas,
escalado automático y automatización de los datos tanto de la suscripción de Azure
(registro de actividad) como de cada recurso individual de Azure (registros de recursos).
Puede usar Azure Monitor para que le alerte sobre eventos relacionados con la
seguridad que se generen en registros de Azure.
Los registros de Azure Monitor pueden ser una herramienta útil en el análisis forense y
otros análisis de seguridad, ya que permiten buscar rápidamente entre grandes
cantidades de entradas relacionadas con la seguridad siguiendo un enfoque de consulta
flexible. Además, los registros de proxy y firewall locales se pueden exportar a Azure y
poner a disposición para su análisis con registros de Azure Monitor.
Azure Advisor
Azure Advisor es un consultor personalizado en la nube que le ayudará a optimizar las
implementaciones de Azure. Analiza la telemetría de uso y configuración de los recursos
y, posteriormente, recomienda soluciones que ayudan a mejorar el rendimiento, la
seguridad y la confiablidad de los recursos, al mismo tiempo que busca oportunidades
para reducir el gasto general en Azure. Azure Advisor proporciona recomendaciones de
seguridad, que pueden mejorar de forma notable la posición general de seguridad para
las soluciones que se implementan en Azure. Estas recomendaciones se extraen del
análisis de seguridad realizado por Microsoft Defender for Cloud.
APLICACIONES
En esta sección se proporciona información adicional acerca de características
fundamentales para la seguridad de las aplicaciones y un resumen de estas
funcionalidades.
Pruebas de penetración
No realizamos pruebas de penetración de su aplicación, pero sabemos que quiere y
necesita realizar dichas pruebas en sus propias aplicaciones. Eso es bueno, ya que al
mejorar la seguridad de sus aplicaciones, ayuda a hacer que todo el ecosistema de
Azure sea más seguro. Aunque notificar a Microsoft de las actividades de pruebas de
penetración ya no es obligatorio, los clientes deben cumplir las reglas de compromiso
de las pruebas de penetración de Microsoft Cloud de todos modos.
Storage
En esta sección se proporciona información adicional acerca de características
fundamentales para la seguridad del almacenamiento de Azure y un resumen de estas
funcionalidades.
Cifrado en tránsito
Cifrado en tránsito es un mecanismo para proteger datos cuando se transmiten a través
de redes. Con Azure Storage, puede proteger los datos mediante:
Cifrado de nivel de transporte, como HTTPS para transferir datos a Azure Storage o
desde este servicio.
Cifrado en el cable, como el cifrado SMB 3.0 para recursos compartidos de Azure
File.
Cifrado en reposo
Para muchas organizaciones, el cifrado de los datos en reposo es un paso obligatorio en
lo que respecta a la privacidad de los datos, el cumplimiento y la soberanía de los datos.
Hay tres características de seguridad del almacenamiento de Azure que proporcionan
cifrado de datos "en reposo":
Azure Disk Encryption para máquinas virtuales Linux y Azure Disk Encryption para
máquinas virtuales Windows le permite cifrar los discos del sistema operativo y los
discos de datos usados por una máquina virtual IaaS.
Storage Analytics
Azure Storage Analytics realiza el registro y proporciona datos de métricas para una
cuenta de almacenamiento. Puede usar estos datos para hacer un seguimiento de
solicitudes, analizar tendencias de uso y diagnosticar problemas con la cuenta de
almacenamiento. Storage Analytics registra información detallada sobre las solicitudes
correctas y erróneas realizadas a un servicio de almacenamiento. Esta información se
puede utilizar para supervisar solicitudes concretas y para diagnosticar problemas con
un servicio de almacenamiento. Las solicitudes se registran en función de la mejor
opción. Se registran los siguientes tipos de solicitudes autenticadas:
Solicitudes correctas
Solicitudes erróneas, incluyendo errores de tiempo de espera, de limitación, de
red, de autorización, etc
Solicitudes que utilizan una firma de acceso compartido (SAS), incluyendo las
solicitudes correctas y las erróneas
Solicitudes de datos de análisis
Los servicios de almacenamiento de Azure ahora admiten CORS, así que, una vez
establecidas las reglas de CORS para el servicio, una solicitud autenticada correctamente
realizada en el servicio desde un dominio diferente se evalúa para determinar si se
permite según las reglas que ha especificado.
Redes
En esta sección se proporciona información adicional acerca de características
fundamentales para la seguridad de red de Azure y un resumen de estas
funcionalidades.
Azure Firewall
Azure Firewall se ofrece en dos SKU: Estándar y Premium. Azure Firewall Estándar
proporciona fuentes de inteligencia sobre amenazas y filtrado L3-L7 directamente desde
Microsoft Cyber Security. Azure Firewall Premium proporciona funcionalidades
avanzadas que incluyen IDPS basados en firmas para permitir la detección rápida de
ataques mediante la búsqueda de patrones específicos.
Las rutas definidas por el usuario le permiten personalizar rutas de acceso entrantes y
salientes para el tráfico que entra y sale de máquinas virtuales individuales o subredes
para garantizar la ruta más segura posible. tunelización forzada es un mecanismo que
puede usar para tener la seguridad de que no se permite que sus servicios inicien una
conexión con dispositivos en Internet.
La tunelización forzada normalmente se usa para forzar que el tráfico saliente hacia
Internet atraviese firewalls y servidores proxy de seguridad locales.
Aunque los grupos de seguridad de red, las rutas definidas por el usuario y la
tunelización forzada proporcionan un nivel de seguridad en las capas de red y
transporte del modelo OSI , habrá ocasiones en las que desee habilitar la seguridad en
niveles más altos de la pila. Puede acceder a estas características mejoradas de
seguridad de red mediante una solución de dispositivo de seguridad de red de
asociados de Azure. Para encontrar las soluciones de seguridad de red de asociados más
actuales de Azure, visite Azure Marketplace y busque "seguridad" y "seguridad de la
red".
Además, puede conectar la red virtual a su red local mediante una de las opciones de
conectividad disponibles en Azure. En esencia, puede ampliar su red en Azure, con
control total sobre bloques de direcciones IP con la ventaja de la escala empresarial que
ofrece Azure.
Las redes de Azure admiten diversos escenarios de acceso remoto seguro. Algunos son:
Conexión de la red local a una instancia de Azure Virtual Network con una VPN
Conexión de la red local a una instancia de Azure Virtual Network con un vínculo
WAN dedicado
Los puntos de conexión privados permiten proteger los recursos de servicio de Azure
críticos únicamente para las redes virtuales. El punto de conexión privado de Azure usa
una dirección IP privada de la red virtual para conectarse de forma privada y segura a un
servicio con tecnología de Azure Private Link, con lo que el servicio se integra en ella de
manera eficaz. La exposición de la red virtual a la red pública de Internet ya no es
necesaria para consumir los servicios PaaS de Azure.
Puede crear su propio servicio de vínculo privado en la red virtual. El servicio Azure
Private Link es la referencia a su propio servicio con tecnología de Azure Private Link. El
servicio que se ejecuta de forma subyacente a Azure Standard Load Balancer se puede
habilitar para el acceso a Private Link de modo que los consumidores del servicio
puedan tener acceso a este de forma privada desde sus propias redes virtuales. Sus
clientes pueden crear un punto de conexión privado dentro de su red virtual y asignarlo
a este servicio. Ya no es necesario exponer el servicio a la red pública de Internet para
representar los servicios en Azure.
VPN Gateway
Para enviar tráfico de red entre su instancia de Azure Virtual Network y el sitio local, es
preciso que cree una puerta de enlace de VPN para la instancia de Azure Virtual
Network. Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual que
envía tráfico cifrado a través de una conexión pública. También puede utilizar puertas de
enlace de VPN para enviar tráfico entre instancias de Azure Virtual Network a través del
tejido de red de Azure.
ExpressRoute
Microsoft Azure ExpressRoute es un vínculo WAN dedicado que le permite extender sus
redes locales a Microsoft Cloud a través de una conexión privada y dedicada que facilita
un proveedor de conectividad.
Con ExpressRoute, se pueden establecer conexiones con servicios en la nube de
Microsoft, como Microsoft Azure, Microsoft 365 y CRM Online. La conectividad puede
ser desde una red de conectividad universal (IP VPN), una red Ethernet de punto a
punto, o una conexión cruzada virtual a través de un proveedor de conectividad en una
instalación de ubicación compartida.
Las conexiones ExpressRoute no pasan por Internet y, por tanto, se pueden considerar
más seguras que las soluciones basadas en VPN. Esto permite a las conexiones de
ExpressRoute ofrecer más confiabilidad, más velocidad, menor latencia y mayor
seguridad que las conexiones normales a través de Internet.
Application Gateway
Microsoft Azure Application Gateway cuenta con un controlador de entrega de
aplicaciones (ADC) que se ofrece como servicio y que proporciona varias
funcionalidades de equilibrio de carga de nivel 7 para la aplicación.
Le permite optimizar la productividad de las granjas de servidores web al traspasar la
carga de la terminación TLS con mayor actividad de la CPU a Application Gateway (lo
que también se conoce como "descarga TLS" o "puente TLS"). Además, dispone de otras
funcionalidades de enrutamiento de nivel 7, como la distribución round robin del tráfico
entrante, la afinidad de sesiones basada en cookies, el enrutamiento basado en rutas de
acceso URL y la capacidad de hospedar varios sitios web tras una única instancia de
Application Gateway. Azure Application Gateway es un equilibrador de carga de nivel 7.
Traffic Manager proporciona una serie de métodos de enrutamiento del tráfico para
satisfacer las necesidades de distintas aplicaciones, la supervisión del estado de los
puntos de conexión y la conmutación automática por error. Traffic Manager es
resistente a errores, incluidos los que afecten a toda una región de Azure.
Equilibrar la carga del tráfico entrante de Internet entre las máquinas virtuales. Esta
configuración se conoce como equilibrio de carga público.
Equilibrar la carga del tráfico entre máquinas virtuales de una red virtual, entre
máquinas virtuales de servicios en la nube o entre equipos locales y máquinas
virtuales de una red virtual entre entornos locales. Esta configuración se conoce
como " equilibrio de carga interno".
DNS interno
Puede administrar la lista de servidores DNS usados en una red virtual en el Portal de
administración o en el archivo de configuración de red. Un cliente puede agregar hasta
12 servidores DNS para cada red virtual. Al especificar servidores DNS, es importante
comprobar que se enumeren los servidores DNS del cliente en el orden correcto para el
entorno del cliente. Las listas de servidores DNS no funcionan con Round Robin. Se
utilizan en el orden en que se especifican. Si se puede acceder al primer servidor DNS
de la lista, el cliente usa ese servidor DNS con independencia de si el servidor DNS
funciona correctamente o no. Para cambiar el orden del servidor DNS para la red virtual
del cliente, quite los servidores DNS de la lista y agréguelos en el orden en que el cliente
desee. DNS es compatible con el aspecto de disponibilidad, parte de la tríada de
seguridad formada también por la confidencialidad y la integridad.
Azure DNS
El sistema de nombres de dominio, o DNS, es responsable de traducir (o resolver) el
nombre del sitio web o del servicio en su dirección IP. Azure DNS es un servicio de
hospedaje para dominios DNS que permite resolver nombres mediante la
infraestructura de Microsoft Azure. Al hospedar dominios en Azure, puede administrar
los registros DNS con las mismas credenciales, API, herramientas y facturación que con
los demás servicios de Azure. DNS es compatible con el aspecto de disponibilidad, parte
de la tríada de seguridad formada también por la confidencialidad y la integridad.
Evento: contiene entradas para las que se aplican reglas de NSG a las máquinas
virtuales y a los roles de instancia en función de la dirección MAC. El estado de
estas reglas se recopila cada 60 segundos.
Contador de regla: contiene entradas para el número de veces que se aplica cada
regla NSG para denegar o permitir el tráfico.
Proceso
En esta sección se proporciona información adicional acerca de características
fundamentales para esta área y un resumen de estas funcionalidades.
Computación confidencial de Azure
La computación confidencial de Azure proporciona la pieza final de la protección de
datos. Permite mantener los datos cifrados en todo momento. Mientras están en
reposo, cuando están en movimiento a través de la red, y ahora, incluso mientras se
cargan en memoria y en uso. Además, al hacer posible la Atestación remota, permite
comprobar criptográficamente que la máquina virtual que aprovisiona ha arrancado de
forma segura y está configurada correctamente, antes de desbloquear los datos.
Antimalware y antivirus
Con IaaS de Azure, puede usar software antimalware de proveedores de seguridad
como Microsoft, Symantec, Trend Micro, McAfee y Kaspersky, para proteger las
máquinas virtuales de archivos malintencionados, adware y otras amenazas. Microsoft
Antimalware para Azure Cloud Services y Virtual Machines es una funcionalidad de
protección que permite identificar y eliminar virus, spyware y otro software
malintencionado. Microsoft Antimalware activa alertas configurables cuando software
no deseado o malintencionado intenta instalarse o ejecutarse en los sistemas de Azure.
Microsoft Antimalware también se puede implementar mediante Microsoft Defender for
Cloud.
El servicio Azure Key Vault (AKV) está diseñado para mejorar la seguridad y la
administración de estas claves en una ubicación segura y con gran disponibilidad. El
Conector de SQL Server permite que SQL Server use estas claves desde Azure Key Vault.
Si ejecuta SQL Server con máquinas locales, hay una serie de pasos que puede seguir
para acceder a Azure Key Vault desde la instancia de SQL Server local. Pero para SQL
Server en las máquinas virtuales de Azure, puede ahorrar tiempo si usa la característica
Integración de Azure Key Vault. Con algunos cmdlets de Azure PowerShell para habilitar
esta característica, puede automatizar la configuración necesaria para que una máquina
virtual de SQL tenga acceso a su Almacén de claves.
Redes virtuales
Las máquinas virtuales necesita conectividad de red. Para satisfacer este requisito, es
necesario que Azure Virtual Machines esté conectado a una instancia de Azure Virtual
Network. Azure Virtual Network es una construcción lógica creada encima del tejido de
red físico de Azure. Cada instancia de Azure Virtual Network lógica está aislada de todas
las demás instancias de Azure Virtual Network. Este aislamiento contribuye a garantizar
que otros clientes de Microsoft Azure no puedan acceder al tráfico de red de las
implementaciones.
Actualizaciones de revisiones
Las actualizaciones de revisiones proporcionan la base para encontrar y corregir
posibles problemas y simplificar el proceso de administración de actualizaciones de
software al reducir el número de actualizaciones de software que debe implementar en
su empresa y aumentar la capacidad de supervisar el cumplimiento.
Protección de la identidad
Microsoft utiliza varias tecnologías y procedimientos recomendados de seguridad en
sus productos y servicios para administrar las identidades y el acceso.
Pasos siguientes
Comprenda la responsabilidad compartida en la nube.
Obtenga información sobre cómo Microsoft Defender for Cloud puede ayudarle a
evitar amenazas y a detectarlas y responder a ellas con más visibilidad y control
sobre la seguridad de sus recursos de Azure.
Seguridad integral en Azure
Artículo • 25/10/2023
Una de las mejores razones para usar Azure en sus aplicaciones y servicios es poder
aprovechar su amplia gama de funcionalidades y herramientas de seguridad. Estas
herramientas y funcionalidades permiten crear soluciones seguras en la plataforma
Azure segura. Microsoft Azure proporciona confidencialidad, integridad y disponibilidad
para los datos del cliente, al mismo tiempo que hace posible una responsabilidad
transparente.
Seguridad y protección
Servicio Descripción
Administración de identidades y
acceso
Infraestructura y red
VPN Gateway Una puerta de enlace de red virtual que se usa para enviar
tráfico cifrado entre una red virtual de Azure y una ubicación
local a través de la red pública de Internet y para enviar
tráfico cifrado entre redes virtuales de Azure a través de la red
de Microsoft.
Azure Front Door Un punto de entrada global y escalable que usa la red
perimetral global de Microsoft para crear aplicaciones web
rápidas, seguras y muy escalables.
HSM administrado por Key Vault Un servicio en la nube que cumple los estándares, totalmente
administrado, de alta disponibilidad y de un solo inquilino
que le permite proteger las claves criptográficas de las
aplicaciones de nube mediante dispositivos HSM validados de
FIPS 140-2 nivel 3.
Azure Private Link Permite acceder a los servicios PaaS de Azure (por ejemplo,
Azure Storage y SQL Database) y a los servicios hospedados
en Azure que son propiedad de los clientes, o a los servicios
de asociados, a través de un punto de conexión privado de la
red virtual.
Firewall de aplicaciones web Ofrece una protección centralizada de las aplicaciones web
contra vulnerabilidades de seguridad comunes. WAF se puede
implementar con Azure Application Gateway y Azure Front
Door.
Datos y aplicaciones
Cifrado del servicio Azure Cifra automáticamente los datos antes de que se almacenen y
Storage los descifra automáticamente cuando los recupera.
Azure Information Protection Una solución basada en la nube que permite a las
organizaciones descubrir, clasificar y proteger los documentos
y correos electrónicos mediante la aplicación de etiquetas.
Azure confidential computing Permite aislar los datos confidenciales mientras se procesan
(Computación confidencial de en la nube.
Azure)
Acceso al cliente
Servicio Descripción
Id. externa de Microsoft Entra Con External Identities en Microsoft Entra ID, puede permitir
que personas ajenas a su organización accedan a sus
aplicaciones y recursos, al tiempo que les permite iniciar
sesión utilizando la identidad que prefieran.
Detectar amenazas
Servicio Descripción
Microsoft Defender for Cloud Ofrece protección inteligente y avanzada para las cargas de
trabajo y recursos híbridos y de Azure. El panel de protección de
cargas de trabajo de Defender for Cloud proporciona visibilidad
y control de las características de protección de cargas de
trabajo en la nube para su entorno.
Administración de
identidades y acceso
Infraestructura y red
Microsoft Defender para IoT Una solución de seguridad unificada para identificar dispositivos,
vulnerabilidades y amenazas de IoT y OT. Permite proteger todo
el entorno de IoT/OT, independientemente de que necesite
proteger dispositivos IoT/OT existentes o incorporar seguridad a
nuevas innovaciones de IoT.
Datos y aplicaciones
Microsoft Defender para Una solución nativa de la nube que se utiliza para asegurar sus
contenedores contenedores para que pueda mejorar, supervisar y mantener la
seguridad de sus clústeres, contenedores y sus aplicaciones.
Microsoft Defender for Cloud Un agente de seguridad de acceso a la nube (CASB) que
Apps funciona en varias nubes. Proporciona visibilidad enriquecida,
control sobre el viaje de los datos y análisis sofisticados para
identificar y combatir las ciberamenazas en todos los servicios en
la nube.
Investigación y respuesta
Servicio Descripción
Métricas y registros de Ofrece una solución completa para recopilar y analizar la telemetría del
Azure Monitor entorno local y en la nube y realizar acciones en función de estos
datos. Azure Monitor recopila datos de diversos orígenes y los agrega
a una plataforma de datos común donde se pueden usar en el análisis,
la visualización y la generación de alertas.
Administración de
identidades y acceso
Informes y supervisión Los informes de Microsoft Entra proporcionan una visión completa de
de Azure AD la actividad en su entorno.
Historial de auditoría de Muestra todas las asignaciones de roles y activaciones en los últimos
Microsoft Entra PIM 30 días de todos los roles con privilegios.
Datos y aplicaciones
Servicio Descripción
Pasos siguientes
Comprenda la responsabilidad compartida en la nube.
A medida que considera y evalúa los servicios en la nube pública, es fundamental que
comprenda el modelo de responsabilidad compartida y qué tareas de seguridad
administra el proveedor de servicios en la nube y cuáles administra usted. Las
responsabilidades de la carga de trabajo varían en función de si la carga de trabajo está
hospedada en una implementación de software como servicio (SaaS), plataforma como
servicio (PaaS), infraestructura como servicio (IaaS) o bien en un centro de datos local.
División de responsabilidad
En un centro de datos local, usted es el propietario de toda la pila. A medida que se
traslada a la nube, algunas responsabilidades se transfieren a Microsoft. En el diagrama
siguiente se muestran las áreas de responsabilidad entre usted y Microsoft, según el
tipo de implementación de la pila.
Para todos los tipos de implementación de nube, es propietario de los datos y las
identidades. Asimismo, es responsable de proteger la seguridad de los datos y las
identidades, los recursos locales y los componentes en la nube que controla. Los
componentes en la nube que controla varían según el tipo de servicio.
Paso siguiente
Obtenga más información sobre la responsabilidad compartida y las estrategias para
mejorar la posición de seguridad en la información general del pilar de seguridad del
Marco de buena arquitectura.
Modelo de responsabilidad compartida
de la inteligencia artificial (IA)
Artículo • 08/11/2023
División de responsabilidad
Al igual que con los servicios en la nube, tiene varias opciones al implementar
funcionalidades de inteligencia artificial para la organización. En función de la opción
que elija, se hace responsable de diferentes partes de las operaciones y directivas
necesarias para usar la inteligencia artificial de forma segura.
Microsoft tiene sistemas de seguridad integrados para las ofertas de PaaS y SaaS:
Aplicación de IA
La aplicación de IA accede a las funcionalidades de IA y proporciona el servicio o la
interfaz que consume el usuario. Los componentes de esta capa pueden variar de
relativamente sencillos a muy complejos, en función de la aplicación. Las aplicaciones de
inteligencia artificial independientes más sencillas actúan como una interfaz para un
conjunto de API que toman una solicitud de usuario basada en texto y pasan esos datos
al modelo para obtener una respuesta. Las aplicaciones de IA más complejas incluyen la
posibilidad de dotar a la solicitud del usuario de un contexto adicional, como una capa
de persistencia, un índice semántico o complementos que permitan acceder a más
orígenes de datos. Las aplicaciones avanzadas de inteligencia artificial también pueden
interactuar con aplicaciones y sistemas existentes. Las aplicaciones y sistemas existentes
pueden funcionar en texto, audio e imágenes para generar varios tipos de contenido.
Uso de la IA
En la capa de uso de la IA, se describe cómo se usan y consumen en última instancia las
funcionalidades de IA. La IA generativa ofrece un nuevo tipo de interfaz de usuario o
equipo que es fundamentalmente diferente de otras interfaces de equipo, como las API,
el símbolo del sistema y las interfaces gráficas de usuario (GUI). La interfaz de IA
generativa es interactiva y dinámica, lo que permite que las funcionalidades del equipo
se ajusten al usuario y a su intención. La interfaz de IA generativa contrasta con las
interfaces anteriores, que obligan principalmente a los usuarios a aprender el diseño y la
funcionalidad del sistema y ajustarse a ello. Esta interactividad permite la entrada del
usuario, en lugar de diseñadores de aplicaciones, tener un alto nivel de influencia de la
salida del sistema, lo que hace que las barreras de seguridad sean fundamentales para
proteger a las personas, los datos y los recursos empresariales.
Para obtener más información sobre la naturaleza única de las pruebas de amenazas de
IA, lea sobre cómo el equipo rojo de inteligencia artificial de Microsoft está creando el
futuro de una inteligencia artificial más segura .
Microsoft garantiza que todas las soluciones de Copilot están diseñadas siguiendo
nuestros principios sólidos para la gobernanza de la inteligencia artificial .
Pasos siguientes
Obtenga más información sobre los requisitos de desarrollo de los productos de
Microsoft para la inteligencia artificial responsable en Estándar de Microsoft para la IA
responsable .
La Confianza cero es un nuevo modelo de seguridad que presupone que hay una
brecha y comprueba todas las solicitudes como si provinieran de una red no controlada.
En este artículo, obtendrá información sobre los principios rectores de la Confianza cero
y encontrarán recursos que le ayuden a implementar la Confianza cero.
Para más información sobre la Confianza cero, consulte Centro de guía sobre la
Confianza cero.
Para más información sobre la transformación de Confianza cero del control de acceso,
consulte el control de acceso de Cloud Adoption Framework.
Para más información sobre cómo crear un modelo de acceso basado en el acceso
condicional que esté alineado con los principios rectores de la Confianza cero, consulte
Principios y dependencias de diseño de acceso condicional.
Como desarrollador, es esencial que use los principios de Confianza cero para proteger
los datos y los usuarios. Los desarrolladores de aplicaciones pueden mejorar la
seguridad de las aplicaciones, minimizar el impacto de las brechas y asegurarse de que
sus aplicaciones cumplen los requisitos de seguridad de sus clientes mediante la
adopción de los principios de Confianza cero.
Para más información sobre los procedimientos recomendados clave para proteger las
aplicaciones, consulte:
Para obtener información sobre las recomendaciones y los conceptos básicos para
implementar directivas y configuraciones seguras de correo electrónico, documentos y
aplicaciones para el acceso de Confianza cero a Microsoft 365, consulte Configuraciones
de identidad y acceso a dispositivos de Confianza cero.
Pasos siguientes
Para obtener información sobre cómo mejorar las soluciones de seguridad
mediante la integración con los productos de Microsoft, consulte Integración con
soluciones de Confianza cero de Microsoft.
Protección contra ransomware en Azure
Artículo • 31/08/2023
El ransomware y la extorsión son un negocio de bajo costo y alto beneficio, que tiene un
impacto débil en las organizaciones objetivo, la seguridad nacional/regional, la
seguridad económica y la salud y la seguridad públicas. Lo que comenzó como
ransomware simple de un solo equipo ha crecido para incluir una variedad de técnicas
de extorsión dirigidas a todo tipo de redes corporativas y plataformas en la nube.
Para asegurarse de que los clientes que se ejecutan en Azure están protegidos contra
ataques de ransomware, Microsoft ha invertido mucho en la seguridad de nuestras
plataformas en la nube y proporciona controles de seguridad que necesita para
proteger las cargas de trabajo en la nube de Azure.
Las tendencias recientes sobre el número de ataques son bastante alarmantes. Aunque
2020 no fue un buen año para los ataques de ransomware en empresas, 2021 comenzó
con una mala experiencia. El 7 de mayo, se detuvo temporalmente el ataque contra
Colonial Pipeline (Colonial) para desactivar servicios como el transporte por
canalizaciones de diésel, gasolina y combustible. Colonial desactivó la red crítica de
combustible que suministra los populosos estados orientales.
Históricamente, los ciberataques se consideraron un sofisticado conjunto de acciones
dirigidas a sectores concretos, lo que dejó a los sectores restantes pensando que
estaban fuera del ámbito de los ciberdelincuentes y sin contexto sobre para qué
amenazas de ciberseguridad deben prepararse. El ransomware representa un cambio
importante en este panorama de amenazas y ha hecho de los ciberataques un peligro
muy real y omnipresente para todos. Los archivos cifrados y perdidos y las notas de
rescate amenazantes se han convertido ahora en el principal miedo para la mayoría de
los equipos ejecutivos.
¿Qué es el ransomware?
El ransomware es un tipo de malware que infecta un equipo y restringe el acceso de un
usuario al sistema infectado o a archivos específicos con el fin de extorsionarles por
dinero. Una vez que el sistema de destino se ha puesto en peligro, normalmente
bloquea la mayor parte de la interacción y muestra una alerta en pantalla, que
normalmente indica que el sistema se ha bloqueado o que todos sus archivos se han
cifrado. A continuación, exige que se pague un rescate sustancial para poder liberar el
sistema o descifrar los archivos.
Los atacantes usan distintas técnicas, como un ataque por fuerza bruta al Protocolo de
escritorio remoto (RDP) para aprovechar las vulnerabilidades.
¿Debe pagar?
Hay distintas opiniones sobre cuál es la mejor opción cuando se enfrenta a esta
creciente demanda. La Oficina Federal de Investigación (FBI) aconseja a las victimas que
no paguen el rescate, sino que estén atentos y tomen medidas proactivas para proteger
sus datos antes de un ataque. Consideran que pagar no garantiza que los sistemas
bloqueados y los datos cifrados se liberen de nuevo. El FBI dice que otra razón para no
pagar es que los pagos a los ciberdelincuentes los incentivan para seguir atacando a las
organizaciones.
Colonial Pipeline pagó unos 4,4 millones de dólares en rescate para que liberaran sus
datos. Esto no incluye el costo del tiempo de inactividad, la pérdida de productividad,
las ventas perdidas y el costo de la restauración de servicios. En términos más generales,
un impacto significativo es el "efecto inmediato" de afectar a un gran número de
empresas y organizaciones de todo tipo, incluidos los vecinos y las ciudades de sus
áreas locales. El impacto financiero también es asombroso. Según Microsoft, se prevé
que el costo global asociado a la recuperación de ransomware supere los
20 000 millones de dólares en 2021.
Pasos siguientes
Consulte las notas del producto: Defensas de Azure para los ataques de ransomware .
En última instancia, el marco está destinado a reducir y administrar mejor los riesgos de
ciberseguridad.
Aunque estas prioridades deberían regir lo que se hace en primer lugar, animamos a las
organizaciones a que ejecuten tantos pasos en paralelo como sea posible (incluyendo la
extracción de los beneficios rápidos del paso 1 siempre que se pueda).
Dificultar el acceso
Evite que un atacante de ransomware entre en su entorno y responda rápidamente a los
incidentes para eliminar el acceso del atacante antes de que pueda robar y cifrar los
datos. Esto hará que los atacantes fracasen antes y más a menudo y que disminuya el
beneficio de sus ataques. Si bien la prevención es el resultado preferido, es un proceso
continuo y puede no ser posible lograr prevenir y responder rápidamente al 100 % en
las organizaciones del mundo real (estado complejo con varias plataformas y varias
nubes con responsabilidades de TI distribuidas).
Para conseguirlo, las organizaciones deben identificar y ejecutar ganancias rápidas para
fortalecer los controles de seguridad a fin de impedir la entrada y detectar o destruir
rápidamente a los atacantes, e implementar además un programa sostenido que les
ayude a mantenerse seguros. Microsoft recomienda que las organizaciones sigan los
principios que se describen en la estrategia de Confianza cero aquí . En concreto,
contra el ransomware, las organizaciones deben dar prioridad a:
Las organizaciones deben contar con una seguridad elevada para las cuentas con
privilegios (protección firme, supervisión estrecha y respuesta rápida a los incidentes
relacionados con estos roles). Consulte el plan de modernización rápida de seguridad de
Microsoft, que abarca:
Limite los daños para el peor de los casos: aunque restaurar todos los sistemas a
partir de las copias de seguridad es muy perjudicial para la empresa, es más eficaz
y eficiente que intentar hacerlo utilizando herramientas de descifrado (de baja
calidad) proporcionadas por el atacante después de pagar para obtener la clave.
Nota: Pagar es un camino incierto. Usted no tiene ninguna garantía formal o
jurídica de que la clave funcione en todos los archivos, de que las herramientas
funcionen eficazmente o de que el atacante (que puede ser un afiliado aficionado
que utiliza un conjunto de herramientas profesionales) actúe de buena fe.
Limitar la rentabilidad financiera de los atacantes: si una organización puede
restaurar las operaciones de negocio sin pagar a los atacantes, el ataque ha
fracasado efectivamente y ha resultado en una rentabilidad de la inversión (ROI)
cero para los atacantes. Esto hace que sea menos probable que ataquen a la
organización en el futuro (y les priva de financiación adicional para atacar a otros).
Para conseguirlo, las organizaciones deben asegurarse de tomar las siguientes medidas:
1. Preparación: en esta fase se describen las distintas medidas que deben ponerse en
marcha antes de un incidente. Puede incluir la preparación técnica (como la
implementación de los controles de seguridad adecuados y otras tecnologías) y la
preparación no técnica (como la preparación de procesos y procedimientos).
2. Desencadenadores y detección: en esta fase se describe cómo se puede detectar
este tipo de incidente y qué desencadenadores pueden estar disponibles que se
deben usar para iniciar una investigación más exhaustiva o la declaración de un
incidente. Por lo general, se separan en desencadenadores de alta y baja confianza.
3. Investigación y análisis: en esta fase se describen las actividades que se deben
llevar a cabo para investigar y analizar los datos disponibles cuando no está claro
que se ha producido un incidente, con el objetivo de confirmar que se debe
declarar o concluir que no se ha producido un incidente.
4. Declaración de incidentes: en esta fase se tratan los pasos que deben realizarse
para declarar un incidente, normalmente con la presentación de un vale en el
sistema de administración de incidentes empresariales (control de vales) y la
dirección del vale al personal adecuado para su posterior evaluación y acción.
5. Contención y mitigación: en esta fase se tratan los pasos que puede realizar el
centro de operaciones de seguridad (SOC), u otros, para contener o mitigar
(impedir) que el incidente continúe o limitar el efecto del incidente mediante las
herramientas, las técnicas y los procedimientos disponibles.
6. Corrección y recuperación: en esta fase se tratan los pasos que se pueden realizar
para corregir o recuperarse de los daños causados por el incidente antes de su
contención y mitigación.
7. Actividad posterior al incidente: esta fase abarca las actividades que se deben
realizar una vez cerrado el incidente. Puede incluir la captura de la narrativa final
asociada al incidente, así como la identificación de las lecciones aprendidas.
Azure Files
Azure Blobs
Azure Disks
Los servicios de datos, como Azure Databases (SQL, MySQL, MariaDB, PostgreSQL),
Azure Cosmos DB y ANF ofrecen funcionalidades de copia de seguridad integradas
Pasos siguientes
Consulte las notas del producto: Defensas de Azure para los ataques de ransomware .
En general, estas infecciones son evidentes por el comportamiento básico del sistema, la
ausencia de archivos clave del sistema o de usuario y la demanda de rescate. En este
caso, el analista debe considerar si debe declarar y remitir inmediatamente el incidente,
incluida la toma de medidas automatizadas para mitigar el ataque.
Declaración de incidentes
Una vez confirmada una infección de ransomware, el analista debe comprobar que
representa un nuevo incidente o si puede estar relacionado con un incidente existente.
Busque vales abiertos actualmente que indiquen incidentes similares. Si es así, actualice
el vale de incidente actual con nueva información en el sistema de vales. Si se trata de
un incidente nuevo, se debe declarar un incidente en el sistema de vales pertinente y
remitirse a los equipos o proveedores adecuados para contener y mitigar el incidente.
Tenga en cuenta que la administración de incidentes de ransomware puede requerir
acciones realizadas por varios equipos de TI y de seguridad. Siempre que sea posible,
asegúrese de que el vale está identificado claramente como un incidente de
ransomware para guiar el flujo de trabajo.
Contención y mitigación
En general, se deben configurar varias soluciones antimalware de servidor o punto de
conexión, antimalware de correo electrónico y protección de red para que contengan y
mitiguen automáticamente el ransomware conocido. Sin embargo, puede haber casos
en los que la variante de ransomware específica haya podido omitir dichas protecciones
e infectar los sistemas de destino.
Camino a la recuperación
El Equipo de detección y respuesta de Microsoft le ayudará a protegerse frente a
ataques
Los clientes pueden interactuar con nuestros expertos en seguridad directamente desde
el portal de Microsoft 365 Defender para obtener una respuesta rápida y precisa. Los
expertos proporcionan la información necesaria para comprender mejor las amenazas
complejas que afectan a su organización, desde las consultas de alertas, los dispositivos
potencialmente en riesgo y la causa principal de una conexión de red sospechosa, hasta
la inteligencia adicional sobre amenazas relativa a las campañas en curso de amenazas
persistentes avanzadas.
Pasos siguientes
Consulte las notas del producto: Defensas de Azure para los ataques de ransomware .
Microsoft Defender for Cloud ofrece protección para todos los recursos directamente
dentro de la experiencia de Azure y amplía la protección a máquinas virtuales locales y
en varias nubes y bases de datos SQL mediante Azure Arc:
Microsoft Defender for Cloud proporciona las herramientas para detectar y bloquear
ransomware, malware avanzado y amenazas para los recursos.
La protección contra amenazas de Defender for Cloud permite detectar y prevenir las
amenazas en el nivel de Infraestructura como servicio (IaaS), los servidores que no son
de Azure y en las Plataformas como servicio (PaaS) de Azure.
Características principales:
Microsoft Sentinel
Microsoft Sentinel ayuda a crear una vista completa de una cadena de eliminación
Con Sentinel, puede conectarse a cualquiera de los orígenes de seguridad mediante
conectores integrados y estándares del sector y, a continuación, aprovechar la
inteligencia artificial para correlacionar varias señales de baja fidelidad que abarcan
varios orígenes para crear una vista completa de una cadena de eliminación de
ransomware y alertas prioritarias para que las instancias de Defender puedan acelerar su
tiempo para expulsar a los adversarios.
Microsoft Azure Sentinel permite obtener una vista general de toda la empresa, lo que
suaviza la tensión de ataques cada vez más sofisticados, volúmenes de alertas cada vez
mayores y plazos de resolución largos.
Detecte amenazas que antes no se detectaban y minimice los falsos positivos mediante
el análisis y la inteligencia sobre amenazas sin precedentes de Microsoft.
Características principales:
Azure incluye almacenamiento con redundancia local (LRS), donde los datos se
almacenan localmente, así como almacenamiento con redundancia geográfica
(GRS) en una segunda región.
Todos los datos almacenados en Azure están protegidos por un proceso de cifrado
avanzado y todos los centros de datos de Microsoft tienen autenticación de dos
niveles, lectores de acceso a tarjetas proxy y escáneres biométricos.
Azure tiene más certificaciones que cualquier otro proveedor de nube pública del
mercado, como ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 y muchas
especificaciones internacionales.
Recursos adicionales
Microsoft Cloud Adoption Framework para Azure
Creación de soluciones fantásticas con el marco de buena arquitectura de
Microsoft Azure
Principales procedimientos recomendados de seguridad de Azure
Bases de referencia de seguridad
Centro de recursos de Microsoft Azure
Guía de migración a Azure
Administración del cumplimiento de la seguridad
Control de seguridad de Azure: respuesta a incidentes
Centro de instrucciones de confianza cero
Firewall de aplicaciones web de Azure
Azure VPN Gateway
Autenticación multifactor (MFA) para Azure Active Directory
Azure AD Identity Protection
Acceso condicional de Azure AD
Documentación de Microsoft Defender for Cloud
Conclusión
Microsoft se centra en gran medida en la seguridad de nuestra nube y le proporciona
los controles de seguridad que necesita para proteger las cargas de trabajo en la nube.
Como líder en ciberseguridad, aceptamos nuestra responsabilidad de hacer del mundo
un lugar más seguro. Esto se refleja en nuestro enfoque completo de prevención y
detección de ransomware en nuestro marco de seguridad, diseños, productos, esfuerzos
legales, asociaciones del sector y servicios.
AskAzureSecurity@microsoft.com
www.microsoft.com/services
Para obtener información detallada sobre cómo Microsoft protege nuestra nube, visite
el portal de confianza de servicios .
Pasos siguientes
Consulte las notas del producto: Defensas de Azure para los ataques de ransomware .
Los ataques de ransomware cifran o borran deliberadamente los datos y los sistemas
para obligar a una organización a pagar dinero a los atacantes. Estos ataques tienen
como objetivo los datos, las copias de seguridad y también la documentación clave
necesaria para que pueda recuperarse sin pagar a los atacantes (como medio para
aumentar las posibilidades de que la organización pague).
En este artículo se aborda lo que debe hacer antes de un ataque de ransomware para
proteger los sistemas empresariales críticos, y durante un ataque para garantizar una
rápida recuperación de las operaciones empresariales.
7 Nota
¿Qué es el ransomware?
El ransomware es un tipo de malware que cifra archivos y carpetas, lo que impide el
acceso a archivos y sistemas importantes. Los atacantes usan el ransomware para
extorsionar a las victimas al exigirles dinero, normalmente en forma de criptomonedas, a
cambio de una clave de descifrado o a cambio de no publicar datos confidenciales en la
web oscura o en la red pública de Internet.
El ransomware puede actuar por fases para primero filtrar los datos, durante varias
semanas o meses, antes de que el ransomware se ejecute realmente en una fecha
específica.
El ransomware también puede cifrar lentamente los datos mientras mantiene la clave en
el sistema. Dado que la clave está disponible, los datos se pueden usar, y el ransomware
pasa desapercibido. Sin embargo, las copias de seguridad corresponden a los datos
cifrados. Una vez que todos los datos están cifrados y las copias de seguridad recientes
también incluyen los datos cifrados, la clave se quita para que ya no pueda leer los
datos.
El daño real se suele materializar cuando el ataque filtra archivos, a la vez que se dejan
puertas traseras en la red para futuras actividades malintencionadas, y estos riesgos
persisten independientemente de si se paga o no el rescate. Estos ataques pueden ser
catastróficos para las operaciones empresariales y son difíciles de limpiar, porque
requieren una expulsión completa del adversario para protegerse frente a ataques
futuros. A diferencia de las primeras formas de ransomware, que solo requerían corregir
el malware, el ransomware controlado por personas seguirá amenazando sus
operaciones empresariales después del ataque inicial.
El impacto de un ataque
El impacto de un ataque de ransomware en cualquier organización es difícil de
cuantificar con exactitud. En función del ámbito del ataque, el impacto podría incluir:
Debe suponer que, en algún momento, será víctima de un ataque de ransomware. Uno
de los pasos más importantes que puede dar para proteger los datos y evitar pagar un
rescate es tener un plan confiable de copia de seguridad y restauración para la
información crítica para la empresa. Dado que los atacantes de ransomware han
invertido mucho en la neutralización de las aplicaciones de copia de seguridad y las
características de los sistemas operativos, como la instantánea de volúmenes, es
fundamental tener copias de seguridad a las que un atacante malintencionado no
pueda acceder.
Azure Backup
Azure Backup ofrece seguridad al entorno de copia de seguridad, tanto si los datos
están en tránsito como en reposo. Con Azure Backup, puede hacer una copia de
seguridad de lo siguiente:
Se han agregado comprobaciones para asegurarse de que los usuarios válidos son los
únicos que pueden realizar varias operaciones. Entre estas se incluyen la adición de una
capa de autenticación adicional. Como parte de la adición de una capa extra de
autenticación para las operaciones críticas, se le pedirá que escriba un PIN de seguridad
antes de modificar las copias de seguridad en línea.
7 Nota
Según nuestra experiencia, las cinco aplicaciones más importantes para los clientes se
divide en las siguientes categorías, en este orden de prioridad:
Sistemas de identidad, necesarios para que los usuarios accedan a los sistemas
(incluidos todos los demás que se describen a continuación), como Active
Directory, Azure AD Connect, controladores de dominio de AD.
Vida humana, cualquier sistema que sustente la vida humana o pueda ponerla en
riesgo, como sistemas médicos o de soporte vital, sistemas de seguridad
(ambulancias, sistemas de envío, control de semáforos), maquinaria de gran
tamaño, sistemas químicos o biológicos, producción de alimentos o productos
personales, etc.
Sistemas financieros, sistemas que procesan transacciones monetarios y mantienen
la empresa en funcionamiento, como sistemas de pago y bases de datos
relacionadas, sistema financiero para informes trimestrales.
Habilitación de productos o servicios, los sistemas necesarios para brindar los
servicios empresariales, o producir o entregar productos físicos por los que los
clientes le pagan, sistemas de control de fábricas, sistemas de entrega o
distribución de productos, y similares.
Seguridad (mínimo), también debe priorizar los sistemas de seguridad necesarios
para supervisar los ataques y proporcionar servicios de seguridad mínimos. Debe
centrarse en garantizar que los ataques actuales (o los oportunistas) no puedan
obtener (o recuperar) acceso inmediato a los sistemas restaurados.
Tarea Detail
Migre la organización a la nube. Reduzca la exposición local mediante; para ello, mueva los
datos a servicios en la nube con copias de seguridad
Considere la posibilidad de automáticas y reversión de autoservicio. Microsoft Azure
comprar un plan de Soporte dispone de un sólido conjunto de herramientas que le
técnico unificado de Microsoft o ayudarán a hacer copias de seguridad de los sistemas críticos
consulte a un asociado de para la empresa y a restaurar las copias de seguridad con
Microsoft para que le ayude en mayor rapidez.
el pasaje a la nube.
El Soporte técnico unificado de Microsoft es un modelo de
soporte técnico de servicios en la nube que le ayudará
siempre que lo necesite. Soporte técnico unificado:
Mueva los datos de los usuarios Los datos de usuario en la nube de Microsoft se pueden
a soluciones en la nube, como proteger mediante características integradas de
OneDrive y SharePoint, para administración de datos y seguridad.
sacar partido de las
funcionalidades de papelera de Está bien enseñar a los usuarios a restaurar sus propios
reciclaje y control de versiones. archivos, pero debe tener cuidado de que los usuarios no
restauren el malware usado para llevar a cabo el ataque.
Instruya a los usuarios sobre Necesita:
cómo recuperar los archivos por
sí mismos para reducir los Asegurarse de que los usuarios no restauren sus archivos
retrasos y los costos de hasta que esté seguro de que el atacante ha sido expulsado.
recuperación. Por ejemplo, si los
archivos de OneDrive de un Poner en práctica un mecanismo de mitigación en caso de
usuario se han infectado por que un usuario restaure parte del malware.
malware, puede restaurar toda
la instancia de OneDrive a un Microsoft 365 Defender acciones automáticas con tecnología
momento anterior. de inteligencia artificial y cuadernos de estrategia para
corregir los recursos afectados de nuevo a un estado seguro.
Analice una estrategia de Microsoft 365 Defender aprovecha las funcionalidades de
defensa, como Microsoft 365 corrección automática de los productos del conjunto para
Defender, antes de permitir a los asegurarse de que todos los recursos afectados relacionados
usuarios restaurar sus propios con un incidente se corrijan automáticamente siempre que
archivos. sea posible.
Pruebe periódicamente el
escenario de "recuperación
desde cero" para asegurarse de
que su plan de continuidad del
negocio (BC) y recuperación de
desastres (DR) puede poner en
línea rápidamente las
operaciones empresariales
críticas desde la funcionalidad
nula (todos los sistemas están
fuera de servicio).
Considere la posibilidad de crear Un registro de riesgos puede ayudarle a priorizar los riesgos
un registro de riesgos para en función de la probabilidad de que se produzca ese riesgo,
detectar posibles riesgos y y de la gravedad para su empresa en caso de que se produzca
abordar cómo mediará a través ese riesgo.
de controles y acciones
preventivos. Agregue Haga un seguimiento del estado de mitigación a través del
ransomware al registro de ciclo de evaluación de administración de riesgos
riesgos como escenario de alta empresariales (ERM).
probabilidad y de alto impacto.
Haga una copia de seguridad Permite recuperar los datos hasta la última copia de
automática de todos los seguridad.
sistemas empresariales críticos
según una programación
periódica (incluida la copia de
seguridad de dependencias
críticas, como Active Directory).
Proteja (o imprima) los Los atacantes tendrán deliberadamente como objetivo estos
documentos y sistemas auxiliares recursos porque afectan a su capacidad de recuperación.
necesarios para la recuperación,
como documentos de
procedimientos de restauración,
CMDB y diagramas de red e
instancias de SolarWinds.
el soporte técnico de
proveedores de inteligencia
sobre amenazas, proveedores de
soluciones antimalware y del
proveedor de análisis de
malware. Proteja (o imprima)
estos procedimientos.
Asegúrese de que la estrategia Las copias de seguridad son fundamentales para lograr la
de copia de seguridad y resistencia después de que una organización haya sido
recuperación incluya: vulnerada. Aplique la regla 3-2-1 para obtener la máxima
protección y disponibilidad: 3 copias (original + 2 copias de
La capacidad de hacer una copia seguridad), 2 tipos de almacenamiento, y 1 copia fuera del
de seguridad de los datos en un sitio o inactiva.
momento dado específico.
Proteger las copias de seguridad Las copias de seguridad a las que pueden acceder los
contra el borrado y el cifrado atacantes pueden volverse inutilizables para la recuperación
deliberados: empresarial.
Designe carpetas protegidas. Dificulta que las aplicaciones no autorizadas modifiquen los
datos de estas carpetas.
Protección contra un intento de El método más común que usan los atacantes para infiltrarse
suplantación de identidad en una organización son los intentos de suplantación de
(phishing): identidad por correo electrónico. Exchange Online Protection
(EOP) es el servicio de filtrado basado en la nube, que protege
Realice periódicamente cursos su organización frente a correo no deseado, malware y otras
de reconocimiento de la amenazas de correo electrónico. EOP se incluye en todas las
seguridad para ayudar a los organizaciones de Microsoft 365 con buzones de Exchange
Tarea Detail
Tarea Detail
Al principio del ataque, comuníquese Estos contactos pueden ser útiles si la variante de
con soporte técnico de terceros, ransomware dada tiene un punto débil conocido o hay
especialmente soporte técnico de herramientas de descifrado disponibles.
proveedores de inteligencia sobre
amenazas, proveedores de soluciones El Equipo de detección y respuesta de Microsoft
antimalware y el proveedor de análisis (DART) puede ayudarle a protegerse frente a
de malware. ataques. DART se relaciona con clientes de todo el
mundo para ayudarles a protegerse y afirmarse contra
los ataques antes de que se produzcan, así como a
investigar y corregir cuando se un ataque ha tenido
Tarea Detail
lugar.
Tome medidas para quitar la carga de Puede usar Windows Defender o (para clientes
malware o ransomware del entorno y anteriores) Microsoft Security Essentials .
detener la propagación.
Una alternativa que también le ayudará a quitar
Ejecute un examen del software antivirus ransomware o malware es la Herramienta de
completo y actual en todos los equipos eliminación de software malintencionado (MSRT) .
y dispositivos sospechosos para detectar
y quitar la carga que está asociada al
ransomware.
Restaure primero los sistemas críticos En este momento, no es necesario restaurar todo.
para la empresa. Recuerde validar de Céntrate en los principales cinco sistemas críticos para
nuevo que la copia de seguridad esté la empresa de la lista de restauración.
bien antes de restaurar.
Si tiene copias de seguridad sin Para evitar ataques futuros, asegúrese de que no haya
conexión, probablemente pueda ransomware ni malware en la copia de seguridad sin
restaurar los datos cifrados después de conexión antes de restaurarla.
quitar la carga de ransomware (malware)
del entorno.
Busque una imagen de copia de Para evitar ataques futuros, busque ransomware o
seguridad segura que se sepa que no malware en la copia de seguridad antes de restaurarla.
esté infectada.
Una vez que los sistemas críticos para la Los datos de telemetría deberían ayudarle a identificar
empresa estén en funcionamiento, si todavía hay malware en los sistemas.
restaure otros sistemas.
1. Identifique las conclusiones que puede sacar de lo que no funcionó del proceso (y
de las oportunidades para simplificar, acelerar o mejorar el proceso).
2. Haga análisis de la causa principal sobre los mayores desafíos (con suficiente
detalle para garantizar que las soluciones aborden el problema correcto, teniendo
en cuenta las personas, el proceso y la tecnología).
3. Investigue y corrija la vulneración original (acuda al Equipo de detección y
respuesta de Microsoft (DART) para recibir ayudar).
4. Actualice la estrategia de copia de seguridad y restauración en función de las
conclusiones que sacó y de las oportunidades, y priorice los pasos de mayor
impacto y más rápida implementación.
Pasos siguientes
En este artículo, ha aprendido a mejorar el plan de copia de seguridad y restauración
para protegerse contra el ransomware. Para conocer los procedimientos recomendados
sobre la implementación de la protección contra el ransomware, consulte Protección
rápida frente al ransomware y la extorsión.
Microsoft Azure:
Ayuda para protegerse contra ransomware con Microsoft Azure Backup (vídeo
de 26 minutos)
Recuperación de un riesgo de identidad sistemático
Detección de un ataque avanzado de varias fases en Microsoft Sentinel
Microsoft 365:
En este artículo, obtendrá información sobre cómo puede ayudarle Azure Firewall
Premium a protegerse contra ransomware.
¿Qué es el ransomware?
El ransomware es un tipo de software malintencionado diseñado para bloquear el
acceso al sistema informático hasta que se paga una suma de dinero. Normalmente, el
atacante aprovecha una vulnerabilidad existente en el sistema para penetrar en la red y
ejecutar el software malintencionado en el host de destino.
Azure Firewall Premium proporciona IDPS basado en firma donde cada paquete se
inspecciona exhaustivamente, incluidos todos sus encabezados y la carga, para
identificar una actividad malintencionada y evitar que penetre en la red.
Las firmas IDPS son aplicables al tráfico de nivel de aplicación y de red (capas 4-7), son
totalmente administradas y contienen más de 65 000 firmas en más de 50 categorías
diferentes. Para mantenerlas actualizadas (¿las firmas IDPS?) con el panorama dinámico
de ataques en constante cambio:
Azure Firewall dispone de acceso anticipado a la información de vulnerabilidades
del Programa de protecciones activas de Microsoft (MAPP) y el Centro de
respuestas de seguridad de Microsoft (MSRC).
Azure Firewall publica de 30 a 50 nuevas firmas cada día.
IDPS de Azure Firewall Premium permite detectar ataques en todos los puertos y
protocolos para el tráfico no cifrado. Sin embargo, cuando hay que inspeccionar el
tráfico HTTPS, Azure Firewall puede usar su funcionalidad de inspección de TLS para
descifrar el tráfico y detectar con precisión las actividades malintencionadas.
Una vez instalado el ransomware en la máquina de destino, este puede intentar cifrar los
datos de la máquina. El ransomware requiere una clave de cifrado y puede usar el
comando y control (C&C) para obtener la clave de cifrado del servidor de C&C
hospedado por el atacante. CryptoLocker, WannaCry, TeslaCrypt, Cerber y Locky son
algunos de los ransomwares que usan C&C para recuperar las claves de cifrado
necesarias.
Azure Firewall Premium tiene cientos de firmas diseñadas para detectar la conectividad
de C&C y bloquearla para evitar que el atacante cifre los datos. En el diagrama
siguiente, se muestra la protección de Azure Firewall frente a un ataque de ransomware
mediante el canal de C&C.
Pasos siguientes
Consulte Protección contra ransomware en Azure para más información sobre las
defensas contra ataques de ransomware en Azure y para obtener instrucciones sobre
cómo proteger proactivamente los recursos.
Muchas organizaciones han pasado a un enfoque basado en la nube para gozar de una
mayor seguridad en la administración de identidades y acceso. Sin embargo, puede que
su organización tenga también sistemas locales activos y que use distintos métodos de
arquitectura híbrida. En este artículo se parte del hecho de que los ataques de identidad
sistémicos afectan a los sistemas híbridos, locales y en la nube, y se proporcionan
recomendaciones y referencias para todos estos entornos.
) Importante
Los atacantes pueden usar el certificado para falsificar los tokens SAML y
suplantar cualquiera de los usuarios y cuentas existentes de la organización sin
necesidad de acceder a las credenciales de la cuenta y sin dejar ninguna huella.
También se puede usar el acceso a cuentas con privilegios elevados para agregar
credenciales controladas por el atacante a las aplicaciones existentes, lo que
permite que los atacantes accedan mediante esos permisos al sistema sin ser
detectados, por ejemplo, para llamar a las API.
Respuesta al ataque
La respuesta a la vulnerabilidad sistémica de identidad comprometida debe incluir los
pasos que se muestran en la siguiente imagen y tabla:
ノ Expand table
Paso Descripción
Por ejemplo:
1. Para las comunicaciones individuales y de grupo iniciales, puede que desee usar
llamadas RTC, puentes de conferencia que no estén conectados a la infraestructura
corporativa y soluciones de mensajería cifrada de un extremo a otro.
) Importante
Asegúrese de que no intercambia comunicaciones sobre el nuevo inquilino en sus
cuentas de correo electrónico existentes, que pueden haberse visto
comprometidas.
Para más información, consulte Procedimientos recomendados para usar Microsoft 365
de forma segura .
Microsoft Sentinel
Soluciones y servicios de seguridad de Microsoft 365
Seguridad de Windows 10 Enterprise
Microsoft Defender for Cloud Apps
Microsoft Defender para IoT
Por lo tanto, también le recomendamos que lleve a cabo las siguientes acciones:
En este punto, puede que desee realizar un análisis de riesgos para establecer la
prioridad de sus acciones. Para más información, consulte:
7 Nota
ノ Expand table
Entorno Descripción
Todos los entornos de - Revise los derechos de acceso con privilegios en la nube y quite los
nube permisos innecesarios.
- Implemente Privileged Identity Management (PIM).
- Configure directivas de acceso condicional para limitar el acceso
administrativo durante la protección.
Entorno Descripción
Todos los entornos - Revise el acceso con privilegios en el entorno local y quite los
locales permisos innecesarios.
- Reduzca la pertenencia a grupos integrados.
- Compruebe las delegaciones de Active Directory.
- Proteja el entorno de nivel 0 y limite quién tiene acceso a los recursos
de este nivel.
Todas las aplicaciones Revise los permisos delegados y las concesiones de consentimiento que
empresariales permitan cualquiera de las siguientes acciones:
Revisión de las - Revise y quite las cuentas de usuario invitado que ya no son
cuentas de usuario en necesarias.
los entornos - Revise las configuraciones de correo electrónico para delegados,
permisos de carpeta de buzones, registros de dispositivos móviles de
ActiveSync, reglas de bandeja de entrada y las opciones de Outlook en
la web.
- Revise los derechos de ApplicationImpersonation y reduzca cualquier
uso de la autenticación heredada tanto como sea posible.
- Compruebe que se aplica MFA y que la información de contacto de
MFA y del autoservicio de restablecimiento de contraseña (SSPR) de
todos los usuarios es correcta.
Implemente Microsoft Defender para IoT para supervisar y proteger esos dispositivos,
especialmente aquellos que no cuenten con la protección de los sistemas de supervisión
de la seguridad tradicionales. Instale sensores de red de Defender para IoT en puntos de
interés específicos de su entorno para detectar amenazas en la actividad de red en curso
mediante la supervisión sin agente y la inteligencia sobre amenazas dinámica.
Por ejemplo, busque o filtre los resultados que aparecen cuando el campo MFA results
(Resultados de MFA) tiene el valor MFA requirement satisfied by claim in the token
(Requisito de MFA satisfecho por notificación en el token). Si su organización usa ADFS y
las notificaciones registradas no están incluidas en la configuración de este sistema,
pueden ser un indicio de actividad por parte del atacante.
Busque o filtre aún más los resultados para excluir ruido adicional. Por ejemplo, es
posible que quiera incluir solo los resultados de dominios federados. Si encuentra
inicios de sesión sospechosos, explore aún más en función de las direcciones IP, las
cuentas de usuario, etc.
En la tabla siguiente se describen más métodos para usar los registros de Microsoft
Entra en la investigación:
ノ Expand table
Método Descripción
Asegúrese de usar ADFS Connect Health para que todos los eventos de
autenticación sean visibles en Microsoft Entra ID.
Detección de Cualquier intento por parte del atacante de manipular las directivas de
propiedades de autenticación de dominio aparecerá en los registros de auditoría de
autenticación de Microsoft Entra y se reflejará en el registro de auditoría unificado.
dominio
Por ejemplo, revise los eventos asociados a Se ha establecido una
autenticación de dominio en el registro de auditoría unificado, los
registros de auditoría de Microsoft Entra o el entorno de SIEM para
comprobar que todas las actividades incluidas se esperaban y se habían
planeado.
Detección de Los atacantes que han adquirido el control de una cuenta con privilegios
credenciales para pueden buscar una aplicación con la capacidad de acceder al correo
aplicaciones de electrónico de cualquier usuario de la organización y, a continuación,
OAuth agregar credenciales controladas por ellos a esa aplicación.
Detección del acceso Busque acceso al correo electrónico por parte de las aplicaciones de su
al correo electrónico entorno. Por ejemplo, use las características de Microsoft Purview Audit
por parte de las (Premium) para investigar las cuentas comprometidas.
aplicaciones
Bloquee todo el acceso SMB de entrada a los sistemas desde cualquier lugar del
entorno. Para obtener más información, consulte el artículo sobre cómo proteger
el tráfico SMB en Windows . También se recomienda transmitir los registros de
Windows Firewall a una solución de SIEM para una supervisión proactiva y
histórica.
) Importante
La rotación del certificado de firma de tokens una sola vez sigue permitiendo que
funcione el certificado de firma de tokens anterior. Este comportamiento es una
funcionalidad integrada para las rotaciones de certificados normales que permite un
período de gracia para que las organizaciones actualicen las confianzas de usuario
autenticado antes de que expire el certificado.
ノ Expand table
Actividad Descripción
Restringir las cuentas de acceso Asegúrese de que las cuentas de servicio y de usuario con
con privilegios acceso con privilegios son cuentas solo en la nube y que no
usan cuentas locales sincronizadas o federadas con Microsoft
Entra ID.
Revisar o reducir los permisos Revise y reduzca los permisos delegados u otorgaciones de
delegados y la otorgación de consentimiento de las aplicaciones empresariales que
consentimientos permitan cualquiera de las siguientes funcionalidades:
ノ Expand table
Actividad Descripción
Recompilar los sistemas Recompile los sistemas identificados como comprometidos por el
afectados atacante durante la investigación.
Restablecer contraseñas Restablezca las contraseñas de todas las cuentas con privilegios del
de las cuentas con entorno.
privilegios
Nota: Las cuentas con privilegios no se limitan a los grupos
integrados, sino que también pueden ser grupos que tienen acceso
delegado a la administración de servidores, la administración de
estaciones de trabajo u otras áreas del entorno.
Restablecer la cuenta Restablezca la cuenta krbtgt dos veces con el script New-
krbtgt KrbtgtKeys .
Por ejemplo, un atacante que sea consciente de la detección podría cambiar las técnicas
o crear más persistencia.
Asegúrese de corregir las técnicas de persistencia que haya identificado en las fases
anteriores de la investigación.
) Importante
Ejemplos de algunas de las maneras en que Azure Identity Protection puede ayudar a
proteger las cuentas e identidades:
PIM ayuda a:
Insight y Analytics
En el centro de los registros de Azure Monitor se encuentra el repositorio de OMS, que
está hospedado en Azure.
Cada uno de los orígenes de datos y soluciones crea tipos de registros distintos con su
propio conjunto de propiedades, pero se pueden seguir analizando de forma conjunta
en consultas al repositorio. Se pueden usar las mismas herramientas y métodos para
trabajar con una variedad de datos que se recopilan mediante diversos orígenes.
La mayor parte de la interacción con los registros de Azure Monitor se realiza mediante
Azure Portal, que se ejecuta en cualquier explorador y proporciona acceso a opciones
de configuración y a herramientas para analizar los datos recopilados y realizar acciones
en estos. Desde el portal, puede usar:
Sugerencia
En Defender para la nube, las alertas de seguridad están clasificadas por prioridad y se
incluyen recomendaciones para solucionar la amenaza.
Defender for Cloud utiliza análisis avanzados que superan con creces los enfoques
basados en firmas. Se usan innovaciones en tecnologías de macrodatos y aprendizaje
automático para evaluar eventos en toda la nube. El análisis avanzado puede detectar
amenazas que sería imposible identificar mediante enfoques manuales y predice la
evolución de los ataques. Estos tipos de análisis de seguridad se tratan en las secciones
siguientes.
Los recursos telemétricos proceden de diferentes fuentes, como Azure, Microsoft 365,
Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de
crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC).
Los investigadores también cuentan con la información de inteligencia sobre amenazas
que comparten los principales proveedores de servicios en la nube y que procede de
fuentes de terceros. Microsoft Defender for Cloud puede usar todos estos datos para
avisarle de las amenazas procedentes de actores malintencionados conocidos. Estos son
algunos ejemplos:
Los patrones también se determinan por medio de un análisis cuidadoso, llevado a cabo
por analistas expertos, de los comportamientos malintencionados. Microsoft Defender
para la nube puede utilizar el análisis del comportamiento para identificar recursos en
peligro a partir del análisis de registros de las máquinas virtuales, registros de los
dispositivos de redes virtuales, registros de los tejidos, volcados de memoria y otros
orígenes.
Además, los patrones se ponen en correlación con otras señales que se comprueban
para fundamentar las pruebas de que se trata una campaña de gran difusión. Dicha
correlación permite identificar eventos que se ajustan a unos indicadores de peligro
establecidos.
Detección de anomalías
Microsoft Defender para la nube también usa la detección de anomalías para identificar
amenazas. A diferencia del análisis del comportamiento, que depende de patrones
conocidos obtenidos a partir de grandes conjuntos de datos, la detección de anomalías
es una técnica más “personalizada” y se basa en referencias que son específicas de las
implementaciones. El aprendizaje automático se aplica para determinar la actividad
normal de las implementaciones y, después, se generan reglas para definir condiciones
de valores atípicos que podrían constituir un evento de seguridad. Veamos un ejemplo:
Ataques ataque por fuerza bruta de RDP/SSH de entrada: es posible que las
implementaciones integren máquinas virtuales con mucha actividad que tengan
multitud de inicios de sesión al día y otras máquinas virtuales que tengan pocos
inicios de sesión o ninguno. Microsoft Defender para la nube puede determinar la
actividad de referencia de los inicios de sesión de estas máquinas virtuales y
utilizar el aprendizaje automático para definir las actividades relacionadas con el
inicio de sesión normal. Si hay alguna discrepancia con la línea de base definida
para las características relacionadas con el inicio de sesión, es posible que se
genere una alerta. Una vez más, es el aprendizaje automático el que se encarga de
determinar qué es significativo.
Al recibir una notificación por correo electrónico de detección de amenazas, los usuarios
pueden navegar y ver los registros de auditoría pertinentes a través de un vínculo
profundo en el correo electrónico. El vínculo abre un visor de auditoría o una plantilla de
Excel de auditoría preconfigurada en la que se muestran los registros de auditoría
pertinentes en torno a la hora del evento sospechoso, según lo siguiente:
Protección de la aplicación web contra las vulnerabilidades y los ataques web sin
modificación del código de back-end.
Con las herramientas que ayudan a descubrir zonas oscuras de TI, evaluar los riesgos,
aplicar directivas, investigar actividades y detener amenazas, la organización puede
mover datos a la nube con mayor seguridad y sin perder el control sobre los datos
críticos.
Category Descripción
Category Descripción
Descubra Descubra shadow IT con Defender para aplicaciones en la nube. Gane visibilidad
al descubrir aplicaciones, actividades, usuarios, datos y archivos del entorno de la
nube. Descubra las aplicaciones de terceros conectadas a su nube.
Control Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control
sobre el tráfico de red en la nube. Use Defender para aplicaciones en la nube para
migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.
Protección Use Defender para aplicaciones en la nube para autorizar o prohibir aplicaciones,
prevenir la pérdida de datos, otorgar permisos de control, compartir y generar
alertas e informes personalizados.
Control Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control
sobre el tráfico de red en la nube. Use Defender para aplicaciones en la nube para
migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.
Defender para aplicaciones en la nube integra la visibilidad con la nube mediante:
Detecta y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de
malware, el DDoS de aplicación y cualquier otro ataque contra la aplicación.
Analiza el tráfico saliente para detectar los datos confidenciales y oculta o bloquea
la información para que no se filtre.
Para obtener ejemplos de los firewalls de aplicaciones web que están disponibles en
Azure Marketplace, vea Barracuda WAF, firewall de aplicaciones web virtual Brocade
(vWAF), Imperva SecureSphere y el firewall ThreatSTOP IP .
Paso siguiente
Respuesta a las amenazas actuales: ayuda a identificar las amenazas activas cuyo
objetivo son sus recursos de Azure y proporciona la información necesaria para
responder a ellas con rapidez.
Funcionalidades técnicas de seguridad
de Azure
Artículo • 01/06/2023
Este artículo sirve de introducción a los servicios de seguridad de Azure que ayudan a
proteger los datos, recursos y aplicaciones en la nube, así como a satisfacer las
necesidades de seguridad de su negocio.
Plataforma Azure
Microsoft Azure es una plataforma en la nube compuesta de servicios de
infraestructura y aplicaciones, con servicios de datos y análisis avanzado integrados, y
herramientas y servicios para desarrolladores, que se hospeda dentro de los centros de
datos de la nube pública de Microsoft. Los clientes pueden usar Azure para muchos
tipos de capacidades y escenarios, que van desde procesos, redes y almacenamiento
básicos a servicios móviles y de aplicaciones web, o a escenarios completamente en la
nube, como Internet de las cosas, que se pueden usar con tecnologías de código abierto
e implementarse como nubes híbridas u hospedarse en el centro de datos de un cliente.
Azure proporciona tecnología de nube como bloques de creación para ayudar a las
empresas a ahorrar costos, innovar con rapidez y a administrar los sistemas de forma
proactiva. Al crear o migrar recursos de TI a un proveedor de nube, confía en las
capacidades de la organización para proteger las aplicaciones y los datos con los
servicios y los controles que facilitan para administrar la seguridad de sus recursos en la
nube.
Proteger su negocio
Entre las ventajas en materia de seguridad de Azure Active Directory (Azure AD) se
incluye la capacidad de:
Crear y administrar una identidad única para cada usuario en toda la empresa
híbrida, lo que mantiene los usuarios, grupos y dispositivos sincronizados.
Proporcionar un acceso remoto seguro a las aplicaciones web locales a través del
proxy de la aplicación de Azure AD.
El portal de Azure Active Directory está disponible como parte de Azure Portal. En
este panel, puede obtener una visión general del estado de su organización y
administrar fácilmente el directorio, los usuarios o el acceso a las aplicaciones.
Las siguientes son las principales funcionalidades de administración de identidades de
Azure:
Multi-Factor Authentication
Registro de dispositivos
Protección de identidad
Azure AD extiende Active Directory local a la nube, permitiendo a los usuarios usar su
cuenta profesional principal no solo para iniciar sesión en sus dispositivos unidos a
dominios y recursos de la empresa, sino también en todas las aplicaciones web y SaaS
necesarias para su trabajo.
Los usuarios no solo no tienen que administrar varios conjuntos de nombres de usuario
y contraseñas, sino que es posible aprovisionar o cancelar el aprovisionamiento del
acceso a las aplicaciones automáticamente en función de los grupos de la organización
y de su estado de empleado. Azure AD introduce controles de seguridad y de
gobernanza del acceso que permiten administrar de forma centralizada el acceso de los
usuarios a través de aplicaciones SaaS.
Multi-Factor Authentication
En Azure Portal o a través del portal de Azure Active Directory , los informes se
clasifican de la manera siguiente:
Registro de dispositivos
A veces, los usuarios necesitan llevar a cabo operaciones con privilegios en recursos de
Azure u Microsoft 365 o en otras aplicaciones SaaS. Esto significa a menudo que las
organizaciones tienen que concederles acceso con privilegios permanentes en Azure
AD. Esto representa un riesgo de seguridad creciente para los recursos hospedados en
la nube porque las organizaciones no pueden supervisar suficientemente qué hacen
esos usuarios con sus privilegios administrativos. Además, si se pone en peligro una
cuenta de usuario que tiene acceso con privilegios, esta situación podría afectar a su
seguridad en la nube global. Administración de identidades con privilegios de Azure AD
le ayuda a resolver este riesgo.
Protección de identidad
Azure AD Identity Protection es un servicio de seguridad que proporciona una vista
consolidada de detecciones de riesgo y posibles vulnerabilidades que afectan a las
identidades de su organización. Identity Protection usa las funcionalidades de detección
de anomalías existentes de Azure Active Directory (disponibles mediante informes de
actividad anómala de Azure AD) e introduce nuevos tipos de detección de riesgo que
pueden detectar anomalías en tiempo real.
Las empresas de seguridad deben centrarse en conceder a los empleados los permisos
exactos que necesiten. Un número elevado de permisos puede provocar que la cuenta
esté expuesta a los atacantes. Si se conceden muy pocos, los empleados no podrán
realizar su trabajo de manera eficaz. El control de acceso basado en rol (RBAC) de Azure
ayuda a abordar este problema al ofrecer administración avanzada del acceso para
Azure.
Con Azure RBAC, puede repartir las tareas entre el equipo y conceder a los usuarios
únicamente el nivel de acceso que necesitan para realizar su trabajo. En lugar de
proporcionar a todos los empleados permisos no restringidos en los recursos o la
suscripción de Azure, puede permitir solo determinadas acciones. Por ejemplo, use
RBAC de Azure para permitir que un empleado administre las máquinas virtuales de una
suscripción mientras otro administra las bases de datos SQL de la misma suscripción.
Cifrado en reposo
El cifrado en reposo se describe con más detalle en Cifrado en reposo de datos de
Azure.
Cifrado en tránsito
Proteger los datos en tránsito debe ser una parte esencial de su estrategia de
protección de datos. Puesto que los datos se desplazan entre muchas ubicaciones, la
recomendación general es utilizar siempre los protocolos SSL/TLS para intercambiar
datos entre diferentes ubicaciones. En algunas circunstancias, podría aislar todo el canal
de comunicación entre su infraestructura local y la nube mediante una red privada
virtual (VPN).
Para los datos que se desplazan entre la infraestructura local y Azure, debe plantearse
usar medidas de seguridad apropiadas, como HTTPS o VPN.
Para las organizaciones que necesitan proteger el acceso a Azure desde varias
estaciones de trabajo locales, use una VPN de sitio a sitio de Azure.
Los conjuntos de datos más grandes se pueden mover por medio de un vínculo WAN
dedicado de alta velocidad como ExpressRoute. Si decide usar ExpressRoute, también
puede cifrar los datos en el nivel de aplicación mediante SSL/TLS u otros protocolos
para una mayor protección.
Si interactúa con Azure Storage mediante Azure Portal, todas las transacciones se
realizan a través de HTTPS. También se puede usar la API REST de almacenamiento a
través de HTTPS para interactuar con Azure Storage y Azure SQL Database.
Para más información sobre la opción de VPN de Azure, lea el artículo Planeamiento y
diseño de VPN Gateway.
Protección de la aplicación
Aunque Azure se encarga de proteger la infraestructura y la plataforma en las que se
ejecuta su aplicación, es responsabilidad suya proteger su propia aplicación. Es decir,
debe desarrollar, implementar y administrar el código y el contenido de la aplicación de
forma segura. De lo contrario, el código o el contenido de la aplicación pueden seguir
siendo vulnerables frente a amenazas.
Firewall de aplicaciones web se basa en las reglas contenidas en los conjuntos de reglas
básicas de OWASP . Las aplicaciones web son cada vez más los objetivos de ataques
malintencionados que aprovechan vulnerabilidades comunes conocidas, como ataques
por inyección de código SQL o ataques de scripts de sitios, por nombrar unos pocos.
Impedir tales ataques en el código de aplicación puede ser un verdadero desafío y
requerir tareas rigurosas de mantenimiento, aplicación de revisiones y supervisión en
varias capas de la topología de aplicación. Un firewall de aplicaciones web centralizado
facilita enormemente la administración de la seguridad y proporciona mayor protección
a los administradores de la aplicación frente a amenazas o intrusiones. Las soluciones de
WAF también pueden reaccionar más rápido ante una amenaza de la seguridad
aplicando revisiones que aborden una vulnerabilidad conocida en una ubicación central
en lugar de proteger cada una de las aplicaciones web por separado. Las puertas de
enlace de aplicaciones existentes pueden transformarse rápidamente en puertas de
enlace con un firewall de aplicaciones web habilitado.
Entre las vulnerabilidades web más habituales frente a las que protege el firewall de
aplicaciones web se incluyen:
7 Nota
Para una lista más detallada de las reglas y los mecanismos de protección, consulte
el siguiente apartado sobre conjuntos de reglas principales.
Azure ofrece varias características fáciles de usar que facilitan la protección del tráfico
entrante y saliente de la aplicación. Azure ayuda a los clientes a proteger el código de su
aplicación con funcionalidad externa para detectar vulnerabilidades en la aplicación
web. Para más información, consulte Azure App Services.
Azure App Service usa la misma solución antimalware que usan Azure Cloud Services y
Virtual Machines. Para obtener más información al respecto, consulte nuestra
documentación sobre antimalware
Protección de la red
Microsoft Azure incluye una sólida infraestructura de red que respalda sus requisitos de
conectividad de aplicaciones y servicios. Es posible la conectividad de red entre recursos
ubicados en Azure, entre recursos locales y hospedados en Azure y entre Internet y
Azure.
La infraestructura de red de Azure le permite conectar de forma segura los recursos de
Azure entre sí por medio de redes virtuales. Una red virtual es una representación de su
propia red en la nube. Una red virtual es un aislamiento lógico de la red de nube de
Azure dedicada a su suscripción. Puede conectar redes virtuales a las redes locales.
Azure Firewall se ofrece en dos SKU: Estándar y Premium. Azure Firewall Estándar
proporciona fuentes de inteligencia sobre amenazas y filtrado L3-L7 directamente desde
Microsoft Cyber Security. Azure Firewall Premium proporciona funcionalidades
avanzadas que incluyen IDPS basados en firmas para permitir la detección rápida de
ataques mediante la búsqueda de patrones específicos.
tunelización forzada es un mecanismo que puede usar para tener la seguridad de que
no se permite que sus servicios inicien una conexión con dispositivos en Internet.
Azure es compatible con la conectividad de vínculo WAN dedicado a su red local y a
una instancia de Azure Virtual Network con ExpressRoute. El vínculo entre Azure y su
sitio utiliza una conexión dedicada que no va por la red pública de Internet. Si su
aplicación de Azure se va a ejecutar en varios centros de datos, puede utilizar Azure
Traffic Manager para enrutar las solicitudes de los usuarios de forma inteligente entre
instancias de la aplicación. También puede enrutar tráfico a servicios que no se ejecuten
en Azure si se puede obtener acceso a ellos desde Internet.
Azure también admite la conectividad privada y segura con los recursos de PaaS (por
ejemplo, Azure Storage y SQL Database) desde Azure Virtual Network con Azure Private
Link. El recurso de PaaS se asigna a un punto de conexión privado en la red virtual. El
vínculo entre el punto de conexión privado de la red virtual y el recurso de PaaS usa la
red troncal de Microsoft y no pasa por la red pública de Internet. Ya no es necesario
exponer el servicio a la red pública de Internet. También puede usar Azure Private Link
para acceder a servicios de partner y propiedad del cliente hospedados de Azure en la
red virtual. Además, Azure Private Link le permite crear su propio servicio de vínculo
privado en la red virtual y entregarlo a los clientes de forma privada en sus redes
virtuales. La configuración y el consumo mediante Azure Private Link es coherente entre
los servicios de asociados compartidos y propiedad del cliente de PaaS de Azure.
Azure Backup es una solución escalable que protege los datos de su aplicación sin
necesidad de realizar ninguna inversión y afrontando unos costos operativos mínimos.
Los errores de una aplicación pueden dañar los datos, y los errores humanos pueden
crear errores en las aplicaciones. Con Azure Backup, las máquinas virtuales que ejecutan
Windows y Linux están protegidas.
Azure Site Recovery ayuda a coordinar la replicación, la conmutación por error y la
recuperación de aplicaciones y cargas de trabajo para que estén disponibles desde una
ubicación secundaria si la ubicación principal deja de funcionar.
Esta lista de comprobación proporciona un marco que se adecua cláusula por clausula a
un nuevo estándar internacional de contratos de servicios en la nube, la norma ISO/IEC
19086. Esta norma ofrece un conjunto unificado de consideraciones que ayuda a las
organizaciones a la hora de tomar decisiones acerca de la adopción de la nube y
permiten crear una base para la comparación entre las ofertas de servicios en la nube.
La adopción de la nube ya no es solo una decisión tecnológica. Dado que los requisitos
de la lista de comprobación abarcan todos los aspectos de una organización, sirven para
reunir a todos los encargados de la toma de decisiones: desde el CIO y el CISO a los
profesionales de los departamentos legales, de administración de riesgos y de
cumplimiento normativo. Esto aumenta la eficacia del proceso de toma de decisiones y
la toma de decisiones fundamentadas en sólidos razonamientos, lo que reduce la
probabilidad de obstáculos imprevistos en el proceso de adopción.
Con Azure Monitor, puede administrar cualquier instancia en cualquier nube, incluidas
instancias en entornos locales, Azure, AWS, Windows Server, Linux, VMware y
OpenStack, a un costo menor que el de las soluciones de la competencia. Diseñado para
el mundo que da prioridad a la nube, Azure Monitor ofrece un nuevo método de
administración empresarial que es la forma más rápida y rentable de enfrentarse a los
nuevos retos empresariales y adaptarse a nuevas cargas de trabajo, aplicaciones y
entornos de nube.
Microsoft Sentinel
Microsoft Sentinel es una solución de administración de eventos e información de
seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR)
escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad inteligente
e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una
única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda
proactiva y la respuesta a amenazas.
Azure Monitor
Azure Monitor proporciona punteros a la información sobre determinados tipos de
recursos. Ofrece funciones de visualización, consulta, enrutamiento, alertas, escalado
automático y automatización de los datos tanto de la infraestructura de Azure (registro
de actividad) como de cada recurso individual de Azure (registros de diagnóstico).
Las aplicaciones de nube son complejas y tienen muchas partes móviles. La supervisión
proporciona datos para garantizar que la aplicación permanece en funcionamiento en
un estado correcto. También ayuda a evitar posibles problemas o a solucionar los
existentes.
Además, puede usar la supervisión de datos para obtener información más detallada
sobre su aplicación. Este conocimiento puede ayudarle a mejorar el rendimiento o
mantenimiento de la aplicación, o a automatizar acciones que de lo contrario
requerirían intervención manual.
Network Watcher
Network Watcher es un servicio regional que permite supervisar y diagnosticar
problemas en un nivel de red en Azure. Las herramientas de visualización y diagnóstico
de red que incluye Network Watcher le ayudan a conocer, diagnosticar y obtener
información acerca de cualquier red de Azure. Este servicio incluye captura de paquetes,
próximo salto, comprobación de flujo de IP, vista de grupos de seguridad y registros de
flujo de NSG. La supervisión en el nivel de escenario, ofrece una visión global de los
recursos de la red que contrasta con la supervisión de recursos de red individuales.
Storage Analytics
Storage Analytics puede almacenar métricas que incluyen estadísticas de las
transacciones y datos de capacidad agregados sobre las solicitudes realizadas a un
servicio de almacenamiento. Las transacciones se notifican tanto en el nivel de
operación de API como en el nivel de servicio de almacenamiento, y la capacidad se
notifica en el nivel de servicio de almacenamiento. Los datos de las métricas se pueden
utilizar para analizar el uso del servicio de almacenamiento, diagnosticar problemas con
las solicitudes realizadas en el mismo y mejorar el rendimiento de las aplicaciones que
utilizan un servicio.
Application Insights
Application Insights es un servicio de Application Performance Management (APM)
extensible para desarrolladores web en varias plataformas. Úselo para supervisar la
aplicación web en directo. Se detectarán automáticamente las anomalías de
rendimiento. Incluye herramientas de análisis eficaces que le ayudan a diagnosticar
problemas y comprender lo que hacen realmente los usuarios con la aplicación. Está
diseñado para ayudarle a mejorar continuamente el rendimiento y la facilidad de uso.
Funciona con diversas aplicaciones y en una amplia variedad de plataformas, como .NET,
Node.js o Java EE, tanto hospedadas localmente como en la nube. Se integra con el
proceso de DevOps y tiene puntos de conexión para diversas herramientas de
desarrollo.
Supervisa:
Llamadas AJAX desde páginas web: Tasas, tiempos de respuesta y tasas de error.
Puede aplicar control de acceso a todos los servicios del grupo de recursos porque
el control de acceso basado en rol de Azure (RBAC de Azure) está integrado de
forma nativa en la plataforma de administración.
Puede aplicar etiquetas a los recursos para organizar de manera lógica todos los
recursos de la suscripción.
7 Nota
Paso siguiente
El punto de referencia de seguridad en la nube de Microsoft incluye una recopilación de
recomendaciones de seguridad que se puede usar para ayudar a proteger los servicios
que se usan en Azure.
Seguridad de la infraestructura de Azure
Artículo • 01/06/2023
Seguridad física
Disponibilidad
Componentes y límites
Arquitectura de red
Red de producción
SQL Database
Operaciones
Supervisión
Integridad
Protección de datos
Pasos siguientes
Comprenda la responsabilidad compartida en la nube.
Obtenga información sobre cómo Microsoft Defender for Cloud puede ayudarle a
evitar amenazas y a detectarlas y responder a ellas con más visibilidad y control
sobre la seguridad de sus recursos de Azure.
Instalaciones de Azure, entornos locales
y seguridad física
Artículo • 25/03/2023
Una región es un conjunto de centros de datos que están conectados entre sí mediante
una red masiva y resiliente. La red incluye distribución de contenido, equilibrio de carga,
redundancia y cifrado de capa de vínculo de datos de forma predeterminada para todo
el tráfico de Azure dentro de una región o que viaje de una región a otra. Con más
regiones globales que ningún otro proveedor de servicios en la nube, Azure la
flexibilidad de implementar aplicaciones donde sea necesario.
Las regiones de Azure se organizan por zonas geográficas. Una zona geográfica de
Azure garantiza que se cumplan los requisitos de residencia, soberanía, cumplimiento
normativo y resistencia de los datos dentro de las fronteras geográficas.
Las zonas geográficas permiten a los clientes con necesidades específicas de residencia
de datos y cumplimiento normativo mantener sus datos y aplicaciones cerca. Las zonas
geográficas son tolerantes a errores hasta el punto de resistir una interrupción total del
funcionamiento de una región gracias a su conexión con nuestra infraestructura de red
dedicada de alta capacidad.
Los centros de datos distribuidos geográficamente permiten a Microsoft estar más cerca
de los clientes, para reducir la latencia de red y permitir conmutación por error y copia
de seguridad con redundancia geográfica.
Seguridad física
Microsoft diseña, crea y opera los centros de datos de forma que se controla
estrictamente el acceso físico a las áreas donde se almacenan los datos. Microsoft
reconoce la importancia de proteger los datos y se compromete a ayudar a proteger los
centros de datos que contienen sus datos. Contamos con toda una división en Microsoft
dedicada al diseño, creación y operación de las instalaciones físicas que dan soporte a
Azure. Este equipo se dedica a mantener una seguridad física de última generación.
Microsoft adopta un enfoque por capas para la seguridad física con el fin de reducir el
riesgo de que los usuarios no autorizados obtengan acceso físico a los datos y los
recursos del centro de datos. Los centros de datos administrados por Microsoft tienen
numerosas capas de protección: autorización del acceso en el perímetro de la
instalación, en el perímetro del edificio, dentro del edificio y en la planta del centro de
datos. Las capas de seguridad física son:
Planta del centro de datos. Solo se le permite entrar en la planta para la que se le
haya autorizado. Deberá pasar por un detector de metales de cuerpo completo.
Para reducir el riesgo de que datos no autorizados entren o salgan del centro de
datos sin nuestro conocimiento, solo podrán entrar en el centro de datos los
dispositivos aprobados. Además, hay cámaras de vídeo que supervisan la parte
frontal y posterior de cada bastidor de servidores. Al salir de la planta del centro
de datos, debe pasar de nuevo por el arco de detección de metales para todo el
cuerpo. Para salir del centro de datos, deberá pasar por un examen de seguridad
adicional.
Eliminación de equipos
Al final del ciclo de vida de un sistema, el personal operativo de Microsoft sigue unos
rigurosos procedimientos de control de los datos y de eliminación del hardware que
garantizan que ningún elemento del hardware que contenga sus datos estará disponible
para terceros que no son de confianza. Se usa un enfoque de borrado seguro con las
unidades de disco duro que lo admitan. En el caso de unidades de disco duro que no se
pueden borrar, se usa un proceso de destrucción que las destruye y hace que sea
imposible recuperar la información. Este proceso de destrucción puede ser
desintegración, triturado, pulverización o incineración. Los métodos de eliminación se
determinan en función del tipo de recurso. Se conservan registros de la destrucción.
Todos los servicios de Azure usan servicios aprobados de almacenamiento de elementos
multimedia y administración de desechos.
Cumplimiento normativo
La infraestructura de Azure está diseñada y se administra para satisfacer un amplio
conjunto de normas internacionales y específicas del sector, tales como ISO 27001,
HIPAA, FedRAMP, SOC 1 y SOC 2. También se cumplen los estándares específicos del
país o la región, incluidos IRAP en Australia, G-Cloud en Reino Unido y MTCS en
Singapur. Auditorías de terceros rigurosas, como las del Instituto Británico de
Normalización, confirman la observancia de los estrictos controles de seguridad que
estos estándares exigen.
Para ver una lista completa de normas de cumplimiento que observa Azure, consulte las
ofertas de cumplimiento.
Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:
Las redes de fibra óptica sólidas y de alta velocidad conectan los centros de datos con
otros centros importantes y usuarios de Internet. Calcule las cargas de trabajo de host
de los nodos más cerca de los usuarios para reducir la latencia, proporcionar
redundancia geográfica y aumentar la resistencia general del servicio. Un equipo de
ingenieros trabaja las 24 horas del día para garantizar que los servicios estén siempre
disponibles.
Disponibilidad de almacenamiento
Azure ofrece almacenamiento mediante un servicio de almacenamiento muy durable y
escalable que proporciona puntos de conexión de conectividad. Esto significa que una
aplicación puede acceder directamente al servicio de almacenamiento. El servicio de
almacenamiento procesa las solicitudes de almacenamiento entrantes de forma
eficiente, con integridad transaccional.
Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:
Arquitectura de Azure
Azure es una plataforma de informática en la nube y una infraestructura para compilar,
implementar y administrar aplicaciones y servicios a través de una red de centros de
datos. Microsoft administra estos centros de datos. En función del número de recursos
que especifique, Azure crea máquinas virtuales (VM) basadas en las necesidades de los
recursos. Estas VM se ejecutan en un hipervisor de Azure, que está diseñado para su uso
en la nube y no es accesible al público.
En cada nodo de servidor físico de Azure hay un hipervisor que se ejecuta directamente
sobre el hardware. El hipervisor divide un nodo en un número variable máquinas
virtuales invitadas. Cada nodo tiene también una máquina virtual raíz, que ejecuta el
sistema operativo host. El Firewall de Windows está habilitado en cada VM. El usuario
define qué puertos son direccionables mediante la configuración del archivo de
definición de servicio. Estos puertos son los únicos abiertos y direccionables, interna o
externamente. El hipervisor y el sistema operativo raíz actúan como mediadores en todo
el tráfico y el acceso al disco y a la red.
El centro de datos se divide en clústeres. Los clústeres aíslan los errores al nivel del
controlador de tejido, y evitan que ciertas clases de errores afecten a los servidores más
allá del clúster en el que se producen. Los controladores de tejido que atienden a un
clúster de Azure determinado se agrupan en un clúster de controlador de tejido.
Inventario de hardware
Durante el proceso de configuración de arranque el controlador de tejido prepara un
inventario de hardware y dispositivos de red de Azure. El hardware y los componentes
de red nuevos que ingresan en el entorno de producción de Azure deben seguir el
proceso de configuración de arranque. El FC es responsable de administrar todo el
inventario enumerado en el archivo de configuración datacenter.xml.
Los sistemas operativos host y nativo administrados por controlador de tejido están
diseñados para su uso en la nube y no son accesibles públicamente.
Los sistemas operativos host y nativo son imágenes reforzadas de sistemas operativos
que hospedan a los agentes de tejido, y se ejecutan en un nodo de proceso (se ejecuta
como la primera máquina virtual en el nodo) y en los nodos de almacenamiento. La
ventaja de utilizar imágenes base optimizadas de host y nativo es que se reduce la
superficie expuesta por las API o los componentes no utilizados. Estos elementos
pueden suponer grandes riesgos de seguridad y aumentar la superficie del sistema
operativo. Los sistemas operativos de superficie reducida solo incluyen los componentes
necesarios para Azure.
Plataforma de aplicaciones
Azure Active Directory
Azure Compute
Red de Azure
Servicios de ingeniería en la nube
ISSD: Seguridad
Autenticación multifactor
SQL Database
Storage
Tipos de usuarios
Los empleados (o contratistas) de Microsoft se consideran usuarios internos. Todos los
demás usuarios se consideran usuarios externos. Todos los usuarios internos de Azure
tienen un estado de empleado clasificado con un nivel de confidencialidad que define
su acceso a los datos del cliente (con acceso o sin acceso). En la tabla siguiente se
describen los privilegios de usuario en Azure (permiso de autorización una vez que se
realiza la autenticación):
Soporte técnico Interno Acceso a los Depurar y diagnosticar los errores Acceso
de interrupción datos de clientes e interrupciones de la plataforma Just-In-
de clientes de para los inquilinos de proceso Time al
Azure individuales y las cuentas de entorno,
(inquilino) Azure. Analizar los errores. con acceso
Impulsar las correcciones críticas persistente
en la plataforma o el cliente e limitado a
impulsar mejoras técnicas en el sistemas
soporte técnico. que no
son de
clientes.
Microsoft usa cifrado basado en la clave pública de identidad maestra del controlador
de tejido. Esto se produce durante los tiempos de configuración y reconfiguración del
controlador de tejido, para transferir las credenciales usadas para acceder a dispositivos
de hardware de red. Cuando el controlador de tejido necesita las credenciales, las
recupera y descifra.
Dispositivos de red
El equipo de red de Azure configura las cuentas de servicio de red para permitir que un
cliente de Azure se autentique en los dispositivos de red (enrutadores, conmutadores y
equilibradores de carga).
Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:
Topología de red
La arquitectura de red de un centro de datos de Azure consta de los siguientes
componentes:
Red perimetral
Red de área extensa
Red de puertas de enlace regionales
Red del centro de datos
Componentes de red
Breve descripción de los componentes de la red.
Red perimetral
Punto de demarcación entre las redes de Microsoft y otras redes (por ejemplo,
Internet, red empresarial).
Proporciona conexión a Internet y emparejamiento de ExpressRoute a Azure.
La red del centro de datos es una versión modificada de una red Clos , lo que
proporciona un ancho de banda de dos secciones elevado para el tráfico de escala en la
nube. La red se construye mediante un gran número de dispositivos de mercancía para
reducir el impacto que causa un error de hardware individual. Estos dispositivos se
ubican estratégicamente en diferentes ubicaciones físicas con dominios de alimentación
y enfriamiento independientes para reducir el impacto de un evento del entorno. En el
plano de control, todos los dispositivos de red se ejecutan como el modo de
enrutamiento de nivel 3 del modelo OSI, lo que elimina el problema histórico del bucle
de tráfico. Todas las rutas de acceso entre los distintos niveles están activas para
proporcionar una redundancia y ancho de banda altos mediante el enrutamiento
multiruta de costo equivalente (ECMP).
Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:
Entre los usuarios de la red de producción de Azure se incluyen clientes externos que
acceden a sus propias aplicaciones de Azure, así como el personal interno del servicio
de soporte técnico de Azure que administra la red de producción. En este artículo se
describen los métodos de acceso de seguridad y los mecanismos de protección para
establecer conexiones a la red de producción de Azure.
Dado que Microsoft posee sus propios circuitos de red entre los centros de datos, estos
atributos ayudan a la oferta de Azure a lograr más de un 99,9 % de disponibilidad de
red sin necesidad de proveedores externos de servicios de Internet tradicionales.
Una vez que el tráfico de Internet de Azure se enruta al centro de datos más cercano, se
establece una conexión a los enrutadores de acceso. Estos enrutadores de acceso sirven
para aislar el tráfico entre los nodos de Azure y las VM con instancias de cliente. Los
dispositivos de la infraestructura de red en las ubicaciones de acceso y de borde son los
puntos limítrofes donde se aplican los filtros de entrada y salida. Estos enrutadores se
configuran a través de una lista de control de acceso (ACL) en capas para filtrar el tráfico
de red no deseado y aplicar límites de velocidad de tráfico, si es necesario. El tráfico
permitido por ACL se enruta a los equilibradores de carga. Los enrutadores de
distribución están diseñados para permitir solo las direcciones IP aprobadas por
Microsoft, proporcionar protección contra la suplantación de identidad y establecer
conexiones TCP establecidas mediante ACL.
Firewall de host nativo: Azure Service Fabric y Azure Storage se ejecutan en un sistema
operativo nativo que no tiene hipervisor y, por tanto, el firewall de Windows se
configura con los dos conjuntos de reglas anteriores.
Firewall de host: el firewall del host protege la partición del host, que ejecuta el
hipervisor. Las reglas se programan para permitir que solo el FC y los cuadros de salto
se comuniquen con la partición del host en un puerto específico. Las otras excepciones
son para permitir la respuesta DHCP y las respuestas DNS. Azure usa un archivo de
configuración de la máquina, que tiene la plantilla de reglas de firewall para la partición
del host. También existe una excepción de firewall de host que permite que las VM se
comuniquen con los componentes del host, el servidor de conexión y el servidor de
metadatos, a través de protocolos y puertos específicos.
Firewall de invitado: es la parte del firewall de Windows del sistema operativo invitado,
que el cliente puede configurar en las máquinas virtuales y en el almacenamiento del
cliente.
Los firewalls que se implementan en todos los nodos internos tienen tres puntos
principales a tener en cuenta sobre la arquitectura de seguridad de un escenario
determinado:
Los firewalls se colocan detrás del equilibrador de carga y aceptan paquetes
desde cualquier lugar. Estos paquetes están diseñados para ser expuestos al
exterior y corresponden a los puertos abiertos en un firewall perimetral
tradicional.
Asimismo, los firewalls solo aceptan paquetes de un conjunto limitado de
direcciones. Este punto forma parte de la estrategia defensiva exhaustiva contra
ataques DDoS. Dichas conexiones se autentican criptográficamente.
Solo se puede obtener acceso a los firewalls desde ciertos nodos internos. Estos
nodos solo aceptan paquetes de una lista enumerada de direcciones IP de
origen, que son todas DIP dentro de la red de Azure. Por ejemplo, un ataque en
la red corporativa podría dirigir las solicitudes a estas direcciones, pero se
bloquearían los ataques, a menos que la dirección de origen del paquete fuera
una de las que están incluidas en la lista enumerada dentro de la red de Azure.
El enrutador de acceso en el perímetro bloquea los paquetes salientes
dirigidos a una dirección que está dentro de la red de Azure, debido a sus
rutas estáticas configuradas.
Pasos siguientes
Para más información sobre lo que hace Microsoft para proteger la infraestructura de
Azure, consulte:
Azure SQL Database ofrece un servicio de base de datos relacional en Azure. Para
proteger los datos de los clientes y proporcionar características sólidas de seguridad
que los clientes esperan de un servicio de base de datos relacional, SQL Database tiene
sus propios conjuntos de funcionalidades de seguridad. Estas funcionalidades se basan
en los controles que se heredan de Azure.
Funcionalidades de seguridad
Los mecanismos aprobados para implementar las ACL basadas en red incluyen: ACL en
enrutadores y equilibradores de carga. Estos mecanismos son gestionados por las redes
de Azure, el cortafuegos de la máquina virtual invitada y las reglas del cortafuegos de la
puerta de enlace de Azure SQL Database configuradas por el cliente.
Aislamiento de VLAN
La red de producción de Azure se divide lógicamente en tres redes VLAN principales:
Filtrado de paquetes
El IPFilter y los firewalls de software implementados en el sistema operativo raíz y el
sistema operativo invitado de los nodos aplican restricciones de conectividad y evitan el
tráfico no autorizado entre las máquinas virtuales.
Los paquetes de carácter inactivo síncrono (SYN) solo pueden entrar o salir si alguna de
las reglas lo permite. Para TCP, Azure usa reglas sin estado, donde el principio es que
solo permite que todos los paquetes que no sean SYN entren o salgan de la máquina
virtual. La premisa de seguridad es que cualquier pila de hosts es resistente a ignorar un
paquete no SYN si no ha visto un paquete SYN previamente. El propio protocolo TCP es
con estado y, en combinación con la regla sin estado basada en SYN, logra un
comportamiento general de una implementación con estado.
Para el Protocolo de datagramas de usuario (UDP), Azure usa una regla con estado.
Cada vez que un paquete UDP coincide con una regla, se crea un flujo inverso en la otra
dirección. Este flujo tiene un tiempo de espera integrado.
Los clientes son responsables de configurar sus propios firewalls además de lo que
ofrece Azure. Aquí los clientes pueden definir las reglas para el tráfico entrante y
saliente.
De forma similar, los cambios de hardware y de red cuentan con pasos de validación
establecidos para evaluar el cumplimiento de los requisitos de compilación. Las
versiones se revisan y autorizan a través de un comité de evaluación de cambios (CAB)
coordinado de los respectivos grupos a través de la pila.
Pasos siguientes
Para más información sobre lo que hace Microsoft para proteger la infraestructura de
Azure, consulte:
En este artículo se describe el modo en que Microsoft administra y opera con la red de
producción de Azure para proteger los centros de datos de Azure.
Pasos siguientes
Para más información sobre lo que hace Microsoft para proteger la infraestructura de
Azure, consulte:
Administración de vulnerabilidades
La administración de actualizaciones de seguridad ayuda a proteger los sistemas frente
a las vulnerabilidades conocidas. Azure utiliza sistemas de implementación integrados
para administrar la distribución e instalación de actualizaciones de seguridad de
software de Microsoft. Azure también es capaz de aprovechar los recursos de Microsoft
Security Response Center (MSRC). MSRC identifica, supervisa, responde y resuelve los
incidentes de seguridad y las vulnerabilidades de la nube de manera ininterrumpida.
Examen de vulnerabilidades
El examen de vulnerabilidades se ejecuta en sistemas operativos de servidor, bases de
datos y dispositivos de red. Los exámenes de vulnerabilidades se realizan de forma
trimestral como mínimo. Azure contrata asesores independientes para realizar pruebas
de penetración del límite de Azure. También se llevan a cabo ejercicios de simulacro de
ataques regularmente y los resultados se usan para realizar mejoras de seguridad.
Supervisión de protección
El equipo de seguridad de Azure ha definido los requisitos para una supervisión activa.
Los equipos de servicio configuran herramientas de supervisión activas según estos
requisitos. Las herramientas de supervisión activas incluyen Microsoft Monitoring Agent
(MMA) y System Center Operations Manager. Estas herramientas están configuradas
para proporcionar alertas de tiempo al personal de seguridad de Azure en situaciones
que requieren acción inmediata.
Administración de incidentes
Microsoft implementa un proceso de administración de incidentes de seguridad para
facilitar una respuesta coordinada frente a incidentes, en caso de que estos se
produzcan.
Pasos siguientes
Para más información sobre lo que hace Microsoft para proteger la infraestructura de
Azure, consulte:
Instalación de software
Todos los componentes de la pila de software que se instalan en el entorno de Azure se
crean de forma personalizada siguiendo el proceso Ciclo de vida de desarrollo de
seguridad (SDL) de Microsoft. Todos los componentes de software, como las imágenes
del sistema operativo (SO) y SQL Database, se implementan como parte del proceso de
administración de versiones y cambios. El sistema operativo que se ejecuta en todos los
nodos es una versión personalizada. La versión exacta la elige el controlador de tejido
(FC) de acuerdo con el rol que pretende que desempeñe el sistema operativo. Además,
el sistema operativo host no permite la instalación de ningún componente de software
no autorizado.
Protocolos web
Conectividad de proceso
Azure garantiza que la aplicación o el servicio implementados sean accesibles a través
de protocolos estándar basados en web. Las instancias virtuales de los roles web
accesibles desde Internet tendrán conectividad externa a Internet y los usuarios de la
web podrán acceder a ellas directamente. Con el fin de proteger la confidencialidad e
integridad de las operaciones que los roles de trabajo realizan en nombre de las
instancias virtuales del rol web de acceso público, las instancias virtuales de rol de
trabajo de procesamiento de back-end tienen conectividad externa a Internet, pero el
usuario web externo no puede acceder directamente a ellas.
Pasos siguientes
Para más información sobre lo que hace Microsoft para proteger la infraestructura de
Azure, consulte:
Protección de datos en reposo: los clientes son responsables de garantizar que los
datos almacenados en Azure se cifren según sus propios estándares. Azure facilita una
amplia gama de funcionalidades de cifrado, por lo que ofrece a los clientes la
flexibilidad de poder elegir la solución que mejor se ajusta a sus necesidades. Azure Key
Vault le permite a los clientes mantener de forma fácil el control de las claves que usan
los servicios y las aplicaciones en la nube para cifrar datos. Azure Disk Encryption
permite a los clientes cifrar máquinas virtuales. El cifrado del servicio Azure Storage
permite cifrar todos los datos que se colocan en la cuenta de almacenamiento de un
cliente.
Protección de datos en tránsito: Microsoft ofrece una serie de opciones que los clientes
pueden usar para proteger los datos en tránsito internamente, dentro de la red de
Azure, y externamente, a través de Internet, dirigidos al usuario final. Entre ellas se
incluyen la comunicación a través de redes privadas virtuales (mediante el cifrado
IPsec/IKE), Seguridad de la capa de transporte (TLS) 1.2 o posterior (a través de
componentes de Azure, como Application Gateway o Azure Front Door), protocolos
directamente en las máquinas virtuales de Azure (como Windows IPsec o SMB) y mucho
más.
Data redundancy (Redundancia de datos): Microsoft ayuda a garantizar que los datos
están protegidos si se produce un ciberataque o daños físicos en un centro de datos.
Los clientes pueden optar por:
Los datos pueden replicarse en un área geográfica seleccionada para redundancia, pero
no se transmitirán fuera de ella. Los clientes tienen varias opciones para la replicación de
datos, incluido el número de copias y el número y la ubicación de los centros de datos
de replicación.
Destrucción de datos: cuando los clientes eliminan datos o abandonan Azure, Microsoft
sigue estándares estrictos para la eliminación de datos, así como la destrucción física del
hardware retirado. Microsoft ejecuta una eliminación completa de los datos a solicitud
del cliente y a la finalización del contrato. Para más información, consulte
Administración de datos en Microsoft .
Administración de registros
Azure ha establecido requisitos internos de retención de registros para los datos de
back-end. Los clientes son responsables de identificar sus propios requisitos de
retención de registros. Para los registros almacenados en Azure, el cliente es
responsable de extraer sus datos y conservar el contenido fuera de Azure durante un
período de retención especificado por el cliente.
Azure permite a los clientes exportar datos e informes de auditoría desde el producto.
Las exportaciones se guardan localmente para conservar la información durante un
período de retención definido por el cliente.
Pasos siguientes
Para más información sobre lo que hace Microsoft para proteger la infraestructura de
Azure, consulte:
Seguridad de firmware
Integridad del código de plataforma
Arranque seguro UEFI
Atestación de host y de arranque medido
Proyecto Cerberus
Cifrado en reposo
Seguridad de Hypervisor
Pasos siguientes
Aprenda de qué manera Microsoft se asocia activamente dentro del ecosistema de
hardware en la nube para impulsar las mejoras de seguridad de firmware
continuas.
7 Nota
Modelado de amenazas
Revisiones del diseño seguro
Revisiones del firmware y pruebas de penetración
Entornos de desarrollo y pruebas seguros
Administración de vulnerabilidades de seguridad y respuesta a incidentes
Pasos siguientes
Para más información sobre lo que se hace para fomentar la seguridad y la integridad
de la plataforma, vea:
Un problema con una directiva de integridad de código es que, a menos que la directiva
sea perfectamente correcta, puede bloquear el software crítico en producción y
provocar una interrupción. Dada esta preocupación, puede que se pregunte por qué no
es suficiente usar la supervisión de seguridad para detectar cuándo se ha ejecutado
software no autorizado. La integridad del código tiene un modo de auditoría que, en
lugar de impedir la ejecución, puede alertar de cuando se ejecuta software no
autorizado. Sin duda, las alertas pueden agregar mucho valor a la hora de abordar los
riesgos de cumplimiento, pero, en el caso de los riesgos de seguridad como
ransomware o malware personalizado, retrasar la respuesta incluso unos segundos
puede ser la diferencia entre la protección y un adversario que obtiene un apoyo
persistente en su conjunto de dispositivos. En Azure, hemos invertido significativamente
en administrar cualquier riesgo de integridad de código que contribuya a una
interrupción que afecta al cliente.
Proceso de compilación
Como se ha descrito anteriormente, el sistema de compilación de Azure tiene un amplio
conjunto de pruebas para garantizar que los cambios de software son seguros y
compatibles. Una vez que una compilación ha progresado a través de la validación, el
sistema de compilación la firma mediante un certificado de compilación de Azure. El
certificado indica que la compilación ha superado todo el proceso de administración de
cambios. La prueba final en la que se somete la compilación se denomina Validación de
firma de código (CSV). CSV confirma que los archivos binarios recién creados cumplen la
directiva de integridad de código antes de implementarlos en producción. Esto nos
proporciona confianza en el hecho de que no provocaremos ninguna interrupción del
cliente debido a que los archivos binarios no están firmados correctamente. Si CSV
encuentra un problema, la compilación se interrumpe y se llama a los ingenieros
pertinentes para investigar y corregir el problema.
Todos los cambios en Azure se deben implementar mediante una serie de fases. La
primera de ellas son instancias de prueba internas de Azure. La siguiente fase solo se
usa para atender a otros equipos de productos de Microsoft. La fase final atiende a
clientes de terceros. Cuando se implementa un cambio, se pasa a cada una de las fases
correspondientes y el proceso se detiene para medir el estado de la fase. Si se encuentra
que el cambio no tiene ningún impacto negativo, se pasa a la fase siguiente. Si se realiza
un cambio no correcto en una directiva de integridad de código, el cambio se detecta
durante esta implementación por fases y se revierte.
Pasos siguientes
Obtenga información sobre cómo Windows 10 usa la integridad de código configurable.
Para más información sobre lo que se hace para fomentar la seguridad y la integridad
de la plataforma, vea:
Seguridad de firmware
Arranque seguro
Atestación de host y de arranque medido
Proyecto Cerberus
Cifrado en reposo
Seguridad de Hypervisor
Arranque seguro
Artículo • 01/06/2023
Componentes y proceso
Arranque seguro se basa en estos componentes críticos:
1. La base de datos de firmas (db) se rellena con los firmantes o los hash de imagen
de las aplicaciones UEFI, los cargadores del sistema operativo (como el cargador
de sistema operativo de Microsoft o el administrador de arranque) y los
controladores de UEFI de confianza.
2. La base de datos de firmas revocadas (dbx) se rellena con códigos hash de
módulos que ya no son de confianza.
3. La base de datos de claves de inscripción de claves (KEK) se rellena con claves de
firma que se pueden utilizar para actualizar la base de datos de firmas y la base de
datos de firmas revocadas. Las bases de datos se pueden editar mediante
actualizaciones que se firman con la clave correcta, o bien a través de
actualizaciones realizadas por un usuario autorizado presente físicamente
mediante menús de firmware.
4. Después de que se hayan agregado las bases de datos db, dbx y KEK, y de que la
validación del firmware y de las pruebas haya finalizado, el OEM bloquea el
firmware, para que no pueda editarse, y genera una clave de plataforma (PK), que
se puede usar para firmar las actualizaciones del KEK o para desactivar Arranque
seguro.
Durante cada fase del proceso de arranque, se calculan los códigos hash del firmware,
cargador de arranque, sistema operativo, controladores de kernel y otros artefactos de
la cadena de arranque, y se comparan con los valores aceptables. No se permite cargar
firmware y software que se detecte que no son de confianza. Por consiguiente, se
pueden bloquear la inyección de malware de bajo nivel o los ataques de malware de
prearranque.
La validación de que los códigos hash db y dbx son correctos garantiza que:
Mediante la validación de las firmas de KEKpub y PKpub podemos confirmar que solo
las entidades de confianza tienen permiso para modificar las definiciones de qué
software se considera de confianza. Por último, al garantizar que el arranque seguro está
activo, es posible validar que se aplican estas definiciones.
Pasos siguientes
Para más información sobre lo que se hace para fomentar la seguridad y la integridad
de la plataforma, vea:
Seguridad de firmware
Integridad del código de plataforma
Atestación de host y de arranque medido
Proyecto Cerberus
Cifrado en reposo
Seguridad de Hypervisor
Atestación del host y arranque medido
Artículo • 01/06/2023
Arranque medido
El Módulo de plataforma segura (TPM) es un componente de auditoría seguro desde el
punto de vista criptográfico y a prueba de alteraciones con firmware suministrado por
un tercero de confianza. El registro de configuración de arranque contiene medidas
encadenadas por hash anotadas en sus Registros de configuración de la plataforma
(PCR) de cuando el host realizó por última vez la secuencia de arranque. En la siguiente
ilustración se muestra este proceso de registro. Para crear cadenas de hash, se agrega
una medida a la que se ha aplicado un algoritmo hash a otra medida con hash, se
ejecuta el algoritmo hash en la unión, y así sucesivamente.
El servicio de atestación del host está presente en todos los clústeres de Azure dentro
de un entorno de bloqueo especializado. El entorno bloqueado incluye otros servicios
de equipo selector que participan en el protocolo de arranque de la máquina host. Una
infraestructura de clave pública (PKI) actúa como intermediario para validar la
procedencia de las solicitudes de atestación y como emisor de identidades (en función
de la atestación correcta del host). Las credenciales posteriores a la atestación emitidas
al host de atestación están selladas para su identidad. Solo el host solicitante puede
quitar el sello a las credenciales y aprovecharlas para obtener permisos incrementales.
Esto evita ataques de tipo "man in-middle" y de suplantación de identidad.
La siguiente es una arquitectura de alto nivel del servicio de atestación del host:
Medidas de atestación
Estos son ejemplos de las muchas mediciones capturadas hoy.
Controles de depuración
Los depuradores son herramientas eficaces para los desarrolladores. No obstante, el
acceso sin restricciones a los comandos de depuración de memoria y otros comandos
de depuración podría debilitar la protección de los datos y la integridad del sistema si
se proporciona a una entidad que no es de confianza. El servicio de atestación del host
garantiza que cualquier tipo de depuración está deshabilitada en las máquinas de
producción.
Pasos siguientes
Para más información sobre lo que se hace para fomentar la seguridad y la integridad
de la plataforma, vea:
Seguridad de firmware
Integridad del código de plataforma
Arranque seguro
Proyecto Cerberus
Cifrado en reposo
Seguridad de Hypervisor
Proyecto Cerberus
Artículo • 01/06/2023
Cerberus es una raíz de confianza de hardware compatible con la normativa 800-193 del
NIST con una identidad que no se puede clonar. Cerberus protege la integridad del
software para aumentar la seguridad de la infraestructura de Azure.
Atestación de Cerberus
Cerberus autentica la integridad del firmware de los componentes de servidor mediante
un manifiesto de firmware de la plataforma (PFM). PFM define una lista de versiones de
firmware autorizadas y proporciona una medida de la plataforma al servicio de
atestación del host de Azure. El servicio de atestación del host valida las medidas y toma
una determinación para permitir que solo los hosts de confianza se unan a la flota de
Azure y hospeden las cargas de trabajo de los clientes.
Junto con el servicio de atestación del host, las funcionalidades de Cerberus mejoran y
promueven una infraestructura de producción de Azure de alta seguridad.
7 Nota
Pasos siguientes
Para más información sobre lo que se hace para fomentar la seguridad y la integridad
de la plataforma, vea:
Seguridad de firmware
Integridad del código de plataforma
Arranque seguro
Atestación del host y arranque medido
Cifrado en reposo
Seguridad de Hypervisor
Cifrado en reposo de datos de Azure
Artículo • 25/03/2023
Microsoft Azure incluye herramientas para proteger los datos de acuerdo con las
necesidades de seguridad y cumplimiento de su empresa. Este documento se centra en:
Se usa una clave de cifrado simétrico para cifrar datos mientras se escriben en el
almacenamiento.
La misma clave de cifrado se utiliza para descifrar los datos tal y como se
prepararon para su uso en la memoria.
Se pueden particionar datos y se pueden usar claves diferentes para cada
partición.
Las claves deben almacenarse en una ubicación segura con el control de acceso
basado en identidades y directivas de auditoría. Las claves de cifrado de datos que
se almacenan fuera de ubicaciones seguras se cifran con una clave de cifrado de
claves que se conserva en una ubicación segura.
El cifrado en reposo está diseñado para evitar que el atacante obtenga acceso a los
datos sin cifrar asegurándose de que los datos se cifran en el disco. Si un atacante
obtiene una unidad de disco duro con datos cifrados pero no las claves de cifrado, el
atacante debe anular el cifrado para leer los datos. Este ataque es mucho más complejo
y consume más recursos que el acceso a datos no cifrados en una unidad de disco duro.
Por este motivo, el cifrado en reposo es muy recomendable y es un requisito de alta
prioridad para muchas organizaciones.
Clave de cifrado de datos (DEK) : una clave AES256 simétrica que se usa para cifrar
una partición o bloque de datos, a veces también se denomina simplemente Clave
de datos. Un único recurso puede tener muchas particiones y muchas claves de
cifrado de datos. Cifrar cada bloque de datos con una clave diferente dificulta los
ataques de análisis criptográficos. Y mantener las DEK en el entorno local del
servicio de cifrado y descifrado de datos maximiza el rendimiento.
Clave de cifrado de claves (KEK) : una clave de cifrado que se usa para cifrar las
claves de cifrado de datos mediante el cifrado de sobres, también conocida como
ajuste. El uso de una clave de cifrado de claves que siempre permanece en Key
Vault permite a las propias claves de cifrado de datos cifrarse y controlarse. La
entidad que tiene acceso a la KEK puede ser diferente de la entidad que requiere la
DEK. Una entidad puede adaptar el acceso a la DEK para limitar el acceso de cada
DEK a una partición específica. Como la KEK es necesaria para descifrar las DEK, los
clientes pueden borrar criptográficamente las DEK y los datos si deshabilitan la
KEK.
Almacenamiento cifrado
Al igual que PaaS, las soluciones IaaS pueden sacar provecho de otros servicios de Azure
que almacenan los datos que se cifran en reposo. En estos casos, puede habilitar el
cifrado en el soporte del cifrado en reposo como proporciona cada servicio consumido
de Azure. La tabla Modelos de cifrado de datos: servicios compatibles enumera las
principales plataformas de aplicación, servicios y almacenamiento y el modelo de
cifrado en reposo admitido.
Compute de cifrado
Todos los discos, instantáneas e imágenes administrados están cifrados mediante
Storage Service Encryption con una clave administrada por servicio. Una solución de
cifrado en reposo más completa requiere que los datos no se conserven nunca en un
formato no cifrado. Al procesar los datos en una máquina virtual, los datos se pueden
conservar en el archivo de paginación de Windows o el archivo de intercambio de Linux,
un archivo de volcado o en un registro de aplicaciones. Para asegurarse de que estos
datos se cifran en reposo, las aplicaciones IaaS pueden usar Azure Disk Encryption en
una máquina virtual de IaaS de Azure (Windows o Linux) y un disco virtual.
Se recomienda que siempre que sea posible, las aplicaciones IaaS saquen provecho de
las opciones de cifrado en reposo y Azure Disk Encryption proporcionadas por los
servicios de Azure consumidos. En algunos casos, como requisitos de cifrado irregulares
o almacenamiento que no se basa en Azure, un desarrollador de una aplicación de IaaS
podría necesitar implementar el cifrado en reposo. Las soluciones de los desarrolladores
de IaaS podrían integrarse mejor con las expectativas de administración y del cliente de
Azure mediante el aprovechamiento de ciertos componentes de Azure. En concreto, los
desarrolladores deben usar el servicio Azure Key Vault para proporcionar
almacenamiento seguro de claves, así como proporcionar a sus clientes opciones de
administración de claves coherentes con la mayoría de los servicios de la plataforma de
Azure. Además, las soluciones personalizadas deben usar identidades de servicio
administradas por Azure para permitir que las cuentas de servicio accedan a las claves
de cifrado. Para encontrar información para desarrolladores sobre Azure Key Vault y las
identidades de servicio administradas, consulte sus respectivos SDK.
Almacenamiento de Azure
Todos los servicios de Azure Storage (Blob Storage, Queue Storage, Table Storage y
Azure Files) admiten el cifrado en reposo en el lado servidor; algunos servicios admiten
además el cifrado de las claves administradas por el cliente y el cifrado del lado cliente.
Azure SQL Database admite actualmente el cifrado en reposo para escenarios de cifrado
en el lado cliente y en el lado servicio administrados por Microsoft.
Conclusión
La protección de datos del cliente almacenados dentro de los servicios de Azure es de
gran importancia para Microsoft. Todos los servicios hospedados en Azure se
comprometen a proporcionar opciones de cifrado en reposo. Los servicios de Azure
admiten claves administradas por el servicio, claves administradas por el cliente o
cifrado del lado cliente. Los servicios de Azure están mejorando ampliamente la
disponibilidad del cifrado en reposo y se planean nuevas opciones para la versión
preliminar y la versión de disponibilidad general en los próximos meses.
Pasos siguientes
Consulte los modelos de cifrado de datos para obtener más información sobre las
claves administradas por el servicio y las claves administradas por el cliente.
Obtenga información sobre cómo usa Azure el cifrado doble para mitigar las
amenazas que incluye el cifrado de datos.
Conozca lo que hace Microsoft para garantizar la integridad y seguridad de la
plataforma de los hosts que atraviesan las canalizaciones de compilación,
integración, operacionalización y reparación de hardware y firmware.
Seguridad del hipervisor en la flota de
Azure
Artículo • 01/06/2023
Objetivos Source
Aislamiento Una directiva de seguridad dicta que no haya ninguna transferencia de información
entre máquinas virtuales. Esta restricción requiere capacidades de Virtual Machine
Manager (VMM) y hardware para aislamiento de memoria, dispositivos, la red y
recursos administrados como los datos guardados.
Integridad Para lograr la integridad global del sistema, se establece y mantiene la integridad
de VMM de los componentes individuales del hipervisor.
Acceso Las funciones de administración solo las ejercen los administradores autorizados
restringido que se conectan a través de conexiones seguras. Los mecanismos de control de
acceso basado en rol de Azure (RBAC de Azure) aplican un principio de privilegios
mínimos.
Objetivos Source
Auditoría Azure habilita la capacidad de auditoría para capturar y proteger los datos sobre lo
que ocurre en un sistema para que se puedan inspeccionar más adelante.
Todas las superficies expuestas a ataques de las máquinas virtuales son modeladas
frente a amenazas, revisadas, analizadas y probadas en busca de infracciones de los
límites de seguridad por parte del equipo RED. Microsoft tiene un Programa de
recompensas que concede un premio por las vulnerabilidades relevantes detectadas
en las versiones de producto válidas de Microsoft Hyper-V.
7 Nota
Pasos siguientes
Para más información sobre lo que se hace para fomentar la seguridad y la integridad
de la plataforma, vea:
Seguridad de firmware
Integridad del código de plataforma
Arranque seguro
Atestación de host y de arranque medido
Proyecto Cerberus
Cifrado en reposo
Aislamiento en la nube pública de Azure
Artículo • 20/10/2023
Los usuarios, grupos y aplicaciones de ese directorio pueden administrar los recursos en
la suscripción de Azure. Puede asignar estos derechos de acceso con Azure Portal, las
herramientas de la línea de comandos de Azure o las API de administración de Azure.
Un inquilino de Microsoft Entra está aislado lógicamente mediante límites de seguridad
de forma que ningún cliente puede acceder o poner en riesgo los coinquilinos, ya sea
de forma malintencionada o por accidente. Microsoft Entra ID se ejecuta en servidores
sin sistema operativo, aislados en un segmento de red separado donde el filtrado de
paquetes de nivel de host y Firewall de Windows bloquean el tráfico y las conexiones no
deseadas.
Los inquilinos son contenedores separados y no hay ninguna relación entre ellos.
Los usuarios de Microsoft Entra no tienen acceso a los recursos ni las ubicaciones
físicas y, por lo tanto, no pueden omitir las comprobaciones lógicas de directiva de
Azure RBAC que se indican a continuación.
RBAC de Azure cuenta con tres roles básicos que se aplican a todos los tipos de recurso:
propietario tiene acceso completo a todos los recursos y cuenta con el derecho a
delegar este acceso a otros.
colaborador puede crear y administrar todos los tipos de recursos de Azure pero
no puede conceder acceso a otros.
Roles integrados de Azure enumera los roles disponibles en Azure. Especifica las
operaciones y el ámbito de cada rol integrado que se concede a los usuarios. Si quiere
definir sus propios roles para tener un mayor control, consulte Custom Roles in Azure
RBAC(Roles personalizados en RBAC de Azure).
Si se elimina algún dato, Microsoft Azure eliminará los datos, incluidas las copias en
memoria caché y las copias de seguridad. Para los servicios incluidos en el ámbito, la
eliminación se realizará 90 días después del final del período de retención. (Los servicios
incluidos en el ámbito se definen en los términos del procesamiento de datos, en los
términos de los servicios en línea .)
Aislamiento de proceso
Microsoft Azure proporciona diversos servicios de computación en la nube que incluyen
una amplia selección de instancias y servicios de proceso que se pueden escalar vertical
y horizontalmente para satisfacer las necesidades de su aplicación o de su empresa.
Estos servicios e instancias de proceso ofrecen aislamiento en varios niveles para
proteger los datos, sin sacrificar la flexibilidad en la configuración que los clientes
demandan.
Los tamaños de las máquinas virtuales aisladas se ajustan mejor a las cargas de trabajo
que requieren un alto grado de aislamiento de las cargas de trabajo de otros clientes.
Esto a veces es necesario para cumplir los requisitos normativos y de cumplimiento.
Usar un tamaño aislado garantiza que la máquina virtual es la única que se ejecuta en
esa instancia de servidor específica.
Además, dado que las VM de tamaño aislado son más grandes, los clientes puede elegir
subdividir aún más los recursos de estas VM mediante la compatibilidad de Azure con
máquinas virtuales anidadas .
Standard_E80ids_v4
Standard_E80is_v4
Standard_E104i_v5
Standard_E104is_v5
Standard_E104id_v5
Standard_E104ids_v5
Standard_M192is_v2
Standard_M192ims_v2
Standard_M192ids_v2
Standard_M192idms_v2
Standard_F72s_v2
Standard_M128ms
7 Nota
Los tamaños de máquina virtual aislada tienen una duración limitada debido a la
degradación del hardware.
Date Acción
1 Los clientes ya existentes que usen estos tamaños recibirán un anuncio por correo
electrónico con instrucciones detalladas sobre los pasos a seguir.
Date Acción
1
Los clientes ya existentes que usen estos tamaños recibirán un anuncio por correo
electrónico con instrucciones detalladas sobre los pasos a seguir.
Pasos siguientes
Los clientes también puede elegir subdividir aún más los recursos de estas máquinas
virtuales aisladas mediante la compatibilidad de Azure para máquinas virtuales
anidadas .
Hosts dedicados
Además de los hosts aislados descritos en la sección anterior, Azure también ofrece
hosts dedicados. Los hosts dedicados de Azure son un servicio que proporciona
servidores físicos capaces de hospedar una o varias máquinas virtuales, y que están
dedicados a una única suscripción de Azure. Los hosts dedicados ofrecen aislamiento
del hardware a nivel de servidor físico. No se colocarán otras máquinas virtuales en los
hosts. Los hosts dedicados se implementan en los mismos centros de datos y
comparten la misma red y la misma infraestructura de almacenamiento subyacente que
otros hosts no aislados. Para obtener más información, consulte la introducción
detallada a los hosts dedicados de Azure.
El hipervisor de Azure actúa como un microkernel y pasa todas las solicitudes de acceso
al hardware desde las máquinas virtuales invitadas hasta el host para procesarlas
mediante una interfaz de memoria compartida denominada VM Bus. Esto impide que
los usuarios obtengan acceso de lectura/escritura/ejecución sin procesar en el sistema y
reduce el riesgo de compartir recursos del sistema.
Aislamiento de VLAN
Hay tres redes VLAN en cada clúster:
La red VLAN principal: interconecta nodos de cliente que no son de confianza.
La red VLAN FC: contiene controladores de tejido (FC) de confianza y sistemas
auxiliares
La red VLAN de dispositivo: contiene dispositivos de red y otra infraestructura de
confianza
Aislamiento de almacenamiento
Por tanto, Azure Storage se ejecuta en hardware independiente sin conectividad de red
con Azure Compute, excepto en el nivel lógico. Esto significa que, cuando se crea un
disco virtual, no se asigna espacio en disco para toda su capacidad. En su lugar, se crea
una tabla que asigna direcciones en el disco virtual a las áreas en el disco físico y la tabla
está inicialmente vacía. La primera vez que un cliente escribe datos en el disco virtual,
se asigna espacio en el disco físico y se coloca un puntero a este en la tabla.
El acceso a los datos de Azure Storage (incluidas las tablas) se puede controlar con un
token SAS (Firma de acceso compartido), que concede acceso de ámbito. El token SAS
se crea mediante una plantilla de consulta (URL) firmada con la SAK (Clave de la cuenta
de almacenamiento). Esta URL firmada se puede entregar a otro proceso (delegado),
que puede completar los detalles de la consulta y hacer la petición al servicio de
almacenamiento. Un token SAS le permite conceder acceso temporal a los clientes sin
revelar la clave secreta de la cuenta de almacenamiento.
Esto significa que puede conceder permisos limitados a los clientes a objetos en su
cuenta de almacenamiento durante un período específico y con un conjunto
determinado de permisos. Se pueden conceder estos permisos limitados sin tener que
compartir las claves de acceso de su cuenta.
Cifrado
Azure ofrece los siguientes tipos de cifrado para proteger los datos:
Cifrado en tránsito
Cifrado en reposo
Cifrado en tránsito
Cifrado de nivel de transporte, como HTTPS para transferir datos a Azure Storage o
desde este servicio.
Cifrado en el cable, como el cifrado SMB 3.0 para recursos compartidos de Azure
File.
Cifrado de cliente, para cifrar los datos antes de transferirlos a Storage y
descifrarlos una vez transferidos desde este servicio.
Cifrado en reposo
Para más información, consulte Información general sobre las opciones de cifrado de
disco administrado.
La solución admite los siguientes escenarios para las máquinas virtuales IaaS cuando se
habilitan en Microsoft Azure:
Las bases de datos y los servidores lógicos con SQL Server son conceptos específicos de
SQL Database y se administran mediante SQL Database, y se proporcionan mediante las
interfaces de OData y TSQL, o bien a través de Azure Portal.
Los servidores de SQL Database no son instancias físicas ni de máquinas virtuales, sino
que son colecciones de bases de datos que comparten administración y directivas de
seguridad almacenadas en una base de datos llamada "maestra lógica".
Desde la perspectiva del cliente, se crea un servidor en una región geográfica, mientras
que la creación real del servidor se produce en uno de los clústeres de la región.
La capa situada detrás de las puertas de enlace se denomina "back-end". Ahí es donde
se almacenan todos los datos en modo de alta disponibilidad. Cada parte de los datos
se dice que pertenece a una "partición" o "unidad de conmutación por error", cada una
de las cuales tiene al menos tres réplicas. El motor de SQL Server almacena y replica las
réplicas, que se administran mediante un sistema de conmutación por error,
habitualmente conocido como "tejido".
Por lo general, el sistema back-end no tiene comunicaciones salientes a otros sistemas
como precaución de seguridad. Eso se reserva para los sistemas de la capa front-end
(puerta de enlace). Las máquinas de la capa de puerta de enlace tienen privilegios
limitados en las máquinas back-end para minimizar la superficie de ataque como un
mecanismo de defensa en profundidad.
Aislamiento de red
La implementación de Azure tiene varios niveles de aislamiento de red. El siguiente
diagrama muestra los diferentes niveles de aislamiento de red que Azure proporciona a
los clientes. Estos niveles son nativos en la plataforma de Azure y también son
características definidas por el cliente. En la entrada desde Internet, DDoS de Azure
proporciona aislamiento frente a ataques a gran escala contra Azure. En el siguiente
nivel de aislamiento están las direcciones IP públicas (puntos de conexión) definidas por
el cliente que se usan para determinar el tráfico que puede pasar desde el servicio en la
nube a la red virtual. El aislamiento de la red virtual de Azure nativa garantiza un
aislamiento completo de todas las demás redes y que el tráfico solo fluya a través de los
métodos y las rutas de acceso configurados por el usuario. Estas rutas de acceso y
métodos son el siguiente nivel, en el que se pueden usar NSG, UDR y dispositivos de red
virtual para crear límites de aislamiento y así proteger las implementaciones de
aplicaciones en la red protegida.
Aislamiento del tráfico: una red virtual es el límite para aislamiento del tráfico en la
plataforma Azure. Las máquinas virtuales de una red virtual no se pueden comunicar
directamente con las máquinas virtuales de otra red virtual, incluso si las dos redes
virtuales las creó el mismo cliente. El aislamiento consiste en una propiedad
fundamental que garantiza que las máquinas virtuales del cliente y la comunicación
sigan siendo privadas en una red virtual.
Pasos siguientes
Más información sobre opciones de aislamiento de red para máquinas Windows
en redes virtuales de Azure . Esto incluye el escenario de front-end y back-end
clásico en el que las máquinas de una determinada red o subred de back-end
pueden permitir conectarse solo a determinados clientes u otros equipos a un
punto de conexión en particular, en función de una lista de direcciones IP
autorizadas.
Más información sobre aislamiento de máquinas virtuales de Azure. Azure
Compute ofrece tamaños de máquinas virtuales que están aislados para un tipo
concreto de hardware y dedicados a un solo cliente.
Información general sobre seguridad de
administración de identidades de Azure
Artículo • 26/10/2023
Al aprovechar las ventajas de seguridad de Microsoft Entra ID, puede hacer lo siguiente:
Crear y administrar una identidad única para cada usuario en toda la empresa
híbrida, lo que mantiene los usuarios, grupos y dispositivos sincronizados.
Proporcionar acceso de SSO a las aplicaciones, incluidas miles de aplicaciones SaaS
preintegradas.
Habilitar la seguridad del acceso de las aplicaciones mediante la aplicación de
autenticación multifactor basada en reglas para las aplicaciones locales y en la
nube.
Proporcionar un acceso remoto seguro a las aplicaciones web locales a través del
proxy de la aplicación de Microsoft Entra.
Muchas organizaciones confían en las aplicaciones SaaS, como Microsoft 365, Box y
Salesforce para impulsar la productividad del usuario. Tradicionalmente, el personal de
TI tenía que crear y actualizar individualmente cuentas de usuario en cada aplicación
SaaS y los usuarios tenían que recordar una contraseña para cada aplicación SaaS.
Microsoft Entra ID extiende los entornos de Active Directory locales a la nube, lo que
permite a los usuarios utilizar su cuenta de organización principal para iniciar sesión no
solo en sus dispositivos unidos a un dominio y recursos de la empresa, sino también en
todas las aplicaciones web y SaaS necesarias para su trabajo.
Los usuarios no solo no tienen que administrar varios conjuntos de nombres de usuario
y contraseñas, sino que se puede aprovisionar o desaprovisionar el acceso a las
aplicaciones automáticamente en función de los grupos de la organización y de su
estado de empleado. Microsoft Entra ID introduce controles de gobernanza de acceso y
seguridad con los que puede administrar de forma centralizada el acceso de los
usuarios a través de aplicaciones SaaS.
Más información:
Proxy inverso
El proxy de aplicación de Microsoft Entra permite publicar aplicaciones locales (como
sitios de SharePoint , Outlook Web App y aplicaciones basadas en IIS ) en la red
privada y proporciona un acceso seguro a los usuarios externos a la red.
Application Proxy ofrece acceso remoto y SSO para muchos tipos de aplicaciones web
locales, junto con las miles de aplicaciones SaaS que Microsoft Entra ID admite. Los
empleados pueden iniciar sesión en sus aplicaciones desde casa, en sus propios
dispositivos, y autenticarse a través de este proxy basado en la nube.
Más información:
Autenticación multifactor
La autenticación multifactor de Microsoft Entra es un método de autenticación que
requiere el uso de más de un método de verificación y que agrega una segunda capa de
seguridad crítica a las transacciones y los inicios de sesión del usuario. La autenticación
multifactor ayuda a proteger el acceso a los datos y las aplicaciones, a la vez que
satisface la demanda de usuarios para un proceso de inicio de sesión sencillo.
Proporciona autenticación sólida mediante diversas opciones de verificación: llamadas
telefónicas, mensajes de texto, notificaciones de aplicaciones móviles, códigos de
verificación y tokens OAuth de terceros.
Azure RBAC
RBAC de Azure es un sistema de autorización basado en Azure Resource Manager que
proporciona administración pormenorizada del acceso a los recursos de Azure. RBAC de
Azure permite controlar de forma pormenorizada el nivel de acceso que tienen los
usuarios. Por ejemplo, puede limitar a un usuario para que solo administre redes
virtuales y otro usuario para que administre todos los recursos de un grupo de recursos.
Azure incluye varios roles integrados que puede usar. A continuación se enumeran
cuatros roles integrados fundamentales. Los tres primeros se aplican a todos los tipos
de recursos.
Propietario: tiene acceso total a todos los recursos, incluido el derecho a delegar
este acceso a otros.
Colaborador: puede crear y administrar todos los tipos de recursos de Azure, pero
no puede conceder acceso a otros.
Lector: puede ver los recursos existentes de Azure.
Administrador de acceso de usuario: permite administrar el acceso de los usuarios
a los recursos de Azure.
Más información:
El uso de Azure AD B2C permite a los consumidores registrarse en las aplicaciones con
sus cuentas de redes sociales existentes (Facebook, Google, Amazon, LinkedIn) o
creando unas credenciales (dirección de correo electrónico y contraseña o nombre de
usuario y contraseña).
Más información:
Registro de dispositivos
El registro de dispositivos de Microsoft Entra es la base de los escenarios de acceso
condicional basado en dispositivos. Cuando se registra un dispositivo, el Registro de
dispositivos de Microsoft Entra le proporciona una identidad que se utiliza para
autenticar el dispositivo cuando el usuario inicia sesión. El dispositivo autenticado y los
atributos del dispositivo pueden utilizarse para aplicar directivas de acceso condicional
tanto a las aplicaciones que se hospedan en la nube como en el entorno local.
Más información:
Introducción del registro de dispositivos de Microsoft Entra
Registro automático de dispositivos en Microsoft Entra ID para dispositivos
Windows unidos a un dominio
En ocasiones, los usuarios tienen que realizar operaciones con privilegios en recursos de
Azure o Microsoft 365, o bien en otras aplicaciones SaaS. Esta necesidad suele acarrear
que las organizaciones tienen que dar a los usuarios acceso con privilegios permanente
en Microsoft Entra ID. Este acceso es un riesgo de seguridad cada vez mayor para los
recursos hospedados en la nube, ya que las organizaciones no pueden supervisar
suficientemente lo que los usuarios hacen con sus privilegios de administrador. Además,
si una cuenta de usuario con acceso privilegiado se ve comprometida, esa vulneración
podría afectar a la seguridad global de la organización en la nube. Microsoft Entra
Privileged Identity Management le ayuda a mitigar este riesgo.
Más información:
Protección de identidad
Microsoft Entra ID Protection es un servicio de seguridad que proporciona una vista
consolidada de las detecciones de riesgo y las vulnerabilidades potenciales que afectan
a las identidades de su organización. Identity Protection aprovecha las funcionalidades
de detección de anomalías de Microsoft Entra existentes, que están disponibles a través
de los informes de actividades anómalas de Microsoft Entra. Identity Protection también
incluye nuevos tipos de detección de riesgo que pueden detectar anomalías en tiempo
real.
Synchronization
Integración de federación y AD FS
Autenticación de paso a través
Supervisión del estado
Más información:
Este artículo se escribió con el fin de proporcionar una guía general para obtener una
postura de seguridad más sólida después de la implementación guiada por nuestra lista
de comprobación "Cinco pasos para asegurar su infraestructura de identidad", que le
guía por los servicios y características principales.
Las opiniones y las tecnologías cambian con el tiempo, por lo que se actualizará de
forma periódica para reflejar esos cambios.
Procedimiento recomendado: integrar los directorios locales con Microsoft Entra ID.
Detalle: use Microsoft Entra Connect para sincronizar el directorio local con el directorio
en la nube.
7 Nota
Aunque decida usar la federación con Servicios de federación de Active Directory (AD
FS) u otros proveedores de identidades, si quiere, puede configurar la sincronización de
hashes de contraseñas para tener una opción alternativa si los servidores locales sufren
un error o dejan de estar disponibles temporalmente. Esta sincronización permite que
los usuarios inicien sesión en el servicio con la misma contraseña que usan para iniciar
sesión en su instancia local de Active Directory. También permite que Identity Protection
detecte las credenciales que están en peligro mediante la comparación de los hash de
contraseña sincronizados con contraseñas que se sepa que están en peligro, si un
usuario ha usado su misma dirección de correo electrónico y contraseña en otros
servicios que no estén conectados a Microsoft Entra ID.
Las organizaciones que no integren la identidad del entorno local con la identidad en la
nube pueden tener mayor sobrecarga para administrar cuentas. Esta sobrecarga
aumenta la probabilidad de que haya errores e infracciones de seguridad.
7 Nota
Debe elegir en qué directorios van a residir las cuentas críticas y si la estación de
trabajo de administración empleada se administra mediante servicios en la nube
nuevos o mediante procesos ya existentes. Usar los procesos de aprovisionamiento
de identidades y administración existentes puede reducir algunos riesgos, pero
también puede crear el riesgo de que un atacante ponga en peligro una cuenta
local y pase a la nube. Es posible que desee usar una estrategia diferente para
distintos roles (por ejemplo, administradores de TI frente a administradores de
unidades de negocio). Tiene dos opciones. La primera opción es crear cuentas de
Microsoft Entra que no estén sincronizadas con la instancia local de Active
Directory. Una su estación de trabajo de administración a Microsoft Entra ID, que se
puede administrar y donde se pueden aplicar revisiones mediante Microsoft Intune.
La segunda consiste en usar cuentas de administrador existentes mediante la
sincronización de la instancia de Active Directory local. Use estaciones de trabajo
existentes en el dominio de Active Directory para la administración y seguridad.
Mediante el uso de la misma solución de identidad para todas las aplicaciones y los
recursos, podrá disfrutar del SSO. Además, los usuarios podrán usar el mismo conjunto
de credenciales para iniciar sesión y acceder a los recursos que necesitan, con
independencia de dónde se ubiquen estos recursos, tanto si es en el entorno local como
en la nube.
Use el SSO para permitir que los usuarios accedan a sus aplicaciones SaaS en función de
su cuenta profesional o educativa en Microsoft Entra ID. Esto no solo es aplicable a las
aplicaciones para SaaS de Microsoft, sino también a otras aplicaciones, como Google
Apps y Salesforce. Puede configurar su aplicación de modo que use Microsoft Entra ID
como un proveedor de identidades basado en SAML. Como control de seguridad,
Microsoft Entra ID no emite ningún token que permita a los usuarios iniciar sesión en la
aplicación, a menos que se les conceda acceso mediante Microsoft Entra ID. Puede
concederles acceso directamente o a través de un grupo al cual pertenezcan.
Las organizaciones que no crean ninguna identidad común para establecer el SSO para
sus usuarios y aplicaciones están más expuestas a escenarios donde los usuarios tienen
varias contraseñas. Estos escenarios aumentan la probabilidad de que los usuarios
reutilicen las contraseñas o usen contraseñas débiles.
Habilitación de la administración de
contraseñas
Si tiene varios inquilinos o quiere permitir que los usuarios restablezcan su propia
contraseña , es importante utilizar directivas de seguridad adecuadas para evitar un
uso inadecuado.
Existen varias opciones para exigir la verificación en dos pasos. La mejor opción para
usted depende de sus objetivos, la edición de Microsoft Entra que ejecuta y su
programa de licencias. Consulte Exigencia de verificación en dos pasos para un usuario
para determinar la mejor opción para usted. Puede encontrar más información sobre
licencias y precios en las páginas de precios de Microsoft Entra ID y la autenticación
multifactor de Microsoft Entra .
Este método está disponible para todos los niveles de licencia, pero no se puede
mezclar con las directivas de acceso condicional existentes. Puede encontrar más
información en los Valores predeterminados de seguridad de Microsoft Entra.
Esta es la forma más flexible de habilitar la verificación en dos pasos para los usuarios.
La habilitación de la directiva de acceso condicional solo funciona con la autenticación
multifactor de Microsoft Entra en la nube y es una característica premium de Microsoft
Entra ID. Puede encontrar más información sobre este método en Implementación de la
autenticación multifactor de Microsoft Entra en la nube.
7 Nota
Puede usar Azure RBAC para asignar permisos a los usuarios, los grupos y las
aplicaciones en un ámbito determinado. El ámbito de una asignación de roles puede ser
una suscripción, un grupo de recursos o un único recurso.
7 Nota
Es posible que las organizaciones que no apliquen el control de acceso a los datos
mediante el uso de funcionalidades como Azure RBAC estén concediendo más
privilegios de los necesarios a sus usuarios. Esto puede poner en peligro los datos al
permitir que los usuarios accedan a tipos de datos (por ejemplo, aquellos que son
críticos para la empresa) a los que no deberían tener acceso.
Las cuentas con privilegios son cuentas que administran los sistemas de TI. Estas
cuentas son el objetivo de los ciberatacantes, ya que les proporcionan acceso a los
datos y los sistemas de una organización. Para proteger el acceso con privilegios, debe
aislar las cuentas y los sistemas del riesgo de exposición a usuarios malintencionados.
Recomendamos el desarrollo y seguimiento de una hoja de ruta a fin de proteger el
acceso con privilegios de los ciberatacantes. Para obtener información acerca de cómo
crear una hoja de ruta detallada para proteger las identidades y el acceso que se
administran o notifican en Microsoft Entra ID, Microsoft Azure, Microsoft 365 y otros
servicios en la nube, revise el artículo Protección del acceso con privilegios para las
implementaciones híbridas y en la nube en Microsoft Entra ID.
Evalúe las cuentas que están asignadas al rol de administrador global o que son aptas
para él. Si no ve que ninguna cuenta que se use solo en la nube mediante el dominio
*.onmicrosoft.com (destinado al acceso de emergencia), créelas. Para obtener más
Requiera la autenticación multifactor a los usuarios de todos los roles con privilegios, así
como a los usuarios expuestos.
Puede usar Azure Resource Manager para crear directivas de seguridad cuyas
definiciones describan las acciones o los recursos que se deniegan específicamente. Esas
definiciones de directivas se asignan en el ámbito deseado, como la suscripción, el
grupo de recursos o un recurso individual.
7 Nota
Las directivas de seguridad no son lo mismo que Azure RBAC. En realidad, usan
Azure RBAC para autorizar a los usuarios la creación de estos recursos.
Las organizaciones que no controlan cómo se crean los recursos son más susceptibles a
que los usuarios puedan hacer un mal uso del servicio y crear más recursos de los
necesarios. Dificultar el proceso de creación de recursos es un paso importante para
proteger escenarios en los que intervienen varios inquilinos.
Detalle: use los informes de anomalías de Microsoft Entra ID P1 o P2. Contar con
procesos y procedimientos implementados para que los administradores de TI ejecuten
dichos informes diariamente o a petición (normalmente en un escenario de respuesta a
incidentes).
Paso siguiente
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más
procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.
Cinco pasos para asegurar su
infraestructura de identidad
Artículo • 26/10/2023
Este documento ayudará a conseguir una posición más segura gracias a las
funcionalidades de Microsoft Entra ID; para ello, deberá usar una lista de comprobación
de cinco pasos para mejorar la protección de su organización frente a los ciberataques.
7 Nota
Muchas de las recomendaciones de este documento solo son válidas para aquellas
aplicaciones que estén configuradas para usar Microsoft Entra ID como proveedor
de identidades. La configuración de aplicaciones para el inicio de sesión único
garantiza las ventajas que ofrecen las políticas de credenciales, la detección de
amenazas, la auditoría, el registro y otras características que se agregan a esas
aplicaciones. Administración de aplicaciones de Microsoft Entra es la base sobre
la que se establecen todas estas recomendaciones.
7 Nota
Para más información sobre cómo usar el acceso condicional para las acciones de
usuario y las aplicaciones en la nube, vea Acceso condicional: aplicaciones, acciones y
contexto de autenticación en la nube.
Los roles con privilegios de Microsoft Entra ID deben ser cuentas solo en la nube para
aislarlos de cualquier entorno local y no se deben usar almacenes de contraseñas locales
para almacenar las credenciales.
Habilite Microsoft Entra PIM, consulte a qué usuarios se les asignaron roles
administrativos y elimine las cuentas innecesarias de esos roles. En cuanto a los usuarios
con privilegios restantes, cambie su estado de "permanentes" a "válidos". Finalmente,
establezca las directivas apropiadas para asegurarse de que, cuando necesiten obtener
acceso a esos roles con privilegios, puedan hacerlo de forma segura con el control de
cambios necesario.
El control de rol de Microsoft Entra accede a recursos de Microsoft Entra como los
usuarios, los grupos y las aplicaciones con Microsoft Graph API
El control de rol de Azure accede a recursos de Azure como las máquinas virtuales
o el almacenamiento mediante Azure Resource Manager.
Ambos sistemas contienen definiciones de rol y asignaciones de roles que se usan igual.
Sin embargo, los permisos de rol de Microsoft Entra no se pueden usar en los roles
personalizados de Azure ni viceversa. Como parte del proceso de implementación de la
cuenta con privilegios, siga los procedimientos recomendados para crear al menos dos
cuentas de emergencia y así asegurarse de que aún tiene acceso a Microsoft Entra ID si
se bloquea su cuenta.
Asegúrese de que los usuarios pueden solicitar la aprobación del administrador para las
nuevas aplicaciones a fin de reducir la fricción del usuario, minimizar el volumen de
soporte técnico y evitar que los usuarios se registren en las aplicaciones con
credenciales que no sean de Microsoft Entra. Una vez que haya regulado las
operaciones de consentimiento, los administradores deben auditar los permisos de
aplicación y consentimiento con regularidad.
Obtén más información aquí: ¿Qué es el aprovisionamiento con Microsoft Entra ID?
Resumen
Existen muchos aspectos en una infraestructura de identidad segura, pero esta lista de
comprobación de cinco pasos le ayudará a lograr rápidamente una infraestructura de
identidad segura:
Pasos siguientes
Si necesita ayuda para planificar e implementar las recomendaciones, consulte los
planes de implementación del proyecto de Microsoft Entra ID para obtener ayuda.
Si está seguro de que se han completado todos estos pasos, use la puntuación de
seguridad de la identidad de Microsoft, que le permitirá mantenerse al día con los
últimos procedimientos recomendados y las amenazas de seguridad.
Opciones de autenticación sin
contraseña para Microsoft Entra ID
Artículo • 11/11/2023
En los pasos siguientes se muestra cómo funciona el proceso de inicio de sesión con
Microsoft Entra ID:
1. Un usuario inicia sesión en Windows mediante gestos de PIN o de información
biométrica. El gesto desbloquea la clave privada de Windows Hello para empresas
y se envía al proveedor de compatibilidad para seguridad de la autenticación en la
nube, conocido como el proveedor de punto de acceso de nube.
2. El proveedor de Cloud AP solicita una clave nonce (un número arbitrario aleatorio
que se puede usar una sola vez) de Microsoft Entra ID.
3. Microsoft Entra ID devuelve una clave nonce que es válida durante 5 minutos.
4. El proveedor de Cloud AP firma la clave nonce con la clave privada del usuario y
devuelve la clave nonce firmada a Microsoft Entra ID.
5. Microsoft Entra ID valida la clave nonce firmada con la clave pública del usuario
registrada de forma segura en la firma de la clave nonce. Después de validar la
firma, Microsoft Entra ID valida la clave nonce firmada que se ha devuelto. Tras
validar la clave nonce, Microsoft Entra ID crea un token de actualización principal
(PRT) con la clave de sesión que se ha cifrado con la clave de transporte del
dispositivo y lo devuelve al proveedor de Cloud AP.
6. El proveedor de CloudAP recibe el PRT cifrado con la clave de sesión. El proveedor
de punto de acceso a la nube utiliza la clave de transporte privada del dispositivo
para descifrar la clave de sesión y la protege mediante el Módulo de plataforma
segura (TPM) del dispositivo.
7. El proveedor de acceso de punto de nube devuelve una respuesta de autenticación
correcta a Windows. Después, el usuario puede acceder a Windows, así como a las
aplicaciones locales y en la nube sin necesidad de autenticarse de nuevo (SSO).
La guía de planeamiento de Windows Hello para empresas se puede usar para ayudarle
a tomar decisiones sobre el tipo de implementación y las opciones que es necesario
tener en cuenta.
Microsoft Authenticator
También puede permitir que el teléfono del empleado se convierta en un método de
autenticación sin contraseña. Es posible que ya esté usando la aplicación
Microsoft Authenticator como una opción cómoda de autenticación multifactor, además
de una contraseña. También puede usar la aplicación Authenticator como una opción
sin contraseña.
La aplicación Authenticator convierte cualquier teléfono Android o iOS en una
credencial segura sin contraseña. Los usuarios pueden iniciar sesión en cualquier
plataforma o explorador con este proceso: reciben una notificación en su teléfono,
comprueban que el número mostrado en la pantalla coincide con el de su teléfono y, a
continuación, usan datos biométricos (reconocimiento táctil o facial) o el PIN para
confirmarlo. Consulte Descarga e instalación de Microsoft Authenticator para conocer
los detalles de la instalación.
Las claves de seguridad FIDO2 son un método de autenticación sin contraseña basado
en estándares que no permite la suplantación de identidad y que puede venir en
cualquier factor de forma. Fast Identity Online (FIDO) es un estándar abierto para la
autenticación sin contraseña. FIDO permite a los usuarios y a las organizaciones
aprovechar el estándar para iniciar sesión en sus recursos sin un nombre de usuario o
una contraseña mediante una clave de seguridad externa o una clave de plataforma
integrada en un dispositivo.
Los usuarios pueden registrarse y luego seleccionar una llave de seguridad de FIDO2 en
la interfaz de inicio de sesión como medio principal de autenticación. Estas llaves de
seguridad de FIDO2 suelen ser dispositivos USB, pero también pueden usar Bluetooth o
NFC. Con un dispositivo de hardware que controla la autenticación, se aumenta la
seguridad de una cuenta, ya que no hay ninguna contraseña que pueda quedar
expuesta ni adivinarse.
Las claves de seguridad FIDO2 se pueden usar para iniciar sesión en dispositivos
Windows 10 unidos a Microsoft Entra ID o Microsoft Entra híbrido y lograr el inicio de
sesión único en sus recursos de nube y locales. Los usuarios también pueden iniciar
sesión en exploradores compatibles. Las claves de seguridad FIDO2 son una excelente
opción para las empresas que son muy conscientes de la seguridad o tienen escenarios
o empleados que no quieren o no pueden usar su teléfono como un segundo factor.
El proceso siguiente se utiliza cuando un usuario inicia sesión con una clave de
seguridad FIDO2:
1. El usuario conecta la clave de seguridad FIDO2 en su equipo.
2. Windows detecta la llave de seguridad FIDO2.
3. Windows envía una solicitud de autenticación.
4. Microsoft Entra ID devuelve una clave nonce.
5. El usuario realiza su gesto para desbloquear la clave privada almacenada en el
enclave seguro de la llave de seguridad FIDO2.
6. La llave de seguridad FIDO2 firma el valor nonce con la clave privada.
7. La solicitud del token de actualización principal (PRT) con la clave nonce firmada se
envía a Microsoft Entra ID.
8. Microsoft Entra ID comprueba la clave nonce firmada con la clave pública FIDO2.
9. Microsoft Entra ID devuelve el PRT para permitir el acceso a los recursos locales.
AuthenTrend
ACS
ATOS
Ciright
Composecure
Crayonic
Cryptnox
Ensurity
Excelsecu
Feitian
Fortinet
GoTrustID Inc.
HID
HIDEEZ
Hypersecu
Hypr
Identiv
Kensington
KONA I
NeoWave
Nymi
Octatco
OneSpan Inc.
Proveedor Biométrica USB NFC BLE
PONE Biometría
Precisión biométrica
RSA
Sentry
SmartDisplayer
Swissbit
Thales Group
Thetis
Token2 Switzerland
Token Ring
TrustKey Solutions
VinCSS
WiSECURE Technologies
Yubico
7 Nota
Para empezar a usar las claves de seguridad FIDO2, realice el procedimiento siguiente:
Ventajas Descripción
Escenarios admitidos
Se admiten los escenarios siguientes:
Escenarios admitidos
Se aplican las siguientes consideraciones:
Escenarios no admitidos
Recomendamos no más de 20 conjuntos de claves para cada método sin contraseña
para cualquier cuenta de usuario. A medida que se agregan más claves, el tamaño del
objeto de usuario aumenta, y es posible que note una degradación en algunas
operaciones. En ese caso, debe quitar las claves innecesarias. Para obtener más
información y los cmdlets de PowerShell para consultar y quitar claves, vea Uso del
módulo WHfBTools de PowerShell para limpiar claves huérfanas de Windows Hello para
empresas . El tema usa el parámetro opcional /UserPrincipalName para consultar solo
las claves de un usuario específico. Los permisos requeridos son para ejecutarse como
administrador o como el usuario especificado.
Cuando se usa PowerShell para crear un archivo con todas las claves existentes,
identifique cuidadosamente las claves que necesita conservar y quite esas filas del
archivo .csv. Después, use el archivo .csv modificado con PowerShell para eliminar las
claves restantes y reducir el recuento de claves de cuenta por debajo del límite.
Estos son algunos de los factores que se deben tener en cuenta al elegir la tecnología
sin contraseña de Microsoft:
Requisito Windows 10, versión 1809 Aplicación de Windows 10, versión 1903 o
previo o posterior autenticación posterior
Microsoft Entra ID Teléfono Microsoft Entra ID
(dispositivos iOS y
Android)
Experiencia Inicie sesión con un PIN o Inicio de sesión con Inicio de sesión con el
del usuario mediante reconocimiento un teléfono móvil dispositivo de seguridad
biométrico (facial, iris o con la huella digital, FIDO2 (información
huella digital) con el reconocimiento biométrica, PIN y NFC)
dispositivos Windows. facial o del iris, o El usuario puede acceder al
La autenticación de bien con un PIN. dispositivo según los
Windows Hello está Los usuarios inician controles de la organización
vinculada al dispositivo; el sesión en su cuenta y autenticarse con un PIN,
usuario necesita el profesional o información biométrica
dispositivo y un personal desde su mediante dispositivos como
componente de inicio de PC o teléfono móvil. llaves de seguridad USB, y
sesión, como un PIN o un por medio de tarjetas
factor biométrico, para inteligentes, llaves o
acceder a los recursos dispositivos ponibles
corporativos. habilitados para NFC.
Use la tabla siguiente para elegir qué método será más adecuado para sus requisitos y
usuarios.
Pasos siguientes
Para empezar a trabajar sin contraseñas en Microsoft Entra ID, siga uno de los artículos
con procedimientos:
Habilitar el inicio de sesión con clave de seguridad FIDO2 sin contraseña
Habilitación del inicio de sesión sin contraseña mediante el teléfono con la
aplicación Authenticator
Vínculos externos
FIDO Alliance
Especificación FIDO2 CTAP
Comentarios
¿Le ha resultado útil esta página? Sí No
ノ Expandir tabla
Definiciones
ノ Expandir tabla
Términos Definición
Autenticación Proceso que comprueba que una identidad es quién o lo que dice que es.
(AuthN)
Autorización Proceso que comprueba si una identidad tiene permiso para realizar una
Términos Definición
Identidad del Una identidad definida para los recursos en la nube administrados por la
recurso plataforma.
Rol Conjunto de permisos que definen lo que un usuario o grupo puede hacer.
Entidad de Una identidad que proporciona permisos. Puede ser un usuario, un grupo
seguridad o una entidad de servicio. Los miembros del grupo obtienen el mismo
nivel de acceso.
Identidad del Una identidad para una persona, como un empleado o un usuario externo.
usuario
Identidad de carga Una identidad del sistema para una aplicación, servicio, script, contenedor
de trabajo u otro componente de una carga de trabajo que se usa para autenticarse
en otros servicios y recursos.
7 Nota
Autenticación
La autenticación es un proceso que comprueba las identidades. La identidad solicitante
es necesaria para proporcionar alguna forma de identificación verificable. Por ejemplo:
Un secreto previamente compartido, como una clave de API que concede acceso.
Authorization
La autorización requiere que asigne permisos a las identidades, que debe hacer
mediante la funcionalidad proporcionada por el IdP.
Cada caso de uso probablemente tendrá su propio conjunto de controles que necesita
para diseñar con una mentalidad de supuesto incumplimiento. En función de los
requisitos de identidad del caso de uso o de los roles, identifique las opciones
condicionales. Evite usar una solución para todos los casos de uso. Por el contrario, los
controles no deben ser tan granulares que introduzca una sobrecarga de administración
innecesaria.
Debe registrar la ruta de acceso a la identidad. Esto ayuda a validar los controles y
puede usar los registros para las auditorías de cumplimiento.
Acceso de dentro hacia fuera. La aplicación tendrá que acceder a otros recursos.
Por ejemplo, leer o escribir en la plataforma de datos, recuperar secretos del
almacén de secretos y registrar telemetría en los servicios de supervisión. Incluso
podría necesitar acceder a servicios de terceros. Estas necesidades de acceso
requieren identidad de carga de trabajo, lo que permite que la aplicación se
autentique en los demás recursos.
Acceso al plano de datos. Las acciones que tienen lugar en el plano de datos
provocan la transferencia de datos para el acceso dentro o fuera. Por ejemplo, una
aplicación que lee datos de una base de datos y escribe datos en una base de
datos, captura secretos o escribe registros en un receptor de supervisión. En el
nivel de componente, el proceso que extrae o inserta imágenes hacia o desde un
registro se considera operaciones del plano de datos.
Acceso al plano de control. Las acciones que tienen lugar en el plano de control
hacen que se cree, modifique o elimine un recurso de Azure. Por ejemplo, los
cambios en las propiedades de los recursos.
Las aplicaciones suelen tener como destino las operaciones del plano de datos, mientras
que las operaciones suelen tener acceso tanto al control como a los planos de datos.
Para identificar las necesidades de autorización, tenga en cuenta las acciones operativas
que se pueden realizar en el recurso. Para obtener información sobre las acciones
permitidas para cada recurso, consulte Operaciones del proveedor de recursos de Azure.
Proporcionar autorización basada en roles
En función de la responsabilidad de cada identidad, autorice las acciones que se deben
permitir. No se debe permitir que una identidad haga más de lo que necesita. Antes
de establecer reglas de autorización, debe tener un conocimiento claro de quién o qué
está realizando solicitudes, qué rol puede hacer y en qué medida puede hacerlo. Esos
factores conducen a opciones que combinan identidad, rol y ámbito.
Considere una identidad de carga de trabajo como ejemplo. La aplicación debe tener
acceso al plano de datos a la base de datos, por lo que se deben permitir acciones de
lectura y escritura en el recurso de datos. Sin embargo, ¿la aplicación necesita acceso
del plano de control al almacén de secretos? Si la identidad de la carga de trabajo se ve
comprometida por un actor incorrecto, ¿cuál sería el impacto en el sistema, en términos
de confidencialidad, integridad y disponibilidad?
Asignación de roles
Un rol es un conjunto de permisos asignados a una identidad. Asigne roles que solo
permitan que la identidad complete la tarea y no más. Cuando los permisos del usuario
están restringidos a sus requisitos de trabajo, es más fácil identificar comportamientos
sospechosos o no autorizados en el sistema.
Limitar el nivel de acceso que los usuarios, las aplicaciones o los servicios tienen a los
recursos de Azure reducen la posible superficie expuesta a ataques. Si concede solo
los permisos mínimos necesarios para realizar tareas específicas, se reduce
significativamente el riesgo de un ataque correcto o acceso no autorizado. Por ejemplo,
los equipos de seguridad solo necesitan acceso de solo lectura a los atributos de
seguridad para todos los entornos técnicos. Ese nivel es suficiente para evaluar los
factores de riesgo, identificar posibles mitigaciones e informar sobre los riesgos.
Hay escenarios en los que los usuarios necesitan más acceso debido a la estructura
organizativa y a la organización del equipo. Es posible que haya una superposición entre
varios roles o que los usuarios individuales puedan realizar varios roles estándar. En este
caso, use varias asignaciones de roles basadas en la función empresarial en lugar de
crear un rol personalizado para cada uno de estos usuarios. Al hacerlo, los roles son más
fáciles de administrar.
Evite permisos que hagan referencia específicamente a usuarios o recursos
individuales. Los permisos granulares y personalizados crean complejidad y confusión
porque no pasan la intención a los nuevos recursos similares. Esto puede crear una
configuración heredada compleja que sea difícil de mantener y afectar negativamente
tanto a la seguridad como a la confiabilidad.
Puede asignar roles a identidades mediante el control de acceso basado en rol (RBAC).
Use siempre RBAC proporcionado por IdP para aprovechar las características que le
permiten aplicar el control de acceso de forma coherente y revocarlo rigurosamente.
Use roles integrados. Están diseñados para cubrir la mayoría de los casos de uso. Los
roles personalizados son eficaces y a veces útiles, pero debe reservarlos para escenarios
en los que los roles integrados no funcionarán. La personalización conduce a la
complejidad que aumenta la confusión y hace que la automatización sea más compleja,
desafiante y frágil. Todos estos factores afectan negativamente a la seguridad.
Conceda roles que comiencen con privilegios mínimos y agreguen más en función de
sus necesidades operativas o de acceso a datos. Los equipos técnicos deben tener
instrucciones claras para implementar permisos.
Los enfoques Just-In-Time (JIT) proporcionan los privilegios necesarios solo cuando
son necesarios.
Aunque el tiempo y los privilegios son los factores principales, existen otras condiciones
que se aplican. Por ejemplo, también puede usar el dispositivo, la red y la ubicación
desde los que se originó el acceso para establecer directivas.
Por ejemplo, es posible que sea necesario tener acceso a la carga de trabajo mediante
identidades de terceros, como proveedores, asociados y clientes. Necesitan el nivel de
acceso adecuado en lugar de los permisos predeterminados que proporcione a los
empleados a tiempo completo. La diferenciación clara de las cuentas externas facilita la
prevención y detección de ataques procedentes de estos vectores.
Evite el acceso permanente o permanente mediante las características JIT del IdP.
Para situaciones de emergencia, siga un proceso de acceso de emergencia.
Use una única identidad entre entornos y asocie una única identidad con el usuario o la
entidad de seguridad. La coherencia de las identidades en entornos locales y en la nube
reduce los errores humanos y los riesgos de seguridad resultantes. Los equipos de
ambos entornos que administran recursos necesitan un origen coherente y autoritativo
para satisfacer las garantías de seguridad. Trabaje con el equipo de identidad central
para asegurarse de que las identidades de entornos híbridos estén sincronizadas.
Esta guía se aplica al control de código fuente, los datos, los planos de control, los
usuarios de carga de trabajo, la infraestructura, las herramientas, la supervisión de datos,
registros, métricas y otras entidades.
La mayoría de los recursos tienen acceso al plano de datos. Debe conocer las
identidades que acceden a los recursos y las acciones que realizan. Puede usar esa
información para el diagnóstico de seguridad.
Facilitación de Azure
Se recomienda usar siempre protocolos de autenticación modernos que tengan en
cuenta todos los puntos de datos disponibles y usen el acceso condicional. Microsoft
Entra id. proporciona administración de identidades y acceso en Azure. Abarca el
plano de administración de Azure y se integra con los planos de datos de la mayoría de
los servicios de Azure. Microsoft Entra identificador es el inquilino asociado a la
suscripción de carga de trabajo. Realiza un seguimiento y administra las identidades y
sus permisos permitidos y simplifica la administración general para minimizar el riesgo
de supervisión o error humano.
Azure admite protocolos abiertos como OAuth2 y OpenID Connect. Se recomienda usar
estos mecanismos de autenticación y autorización estándar en lugar de diseñar sus
propios flujos.
Azure RBAC
RBAC de Azure representa entidades de seguridad en Microsoft Entra id. Todas las
asignaciones de roles se realizan a través de RBAC de Azure. Aproveche las ventajas de
los roles integrados que proporcionan la mayoría de los permisos que necesita. Para
obtener más información, consulte Roles integrados de Microsoft Entra.
Al asignar usuarios a roles, puede controlar el acceso a los recursos de Azure. Para
obtener más información, consulte Información general sobre el control de acceso
basado en rol en Microsoft Entra id.
Para más información sobre RBAC, consulte Procedimientos recomendados para RBAC
de Azure.
Para obtener información sobre los controles basados en atributos, consulte ¿Qué es
Azure ABAC?.
Para más información, consulte ¿Qué son las identidades de carga de trabajo?.
Para obtener más información, consulte Protección del control de acceso mediante
grupos en Microsoft Entra id.
Detección de amenazas
Protección de Microsoft Entra ID puede ayudarle a detectar, investigar y corregir los
riesgos basados en identidades. Para más información, consulte ¿Qué es Identity
Protection?.
Sistemas híbridos
En Azure, no sincronice las cuentas con Microsoft Entra identificador que tengan
privilegios elevados en la instancia de Active Directory existente. Esta sincronización se
bloquea en la configuración predeterminada de Microsoft Entra Connect Sync, por lo
que solo tiene que confirmar que no ha personalizado esta configuración.
Registro de identidades
Habilite la configuración de diagnóstico en los recursos de Azure para emitir
información que puede usar como pista de auditoría. La información de diagnóstico
muestra qué identidades intentan acceder a qué recursos y el resultado de esos
intentos. Los registros recopilados se envían a Azure Monitor.
Compensación: el registro conlleva costos debido al almacenamiento de datos
que se usa para almacenar los registros. También puede provocar un impacto en el
rendimiento, especialmente en el código y en las soluciones de registro que
agregue a la aplicación.
Ejemplo
En el ejemplo siguiente se muestra una implementación de identidad. Los distintos tipos
de identidades se usan juntos para proporcionar los niveles de acceso necesarios.
Componentes de identidad
Identidades administradas por el sistema. Microsoft Entra id. proporciona acceso
a los planos de datos de servicio que no se enfrentan a los usuarios, como Azure
Key Vault y almacenes de datos. Estas identidades también controlan el acceso, a
través de RBAC, al plano de administración de Azure para los componentes de
carga de trabajo, los agentes de implementación y los miembros del equipo.
Identidades de la carga de trabajo. Los servicios de aplicación del clúster de Azure
Kubernetes Service (AKS) usan identidades de carga de trabajo para autenticarse
en otros componentes de la solución.
Identidades administradas. Los componentes del sistema del rol de cliente usan
identidades administradas por el sistema, incluidos los agentes de compilación.
Se usa un mecanismo de rotación para ayudar a garantizar que los secretos no estén en
peligro. Los tokens para la implementación de Plataforma de identidad de Microsoft de
OAuth 2 y OpenID Connect se usan para autenticar a los usuarios.
Azure Policy se usa para asegurarse de que los componentes de identidad como Key
Vault usar RBAC en lugar de directivas de acceso. JIT y JEA proporcionan permisos
permanentes tradicionales para los operadores humanos.
Vínculos relacionados
Tutorial: Automatización de la rotación de un secreto para los recursos que tienen
dos conjuntos de credenciales de autenticación
Tutorial: Actualización de la frecuencia de rotación automática de certificados en
Key Vault
¿Qué novedades hay en Microsoft Entra ID?
Roles integrados de Microsoft Entra
Introducción al control de acceso basado en roles en Microsoft Entra ID
¿Qué son las identidades de carga de trabajo?
¿Qué son las identidades administradas de recursos de Azure?
Acceso condicional: usuarios, grupos e identidades de carga de trabajo
Microsoft Entra Connect Sync: Configuración del filtrado
En este artículo se explican algunas de las opciones que Azure ofrece en el área de la
seguridad de red. Puede obtener información acerca de:
Redes de Azure
Control de acceso de red
Azure Firewall
Protección del acceso remoto y la conectividad local
Disponibilidad
Resolución de nombres
Arquitectura de red perimetral (DMZ)
Azure DDoS Protection
Azure Front Door
Traffic Manager
Detección de amenazas y supervisión
7 Nota
Redes de Azure
Es necesario que las máquinas virtuales de Azure estén conectadas a una instancia de
Azure Virtual Network. Una red virtual es una construcción lógica creada encima del
tejido de red físico de Azure. Cada red virtual está aislada de todas las demás redes
virtuales. Esto contribuye a garantizar que otros clientes de Azure no puedan obtener
acceso al tráfico de red de sus implementaciones.
Más información:
7 Nota
Más información:
Más información:
Los puntos de conexión de servicio son otra forma de controlar el tráfico. Puede limitar
la comunicación con los servicios admitidos a únicamente las redes virtuales a través de
una conexión directa. El tráfico desde la red virtual al servicio de Azure especificado
permanece en la red troncal de Microsoft Azure.
Más información:
Por ejemplo, suponga que tiene un dispositivo de seguridad de red virtual en la red
virtual. Quiere asegurarse de que todo el tráfico que entra y sale de la red virtual pase
por el dispositivo de seguridad virtual. Para ello, puede configurar rutas definidas por el
usuario (UDR) en Azure.
Lo que no quiere es permitir que un servidor web front-end inicie una solicitud saliente.
Estas solicitudes pueden representar un riesgo para la seguridad porque estas
conexiones podrían usarse para descargar software malintencionado. Incluso si quiere
que estos servidores de front-end inicien solicitudes salientes a Internet, puede que
quiera obligarles a que pasen por los proxies web locales. Así podrá aprovechar las
ventajas del filtrado y el registro de direcciones URL.
En su lugar, y para evitar esto, querrá usar la tunelización forzada. Cuando se habilita la
tunelización forzada, todas las conexiones a Internet tienen que pasar a la fuerza por la
puerta de enlace local. Puede configurar la tunelización forzada aprovechando las rutas
que definió el usuario.
Más información:
Azure Firewall
Azure Firewall es un servicio de seguridad de firewall de red inteligente y nativo de la
nube que le proporciona la mejor protección contra amenazas para las cargas de
trabajo en la nube que se ejecutan en Azure. Se trata de un firewall como servicio con
estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin
restricciones. Asimismo, proporciona la opción de realizar la inspección del tráfico de
este a oeste y de norte a sur.
Azure Firewall se ofrece en tres SKU: Estándar, Prémium y Básico. Azure Firewall Estándar
proporciona fuentes de inteligencia sobre amenazas y filtrado L3-L7 directamente desde
Microsoft Cyber Security. Azure Firewall Premium proporciona funcionalidades
avanzadas que incluyen IDPS basados en firmas para permitir la detección rápida de
ataques mediante la búsqueda de patrones específicos. Azure Firewall Básico es una
SKU simplificada que proporciona el mismo nivel de seguridad que la SKU estándar,
pero sin las funcionalidades avanzadas.
Más información:
Las redes de Azure admiten los siguientes escenarios de acceso remoto seguro:
La conexión VPN de punto a sitio le permite configurar una conexión privada y segura
entre el usuario y la red virtual. Cuando se establece la conexión VPN, el usuario puede
aplicar el protocolo de RDP o SSH a través del vínculo VPN en cualquier máquina virtual
de la red virtual. (Se presupone que el usuario puede autenticarse y que está
autorizado). VPN de punto a sitio admite:
OpenVPN
Más información:
Configuración de una conexión punto a sitio a una red virtual mediante PowerShell
Una manera de lograr esto es usar una VPN de sitio a sitio. La diferencia entre una VPN
de sitio a sitio y una VPN de punto a sitio es que la última conecta un dispositivo a una
red virtual. Una VPN de sitio a sitio conecta toda una red (por ejemplo, una red local) a
una red virtual. Las VPN de sitio a sitio a una red virtual emplean el protocolo VPN de
modo de túnel IPsec de alta seguridad.
Más información:
Crear una red virtual con una conexión VPN de sitio a sitio mediante Azure Portal y
Azure Resource Manager
Acerca de VPN Gateway
Las organizaciones que necesitan el más alto nivel de seguridad y disponibilidad para
sus conexiones entre locales, suelen usar vínculos WAN dedicados para la conexión a
sitios remotos. Azure ofrece la posibilidad de usar un vínculo WAN dedicado que se
puede emplear para conectar la red local a una red virtual. Azure ExpressRoute,
ExpressRoute Direct y ExpressRoute Global Reach permiten esto.
Más información:
Una opción sería conectar los servicios en una red virtual con los servicios de otra
creando un "bucle de retroceso" a través de Internet. La conexión comienza en una red
virtual, pasa por Internet y vuelve a la red virtual de destino. Esta opción expone la
conexión a los problemas de seguridad inherentes a cualquier comunicación basada en
Internet.
Una opción mejor podría ser crear una VPN de sitio a sitio que se conecte entre dos
redes virtuales. Este método usa el mismo protocolo de modo de túnel IPSec que la
conexión VPN de sitio a sitio entre locales mencionada anteriormente.
La ventaja de esta opción, es que la conexión VPN se establece a través del tejido de red
de Azure y no mediante una conexión a través de Internet. Gracias a ello, tiene un nivel
adicional de seguridad en comparación con las VPN de sitio a sitio que se conectan a
través de Internet.
Más información:
Configuración de una conexión entre dos redes virtuales mediante Azure Resource
Manager y PowerShell
Disponibilidad
La disponibilidad es un componente clave de cualquier programa de seguridad. Si los
usuarios y los sistemas no pueden acceder a lo que necesitan a través de la red, el
servicio puede considerarse en peligro. Azure ofrece tecnologías de red que admiten los
siguientes mecanismos de alta disponibilidad:
Más información:
Más información:
En Azure, puede conseguir los beneficios del equilibrio de carga global mediante el
Administrador de tráfico de Azure.
Más información:
Resolución de nombres
La resolución de nombres es una función crítica para todos los servicios hospedados en
Azure. Desde una perspectiva de la seguridad, poner en peligro esta función puede dar
lugar a que un atacante redirija las solicitudes de sus sitios al sitio de dicho individuo.
Proteger la resolución de nombres es un requisito de todos los servicios hospedados en
la nube.
Resolución de nombres interna. Los servicios de las redes virtuales, las redes
locales o ambos usan esta opción. Los nombres que se usan para la resolución de
nombres interna no son accesibles a través de Internet. Para lograr una seguridad
óptima, es importante que el esquema de la resolución de nombres interna no sea
accesible a usuarios externos.
Resolución de nombres externa. La usan personas y dispositivos que se encuentran
fuera del alcance de las redes locales y virtuales. Son los nombres que son visibles
en Internet y que se usan para dirigir la conexión a los servicios basados en la
nube.
Un servidor DNS de red virtual. Cuando crea una nueva red virtual, se crea un
servidor DNS automáticamente. Este servidor DNS puede resolver los nombres de
las máquinas ubicadas en esa red virtual. Dicho servidor DNS no es configurable y
lo administra el administrador de tejido de Azure, por lo que puede ayudarle a
proteger la resolución de nombres.
Traiga su propio servidor DNS. Tiene la opción de colocar un servidor DNS de su
elección en una red virtual. Este podría ser un servidor DNS integrado de Active
Directory o una solución de servidor DNS dedicada que proporcione un socio de
Azure que puede obtener en Azure Marketplace.
Más información:
Más información:
Más información:
Más información:
La propia plataforma de Front Door se protege mediante una protección contra DDoS
de nivel de infraestructura de Azure. Para lograr una mayor protección, se puede
habilitar Azure DDoS Protección de red en las redes virtuales y proteger los recursos
contra ataques de nivel de red (TCP/UDP) a través de la optimización automática y la
mitigación. Front Door es un proxy inverso de nivel 7, solo permite que el tráfico web
pase a los servidores back-end y bloquea otros tipos de tráfico de forma
predeterminada.
7 Nota
Más información:
Más información:
Para obtener más información sobre Network Watcher y cómo comenzar a probar
algunas de las funcionalidades en los laboratorios, eche un vistazo a la introducción
sobre la supervisión de Azure Network Watcher.
7 Nota
Más información:
Más información:
Registro
El registro en el nivel de red es una función clave en cualquier escenario de seguridad
de red. En Azure, puede registrar la información obtenida de los grupos de seguridad de
red (NSG) a fin de obtener información del registro de nivel de red. Con el registro de
NSG, obtiene información de:
Registros de actividad. Use estos registros para ver todas las operaciones enviadas
a las suscripciones de Azure. Estos registros están habilitados de forma
predeterminada y se pueden ver en Azure Portal. Anteriormente se les llamaba
registros de "auditoría" o "registros operativos".
Registros de eventos. Estos registros proporcionan información sobre las reglas de
NSG que se aplicaron.
Registro de contadores. Estos registros le permiten saber cuántas veces se aplica
cada regla de NSG para denegar o permitir el tráfico.
También puede usar Microsoft Power BI, una eficaz herramienta de visualización de
datos, para ver y analizar estos registros. Más información:
Al usar grupos de seguridad de red para controlar el acceso a la red entre subredes,
puede establecer recursos que pertenezcan a la misma zona de seguridad o rol en sus
propias subredes.
Procedimiento recomendado: evitar el uso de redes virtuales y subredes pequeñas para
garantizar la simplicidad y la flexibilidad. Detalles: La mayoría de las organizaciones
agregan más recursos de lo planeado inicialmente, y volver a asignar direcciones
requiere un esfuerzo enorme. Si se usan subredes pequeñas, el valor de seguridad que
se obtiene es limitado, y asignar un grupo de seguridad de red a cada subred supone
una sobrecarga. Defina subredes amplias para asegurarse de que dispone de flexibilidad
para crecer.
Las redes deben evolucionar de las defensas tradicionales porque pueden ser
vulnerables a diversas infracciones: un atacante puede poner en peligro un único punto
de conexión dentro del límite de confianza y, tras ello, expandir rápidamente un punto
de apoyo en toda la red. Las redes de Confianza cero eliminan el concepto de
confianza según la ubicación de red dentro de un perímetro. En su lugar, las
arquitecturas de Confianza cero usan notificaciones de confianza de usuario y
dispositivo para obtener acceso a los datos y los recursos de la organización. En las
nuevas iniciativas, adopte métodos de Confianza cero que validen la confianza en el
momento del acceso.
Si bien las rutas del sistema predeterminadas son útiles para muchos escenarios de
implementación, habrá veces en las que preferirá personalizar la configuración de
enrutamiento para las implementaciones. Puede configurar la dirección del próximo
salto para que acceda a destinos específicos.
7 Nota
Las rutas definidas por el usuario no son necesarias, y las rutas del sistema
predeterminadas funcionan en la mayoría de lo casos.
Firewalls
Detección y prevención de intrusiones
Administración de vulnerabilidades
Control de aplicaciones
Detección de anomalías basadas en la red
Filtrado de web
Antivirus
Protección de redes de robots (botnets)
Para encontrar los dispositivos de seguridad de red virtual de Azure, vaya a Azure
Marketplace y búsquelos mediante las palabras clave "seguridad" y "seguridad de
red".
Las redes perimetrales son útiles porque permiten centrar la administración, supervisión,
registro y generación de informes sobre los dispositivos del control de acceso a la red
en el borde de la instancia de Azure Virtual Network. Una red perimetral es donde se
suelen habilitar la protección de denegación de servicio distribuido (DDoS), los sistemas
de detección y prevención de intrusiones (IDS/IPS), las reglas y directivas de firewall, el
filtrado web, el antimalware de la red, etc. Los dispositivos de seguridad de la red se
sitúan entre Internet y la instancia de Azure Virtual Network, y tienen una interfaz en
ambas redes.
Aunque este es el diseño básico de una red perimetral, existen muchos diseños
diferentes, como la configuración opuesta, el triple alojamiento o el múltiple
alojamiento.
VPN de sitio a sitio. Es una tecnología de confianza y bien establecida, pero que
realiza la conexión a través de Internet. Además, el ancho de banda está limitado a
un máximo de aproximadamente 1,25 Gbps. VPN de sitio a sitio es una opción
conveniente en algunos escenarios.
Azure ExpressRoute. se recomienda que use ExpressRoute para la conectividad
entre locales. ExpressRoute le permite ampliar sus redes locales en la nube de
Microsoft a través de una conexión privada que facilita un proveedor de
conectividad. Mediante ExpressRoute, se pueden establecer conexiones con
servicios en la nube de Microsoft, como Azure, Microsoft 365 y Dynamics 365.
ExpressRoute es un vínculo de WAN dedicada entre su ubicación local o un
proveedor de hospedaje de Microsoft Exchange. Al tratarse de una conexión de
telecomunicaciones, los datos no viajan a través de Internet y, por tanto, no se
exponen a los posibles riesgos inherentes a este tipo de comunicaciones.
Finalizar al margen del firewall (el paradigma de red perimetral). Use esta
recomendación si necesita tener visibilidad del tráfico, si tiene que seguir
realizando un procedimiento ya existente de aislamiento de los centros de datos o
si solamente va a colocar recursos de extranet en Azure.
Terminarlo dentro del firewall (paradigma de extensión de red). Esta es la
recomendación predeterminada. En todos los demás casos, se recomienda tratar
Azure como otro centro de datos.
Esta distribución del tráfico aumenta la disponibilidad, ya que si uno de los servidores
web deja de estar disponible, el equilibrio de carga deja de enviarle tráfico y lo redirige
a los servidores que aún están en línea. El equilibrio de carga también mejora el
rendimiento, ya que la sobrecarga del procesador, la red y la memoria para atender a las
solicitudes se distribuye entre todos los servidores con carga equilibrada.
Se recomienda usar el equilibrio de carga siempre que se pueda y, según sea adecuado
para los servicios. Estos son los escenarios en el nivel de Azure Virtual Network y el nivel
global, junto con las opciones de equilibrio de carga para cada uno.
Opción de equilibrio de carga: use Azure Portal para crear un equilibrador de carga
externo que distribuya las solicitudes entrantes entre varias máquinas virtuales para
proporcionar un mayor nivel de disponibilidad.
Escenario: tendrá que equilibrar la carga de las conexiones de las máquinas virtuales
que no estén en Internet. En la mayoría de los casos, los dispositivos se encargan de
iniciar en una instancia de Azure Virtual Network las conexiones que se aceptan para el
equilibrio de carga, como instancias de SQL Server o servidores web internos.
Opción de equilibrio de carga: use Azure Portal para crear un equilibrador de carga
interno que distribuya las solicitudes entrantes entre varias máquinas virtuales para
proporcionar un mayor nivel de disponibilidad.
Opción de equilibrio de carga: use Azure Traffic Manager. Traffic Manager le permite
equilibrar la carga de las conexiones a los servicios, en función de la ubicación del
usuario.
Por ejemplo, si el usuario realiza una solicitud a su servicio desde la Unión Europea, la
conexión se dirige a los servicios situados en un centro de datos de la Unión Europea.
Esta parte del equilibrio de carga global del Administrador de tráfico ayuda a mejorar el
rendimiento, ya que la conexión al centro de datos más cercano es más rápida que a los
centros de datos que están lejos.
Por este motivo, se recomienda deshabilitar el acceso directo de RDP y SSH a Azure
Virtual Machines desde Internet. Cuando se deshabilita el acceso directo de RDP y SSH
desde Internet, tiene otras opciones que puede utilizar para acceder a estas máquinas
virtuales y así administrarlas de forma remota.
Escenario: habilite una conexión de un solo usuario a una instancia de Azure Virtual
Network a través de Internet.
Opción: VPN de punto a sitio es otro término para una conexión cliente/servidor de
VPN con acceso remoto. Una vez establecida la conexión de punto a sitio, el usuario
podrá usar RDP o SSH para conectarse a cualquier máquina virtual situada en la
instancia de Azure Virtual Network a la que el usuario se conectó mediante la VPN de
punto a sitio. Con esto, se supone que el usuario tiene permiso para obtener acceso a
dichas máquinas virtuales.
La VPN de punto a sitio es más segura que las conexiones de RDP o SSH directas, ya
que el usuario tiene que autenticarse dos veces antes de conectarse a una máquina
virtual. En primer lugar, el usuario debe autenticarse (y ser autorizado) para poder
establecer la conexión VPN de punto a sitio. En segundo lugar, el usuario debe
autenticarse (y ser autorizado) para poder establecer la sesión RDP o SSH.
Escenario: permitir que los usuarios de la red local se conecten a máquinas virtuales en
Azure Virtual Network.
Opción: una VPN de sitio a sitio conecta toda una red a otra a través de Internet. Puede
usar una VPN de sitio a sitio para conectar su red local a una instancia de Azure Virtual
Network. Los usuarios de su red local se pueden conectar mediante el protocolo RDP o
SSH, a través de la conexión VPN de sitio a sitio. No debe permitir el acceso directo de
RDP o SSH a través de Internet.
Escenario: use un vínculo WAN dedicado para ofrecer una funcionalidad similar a la VPN
de sitio a sitio.
Opción: use ExpressRoute. Proporciona funcionalidades similares a la VPN de sitio a
sitio. Las principales diferencias son:
Seguridad mejorada para los recursos de servicio de Azure: Con Azure Private
Link, se pueden proteger los recursos del servicio de Azure para la red virtual
mediante puntos de conexión privados. Si protege los recursos del servicio para un
punto de conexión privado en una red virtual, mejorará la seguridad al quitar
totalmente el acceso público a través de Internet a estos recursos y al permitir el
tráfico solo desde el punto de conexión privado.
Acceso privado a recursos de servicios de Azure en la plataforma Azure: Conecte
la red virtual a los servicios de Azure con puntos de conexión privados. No es
necesario tener una dirección IP pública. La plataforma Private Link administrará la
conectividad entre el consumidor y los servicios a través de la red troncal de Azure.
Acceso desde redes locales y emparejadas: acceda a los servicios que se ejecutan
en Azure desde el entorno local a través del emparejamiento privado de
ExpressRoute, los túneles VPN y las redes virtuales emparejadas mediante puntos
de conexión privados. No es necesario configurar el emparejamiento de Microsoft
para ExpressRoute ni atravesar Internet para llegar hasta el servicio. Private Link
proporciona una manera segura de migrar cargas de trabajo a Azure.
Protección contra la pérdida de datos: un punto de conexión privado se asigna a
una instancia de un recurso de PaaS en lugar de al servicio entero. Los
consumidores solo pueden conectarse al recurso específico. Se bloquea el acceso a
cualquier otro recurso del servicio. Este mecanismo proporciona protección contra
los riesgos de pérdida de datos.
Alcance global: conéctese de forma privada a los servicios que se ejecutan en
otras regiones. La red virtual del consumidor puede estar en la región A y puede
conectarse a los servicios de la región B.
Sencillo de configurar y administrar: ya no necesita direcciones IP públicas y
reservadas en sus redes virtuales para proteger los recursos de Azure a través de
una dirección IP del firewall. No hay ningún dispositivo NAT o de puerta de enlace
necesario para configurar los puntos de conexión privados. Los puntos de
conexión privados se pueden configurar a través de un flujo de trabajo sencillo. En
el lado del servicio, también puede administrar las solicitudes de conexión en el
recurso del servicio de Azure con facilidad. Azure Private Link funciona también
para los consumidores y los servicios que pertenecen a distintos inquilinos de
Azure Active Directory.
Para obtener más información sobre los puntos de conexión privados y sobre los
servicios de Azure y las regiones para las que están disponibles los puntos de conexión
privados, consulte Azure Private Link.
Pasos siguientes
Consulte Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.
Procedimientos recomendados
fundamentales de Azure DDoS
Protection
Artículo • 06/10/2023
Para proteger un servicio que se ejecuta en Microsoft Azure, debe conocer bien la
arquitectura de su aplicación y centrarse en los cinco pilares de la calidad del software.
Debe conocer los volúmenes de tráfico típicos, el modelo de conectividad entre la
aplicación y otras aplicaciones, y los puntos de conexión del servicio expuestos a la red
pública de Internet.
Para Azure App Service, seleccione un Plan de App Service que ofrezca varias instancias.
Para Azure Cloud Services, configure cada uno de los roles para utilizar varias instancias.
En el caso de Azure Virtual Machines, asegúrese de que la arquitectura de las máquinas
virtuales incluya más de una máquina virtual y que cada una de ellas se incluya en un
conjunto de disponibilidad. Se recomienda usar conjuntos de escalado de máquinas
virtuales para contar con funcionalidades de escalado automático.
Defensa en profundidad
La idea que subyace a la defensa en profundidad es administrar los riesgos con diversas
estrategias defensivas. Disponer en niveles la defensa de la seguridad en una aplicación
reduce las probabilidades de éxito de un ataque. Se recomienda que implemente
diseños seguros para sus aplicaciones con las funcionalidades integradas de la
plataforma Azure.
Debe implementar los servicios de Azure en una red virtual siempre que sea posible.
Este procedimiento permite que los recursos del servicio se comuniquen mediante
direcciones IP privadas. De forma predeterminada, el tráfico de los servicios Azure desde
una red virtual usa direcciones IP públicas como direcciones IP de origen. Con los
puntos de conexión de servicio, el tráfico del servicio cambia para usar direcciones
privadas de red virtual como direcciones IP de origen al acceder al servicio de Azure
desde una red virtual.
Con frecuencia vemos ataques a los recursos locales de un cliente, además de a los
recursos en Azure. Si conecta un entorno local a Azure, se recomienda que reduzca al
mínimo la exposición de los recursos locales a la red pública de Internet. Para usar las
funcionalidades de escalado y protección contra DDoS de Azure puede implementar
entidades públicas bien conocidas en Azure. Como estas entidades de acceso público
suelen ser destinatarias de ataques de DDoS, al colocarlas en Azure se reduce el
impacto en los recursos locales.
Pasos siguientes
Más información sobre la continuidad empresarial.
Línea de base de seguridad de Azure
para Azure DDoS Protection
Artículo • 22/09/2023
7 Nota
Se han excluido las características no aplicables a Azure DDoS Protection. Para ver
cómo Azure DDoS Protection se asigna por completo a la prueba comparativa de
seguridad en la nube de Microsoft, consulte el archivo completo de asignación de
línea de base de seguridad de Azure DDoS Protection .
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure DDoS
Protection, lo que puede dar lugar a mayores consideraciones de seguridad.
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de
Microsoft: Administración de recursos.
Características
Guía de configuración: use Microsoft Defender for Cloud para configurar Azure Policy
auditar y aplicar configuraciones de los recursos de Azure. Use Azure Monitor para crear
alertas cuando se detecte una desviación de la configuración en los recursos.
Características
Registros de recursos de Azure
Pasos siguientes
Consulte la introducción al banco de pruebas de seguridad en la nube de
Microsoft.
Obtenga más información sobre las líneas de base de seguridad de Azure.
Evitar las entradas DNS pendientes y la adquisición de
subdominios
Artículo • 25/03/2023
En este artículo se describe la amenaza de seguridad común de la adquisición de subdominios y los pasos que puede
seguir para mitigarla.
1. CREACIÓN:
a. Permite aprovisionar un recurso de Azure con un nombre de dominio completo (FQDN) de app-contogreat-dev-
001.azurewebsites.net .
b. Puede asignar un registro CNAME en la zona DNS con el subdominio greatapp.contoso.com que enruta el tráfico a
su recurso de Azure.
2. DESAPROVISIONAMIENTO
En este momento, el registro CNAME greatapp.contoso.com debe quitarse de la zona DNS. Si no se quita el registro
CNAME, se anuncia como un dominio activo pero no enruta el tráfico a un recurso activo de Azure. Esta es la
definición de un registro de DNS "pendiente".
3. ADQUISICIÓN:
a. Con las herramientas y los métodos de disponibilidad general, un actor de amenaza detecta el subdominio
pendiente.
b. Este actor aprovisiona un recurso de Azure con el mismo FQDN del recurso que se ha controlado previamente. En
este ejemplo, app-contogreat-dev-001.azurewebsites.net .
c. El tráfico que se envía al subdominio greatapp.contoso.com ahora se enruta al recurso del actor malintencionado
en el que se controla el contenido.
Riesgos de la adquisición de subdominios
Cuando un registro DNS apunta a un recurso que no está disponible, el propio registro debería quitarse de la zona DNS. Si
no se ha eliminado, es un registro "DNS pendiente" y genera la posibilidad de que se produzca la adquisición de
subdominios.
Las entradas DNS pendientes permiten a los actores de amenazas tomar el control del nombre DNS asociado para
hospedar un servicio o un sitio web malintencionado. Las páginas y los servicios malintencionados del subdominio de una
organización pueden dar lugar a:
Pérdida de control sobre el contenido del subdominio: prensa negativa sobre la incapacidad de la organización
para proteger su contenido, así como perjuicios para la marca y pérdida de confianza.
Recopilación de cookies de visitantes confiados: es habitual que las aplicaciones web expongan cookies de sesión a
subdominios (*.contoso.com), de modo que cualquier subdominio puede acceder a estas. Los actores de amenazas
pueden usar la adquisición de subdominios para crear una página de aspecto auténtico, engañar a los usuarios
confiados para que la visiten y recopilar sus cookies (incluso las cookies seguras). Una idea equivocada habitual es
que el uso de certificados SSL protege su sitio y las cookies de los usuarios de una adquisición. Sin embargo, un
actor de amenaza puede usar el subdominio secuestrado para solicitar y recibir un certificado SSL válido. Los
certificados SSL válidos les conceden acceso a las cookies seguras y pueden aumentar aún más la legitimidad
aparente del sitio malintencionado.
Campañas de suplantación de identidad (phishing) : los subdominios de aspecto auténtico se pueden usar en
campañas de suplantación de identidad. Esto se aplica a los sitios malintencionados y a los registros MX, que
permitirían que el actor de amenaza recibiera correos electrónicos dirigidos a un subdominio legítimo de una marca
segura.
Más riesgos: los sitios malintencionados se pueden usar para escalar a otros ataques clásicos, como XSS, CSRF,
omisión de CORS, etc.
Esta herramienta ayuda a los clientes de Azure a mostrar todos los dominios con un CNAME asociado a un recurso de
Azure existente creado en sus suscripciones o inquilinos.
Si los CNAME están en otros servicios DNS y apuntan a recursos de Azure, proporcione el CNAME en un archivo de
entrada a la herramienta.
La herramienta admite los recursos de Azure que se muestran en la tabla siguiente. La herramienta extrae, o toma como
entradas, todo el CNAME del inquilino.
Requisitos previos
Ejecute la consulta como un usuario que tenga:
Si es un administrador global del inquilino de su organización, eleve los privilegios de su cuenta para que tenga acceso a
toda la suscripción de su organización mediante las instrucciones del artículo Elevación de los privilegios de acceso para
administrar todas las suscripciones y los grupos de administración de Azure.
Sugerencia
Azure Resource Graph tiene límites paginación y límites de ancho de banda que debe tener en cuenta si tiene un
entorno de Azure de gran tamaño.
Más información sobre el trabajo con grandes conjuntos de datos de recursos de Azure.
La herramienta usa el procesamiento por lotes de suscripciones para evitar estas limitaciones.
Ejecute el script.
Obtenga más información sobre el script de PowerShell, Get-DanglingDnsRecords.ps1y descárguelo desde GitHub:
https://aka.ms/Get-DanglingDnsRecords .
1. En la zona DNS, quite todos los registros CNAME que señalen a los FQDN de los recursos que ya no se aprovisionan.
2. Para permitir que el tráfico se enrute a los recursos del control, aprovisione recursos adicionales con los FQDN
especificados en los registros CNAME de los subdominios pendientes.
3. Revise el código de aplicación para ver las referencias a subdominios específicos y actualice las referencias de
subdominios incorrectas o no actualizadas.
4. Investigue si se ha producido algún riesgo y tome medidas según los procedimientos de respuesta a incidentes de la
organización. A continuación encontrará sugerencias y procedimientos recomendados para investigar este problema.
Si la lógica de la aplicación es tal que los secretos como las credenciales de OAuth se enviaron al subdominio
pendiente, o la información confidencial de la privacidad se envió a los subdominios pendientes, esos datos podrían
haberse expuesto a terceros.
5. Comprenda por qué el registro CNAME no se quitó de la zona DNS cuando se canceló el aprovisionamiento del
recurso y realice los pasos necesarios para asegurarse de que los registros DNS se actualicen correctamente cuando
se desaprovisionan los recursos de Azure en el futuro.
Algunos servicios de Azure ofrecen características que ayudan a crear medidas preventivas y se detallan a continuación.
Otros métodos para evitar este problema se deben establecer a través de las prácticas recomendadas de la organización o
de los procedimientos operativos estándar.
El plan de Microsoft Defender para App Service incluye la detección de DNS pendiente. Con este plan habilitado, recibirá
alertas de seguridad si retira un sitio web de App Service pero no quita su dominio personalizado del registrador de DNS.
La protección contra DNS pendiente de Microsoft Defender para la nube está disponible tanto si los dominios se
administran con Azure DNS como con un registrador de dominios externo y se aplica a App Service en Windows y en
Linux.
Obtenga más información sobre esta y otras ventajas de este plan de Microsoft Defender en Introducción a
Microsoft Defender para App Service.
A pesar de las ofertas de servicio limitadas actualmente, se recomienda usar registros de alias para defenderse de la
adquisición de subdominios siempre que sea posible.
Obtenga más información sobre las funcionalidades de los registros de alias de Azure DNS.
Estos registros no impiden que alguien cree la instancia de Azure App Service con el mismo nombre que en la entrada
CNAME. Sin la capacidad de demostrar la propiedad del nombre de dominio, los actores de amenazas no pueden recibir
tráfico ni controlar el contenido.
Obtenga más información sobre cómo asignar un nombre DNS personalizado existente a Azure App Service.
Instruya a los desarrolladores de aplicaciones para que redirijan las direcciones siempre que eliminen recursos.
Incluya bloqueos de eliminación en los recursos que tengan una entrada DNS personalizada. Un bloqueo de
eliminación sirve como indicador para quitar la asignación antes de desaprovisionar el recurso. Medidas como
esta solo pueden funcionar si se combinan con programas educativos internos.
Revise los registros DNS con regularidad para asegurarse de que todos los subdominios están asignados a
recursos de Azure:
Existentes: consulte las zonas DNS para ver los recursos que apuntan a subdominios de Azure, como
*.azurewebsites.net o *.cloudapp.azure.com (consulte la lista de referencia de los dominios de Azure).
De su propiedad: confirme que posee todos los recursos a los que se dirigen sus subdominios DNS.
Mantenga un catálogo de servicios de los puntos de conexión de nombre de dominio completo (FQDN) de Azure
y los propietarios de la aplicación. Para compilar el catálogo de servicios, ejecute el siguiente script de consulta de
Azure Resource Graph. Este script proyecta la información del punto de conexión de FQDN de los recursos a los
que tiene acceso y los envía a un archivo CSV. Si tiene acceso a todas las suscripciones de su inquilino, el script
tiene en cuenta todas estas suscripciones, tal y como se muestra en el siguiente script de ejemplo. Para limitar los
resultados a un conjunto específico de suscripciones, edite el script como se muestra.
Creación de procedimientos para la corrección:
Cuando se encuentran entradas DNS pendientes, su equipo debe investigar si se ha producido algún riesgo.
Investigue por qué la dirección no se reenrutó al retirar el recurso.
Elimine el registro DNS si ya no está en uso o apunte al recurso de Azure (FQDN) correcto que pertenece a su
organización.
Public: cloudapp.net
Mooncake: chinacloudapp.cn
Fairfax: usgovcloudapp.net
BlackForest: azurecloudapp.de
Por ejemplo, un servicio hospedado en Public llamado "test" tendría el DNS "test.cloudapp.net".
Ejemplo: La suscripción "A" y la suscripción "B" son las únicas suscripciones que pertenecen al inquilino "AB" de Azure AD.
La suscripción "A" contiene un servicio en la nube clásico "test" con el nombre DNS "test.cloudapp.net". Tras la eliminación
del servicio en la nube, se toma una reserva en el nombre DNS "test.cloudapp.net". Durante el período de reserva, solo la
suscripción "A" o la suscripción "B" podrán reclamar el nombre DNS "test.cloudapp.net" mediante la creación de un
servicio en la nube clásico denominado "test". No se permitirá que otras suscripciones lo reclamen. Una vez transcurrido el
periodo de reserva, cualquier suscripción de Azure podrá reclamar "test.cloudapp.net".
Pasos siguientes
Para obtener más información sobre los servicios relacionados y las características de Azure que puede usar para
defenderse de la adquisición de subdominios, consulte las páginas siguientes.
Habilitación de Microsoft Defender para App Service: para recibir alertas cuando se detectan entradas de DNS
pendientes.
Impedir que los registros DNS queden pendientes con Azure DNS
Uso de un identificador de comprobación de dominio al agregar dominios personalizados en Azure App Service
Inicio rápido: Ejecutar la primera consulta de Resource Graph con Azure PowerShell
Implementación de una red
híbrida segura
Azure Firewall Azure Load Balancer Azure Virtual Machines Azure Virtual Network
Esta arquitectura de referencia muestra una red híbrida segura que extiende una red
local a Azure. La arquitectura implementa una red perimetral, también llamada DMZ
entre la red local y una red virtual de Azure. Todo el tráfico entrante y saliente pasa a
través de Azure Firewall.
Architecture
Componentes
La arquitectura consta de los siguientes aspectos:
Red local. Una red de área local privada implementada en una organización.
Las rutas de red virtual definen el flujo de tráfico IP dentro de la red virtual de
Azure. En el diagrama, hay dos tablas de rutas definidas por el usuario.
7 Nota
Según los requisitos de la conexión VPN, puede configurar las rutas del
Protocolo de puerta de enlace de borde (BGP) para implementar las reglas de
reenvío que dirigen el tráfico a través de la red local.
Azure Bastion. Azure Bastion permite iniciar sesión en las máquinas virtuales de la
red virtual mediante SSH o el protocolo de Escritorio remoto (RDP) sin exponer las
máquinas virtuales directamente a Internet. Use Bastion para administrar las
máquinas virtuales de la red virtual.
Recomendaciones
Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a
menos que tenga un requisito concreto que las invalide.
Un grupo de recursos que contenga la red virtual (excepto las máquinas virtuales),
los grupos de seguridad de red y los recursos de puerta de enlace para conectarse
a la red local. Asigne el rol de administrador de TI centralizado a este grupo de
recursos.
Un grupo de recursos que contenga las máquinas virtuales para la instancia de
Azure Firewall y las rutas definidas por el usuario para la subred de puerta de
enlace. Asigne el rol de administrador de TI de seguridad a este grupo de recursos.
Separe los grupos de recursos para cada red virtual de radios que contenga el
equilibrador de carga y las máquinas virtuales.
Recomendaciones de redes
Para aceptar el tráfico entrante desde Internet, agregue una regla de traducción de
direcciones de red de destino (DNAT) a Azure Firewall.
Consideraciones
Estas consideraciones implementan los pilares del marco de buena arquitectura de
Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad
de una carga de trabajo. Para más información, consulte Marco de buena arquitectura
de Microsoft Azure.
Para información detallada sobre los límites de ancho de banda de VPN Gateway,
consulte SKU de puerta de enlace. Para anchos de banda mayores, considere la
posibilidad de actualizar a una puerta de enlace de ExpressRoute. ExpressRoute
proporciona hasta 10 GB/s de ancho de banda con una latencia inferior que una
conexión VPN.
Para más información sobre la escalabilidad de las puertas de enlace de Azure, consulte
las secciones de consideraciones de escalabilidad en:
Implementación de una arquitectura de red híbrida con Azure y una VPN local
Implementación de una arquitectura de red híbrida con Azure ExpressRoute
Confiabilidad
La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos
con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.
Si usa Azure ExpressRoute para proporcionar conectividad entre la red local y la red
virtual, configure una puerta de enlace VPN para proporcionar conmutación por error si
la conexión ExpressRoute no está disponible.
Implementación de una arquitectura de red híbrida con Azure y una VPN local
Implementación de una arquitectura de red híbrida con Azure ExpressRoute
Excelencia operativa
La excelencia operativa abarca los procesos de las operaciones que implementan una
aplicación y la mantienen en ejecución en producción. Para más información, consulte
Introducción al pilar de excelencia operativa.
Si la conectividad de la puerta de enlace desde la red local a Azure está inactiva, puede
acceder a las máquinas virtuales de la red virtual de Azure a través de Azure Bastion.
La subred de cada nivel de la arquitectura de referencia está protegido por las reglas de
NSG. Debe crear una regla para abrir el puerto 3389 para el acceso del Protocolo de
escritorio remoto (RDP) en las máquinas virtuales Windows o el puerto 22 para el acceso
de shell seguro (SSH) en las máquinas virtuales Linux. Otras herramientas de supervisión
y administración pueden requerir reglas para abrir puertos adicionales.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y
sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.
Acceso de DevOps
Use Azure RBAC para restringir las operaciones que DevOps puede realizar en cada
nivel. Al conceder permisos, use el principio de los privilegios mínimos. Registre todas
las operaciones administrativas y realice auditorías periódicas para asegurarse de que
los cambios de configuración se habían planeado.
Optimización de costos
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y
mejorar las eficiencias operativas. Para más información, vea Información general del
pilar de optimización de costos.
Puede usar la calculadora de precios de Azure para calcular los costos. Se describen
otras consideraciones en la sección de optimización de costos Marco de buena
arquitectura de Microsoft Azure.
Estas son las consideraciones de costo de los servicios que se usan en esta arquitectura.
Azure Firewall
En esta arquitectura, Azure Firewall se implementa en la red virtual para controlar el
tráfico entre la subred de la puerta de enlace y los recursos de las redes virtuales de
radio. De esta manera, Azure Firewall es rentable porque se usa como una solución
compartida utilizada por varias cargas de trabajo. Estos son los modelos de precios de
Azure Firewall:
Azure Bastion
Azure Bastion se conecta de forma segura a la máquina virtual a través de RDP y SSH sin
necesidad de configurar una dirección IP pública en la máquina virtual.
Pasos siguientes
Centro de datos virtual: Una perspectiva de la red.
Documentación de Azure Security Center.
Recursos relacionados
Conexión de una red local a Azure mediante ExpressRoute.
Configuración de conexiones ExpressRoute y de sitio a sitio coexistentes con
PowerShell
Extensión de una red local mediante ExpressRoute.
Microsoft Antimalware para Azure
Cloud Services y Virtual Machines
Artículo • 29/04/2023
Microsoft Antimalware para Azure es una protección gratuita en tiempo real que ayuda
a identificar y eliminar virus, spyware y otro software malintencionado. Genera alertas
cuando software no deseado o malintencionado intenta instalarse o ejecutarse en los
sistemas de Azure.
7 Nota
Architecture
La solución Microsoft Antimalware para Azure incluye el cliente y el servicio de
Microsoft Antimalware, el modelo de implementación clásica de Antimalware, los
cmdlets de PowerShell para Antimalware y la extensión Azure Diagnostics. Microsoft
Antimalware es compatible con las familias de sistemas operativos Windows Server 2008
R2, Windows Server 2012 y Windows Server 2012 R2. No se admite en el sistema
operativo de Windows Server 2008 y tampoco es compatible en Linux.
Si usa Azure App Service en Windows, el servicio subyacente que hospeda la aplicación
web tiene Microsoft Antimalware habilitado. Esto se utiliza para proteger la
infraestructura de Azure App Service y no se ejecuta en el contenido del cliente.
7 Nota
Azure Portal o los cmdlets de PowerShell insertan el archivo del paquete de extensiones
de Antimalware en el sistema de Azure en una ubicación fija predeterminada. El agente
invitado de Azure (o el agente de tejido) inicia la extensión de Antimalware y aplicar los
valores de configuración de Antimalware proporcionados como entrada. Este paso
habilita el servicio Antimalware con valores de configuración predeterminados o
personalizados. Si no se proporciona ninguna configuración personalizada, el servicio
Antimalware se habilita con la configuración predeterminada. Para obtener más
información, consulte la sección Ejemplos de este artículo para obtener más detalles.
7 Nota
Sin embargo, puede usar las plantillas de Azure Resource Manager o las API o
PowerShell para implementar conjuntos de escalado de máquinas virtuales con la
extensión antimalware de Microsoft. Para instalar una extensión en una máquina
virtual que ya se esté ejecutando, puede usar el script de ejemplo de Python
vmssextn.py . Este script obtiene la configuración de extensión existente del
conjunto de escalado y agrega una extensión a la lista de extensiones actuales de
los conjuntos de escalado de máquinas virtuales.
7 Nota
Ejemplos
Pasos siguientes
Consulte los ejemplos de código para habilitar y configurar Microsoft Antimalware para
máquinas virtuales de Azure Resource Manager (ARM).
Habilitación y configuración de
Microsoft Antimalware para máquinas
virtuales de Azure Resource Manager
Artículo • 01/06/2023
7 Nota
Antes de ejecutar este ejemplo de código, debe quitar las marcas de comentario de
las variables e indicar los valores adecuados.
PowerShell
7 Nota
Antes de ejecutar este ejemplo de código, debe quitar las marcas de comentario de
las variables e indicar los valores adecuados.
PowerShell
7 Nota
Antes de ejecutar este ejemplo de código, debe quitar las marcas de comentario de
las variables e indicar los valores adecuados.
PowerShell
7 Nota
Antes de ejecutar este ejemplo de código, debe quitar las marcas de comentario de
las variables e indicar los valores adecuados.
PowerShell
Pasos siguientes
Consulte más información acerca de Microsoft Antimalware para Azure.
Información general de seguridad de
Azure Virtual Machines
Artículo • 18/04/2023
Puede usar las máquinas virtuales de Azure para implementar una amplia gama de
soluciones informáticas con facilidad. El servicio es compatible con Microsoft Windows,
Linux, Microsoft SQL Server, Oracle, IBM, SAP y Azure BizTalk Services. Gracias a ello,
puede implementar cualquier carga de trabajo y cualquier lenguaje en casi cualquier
sistema operativo.
Con Azure, puede crear soluciones compatibles con seguridad mejorada que:
Antimalware
Con Azure, puede usar el software antimalware de proveedores de seguridad como
Microsoft, Symantec, Trend Micro y Kaspersky. Este software le ayudará a proteger las
máquinas virtuales de archivos malintencionados, adware y otras amenazas.
Obtenga más información sobre Microsoft Antimalware para Azure y las características
principales disponibles.
Obtenga más información acerca del software antimalware para proteger las máquinas
virtuales:
Para una protección aún más eficaz, considere la posibilidad de usar Microsoft Defender
para punto de conexión. Con Defender para punto de conexión, obtendrá:
Key Vault permite guardar claves en módulos de seguridad de hardware (HSM) que
tienen la certificación FIPS 140-2 nivel 2. Sus claves de cifrado de SQL Server para copias
de seguridad o cifrado de datos transparente se pueden almacenar en Key Vault con
otras claves y secretos de sus aplicaciones. Los permisos y el acceso a estos elementos
protegidos se administran con Azure Active Directory.
Más información:
La solución se integra con Azure Key Vault para controlar y administrar los secretos y las
claves de cifrado de los discos en la suscripción de Key Vault. Gracias a ello, se garantiza
que todos los datos de los discos de máquinas virtuales se cifren en reposo en Azure
Storage.
Más información:
Azure Disk Encryption para máquinas virtuales Linux y Azure Disk Encryption para
máquinas virtuales Windows.
Guía de inicio rápido: Cifrado de una máquina virtual IaaS Linux con Azure
PowerShell
Más información:
Site Recovery:
Simplificar su estrategia de BCDR: Site Recovery facilita el control de la
replicación, la conmutación por error y la recuperación de varias cargas de trabajo
y aplicaciones de negocios desde una única ubicación. Site Recovery organiza la
replicación y la conmutación por error pero no intercepta los datos de la aplicación
ni obtiene información alguna sobre ella.
Proporcionar replicación flexible: con Site Recovery puede replicar las cargas de
trabajo que se ejecutan en máquinas virtuales de Hyper-V, máquinas virtuales de
VMware y servidores físicos con Windows o Linux.
Admite recuperación y conmutación por error: Site Recovery proporciona
conmutaciones por error de prueba que admiten maniobras de recuperación ante
desastres sin que los entornos de producción se vean afectados. También puede
ejecutar conmutaciones por error planeadas sin pérdidas de datos para
interrupciones previstas o conmutaciones por error con una pérdida de datos
mínima (según la frecuencia de replicación) ante desastres inesperados. Después
de la conmutación por error puede ejecutar una conmutación por recuperación a
los sitios principales. Site Recovery proporciona planes de recuperación que
pueden incluir scripts y libros de Azure Automation para que pueda personalizar la
conmutación por error y la recuperación de aplicaciones de varios niveles.
Eliminar centros de datos secundarios: puede replicar en un sitio local secundario
o en Azure. Usar Azure como destino de la recuperación ante desastres elimina el
costo y la complejidad de mantener un sitio secundario. Los datos replicados se
almacenan en Azure Storage.
Se integra con tecnologías de BCDR existentes: Site Recovery se asocia con otras
características de BCDR de las aplicaciones. Por ejemplo, puede usar Site Recovery
para proteger el back-end de SQL Server de las cargas de trabajo corporativas.
Esto incluye la compatibilidad nativa con SQL Server AlwaysOn para administrar la
conmutación por error de los grupos de disponibilidad.
Más información:
Redes virtuales
Las máquinas virtuales necesita conectividad de red. Para satisfacer este requisito, es
necesario que las máquinas virtuales de Azure estén conectadas a una instancia de
Azure Virtual Network.
Azure Virtual Network es una construcción lógica creada encima del tejido de red físico
de Azure. Cada instancia lógica de Azure Virtual Network está aislada de todas las
demás redes virtuales de Azure. Este aislamiento contribuye a garantizar que otros
clientes de Microsoft Azure no puedan acceder al tráfico de red de las
implementaciones.
Más información:
Más información:
Cumplimiento normativo
Azure Virtual Machines tiene las certificaciones de FISMA, FedRAMP, HIPAA, PCI DSS
nivel 1 y otros programas de cumplimiento fundamentales. Esta certificación facilita en
gran medida que sus propias aplicaciones de Azure cumplan los requisitos de
cumplimiento y que su empresa satisfaga una amplia variedad de requisitos normativos
nacionales e internacionales.
Más información:
Computación confidencial
Si bien la computación confidencial técnicamente no forma parte de la seguridad de la
máquina virtual, esta seguridad pertenece al tema de nivel superior de la seguridad
"computacional". La computación confidencial pertenece a la categoría de seguridad
"computacional".
La computación confidencial garantiza que los datos, cuando están "descubiertos" (lo
cual es necesario para un procesamiento eficiente), se mantienen protegidos dentro de
un entorno de ejecución de confianza
https://en.wikipedia.org/wiki/Trusted_execution_environment (también conocido
como enclave). En la ilustración siguiente se muestra un ejemplo.
Los entornos de ejecución de confianza garantizan que no hay ninguna manera de ver
datos u operaciones desde el exterior, ni siquiera con un depurador. Incluso aseguran
que solo se permite el acceso a los datos al código autorizado. Si el código está alterado
o modificado, se deniegan las operaciones y se deshabilita el entorno. El entorno de
ejecución de confianza aplica estas protecciones a todo el proceso de ejecución del
código que contiene.
Más información:
Pasos siguientes
Aprenda sobre los procedimientos recomendados de seguridad para máquinas virtuales
y sistemas operativos.
Aplicación de revisiones automática a
invitados de máquina virtual para
máquinas virtuales de Azure
Artículo • 20/12/2023
La máquina virtual se evalúa de forma periódica cada pocos días y varias veces en
cualquier período de 30 días para determinar las revisiones que se le pueden aplicar. Las
revisiones se pueden instalar cualquier día en la máquina virtual, durante sus horas valle.
Esta evaluación automática garantiza que las revisiones que faltan se detecten lo antes
posible.
Las revisiones se instalan en un plazo de 30 días a partir del lanzamiento mensual de las
revisiones, siguiendo el tipo de orquestación por orden de disponibilidad que se
describe a continuación. Las revisiones solo se instalan durante las horas valle de la
máquina virtual, en función de la zona horaria donde se encuentre. La máquina virtual
debe estar en ejecución durante las horas valle para que las revisiones se instalen
automáticamente. Si se apaga una máquina virtual durante una evaluación periódica, el
proceso automático de evaluar la máquina virtual e instalar las revisiones aplicables se
realizará durante la siguiente evaluación periódica (normalmente a los pocos días),
cuando la máquina virtual esté encendida.
En el caso de las máquinas virtuales IaaS, los clientes pueden optar por configurar
máquinas virtuales para habilitar la aplicación automática de revisiones a invitados de
máquinas virtuales. Esto limitará el impacto en las máquinas virtuales que reciben la
revisión actualizada y producirá una actualización orquestada de las máquinas virtuales.
El servicio también proporciona supervisión de estado para detectar problemas
relacionados con la actualización.
Entre regiones:
Se orquesta una actualización mensual global a través de Azure, por fases, para
evitar errores de implementación globales.
Una fase puede tener una o más regiones y una actualización solo pasa a la
siguiente fase si las máquinas virtuales válidas de una fase se actualizan
correctamente.
Las regiones emparejadas geográficamente no se actualizan simultáneamente y no
pueden estar en la misma fase regional.
El éxito de una actualización se mide realizando un seguimiento del
mantenimiento de la máquina virtual posterior a la actualización. El seguimiento
del mantenimiento de la máquina virtual se realiza a través de los indicadores de
mantenimiento de la plataforma de la máquina virtual.
Si se restringe el ámbito de las máquinas virtuales que reciben una revisión en las
regiones a una sola región o conjunto de disponibilidad, se limita el impacto de la
revisión. Con el seguimiento de estado, los posibles problemas se marcan sin que ello
afecte a toda la flota.
En el caso de los tipos de sistema operativo que publican revisiones en una cadencia
fija, las máquinas virtuales configuradas en el repositorio público para el sistema
operativo pueden esperar recibir el mismo conjunto de revisiones en las distintas fases
de lanzamiento de un mes. Por ejemplo, las máquinas virtuales Windows configuradas
para el repositorio de Windows Update público.
A medida que se desencadena un nuevo lanzamiento cada mes, una máquina virtual
recibirá al menos una implementación de revisiones cada mes si la máquina virtual está
encendida durante las horas de poca actividad. Este proceso garantiza que la máquina
virtual se revisará con las revisiones críticas y de seguridad disponibles más recientes de
manera mensual. Para garantizar la coherencia en el conjunto de revisiones instaladas,
puede configurar las máquinas virtuales para evaluar y descargar las revisiones de sus
propios repositorios privados.
) Importante
ノ Expandir tabla
Redhat RHEL 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7_9, 7-RAW, 7-LVM
OpenLogic CentOS 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7_8, 7_9, 7_9-gen2
Server
AutomaticByOS:
propiedad
osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByOS en la
Manual:
Este modo solo se admite para máquinas virtuales Windows.
Este modo deshabilita las actualizaciones automáticas en la máquina virtual
Windows. Al implementar una VM mediante la CLI o PowerShell, establecer --
enable-auto-updates en false también se establecerá patchMode en manual y
propiedad osProfile.windowsConfiguration.patchSettings.patchMode=Manual en la
plantilla de máquina virtual.
Al habilitar este modo, se establecerá la clave del Registro
SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate en 1
ImageDefault:
7 Nota
cuando se crea la máquina virtual por primera vez. Esto afecta a ciertas transiciones
del modo de revisión. Se admite el cambio entre los modos AutomaticByPlatform y
Manual en las máquinas virtuales que tienen
osProfile.windowsConfiguration.enableAutomaticUpdates=false . Del mismo modo,
PUT on
`/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Mic
rosoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
JSON
{
"location": "<location>",
"properties": {
"osProfile": {
"linuxConfiguration": {
"provisionVMAgent": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
PUT on
`/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Mic
rosoft.Compute/virtualMachines/myVirtualMachine?api-version=2020-12-01`
JSON
{
"location": "<location>",
"properties": {
"osProfile": {
"windowsConfiguration": {
"provisionVMAgent": true,
"enableAutomaticUpdates": true,
"patchSettings": {
"patchMode": "AutomaticByPlatform"
}
}
}
}
}
Azure PowerShell
Azure PowerShell
Azure CLI
Azure CLI
Azure Portal
Al crear una máquina virtual mediante Azure Portal, los modos de orquestación de
revisiones se pueden establecer en la pestaña Administración para Linux y Windows.
Habilitación y evaluación
7 Nota
Puede tardar más de tres horas en habilitar las actualizaciones automáticas de invitados
en una máquina virtual, ya que la habilitación se realiza durante las horas valle de la
máquina virtual. La extensión también se instala y actualiza durante las horas valle de la
máquina virtual. Si las horas valle de la máquina virtual finalizan antes de que se pueda
completar la habilitación, el proceso de habilitación se reanudará durante el siguiente
período de horas valle disponible.
Bash
Bash
sudo systemctl mask packagekit
API DE REST
GET on
`/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Mic
rosoft.Compute/virtualMachines/myVirtualMachine/instanceView?api-
version=2020-12-01`
Azure PowerShell
Use el cmdlet Get-AzVM con el parámetro -Status para acceder a la vista de instancia
de la máquina virtual.
Azure PowerShell
CLI de Azure
Use az vm get-instance-view para acceder a la vista de instancia de la máquina virtual.
Azure CLI
Use los ejemplos de la sección de habilitación anterior de este artículo para obtener
ejemplos de uso de API, PowerShell y CLI para establecer el modo de revisión necesario.
7 Nota
API DE REST
Use la API Assess Patches para evaluar las revisiones disponibles para la máquina virtual.
POST on
`/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Mic
rosoft.Compute/virtualMachines/myVirtualMachine/assessPatches?api-
version=2020-12-01`
Azure PowerShell
Use el cmdlet Invoke-AzVmPatchAssessment para evaluar las revisiones disponibles para
la máquina virtual.
Azure PowerShell
CLI de Azure
Use az vm assess-patches para evaluar las revisiones disponibles para la máquina virtual.
Azure CLI
Puede usar la instalación de revisiones a petición para instalar todas las revisiones de
una o varias clasificaciones de revisión. También puede elegir incluir o excluir paquetes
específicos para Linux o determinados identificadores de KB para Windows. Al
desencadenar una instalación de revisiones a petición, asegúrese de especificar al
menos una clasificación de revisiones o al menos una revisión (paquete para Linux o
identificador de KB para Windows) en la lista de inclusión.
API DE REST
Use la API Install Patches para instalar revisiones en la máquina virtual.
POST on
`/subscriptions/subscription_id/resourceGroups/myResourceGroup/providers/Mic
rosoft.Compute/virtualMachines/myVirtualMachine/installPatches?api-
version=2020-12-01`
JSON
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"linuxParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
JSON
{
"maximumDuration": "PT1H",
"rebootSetting": "IfRequired",
"windowsParameters": {
"classificationsToInclude": [
"Critical",
"Security"
]
}
}
Azure PowerShell
Use el cmdlet Invoke-AzVMInstallPatch para instalar revisiones en la máquina virtual.
Ejemplo para instalar todas las revisiones críticas en una máquina virtual Windows:
Azure PowerShell
Ejemplo para instalar todas las revisiones de seguridad en una máquina virtual
Windows, al tiempo que se incluyen y excluyen las revisiones con determinados
identificadores de KB y se excluye cualquier revisión que requiera un reinicio:
Azure PowerShell
Azure CLI
Use az vm install-patches para instalar revisiones en la máquina virtual.
Ejemplo para instalar todas las revisiones críticas en una máquina virtual Linux:
Azure CLI
Ejemplo para instalar todas las revisiones críticas y de seguridad en una máquina virtual
Windows, a la vez que se excluye cualquier revisión que requiera un reinicio:
Azure CLI
az vm install-patches --resource-group myResourceGroup --name myVM --
maximum-duration PT2H --reboot-setting IfRequired --classifications-to-
include-win Critical Security --exclude-kbs-requiring-reboot true
Azure almacenará las actualizaciones relacionadas con el paquete dentro del repositorio
de clientes durante un máximo de 90 días, en función del espacio disponible. Esto
permite a los clientes actualizar su flota aprovechando la implementación segura estricta
para las máquinas virtuales que lleven hasta 3 meses de retraso en las actualizaciones.
No se requiere ninguna acción para los clientes que han habilitado la aplicación de
revisiones automáticas. La plataforma instalará un paquete que se ajusta a un momento
dado de forma predeterminada. En caso de que no se pueda instalar una actualización
basada en instantáneas, Azure aplicará el paquete más reciente en la máquina virtual
para asegurarse de que la máquina virtual sigue siendo segura. Las actualizaciones a un
momento dado serán coherentes en todas las máquinas virtuales entre regiones para
garantizar la homogeneidad. Los clientes pueden ver la información de fecha publicada
relacionada con la actualización aplicada en Azure Resource Graph y la vista de instancia
de la máquina virtual.
Pasos siguientes
Más información sobre la creación y administración de máquinas virtuales
Windows
Procedimientos de seguridad
recomendados para cargas de trabajo
de IaaS de Azure
Artículo • 29/08/2023
7 Nota
7 Nota
Un conjunto de disponibilidad es una agrupación lógica que puede usar en Azure para
asegurarse de que los recursos de máquina virtual que coloque en dicho conjunto de
disponibilidad estén aislados entre sí cuando se implementen en un centro de datos de
Azure. Azure garantiza que las máquinas virtuales colocadas en un conjunto de
disponibilidad se ejecuten en varios servidores físicos, grupos de proceso, unidades de
almacenamiento y conmutadores de red. Si se produce un error de hardware o software
de Azure, solo un subconjunto de las máquinas virtuales se ve afectado y la aplicación
sigue estando disponible para los clientes. Los conjuntos de disponibilidad son una
funcionalidad fundamental para compilar soluciones en la nube confiables.
Los equipos administrados por Update Management usan las siguientes configuraciones
para evaluar e implementar actualizaciones:
Los sistemas de prueba y desarrollo deben seguir estrategias de copia de seguridad que
proporcionen funcionalidades de restauración que sean similares a las que los usuarios
están acostumbrado en función de su experiencia en entornos locales. Las cargas de
trabajo de producción movidas a Azure deben integrarse con las soluciones de copia de
seguridad existentes cuando sea posible. O bien, puede usar Azure Backup para
ayudarle a enfrentar los requisitos de copia de seguridad.
Defender para la nube puede supervisar activamente si hay posibles amenazas, que se
mostrarán en alertas de seguridad. Las amenazas correlacionadas se agregan en una
única vista denominada incidente de seguridad.
Defender para la nube almacena datos en los registros de Azure Monitor. Los registros
de Azure Monitor proporcionan un lenguaje de consulta y un motor de análisis que
ofrece información sobre el funcionamiento de las aplicaciones y los recursos. Los datos
también se recopilan de Azure Monitor, de las soluciones de administración y de los
agentes instalados en máquinas virtuales locales en la nube o en el entorno local. Esta
funcionalidad compartida le ayuda a formarse una imagen completa de su entorno.
Las organizaciones que no aplican una seguridad sólida a sus máquinas virtuales no
están informadas de posibles intentos de eludir los controles de seguridad llevados a
cabo por usuarios no autorizados.
Supervisar el rendimiento de la máquina virtual
El abuso de los recursos puede ser un problema cuando los procesos de las máquinas
virtuales consumen más recursos de los que deberían. Los problemas de rendimiento
con una máquina virtual pueden provocar la interrupción del servicio, lo que infringe el
principio de seguridad de disponibilidad. Esto es especialmente importante en el caso
de las máquinas virtuales que hospedan IIS u otros servidores web, ya que el uso
elevado de la CPU o la memoria podría indicar un ataque de denegación de servicio
(DoS). Por esta razón, resulta imprescindible supervisar el acceso a las máquinas
virtuales no solo de forma reactiva (aunque haya un problema), sino también de forma
preventiva, usando como base de referencia un rendimiento medido durante el
funcionamiento normal.
Se recomienda el uso de Azure Monitor para obtener una mayor visibilidad del estado
de los recursos. Características de Azure Monitor:
Azure Disk Encryption para máquinas virtuales Linux y Azure Disk Encryption para
máquinas virtuales Windows le ayuda a cifrar los discos de máquina virtual IaaS Linux y
Windows. Azure Disk Encryption usa la función DM-Crypt estándar del sector de Linux
y la función BitLocker de Windows para proporcionar un cifrado de volumen para el
sistema operativo y los discos de datos. La solución se integra con Azure Key Vault para
ayudarle a controlar y administrar los secretos y las claves de cifrado de discos en su
suscripción de Key Vault. La solución también garantiza que todos los datos de los
discos de máquinas virtuales se cifran en reposo en Azure Storage.
Estos son algunos procedimientos recomendados para usar Azure Disk Encryption:
Procedimiento recomendado: Uso de una clave de cifrado de claves (KEK) para una
brindar una capa adicional de seguridad para las claves de cifrado. Agregue una KEK al
almacén de claves.
Detalles: Use el cmdlet Add-AzKeyVaultKey para crear una clave de cifrado de claves en
el almacén de claves. También puede importar una KEK en el módulo de seguridad de
hardware (HSM) de administración de claves local. Para más información, consulte la
documentación de Key Vault. Cuando se especifica una clave de cifrado de claves, Azure
Disk Encryption usa esa clave para encapsular los secretos de cifrado antes de escribirlos
en Key Vault. El mantenimiento de una copia de custodia de esta clave en un HSM de
administración de claves local ofrece una protección adicional contra la eliminación
accidental de claves.
Cuando se aplica Azure Disk Encryption, puede atender las siguientes necesidades
empresariales:
Las máquinas virtuales IaaS se protegen en reposo a través de la tecnología de
cifrado estándar del sector para cumplir los requisitos de seguridad y
cumplimiento de la organización.
Las máquinas virtuales IaaS se inician bajo directivas y claves controladas por el
cliente, y puede auditar su uso en el almacén de claves.
Pasos siguientes
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más
procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.
Seguridad Seguir las directrices del sector para proteger la imagen de la máquina virtual
para la distribución de Linux específica.
Seguridad Limitar la superficie expuesta a ataques al mantener una superficie mínima con
los roles, las características, los servicios y los puertos de red de Windows
Server necesarios.
Seguridad La imagen de disco duro virtual solo incluye las cuentas bloqueadas necesarias,
que no tienen las contraseñas predeterminadas que permitirían un inicio de
sesión interactivo; no hay puertas traseras.
Implementación No hay ninguna partición de intercambio en el disco del SO. El agente de Linux
puede solicitar el intercambio para la creación en el disco del recurso local.
Seguridad Usar una imagen base de sistema operativo segura. El disco duro virtual que se
usa para el origen de cualquier imagen basada en Windows Server debe
pertenecer a las imágenes del sistema operativo de Windows Server que se
proporcionan a través de Microsoft Azure.
Seguridad Habilitar el cifrado de unidad BitLocker tanto para las unidades de disco duro
del sistema operativo como para las unidades de disco duro de datos.
Seguridad La imagen de disco duro virtual solo incluye las cuentas bloqueadas necesarias,
que no tienen las contraseñas predeterminadas que permitirían un inicio de
sesión interactivo; no hay puertas traseras.
Este artículo ofrece orientación sobre la protección de secretos. Siga esta guía para
asegurarse de que no registra información confidencial, como credenciales, en
repositorios de GitHub o en canalizaciones de integración continua/implementación
continua (CI/CD).
procedimientos recomendados
Estos procedimientos recomendados están diseñados como recurso para los
profesionales de la TI. Aquí podrían caber diseñadores, arquitectos, desarrolladores y
evaluadores que compilen e implementen soluciones seguras de Azure.
Pasos siguientes
Minimizar el riesgo para la seguridad es una responsabilidad compartida. Debe tomar
medidas proactivas para proteger sus cargas de trabajo. Obtenga más información
sobre la responsabilidad compartida en la nube.
Este artículo proporciona información general sobre cómo se usa el cifrado en Microsoft
Azure. Trata las áreas principales de cifrado, incluidos el cifrado en reposo, el cifrado en
paquetes piloto y la administración de claves con Azure Key Vault. Cada sección incluye
vínculos para obtener información más detallada.
El cifrado de datos en reposo está disponible para los servicios a través de los modelos
en la nube de software como servicio (SaaS), plataforma como servicio (PaaS) e
infraestructura como servicio (IaaS). En este artículo se resumen las opciones de cifrado
de Azure y se proporcionan recursos para ayudarle a usarlas.
Para más información detallada sobre cómo se cifran los datos en reposo en Azure, vea
Cifrado en reposo de datos de Azure.
Cifrado de cliente
El cifrado de cliente se realiza fuera de Azure. Incluye:
Datos cifrados por una aplicación que se está ejecutando en el centro de datos del
cliente o por una aplicación de servicio.
Datos que ya están cifrados cuando Azure los recibe.
Con el cifrado de cliente, los proveedores de servicios en la nube no tienen acceso a las
claves de cifrado y no pueden descifrar estos datos. Mantenga un control completo de
las claves.
Puede usar la biblioteca cliente de Azure Storage para el paquete NuGet de .NET para
cifrar los datos dentro de las aplicaciones cliente antes de cargarlos en Azure Storage.
Para obtener más información acerca de la biblioteca cliente de Azure Storage para el
paquete NuGet. de NET y descargarla, vea Microsoft Azure Storage 8.3.0 .
Cuando se usa el cifrado de cliente con Key Vault, los datos se cifran con una clave de
cifrado de contenido (CEK) simétrica única generada por el SDK de cliente de Azure
Storage. La CEK se cifra mediante una clave de cifrado de claves (KEK), que puede ser
una clave simétrica o un par de claves asimétricas. Puede administrarla de forma local o
almacenarla en Key Vault. A continuación, se cargan los datos cifrados en Azure Storage.
Para obtener más información acerca del cifrado de cliente con Key Vault e iniciar las
instrucciones sobre procedimientos, vea Tutorial: Cifrado y descifrado de blobs en Azure
Storage con Key Vault.
Por último, también puede usar la biblioteca cliente de Azure Storage para Java para
realizar el cifrado de cliente antes de cargar datos en Azure Storage y descifrar los datos
cuando se descargan en el cliente. Esta biblioteca también admite la integración con Key
Vault para la administración de las claves de la cuenta de almacenamiento.
TDE protege los archivos de registro y los datos con los algoritmos de cifrado de AES y
el estándar de cifrado de datos triple (3DES). El cifrado del archivo de base de datos se
realiza en el nivel de página. Las páginas en una base de datos cifrada se cifran antes de
que se escriban en disco y se descifran cuando se leen en la memoria. TDE ahora está
habilitado de forma predeterminada en las bases de datos de Azure SQL recién creadas.
Con la característica Always Encrypted de Azure SQL, puede cifrar los datos dentro de
aplicaciones de cliente antes de almacenarlos en Azure SQL Database. También puede
habilitar la delegación de la administración de la base de datos local a terceros y
mantener la separación entre aquellos que poseen y pueden ver los datos y aquellos
que los administran, pero no deben tener acceso a ellos.
CLE tiene funciones integradas que puede usar para cifrar datos con claves simétricas o
asimétricas, la clave pública de un certificado o una frase de contraseña con 3DES.
Confidencialidad directa total (PFS) protege las conexiones entre los sistemas cliente
de los clientes y los servicios en la nube de Microsoft mediante claves únicas. Las
conexiones también usan longitudes de clave de cifrado RSA de 2048 bits. Esta
combinación hace difícil para un usuario interceptar y acceder a datos que están en
tránsito.
Las firmas de acceso compartido (SAS), que pueden utilizarse para delegar el acceso a
objetos de Azure Storage, incluyen una opción para especificar que se pueda utilizar
solo el protocolo HTTPS cuando se usen las firmas de acceso compartido. Este enfoque
garantiza que cualquier usuario que envíe vínculos con tokens SAS use el protocolo
adecuado.
SMB 3.0, que solía acceder a recursos compartidos de Azure Files, admite cifrado y está
disponible en Windows Server 2012 R2, Windows 8, Windows 8.1 y Windows 10. Permite
el acceso entre regiones e incluso el acceso en el escritorio.
El cifrado de cliente cifra los datos antes de enviarlos a la instancia de Azure Storage,
por lo que se cifra a medida que pasa por la red.
Cifrado en tránsito en VM
Los datos en tránsito de destino, de origen y entre VM que ejecutan Windows, se
pueden cifrar de diversas formas, según la naturaleza de la conexión.
Sesiones RDP
Puede conectarse e iniciar sesión en una VM mediante el Protocolo de escritorio remoto
(RDP) desde un equipo cliente de Windows o desde un equipo Mac con un cliente RDP
instalado. Los datos en tránsito a través de la red en las sesiones RDP se pueden
proteger mediante TLS.
Puede configurar una conexión de VPN de punto a sitio a una red virtual con Azure
Portal con autenticación de certificados o PowerShell.
Para obtener más información acerca de las conexiones VPN de punto a sitio para redes
virtuales de Azure, vea:
Puede configurar una conexión de VPN de sitio a sitio a una red virtual mediante Azure
Portal, PowerShell o CLI de Azure.
Creación de una red virtual con una conexión VPN de sitio a sitio mediante la CLI
Cifrado en tránsito en Data Lake
Los datos en tránsito (también conocidos como datos en movimiento) también se cifran
siempre en Data Lake Store. Además de que los datos se cifran antes de almacenarse en
un medio persistente, también se protegen cuando están en tránsito mediante HTTPS.
HTTPS es el único protocolo admitido para las interfaces de REST de Data Lake Store.
Para más información acerca del cifrado de datos en tránsito en Data Lake, vea Cifrado
de datos en Data Lake Store.
Pasos siguientes
Información general de seguridad de Azure
Azure Network Security Overview (Información general sobre Azure Network
Security)
Introducción a la seguridad de base de datos de Azure
Información general de seguridad de Azure Virtual Machines
Cifrado de datos en reposo
Procedimientos recomendados de seguridad de datos y cifrado
Administración de claves en Azure
Artículo • 30/06/2023
7 Nota
Las claves administradas por la plataforma (PMK) son claves de cifrado que Azure
genera, almacena y administra completamente. Los clientes no interactúan con PMK. Las
claves usadas para Azure Data Encryption-at-Rest, por ejemplo, son PMK de forma
predeterminada.
Por otro lado, las claves administradas por el cliente (CMK) son aquellas que uno o
varios clientes leen, crean, eliminan, actualizan y/o administran. Las claves almacenadas
en un almacén de claves propiedad del cliente o en un módulo de seguridad de
hardware (HSM) son CMK. Bring Your Own Key (BYOK) es un escenario de CMK en el
que un cliente importa (aporta) claves de una ubicación de almacenamiento externa a
un servicio de administración de claves de Azure ( consulte Azure Key Vault: Bring Your
Own Key).
Las claves administradas por el cliente se pueden almacenar de forma local o, más
comúnmente, en un servicio de administración de claves en la nube.
Precios
Los Azure Key Vault estándar y Premium se facturan de forma transaccional, con un
cargo mensual adicional por clave para las claves con respaldo de hardware prémium.
Managed HSM, Dedicated HSM y Payment HSM no se cobran de forma transaccional;
en su lugar, son dispositivos siempre en uso que se facturan a una tarifa por hora fija.
Para obtener información detallada sobre los precios, consulte Precios de Key Vault ,
Dedicated HSM y Precios de Payment HSM .
Límites de servicio
Managed HSM administrado, Dedicated HSM y Payment HSM en capacidad dedicada.
Key Vault estándar y Premium son ofertas multiinquilino y tienen límites. Para ver los
límites de servicio, consulte Límites de servicio de Key Vault.
Cifrado en reposo
Azure Key Vault y Azure Key Vault Managed HSM tienen integraciones con los servicios
de Azure y Microsoft 365 para las claves administradas por el cliente, lo que significa
que los clientes pueden usar sus propias claves en Azure Key Vault y Azure Key
Managed HSM para el cifrado en reposo de los datos almacenados en estos servicios.
Dedicated HSM y Payment HSM son ofertas de infraestructura como servicio y no
ofrecen integraciones con los servicios de Azure. Para obtener información general
sobre el cifrado en reposo con Azure Key Vault y Managed HSM, consulte Cifrado de
datos en reposo de Azure.
API existentes
Dedicated HSM y Payment HSM admiten las API PKCS#11, JCE/JCA y KSP/CNG, pero
Azure Key Vault y Managed HSM no. Azure Key Vault y Managed HSM usan la API REST
de Azure Key Vault y ofrecen compatibilidad con el SDK. Para obtener más información
sobre la API Azure Key Vault, consulte Referencia de la API REST de Azure Key Vault.
Pasos siguientes
Cómo elegir la solución de administración de claves adecuada
Azure Key Vault
HSM de Azure administrado.
Azure Dedicated HSM
Azure Payment HSM
¿Qué es la Confianza cero?
Cómo elegir la solución de
administración de claves adecuada
Artículo • 25/07/2023
Cifrado en reposo, que se habilita normalmente para los modelos IaaS, PaaS y SaaS
de Azure. El cifrado en reposo lo usan aplicaciones como Microsoft 365, Microsoft
Purview Information Protection, servicios de plataforma en los que se usa la nube
para el almacenamiento, el análisis y la funcionalidad de Service Bus, y servicios de
infraestructura donde los sistemas operativos y las aplicaciones se hospedan e
implementan en la nube. Las claves administradas por el cliente para el cifrado en
reposo se usan con Azure Storage y Azure AD. Para mayor seguridad, las claves
deben ser claves RSA de 3k o 4k respaldadas por HSM. Para obtener más
información sobre el cifrado en reposo, consulte Cifrado en reposo de datos de
Azure.
La descarga de SSL/TLS se admite en Azure Managed HSM y Azure Dedicated HSM.
Los clientes han mejorado la alta disponibilidad, la seguridad y el mejor punto de
precio en Azure Managed HSM para F5 y Nginx.
Lift and shift hacen referencia a escenarios en los que una aplicación PKCS11 local
se migra a Azure Virtual Machines y ejecuta software como Oracle TDE en Azure
Virtual Machines. Azure Payment HSM admite lift-and-shift que requiere
procesamiento de pagos. Todos los demás escenarios son compatibles con Azure
Dedicated HSM. Las API y bibliotecas heredadas, como PKCS11, JCA/JCE, y
CNG/KSP solo son compatibles con Azure Dedicated HSM.
El procesamiento de los PIN de pago comprenden la autorización de pagos con
tarjeta y móviles y la autenticación 3D-Secure; la generación, administración y
validación de PIN; la emisión de credenciales de pago para tarjetas, dispositivos
ponibles y dispositivos conectados; la protección de claves y datos de
autenticación; y la protección de datos confidenciales para el cifrado de punto a
punto, la tokenización de seguridad y la tokenización de pago de EMV. También se
incluyen las certificaciones, como PCI DSS, PCI 3DS y PCI PIN. Son compatibles con
Azure Payment HSM.
El resultado del diagrama de flujo le sirve de punto de inicial para determinar qué
solución se adapta mejor a sus necesidades.
Use la tabla para comparar todas las soluciones en paralelo. Comience de arriba abajo,
respondiendo a cada una de las preguntas que se encuentran en la columna de la
izquierda para poder elegir la solución que satisfaga todas sus necesidades, incluidas las
de administración y costes.
AKV Estándar AKV HSM de Azure Azure Payment HSM
Premium Azure Dedicated
administrado. HSM
¿Qué nivel de FIPS 140-2 FIPS 140-2 FIPS 140-2 FIPS 140-2 FIPS 140-2 nivel 3,
cumplimiento Nivel 1 nivel 2, PCI nivel 3, PCI nivel 3, PCI PTS HSM v3, PCI
necesita? DSS DSS, PCI 3DS HIPPA, PCI DSS, PCI 3DS, PCI
DSS, PCI 3DS, PIN
eIDAS CC
EAL4+, GSMA
¿Necesita la No No Sí Sí Sí
soberanía de
claves?
¿Quiere la No Sí Sí Sí Sí
protección de
hardware de
HSM?
Cliente que quiere el Azure Payment HSM Azure Payment HSM proporciona
cumplimiento con el cumplimiento con FIPS 140-2 nivel 3 y PCI
estándar PCI y HSM v3. Proporciona soberanía de claves
compatibilidad con e inquilino único, requisitos comunes de
servicios de cumplimiento interno en torno al
procesamiento de procesamiento de pagos. Azure Payment
pagos y tarjetas de HSM proporciona plena compatibilidad
crédito. con las transacciones y el procesamiento
PIN de pagos.
Cliente de empresa Azure Key Vault Estándar Azure Key Vault Estándar proporciona
emergente en fase claves respaldadas por software a un
inicial que quiere crear precio económico.
un prototipo de una
aplicación nativa en la
nube.
Cliente de empresa Azure Key Vault Premium y Tanto Azure Key Vault Premium como
emergente que quiere Azure Managed HSM Azure Managed HSM proporcionan claves
con respaldo de HSM* y son las mejores
Sector Solución de Azure Consideraciones sobre los servicios
recomendada recomendados
Cliente de IaaS que Azure Dedicated HSM Azure Dedicated HSM admite clientes de
quiere mover su IaaS de SQL. Es la única solución que
aplicación para usar admite PKCS11 y aplicaciones no nativas
Azure VM/HSM. de la nube personalizadas.
Azure Key Vault (nivel Premium): una oferta de HSM multiinquilino validado por FIPS
140-2 de nivel 2 que se puede usar para almacenar claves simétricas y asimétricas,
secretos y certificados. Las claves se almacenan en un límite de hardware seguro*.
Microsoft administra y opera el HSM subyacente, y las claves almacenadas en Azure Key
Vault Premium se pueden usar para el cifrado en reposo y las aplicaciones
personalizadas. Azure Key Vault Premium también proporciona una API moderna y una
gama de implementaciones e integraciones regionales con los servicios de Azure. Si es
cliente de AKV Premium y quiere un mayor cumplimiento de seguridad, soberanía de
claves, inquilino único o más operaciones criptográficas por segundo, puede considerar
la opción de Managed HSM en su lugar. Para obtener más información, consulte Acerca
de Azure Key Vault.
Azure Managed HSM: una oferta de HSM de un solo inquilino validada por FIPS 140-2
nivel 3 que proporciona a los clientes el control total de un HSM para cifrado en reposo,
descarga SSL/TLS sin claves y aplicaciones personalizadas. Azure Managed HSM es la
única solución de administración de claves que ofrece claves confidenciales. Los clientes
reciben un grupo de tres particiones de HSM, que actúan conjuntamente como un
dispositivo HSM lógico y de alta disponibilidad, delante de un servicio que expone la
funcionalidad de cifrado a través de la API de Key Vault. Microsoft controla el
aprovisionamiento, la aplicación de revisiones, el mantenimiento y la conmutación por
error de hardware de los HSM, pero no tiene acceso a las propias claves, porque el
servicio se ejecuta dentro de la infraestructura de proceso confidencial de Azure. Azure
Managed HSM se integra con los servicios de Azure SQL, Azure Storage y los servicios de
PaaS de Azure Information Protection y ofrece compatibilidad con TLS sin claves con F5 y
Nginx. Para obtener más información, consulte ¿Qué es Azure Key Vault Managed HSM?
Azure Dedicated HSM: una oferta de HSM sin sistema operativo de inquilino único
validada por FIPS 140-2 nivel 3 que permite a los clientes dar concesión a un dispositivo
HSM de uso general que reside en centros de datos de Microsoft. El cliente tiene la
propiedad completa sobre el dispositivo HSM y es responsable de aplicar revisiones y
actualizar el firmware cuando sea necesario. Microsoft no tiene permisos en el dispositivo
ni acceso al material clave, y Azure Dedicated HSM no está integrado con ninguna oferta
de PaaS de Azure. Los clientes pueden interactuar con el HSM mediante las API PKCS#11,
JCE/JCA y KSP/CNG. Esta oferta es más útil para cargas de trabajo heredadas de lift-and-
shift, PKI, descarga SSL y TLS sin clave (las integraciones admitidas incluyen F5, Nginx,
Apache, Palo Alto, IBM GW, etc.), aplicaciones OpenSSL, TDE de Oracle e IaaS de TDE de
Azure SQL. Para obtener más información, consulte ¿Qué es Azure Dedicated HSM?
Azure Payment HSM: una oferta de HSM sin sistema operativo de inquilino único
validado por FIPS 140-2 de nivel 3 y PCI HSM v3 que permite a los clientes dar concesión
a un dispositivo HSM de pago en centros de datos de Microsoft para operaciones de
pago, como el procesamiento PIN de pagos, la emisión de credenciales de pago, la
protección de claves y datos de autenticación y la protección de datos confidenciales. El
servicio es compatible con PCI DSS, PCI 3DS y PCI PIN. Azure Payment HSM ofrece HSM
de un solo inquilino para que los clientes tengan un control administrativo completo y
acceso exclusivo al HSM. Una vez que el HSM se asigna a un cliente, Microsoft no tiene
acceso a los datos del cliente. Asimismo, cuando el HSM deja de ser necesario, los datos
del cliente se posicionan a cero y se borran en cuanto se libera el HSM para garantizar el
mantenimiento de la privacidad y la seguridad. Para obtener más información, consulte
Acerca de Azure Payment HSM.
7 Nota
* Azure Key Vault Premium permite la creación tanto de claves protegidas por
software como de claves protegidas por HSM. Si usa Azure Key Vault Premium,
compruebe que la clave creada está protegida por HSM.
Pasos siguientes
Administración de claves en Azure
Azure Key Vault
HSM de Azure administrado.
Azure Dedicated HSM
Azure Payment HSM
¿Qué es la Confianza cero?
Cifrado doble
Artículo • 01/06/2023
El cifrado doble es aquel en que dos o más capas independientes de cifrado están
habilitadas para proteger frente a los peligros de cualquier otra capa de cifrado. El uso
de dos capas de cifrado reduce las amenazas que surgen con el cifrado de datos. Por
ejemplo:
Datos en reposo
El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en reposo es:
Datos en tránsito
El enfoque de Microsoft para habilitar dos capas de cifrado para los datos en tránsito es
el siguiente:
Cifrado del tránsito mediante Seguridad de la capa de transporte (TLS) 1.2 para
proteger los datos cuando viajan entre los servicios en la nube y el usuario. Todo
el tráfico que sale de un centro de datos se cifra en tránsito, incluso si el destino
del tráfico es otro controlador de dominio de la misma región. TLS 1.2 es el
protocolo de seguridad predeterminado que se usa. TLS proporciona una
autenticación sólida, privacidad de mensajes e integridad (lo que permite la
detección de la manipulación, interceptación y falsificación de mensajes),
interoperabilidad, flexibilidad de algoritmo, y facilidad de implementación y uso.
Capa adicional de cifrado que se proporciona en la capa de infraestructura. Cada
vez que el tráfico de los clientes de Azure se mueve entre los centros de datos —
fuera de los límites físicos no controlados por Microsoft (o en nombre de
Microsoft)—, un método de cifrado de capa de vínculo de datos que usa los
estándares de seguridad de MAC IEEE 802.1AE (también conocidos como
MACsec) se aplica de punto a punto en el hardware de red subyacente. Los
paquetes se cifran y descifran en los dispositivos antes de enviarse, lo que evita
ataques físicos de tipo "Man in the middle" o de supervisión/escucha telefónica.
Dado que esta tecnología se integra en el propio hardware de red, proporciona
cifrado de velocidad de línea en el hardware de red sin aumento de la latencia de
vínculo mensurable. Este cifrado de MACsec está activado de forma
predeterminada para todo el tráfico de Azure que viaja dentro de una región o
entre regiones, y no se requiere ninguna acción por parte de los clientes para su
habilitación.
Pasos siguientes
Aprenda cómo se usa el cifrado en Azure.
Detalles de la entidad de certificación
de Azure
Artículo • 27/11/2023
A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436
02 1E981CCDDC69102A45C6693EE84389C3CF2329F1
Revise los pasos de acción siguientes cuando expiren o cambien las entidades de
certificación:
Algoritmos de firma:
ES256
ES384
ES512
RS256
RS384
RS512
Curvas elípticas:
P256
P384
P521
Tamaños de clave:
ECDSA 256
ECDSA 384
ECDSA 521
RSA 2048
RSA 3072
RSA 4096
AIA:
cacerts.digicert.com
cacerts.digicert.cn
cacerts.geotrust.com
www.microsoft.com
CRL:
crl.microsoft.com
crl3.digicert.com
crl4.digicert.com
crl.digicert.cn
cdp.geotrust.com
mscrl.microsoft.com
www.microsoft.com
OCSP:
ocsp.msocsp.com
ocsp.digicert.com
ocsp.digicert.cn
oneocsp.microsoft.com
status.geotrust.com
Asignación de certificados
La asignación de certificados es una técnica de seguridad en la que solo se autorizan o
asignan certificados al establecer una sesión segura. Cualquier intento de establecer una
sesión segura mediante un certificado diferente se rechaza. Obtenga información sobre
el historial y las implicaciones de la asignación de certificados.
Aplicaciones Java
Para determinar si los certificados raíz Microsoft ECC Root Certificate Authority 2017 y
Microsoft RSA Root Certificate Authority 2017 son de confianza para la aplicación Java,
puede comprobar la lista de certificados raíz de confianza usados por la Máquina virtual
Java (JVM).
Bash
Bash
3. Busque Microsoft RSA Root Certificate Authority 2017 en la salida. Debe tener el
siguiente aspecto:
...
Microsoft ECC Root Certificate Authority 2017, 20-Aug-2022, Root
CA,
Microsoft RSA Root Certificate Authority 2017, 20-Aug-2022, Root
CA,
...
Bash
7 Nota
Últimos cambios
CA/Browser Forum actualizó los requisitos de la línea de base para obligar a que todas
las infraestructuras de clave pública (PKIs) de confianza pública finalicen el uso de
algoritmos hash SHA-1 para el protocolo estándar de certificados en línea (OCSP) el 31
de mayo de 2022. Microsoft actualizó todos los respondedores OCSP restantes que
usaban el algoritmo hash SHA-1 para que usen en adelante el algoritmo hash SHA-256.
Consulte el artículo sobre el fin de las firmas OCSP de SHA-1 para más información.
Microsoft actualizó los servicios de Azure para que usaran los certificados TLS de un
conjunto diferente de entidades de certificación raíz el 15 de febrero de 2021, para
cumplir los cambios establecidos por los requisitos de la línea de base de CA/Browser
Forum. Algunos servicios finalizaron estas actualizaciones en 2022. Consulte el artículo
sobre cambios en el certificado TLS de Azure para más información.
Registro de cambios del artículo
17 de julio de 2023: se agregaron 16 nuevas entidades de certificación
subordinadas
7 de febrero de 2023: se agregaron ocho nuevas entidades de certificación
subordinadas
Pasos siguientes
Para más información sobre las entidades de certificación y la PKI, consulte:
Aunque exploradores web como Chrome y Firefox se encontraban entre las primeras
aplicaciones para implementar esta técnica, el rango de casos de uso se expandió
rápidamente. Los dispositivos de Internet de las cosas (IoT), las aplicaciones móviles iOS
y Android, y una colección dispar de aplicaciones de software comenzó a usar esta
técnica para defenderse contra ataques de tipo "Man in the middle".
Como no hay ningún estándar web único para cómo se realiza el anclaje de certificados,
no podemos ofrecer instrucciones directas para detectar su uso. Aunque no se
recomienda el anclaje de certificados, los clientes deberían tener en cuenta las
limitaciones que esta práctica crea si deciden usarla.
Pasos siguientes
Consulte los detalles de la entidad de certificación de Azure para ver los próximos
cambios
Revisión de los patrones y procedimientos recomendados de los aspectos básicos
de seguridad de Azure
Retirada de la firma SHA-1 del protocolo
estándar de certificados en línea
Artículo • 22/04/2023
) Importante
Microsoft saca provecho de los certificados de varios PKI para proteger sus servicios.
Muchos de esos certificados ya usan respuestas OCSP que usan el algoritmo hash SHA-
256. Este cambio hace que todos los PKI restantes usados por Microsoft cumplan este
nuevo requisito.
Después del 31 de mayo de 2022, los clientes que no admitan hash SHA-256 no podrán
validar el estado de revocación de un certificado, lo que podría provocar un error en el
cliente, en función de la configuración.
Pasos siguientes
Si tiene alguna pregunta, póngase en contacto con nosotros a través del departamento
de soporte técnico .
Cambios en los certificados TLS de
Azure
Artículo • 25/05/2023
) Importante
Microsoft usa certificados TLS del conjunto de entidades de certificación raíz (CA) que
cumplen los requisitos de línea de base del foro ca/explorador. Todos los puntos finales
TLS/SSL de Azure contienen certificados que se encadenan con las CA raíz
proporcionadas en este artículo. Los cambios en los puntos de conexión de Azure
comenzaron a realizar la transición en agosto de 2020, con algunos servicios que
completan sus actualizaciones en 2022. Todos los puntos de conexión de TLS/SSL de
Azure recién creados contienen certificados actualizados que se encadenan a las nuevas
entidades de certificación raíz.
Todos los servicios de Azure se ven afectados por este cambio. A continuación se
enumeran los detalles de algunos servicios:
Los servicios de Azure Active Directory (Azure AD) comenzaron esta transición
el 7 de julio de 2020.
A fin de obtener la información más actualizada sobre los cambios de certificado
TLS para los servicios de Azure IoT, consulte esta entrada de blog de Azure IoT .
Azure IoT Hub comenzó esta transición en febrero de 2023 y se espera que
finalice en octubre de 2023.
Azure IoT Central comenzará esta transición en julio de 2023.
Azure IoT Hub Device Provisioning Service comenzará esta transición en enero
de 2024.
Azure Cosmos DB comienza esta transición en julio de 2022 y se espera que
finalice en octubre de 2022.
En esta entrada de blog de Azure Storage encontrará detalles sobre Azure
Storage cambios de certificado TLS.
Azure Cache for Redis dejará de utilizar los certificados TLS emitidos por Baltimore
CyberTrust Root a partir de mayo de 2022, según se describe en este artículo Azure
Cache for Redis
Azure Instance Metadata Service tiene una finalización prevista en mayo de 2022,
tal y como se describe en esta entrada de blog De gobernanza y administración de
Azure .
¿Qué ha cambiado?
Antes del cambio, la mayoría de los certificados TLS usados por los servicios de Azure se
encadenaron a la siguiente CA raíz:
Después del cambio, los certificados TLS usados por los servicios de Azure se
encadenarán a una de las siguientes CA raíz:
Si tiene alguna aplicación que se integra con las API de Azure u otros servicios de
Azure y no está seguro de si usa el anclaje de certificados, póngase en contacto
con el proveedor de la aplicación.
Si tiene un entorno en el que las reglas de firewall están configuradas para permitir
las llamadas salientes sólo a determinadas ubicaciones de descarga de la Lista de
Revocación de Certificados (CRL) o de verificación del Protocolo de Estado de los
Certificados en Línea (OCSP), tendrá que permitir las siguientes URL de CRL y
OCSP. Para obtener una lista completa de las URL de CRL y OCSP que se usan en
Azure, consulte el artículo Información en detalle sobre CA de Azure.
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
Pasos siguientes
Si tiene alguna pregunta, póngase en contacto con nosotros a través del departamento
de soporte técnico .
Procedimientos recomendados de
cifrado y seguridad de datos en Azure
Artículo • 20/11/2023
Protección de datos
Para contribuir a proteger los datos en la nube, debe tener en cuenta los posibles
estados que pueden tener los datos y los controles disponibles para ese estado. Los
procedimientos recomendados para el cifrado y seguridad de datos de Azure están
relacionados con los siguientes estados de datos:
Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que usan los
servicios y aplicaciones en la nube. Key Vault agiliza el proceso de administración de
claves y le permite mantener el control de claves que obtienen acceso a sus datos y los
cifran. Los desarrolladores pueden crear claves para desarrollo y prueba en minutos y, a
continuación, migrarlas a claves de producción. Los administradores de seguridad
pueden conceder (y revocar) permisos a las claves según sea necesario.
Puedes usar Key Vault para crear múltiples contenedores seguros denominados
almacenes. Estos almacenes están respaldados por HSM. Los almacenes ayudan a
reducir las posibilidades de que se produzca una pérdida accidental de información de
seguridad centralizando el almacenamiento de los secretos de aplicación. Los almacenes
de claves también permiten controlar y registrar el acceso a todo lo que está
almacenado en ellos. Azure Key Vault puede administrar la solicitud y renovación de
certificados de Seguridad de la capa de transporte (TLS). Proporciona características
para una solución sólida para la administración del ciclo de vida de certificados.
Azure Key Vault está diseñado para admitir secretos y claves de aplicación. Key Vault no
está pensado para usarse como almacén para las contraseñas de usuario.
Use Azure RBAC para controlar a qué tienen acceso los usuarios. Por ejemplo, si desea
conceder a una aplicación acceso para usar las claves de un almacén de claves, solo
necesita conceder permisos de acceso al plano de datos mediante directivas de acceso
de Key Vault y no se necesita acceso a ningún plano de administración para esta
aplicación. Por el contrario, si quiere que un usuario pueda leer las propiedades y
etiquetas del almacén, pero no tenga acceso a las claves, los secretos o los certificados,
puede concederle acceso de lectura mediante Azure RBAC y no se requiere acceso al
plano de datos.
7 Nota
7 Nota
Puesto que la mayoría de los ataques van destinados al usuario final, el punto de
conexión se convierte en uno de los principales puntos de ataque. Un atacante que
ponga en peligro el punto de conexión puede aprovechar las credenciales del usuario
para acceder a los datos de la organización. La mayoría de los ataques a los puntos de
conexión aprovechan el hecho de que los usuarios finales son administradores en sus
estaciones de trabajo locales.
Procedimiento recomendado: cifre los discos para proteger los datos. Detalle:Use
Azure Disk Encryption para VM de Linux o Azure Disk Encryption para VM de Windows.
El cifrado de discos combina la función estándar de Linux dm-crypt o de Windows
BitLocker para proporcionar un cifrado de volumen para el sistema operativo y los
discos de datos.
Azure Storage y Azure SQL Database cifran los datos en reposo de forma
predeterminada y muchos servicios ofrecen el cifrado como opción. Puede usar Azure
Key Vault para mantener el control de las claves que se usan para acceder a los datos y
cifrarlos. Consulte Compatibilidad con modelo de cifrado de proveedores de recursos
de Azure para obtener más información.
Procedimientos recomendados: use el cifrado para mitigar los riesgos relacionados con
el acceso no autorizado a los datos. Detalles: cifre las unidades antes de escribir
información confidencial en ellas.
Las organizaciones que no aplican el cifrado de datos están más expuestas a problemas
de confidencialidad de los datos. Por ejemplo, los usuarios no autorizados pueden robar
datos de las cuentas en peligro u obtener acceso no autorizado a los datos codificados
en ClearFormat. Las compañías también tienen que demostrar que son diligentes y que
usan los controles de seguridad adecuados para mejorar la seguridad de los datos a fin
de cumplir las normas del sector.
Para los datos que se desplazan entre la infraestructura local y Azure, debe plantearse
usar medidas de seguridad apropiadas, como HTTPS o VPN. Al enviar tráfico cifrado
entre una instancia de Azure Virtual Network y una ubicación local a través de Internet
público, use Azure VPN Gateway.
Estos son los procedimientos recomendados específicos para usar Azure VPN Gateway,
SSL/TLS y HTTPS.
Procedimiento recomendado: proteja el acceso a una red virtual de Azure desde varias
estaciones de trabajo situadas en el entorno local. Detalles: use VPN de sitio a sitio.
Procedimiento recomendado: proteja el acceso a una red virtual de Azure desde una
estación de trabajo situada en el entorno local. Detalles: use VPN de punto a sitio.
Las organizaciones que no protegen los datos en tránsito son más susceptibles a los
ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión. Estos
ataques pueden ser el primer paso para obtener acceso a datos confidenciales.
La tecnología de protección usa Azure Rights Management (Azure RMS). Esta tecnología
está integrada con otras aplicaciones y servicios en la nube de Microsoft, como
Microsoft 365 y Microsoft Entra ID. Esta tecnología de protección usa directivas de
autorización, identidad y cifrado. La protección que se aplica mediante Azure RMS se
mantiene con los documentos y correos electrónicos, independientemente de la
ubicación, ya sea dentro o fuera de la organización, las redes, los servidores de archivos
y las aplicaciones.
Esta solución de protección de información le ofrece control sobre sus datos, incluso
cuando se comparten con otras personas. También puede usar Azure RMS con sus
propias aplicaciones de línea de negocio y soluciones de protección de información de
proveedores de software, tanto si estas aplicaciones y soluciones están en un entorno
local como si están en la nube.
Se recomienda que:
Pasos siguientes
Consulte Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.
Microsoft Azure incluye herramientas para proteger los datos de acuerdo con las
necesidades de seguridad y cumplimiento de su empresa. Este documento se centra en:
Se usa una clave de cifrado simétrico para cifrar datos mientras se escriben en el
almacenamiento.
La misma clave de cifrado se utiliza para descifrar los datos tal y como se
prepararon para su uso en la memoria.
Se pueden particionar datos y se pueden usar claves diferentes para cada
partición.
Las claves deben almacenarse en una ubicación segura con el control de acceso
basado en identidades y directivas de auditoría. Las claves de cifrado de datos que
se almacenan fuera de ubicaciones seguras se cifran con una clave de cifrado de
claves que se conserva en una ubicación segura.
El cifrado en reposo está diseñado para evitar que el atacante obtenga acceso a los
datos sin cifrar asegurándose de que los datos se cifran en el disco. Si un atacante
obtiene una unidad de disco duro con datos cifrados pero no las claves de cifrado, el
atacante debe anular el cifrado para leer los datos. Este ataque es mucho más complejo
y consume más recursos que el acceso a datos no cifrados en una unidad de disco duro.
Por este motivo, el cifrado en reposo es muy recomendable y es un requisito de alta
prioridad para muchas organizaciones.
Clave de cifrado de datos (DEK) : una clave AES256 simétrica que se usa para cifrar
una partición o bloque de datos, a veces también se denomina simplemente Clave
de datos. Un único recurso puede tener muchas particiones y muchas claves de
cifrado de datos. Cifrar cada bloque de datos con una clave diferente dificulta los
ataques de análisis criptográficos. Y mantener las DEK en el entorno local del
servicio de cifrado y descifrado de datos maximiza el rendimiento.
Clave de cifrado de claves (KEK) : una clave de cifrado que se usa para cifrar las
claves de cifrado de datos mediante el cifrado de sobres, también conocida como
ajuste. El uso de una clave de cifrado de claves que siempre permanece en Key
Vault permite a las propias claves de cifrado de datos cifrarse y controlarse. La
entidad que tiene acceso a la KEK puede ser diferente de la entidad que requiere la
DEK. Una entidad puede adaptar el acceso a la DEK para limitar el acceso de cada
DEK a una partición específica. Como la KEK es necesaria para descifrar las DEK, los
clientes pueden borrar criptográficamente las DEK y los datos si deshabilitan la
KEK.
Almacenamiento cifrado
Al igual que PaaS, las soluciones IaaS pueden sacar provecho de otros servicios de Azure
que almacenan los datos que se cifran en reposo. En estos casos, puede habilitar el
cifrado en el soporte del cifrado en reposo como proporciona cada servicio consumido
de Azure. La tabla Modelos de cifrado de datos: servicios compatibles enumera las
principales plataformas de aplicación, servicios y almacenamiento y el modelo de
cifrado en reposo admitido.
Compute de cifrado
Todos los discos, instantáneas e imágenes administrados están cifrados mediante
Storage Service Encryption con una clave administrada por servicio. Una solución de
cifrado en reposo más completa requiere que los datos no se conserven nunca en un
formato no cifrado. Al procesar los datos en una máquina virtual, los datos se pueden
conservar en el archivo de paginación de Windows o el archivo de intercambio de Linux,
un archivo de volcado o en un registro de aplicaciones. Para asegurarse de que estos
datos se cifran en reposo, las aplicaciones IaaS pueden usar Azure Disk Encryption en
una máquina virtual de IaaS de Azure (Windows o Linux) y un disco virtual.
Se recomienda que siempre que sea posible, las aplicaciones IaaS saquen provecho de
las opciones de cifrado en reposo y Azure Disk Encryption proporcionadas por los
servicios de Azure consumidos. En algunos casos, como requisitos de cifrado irregulares
o almacenamiento que no se basa en Azure, un desarrollador de una aplicación de IaaS
podría necesitar implementar el cifrado en reposo. Las soluciones de los desarrolladores
de IaaS podrían integrarse mejor con las expectativas de administración y del cliente de
Azure mediante el aprovechamiento de ciertos componentes de Azure. En concreto, los
desarrolladores deben usar el servicio Azure Key Vault para proporcionar
almacenamiento seguro de claves, así como proporcionar a sus clientes opciones de
administración de claves coherentes con la mayoría de los servicios de la plataforma de
Azure. Además, las soluciones personalizadas deben usar identidades de servicio
administradas por Azure para permitir que las cuentas de servicio accedan a las claves
de cifrado. Para encontrar información para desarrolladores sobre Azure Key Vault y las
identidades de servicio administradas, consulte sus respectivos SDK.
Almacenamiento de Azure
Todos los servicios de Azure Storage (Blob Storage, Queue Storage, Table Storage y
Azure Files) admiten el cifrado en reposo en el lado servidor; algunos servicios admiten
además el cifrado de las claves administradas por el cliente y el cifrado del lado cliente.
Azure SQL Database admite actualmente el cifrado en reposo para escenarios de cifrado
en el lado cliente y en el lado servicio administrados por Microsoft.
Conclusión
La protección de datos del cliente almacenados dentro de los servicios de Azure es de
gran importancia para Microsoft. Todos los servicios hospedados en Azure se
comprometen a proporcionar opciones de cifrado en reposo. Los servicios de Azure
admiten claves administradas por el servicio, claves administradas por el cliente o
cifrado del lado cliente. Los servicios de Azure están mejorando ampliamente la
disponibilidad del cifrado en reposo y se planean nuevas opciones para la versión
preliminar y la versión de disponibilidad general en los próximos meses.
Pasos siguientes
Consulte los modelos de cifrado de datos para obtener más información sobre las
claves administradas por el servicio y las claves administradas por el cliente.
Obtenga información sobre cómo usa Azure el cifrado doble para mitigar las
amenazas que incluye el cifrado de datos.
Conozca lo que hace Microsoft para garantizar la integridad y seguridad de la
plataforma de los hosts que atraviesan las canalizaciones de compilación,
integración, operacionalización y reparación de hardware y firmware.
Modelos de cifrado de datos
Artículo • 05/05/2023
Cifrado del lado servidor mediante claves administradas por el cliente en Azure
Key Vault
Los proveedores de recursos de Azure realizan las operaciones de cifrado y
descifrado
El cliente controla las claves mediante Azure Key Vault
Funcionalidad de nube completa
Los modelos de cifrado del lado servidor hacen referencia al cifrado que se realiza
mediante el servicio de Azure. En este modelo, el proveedor de recursos realiza las
operaciones de cifrado y descifrado. Por ejemplo, Azure Storage puede recibir datos en
las operaciones de texto sin formato y llevará a cabo el cifrado y descifrado
internamente. El proveedor de recursos podría utilizar claves de cifrado que están
administradas por Microsoft o por el cliente en función de la configuración
proporcionada.
Cada uno de los modelos de cifrado en reposo del lado servidor implica características
distintivas de administración de claves. Esto incluye dónde y cómo se crean y almacenan
las claves de cifrado, así como los modelos de acceso y los procedimientos de rotación
de claves.
El cifrado del lado servidor con las claves de Microsoft administradas implica que el
servicio tiene acceso completo para almacenar y administrar las claves. Aunque algunos
clientes podrían desear administrar las claves porque creen que pueden conseguir
mayor seguridad, se deben tener en cuenta los costos y riesgos asociados a una
solución de almacenamiento de claves personalizadas al evaluar este modelo. En
muchos casos, una organización podría determinar que los riesgos o restricciones de
recursos de una solución local pueden ser mayores que el riesgo de administración en la
nube de las claves de cifrado en reposo. Sin embargo, este modelo podría no ser
suficiente para las organizaciones que tienen requisitos para controlar la creación o el
ciclo de vida de las claves de cifrado o tener personal diferente para administrar las
claves de cifrado de un servicio al que administra el servicio (es decir, la segregación de
la administración de claves de todo el modelo de administración para el servicio).
Acceso a la clave
Cuando se usa el cifrado del lado servidor con las claves administradas del servicio, el
servicio administra la creación de claves, el almacenamiento y el acceso al servicio.
Normalmente, los proveedores fundamentales de recursos de Azure almacenarán las
claves de cifrado de datos en un almacén que se encuentra cerca de los datos y está
rápidamente disponible y accesible mientras las claves de cifrado de clave se almacenan
en un almacén interno seguro.
Ventajas
Instalación simple
Microsoft administra la rotación de claves, la copia de seguridad y la redundancia
El cliente no tiene el costo asociado con la implementación o el riesgo de un
esquema personalizado de administración de claves.
Desventajas
No hay control al cliente sobre las claves de cifrado (revocación, ciclo de vida,
especificación de clave, etc.)
La administración de la clave no se puede separar del modelo de administración
global para el servicio
La pérdida de claves de cifrado de claves significa también la pérdida de los datos. Por
esta razón, no se deben eliminar las claves. Se debe realizar una copia de seguridad de
las claves cada vez que se creen o giren. La protección contra eliminación temporal y
purga debe habilitarse en cualquier almacén que guarde claves de cifrado de claves a fin
de proteger contra el borrado criptográfico accidental o malintencionado. En lugar de
eliminar una clave, se recomienda establecer el valor Enabled en false en la clave de
cifrado de claves. Use controles de acceso para revocar el acceso a usuarios o servicios
individuales en Azure Key Vault o HSM administrado.
Acceso a la clave
El modelo de cifrado del lado servidor con claves administradas del cliente en Azure Key
Vault implica el servicio de acceso a las claves para cifrar y descifrar según sea necesario.
Las claves del cifrado en reposo son accesibles para un servicio a través de una directiva
de control de acceso. Esta directiva concede el acceso de identidad de servicio para
recibir la clave. Un servicio de Azure que se ejecuta en nombre de una suscripción
asociada puede configurarse con una identidad dentro de esa suscripción. El servicio
puede realizar la autenticación de Azure Active Directory y recibir un token de
autenticación que se identifica como el servicio que actúa en nombre de la suscripción.
A continuación, se puede presentar ese token al Key Vault para obtener una clave a la
que se le haya dado acceso.
Para las operaciones con claves de cifrado, una identidad de servicio puede tener acceso
a cualquiera de las siguientes operaciones: descifrar, cifrar, unwrapKey, wrapKey,
comprobar, iniciar sesión, obtener, enumerar, actualizar, crear, importar, eliminar,
backup y restaurar.
Para obtener una clave para usar al cifrar o descifrar datos en reposo, la identidad de
servicio con la que se ejecutará la instancia de Resource Manager debe tener
UnwrapKey (para obtener la clave de descifrado) y WrapKey (para insertar una clave en
el almacén de claves al crear una nueva clave).
7 Nota
Para obtener más detalles sobre la autorización del Key Vault, vea la protección de
la página del almacén de claves en la documentación de Azure Key Vault.
Ventajas
Control total sobre las claves usadas: las claves de cifrado se administran en la
instancia de Key Vault del cliente bajo el control del cliente.
Capacidad de cifrar varios servicios en un patrón
Puede separar la administración de la clave del modelo de administración global
para el servicio
Puede definir el servicio y la ubicación de la clave en regiones
Desventajas
Acceso a la clave
Cuando se usa el cifrado del lado del servidor mediante las claves administradas por el
cliente en el hardware controlado por el cliente, las claves del cifrado de claves se
mantienen en un sistema configurado por el cliente. Los servicios de Azure que admiten
este modelo proporcionan un medio para establecer una conexión segura en un
almacén de claves proporcionado por el cliente.
Ventajas
Control total sobre la clave raíz usada: una tienda proporcionada por el un cliente
administra las claves de cifrado
Capacidad de cifrar varios servicios en un patrón
Puede separar la administración de la clave del modelo de administración global
para el servicio
Puede definir el servicio y la ubicación de la clave en regiones
Desventajas
Servicios compatibles
Los servicios de Azure que admiten cada modelo de cifrado:
Producto, característica Lado servidor con Lado servidor con Lado cliente con
o servicio clave administrada clave administrada por clave
por el servicio el cliente administrada por
el cliente
Inteligencia artificial y
aprendizaje automático
Analytics
Event Hubs Sí Sí -
Functions Sí Sí -
Azure Monitor Sí Sí -
Application Insights
Explorador de datos de Sí Sí -
Azure
Contenedores
Container Registry Sí Sí -
Proceso
SAP HANA Sí Sí -
Automation Sí Sí -
Logic Apps Sí Sí -
Site Recovery Sí Sí -
Bases de datos
Table Storage Sí Sí Sí
Azure Databricks Sí Sí -
Identidad
Integración
Event Grid Sí - -
API Management Sí - -
Producto, característica Lado servidor con Lado servidor con Lado cliente con
o servicio clave administrada clave administrada por clave
por el servicio el cliente administrada por
el cliente
Servicios IoT
IoT Hub Sí Sí Sí
Administración y
gobernanza
Azure Migrate Sí Sí -
Elementos multimedia
Media Services Sí Sí Sí
Seguridad
Storage
Avere vFXT Sí - -
Archive Storage Sí Sí -
StorSimple Sí Sí Sí
Azure Backup Sí Sí Sí
Data Box Sí - Sí
Otros
Versión preliminar de Sí - Sí
Azure Data Manager for
Energy
* Este servicio no conserva los datos. Las memorias caché transitorias, si las hay, se cifran
con una clave de Microsoft.
Pasos siguientes
Aprenda cómo se usa el cifrado de en Azure.
Obtenga información sobre cómo usa Azure el cifrado doble para mitigar las
amenazas que incluye el cifrado de datos.
Introducción a las opciones de cifrado de
discos administrados
Artículo • 25/05/2023
Hay varios tipos de cifrado disponibles para los discos administrados, incluidos Azure Disk Encryption
(ADE), el cifrado del lado servidor (SSE) y el cifrado en el host.
El cifrado del lado del servidor de Azure Disk Storage (también conocido como cifrado en
reposo o cifrado de Azure Storage) siempre está habilitado y cifra automáticamente los datos
almacenados en los discos administrados de Azure (SO y discos de datos) cuando persisten en
los clústeres de almacenamiento. Cuando se configura con un conjunto de cifrado de disco
(DES), también admite claves administradas por el cliente. No cifra los discos temporales ni las
memorias caché de disco. Para obtener más información, consulte Cifrado del lado servidor de
Azure Disk Storage.
El cifrado en el host es una opción de máquina virtual que mejora el cifrado del lado del
servidor de Azure Disk Storage para garantizar que todos los discos temporales y las cachés de
disco se cifren en reposo y fluyen cifrados a los clústeres de almacenamiento. Para más
información, consulte Cifrado en el host; cifrado de un extremo a otro de los datos de la
máquina virtual.
Azure Disk Encryption ayuda a custodiar y proteger sus datos con el fin de satisfacer los
compromisos de cumplimiento y seguridad de su organización. ADE cifra los discos de datos y
del sistema operativo de las máquinas virtuales de Azure dentro de ellas mediante la
característica DM-Crypt de Linux o BitLocker de Windows. ADE se integra con Azure Key
Vault para ayudarle a controlar y administrar las claves y secretos de cifrado de disco, con la
opción de cifrar con una clave de cifrado de claves (KEK). Para obtener más información,
consulte Azure Disk Encryption para máquinas virtuales Linux o Azure Disk Encryption para
máquinas virtuales Windows.
El cifrado de discos confidenciales enlaza las claves de cifrado de disco al TPM de la máquina
virtual y hace que el contenido de disco protegido solo esté accesible para la máquina virtual. El
estado de invitado de máquina virtual y TPM siempre se cifra en código atestiguado mediante
claves publicadas por un protocolo seguro que omite el hipervisor y el sistema operativo host.
Actualmente solo está disponible para el disco del sistema operativo. El cifrado en el host se
puede usar para otros discos de una máquina virtual confidencial además del cifrado de disco
confidencial. Para más información, consulte Máquinas virtuales confidenciales de las series
DCasv5 y ECasv5.
El cifrado forma parte de un enfoque por capas de la seguridad y debe usarse con otras
recomendaciones para proteger las máquinas virtuales y sus discos. Para más información, consulte
Recomendaciones de seguridad para máquinas virtuales en Azure y Restricción del acceso de
importación y exportación a discos administrados.
De comparación
A continuación se ofrece una comparación de SSE de Disk Storage, ADE, cifrado en el host y cifrado
de disco confidencial.
Cifrado del lado del Cifrado en el host Azure Disk Cifrado de disco
servidor de Azure Disk Encryption confidencial (solo para
Storage el disco del sistema
operativo)
Cifrado en reposo ✅ ✅ ✅ ✅
(discos de datos y
del sistema
operativo)
Cifrado de disco ❌ ✅ ✅ ❌
temporal
Cifrado de cachés ❌ ✅ ✅ ✅
Flujos de datos ❌ ✅ ✅ ✅
cifrados entre el
proceso y el
almacenamiento
Compatibilidad Azure Key Vault Premium Azure Key Vault Premium Azure Key Azure Key Vault Premium
con HSM y HSM administrado y HSM administrado Vault Premium y HSM administrado
No usa la CPU de ✅ ✅ ❌ ❌
la máquina virtual
Funciona con ✅ ✅ ❌ No ✅
imágenes funciona con
personalizadas imágenes
personalizadas
de Linux
Protección ❌ ❌ ❌ ✅
mejorada de las
claves
) Importante
En el caso del cifrado de disco confidencial, Microsoft Defender for Cloud no tiene actualmente
una recomendación aplicable.
* Microsoft Defender for Cloud tiene las siguientes recomendaciones de cifrado de disco:
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre
los recursos informáticos y de almacenamiento (solo detecta Azure Disk Encryption)
[Vista previa]: las máquinas virtuales de Windows deben habilitar Azure Disk Encryption o
EncryptionAtHost (detecta Azure Disk Encryption y EncryptionAtHost)
[Vista previa]: las máquinas virtuales Linux deben habilitar Azure Disk Encryption o
EncryptionAtHost (detecta Azure Disk Encryption y EncryptionAtHost)
Pasos siguientes
Azure Disk Encryption para máquinas virtuales Linux
Azure Disk Encryption para máquinas virtuales Windows
Cifrado del lado servidor de Azure Disk Storage
Cifrado en el host
Máquinas virtuales confidenciales de las series DCasv5 y ECasv5
Aspectos básicos de seguridad de Azure: Información general del cifrado de Azure
Información general sobre las
capacidades de seguridad de
Azure SQL Database e Instancia
administrada de SQL
Artículo • 31/10/2023
Se aplica a: Azure SQL Database Azure SQL Managed Instance Azure Synapse
Analytics
7 Nota
Reglas de firewall de IP
Las reglas de firewall de IP otorgan acceso a las bases de datos según la dirección IP de
origen de cada solicitud. Para más información, consulte Introducción a las reglas de
firewall de Azure SQL Database y Azure Synapse Analytics.
Las reglas de red virtual permiten que Azure SQL Database solo acepte comunicaciones
que se envían desde subredes seleccionadas en una red virtual.
7 Nota
Administración de acceso
) Importante
Autenticación de SQL:
) Importante
Authorization
La autorización hace referencia al control del acceso en los recursos y comandos dentro
de una base de datos. Esto se realiza mediante la asignación de permisos a un usuario
dentro de una base de datos en Azure SQL Database o Azure SQL Managed Instance.
Los permisos se administran idealmente mediante la adición de cuentas de usuario a
roles de base de datos y la asignación de permisos de nivel de base de datos a estos
roles. Como alternativa, también se pueden conceder determinados permisos de nivel
de objeto a un usuario individual. Para más información, consulte Inicios de sesión y
usuarios.
SQL Database, SQL Managed Instance y Azure Synapse Analytics aplican el cifrado
(SSL/TLS) en todo momento para todas las conexiones. Esto garantiza que todos los
datos se cifran "en tránsito" entre el cliente y el servidor independientemente de la
configuración de Encrypt o TrustServerCertificate en la cadena de conexión.
Como procedimiento recomendado, en la cadena de conexión usada por la aplicación,
especifique una conexión cifrada y no confíe en el certificado de servidor. Esto obliga a
la aplicación a comprobar el certificado de servidor y, por tanto, impide que la
aplicación sea vulnerable a ataques de tipo "Man in the middle".
) Importante
En Azure, todas las bases de datos recién creadas se cifran de forma predeterminada y
la clave de cifrado de la base de datos se protege mediante un certificado de servidor
integrado. El servicio administra el mantenimiento y la rotación de certificados, y no se
requiere ninguna acción por parte del usuario. Los clientes que prefieren tomar el
control de las claves de cifrado pueden administrar las claves en Azure Key Vault.
Administración de la seguridad
Evaluación de vulnerabilidades
La evaluación de vulnerabilidades es un servicio fácil de configurar que puede detectar,
realizar un seguimiento y corregir posibles puntos vulnerables en la base de datos con
el objetivo de mejorar de manera proactiva la seguridad general de las bases de datos.
La evaluación de vulnerabilidades (VA) forma parte de la oferta Microsoft Defender para
SQL, que es un paquete unificado de funcionalidades de seguridad avanzadas de SQL.
Se puede acceder a la evaluación de vulnerabilidades y administrarla a través del portal
central de Microsoft Defender para SQL.
Cumplimiento normativo
Además de las anteriores características y funcionalidades que pueden ayudar a la
aplicación a cumplir distintos requisitos de seguridad, Azure SQL Database también
participa en las auditorías regulares y ha obtenido la certificación de una serie de
normas de cumplimiento. Para obtener más información, vea el Centro de confianza de
Microsoft Azure , donde encontrará la lista más reciente de certificaciones de
cumplimiento de SQL Database.
Pasos siguientes
Para obtener más información sobre el uso de inicios de sesión, cuentas de
usuario, roles de base de datos y permisos en SQL Database e Instancia
administrada de SQL, vea Administración de inicios de sesión y cuentas de usuario.
Para obtener más información sobre la auditoría de bases de datos, vea Auditoría.
Para obtener más información sobre la detección de amenazas, vea Detección de
amenazas.
Cuaderno de estrategias para abordar
requisitos de seguridad comunes con
Azure SQL Database y Azure SQL
Managed Instance
Artículo • 31/10/2023
7 Nota
Público
Esta guía está pensada para clientes que se preguntan cómo proteger
Azure SQL Database. Los roles interesados en este artículo de procedimientos
recomendados incluyen, entre otros:
Arquitectos de seguridad
Administradores de seguridad
Responsables de cumplimiento normativo
Responsables de privacidad
Ingenieros de seguridad
Autenticación SQL
Autenticación de Microsoft Entra
7 Nota
Administre cuentas de grupo y controle los permisos de usuario sin duplicar los
inicios de sesión en servidores, bases de datos e instancias administradas.
Administración de permisos simplificada y flexible.
Administración de aplicaciones a gran escala.
Cómo se implementan
Procedimientos recomendados
Cree un inquilino de Microsoft Entra y cree usuarios para representar a los usuarios
humanos y cree entidades de servicio para representar aplicaciones, servicios y
herramientas de automatización. Las entidades de servicio son equivalentes a las
cuentas de servicio de Windows y Linux.
7 Nota
7 Nota
Cómo se implementan
procedimientos recomendados
Implemente las aplicaciones para conectarse a Azure SQL Database o Azure SQL
Managed Instance mediante la autenticación interactiva con compatibilidad con la
autenticación multifactor.
Vea el artículo Conexión a Azure SQL Database con la la autenticación
multifactor de Microsoft Entra.
7 Nota
Los métodos de autenticación basados en contraseña son una forma menos segura de
autenticación. Las credenciales pueden verse comprometidas o se pueden entregar por
error.
Cómo se implementan
procedimientos recomendados
Cómo se implementan
procedimientos recomendados
Cómo se implementan
Use Azure Key Vault para almacenar contraseñas y secretos. Siempre que sea
aplicable, use la autenticación multifactor para Azure SQL Database con usuarios
de Microsoft Entra.
procedimientos recomendados
Cómo se implementan
procedimientos recomendados
Administración de acceso
La administración de acceso (también denominada Autorización) es el proceso de
controlar y administrar los privilegios y el acceso de los usuarios autorizados a
Azure SQL Database o Instancia administrada de SQL.
El principio de privilegio mínimo indica que los usuarios no deben tener más privilegios
de los necesarios para completar sus tareas. Para más información, consulte el artículo
Just Enough Administration.
Cómo se implementan
Asigne solo los permisos necesarios para completar las tareas necesarias:
En SQL Database:
Use permisos granulares y roles de bases de datos definidos por el usuario (o
roles de servidor en SQL Managed Instance):
procedimientos recomendados
Los procedimientos recomendados siguientes son opcionales, pero darán lugar a una
mejor capacidad de administración y compatibilidad con la estrategia de seguridad:
Evite asignar permisos a usuarios individuales. En su lugar, use roles (roles de base
de datos o de servidor) de manera coherente. Los roles ayudan en gran medida a
los informes y a la solución de problemas. (Azure RBAC solo admite la asignación
de permisos a través de roles).
Cree y use roles personalizados con los permisos específicos necesarios. Roles
típicos que se usan en la práctica:
Implementación de seguridad
Administrador
Desarrollador
Personal de soporte técnico
Auditor
Procesos automatizados
Usuario final
Use roles integrados solo cuando los permisos de los roles coincidan exactamente
con los que necesite el usuario. Puede asignar usuarios a varios roles.
Recuerde que los permisos del motor de base de datos se pueden aplicar dentro
de los siguientes ámbitos (cuanto más pequeño sea el ámbito, menor será el
impacto de los permisos concedidos):
Servidor (roles especiales en la master base de datos) en Azure
Base de datos
Esquema
El uso de esquemas para conceder permisos en una base de datos es un
procedimiento recomendado
Objeto (tabla, vista, procedimiento, etc.)
7 Nota
Cómo se implementan
Identifique el nivel necesario de separación de tareas. Ejemplos:
Entre entornos de desarrollo/prueba y entornos de producción
Tareas confidenciales de seguridad frente a tareas en el nivel de administración
del Administrador de base de datos (DBA) frente a tareas del desarrollador.
Ejemplos: Auditor, creación de la directiva de seguridad para la seguridad de
nivel de fila (RLS), implementación de objetos de SQL Database con permisos
de DDL.
Cree roles según los grupos de usuarios necesarios y asigne permisos a los roles.
En el caso de las tareas en el nivel de administración en Azure Portal o a través
de la automatización de PowerShell, use los roles de Azure. Busque un rol
integrado que coincida con el requisito o cree un rol personalizado de Azure
con los permisos disponibles.
Cree roles de servidor para las tareas de servidor (crear inicios de sesión y bases
de datos) en una instancia administrada.
Cree roles de base de datos para las tareas en el nivel de base de datos.
Para asegurarse de que un DBA no pueda ver los datos que se consideran muy
sensibles y pueda seguir realizando las tareas de DBA, puede usar Always
Encrypted con separación de roles.
Consulte los artículos Información general de administración de claves de
Always Encrypted, Aprovisionamiento de claves con separación de roles y
Rotación de claves maestras de columna con separación de roles.
En los casos en los que no sea factible el uso de Always Encrypted, al menos sin
costos importantes y esfuerzos que puedan hacer que el sistema quede casi
inutilizable, es posible llegar a consensos y mitigar los riesgos mediante el uso de
controles de compensación como:
Intervención humana en los procesos.
Pistas de auditoría: para más información sobre la auditoría, consulte Auditoría
de eventos de seguridad críticos.
procedimientos recomendados
Evite asignar permisos a usuarios individuales. En su lugar, use roles (roles de base
de datos o de servidor) de manera coherente. Tener roles ayuda en gran medida a
los informes y a la solución de problemas.
Use roles integrados cuando los permisos coincidan exactamente con los permisos
necesarios: si la unión de todos los permisos de varios roles integrados genera una
coincidencia del 100 %, puede asignar también varios roles de manera simultánea.
Cree y use roles definidos por el usuario cuando los roles integrados concedan
demasiados permisos o permisos insuficientes.
Asegúrese siempre de tener una pista de auditoría para las acciones relacionadas
con la seguridad.
Puede recuperar la definición de los roles integrados de Azure para ver los
permisos usados y crear un rol personalizado basado en extractos y acumulaciones
de estos a través de PowerShell.
Puesto que cualquier miembro del rol de base de datos db_owner puede cambiar
una configuración de seguridad como Cifrado de datos transparente (TDE) o
cambiar el SLO, es necesario tener cuidado al conceder esta pertenencia. No
obstante, existen muchas tareas que requieren privilegios db_owner. Tareas como
cambiar cualquier valor de base de datos (por ejemplo, opciones de la base de
datos). La auditoría desempeña un papel clave en cualquier solución.
7 Nota
Lograr la separación de tareas (SoD) es desafiante para las tareas relacionadas con
la seguridad o la solución de problemas. Otras áreas como el desarrollo y los roles
de usuario final son más fáciles de separar. La mayoría de los controles
relacionados con el cumplimiento permiten el uso de funciones de control
alternativas, como la auditoría, cuando otras soluciones no resultan prácticas.
En el caso de los lectores que quieran profundizar en SoD, se recomiendan los recursos
siguientes:
La separación de tareas no se limita a los datos de una base de datos, sino que incluye
el código de la aplicación. El código malintencionado puede eludir los controles de
seguridad. Antes de implementar el código personalizado en el entorno de producción,
es esencial revisar lo que se está implementando.
Cómo se implementan
Use una herramienta de base de datos como Azure Data Studio que admita el
control de código fuente.
Antes de confirmar en la rama principal, una persona (que no sea el creador del
código mismo) tiene que inspeccionar el código para detectar posibles riesgos de
elevación de privilegios, así como modificaciones de datos malintencionados como
protección contra fraudes y accesos no autorizados. Esto se puede hacer mediante
el uso de mecanismos de control de código fuente.
procedimientos recomendados
7 Nota
Protege los datos mientras se mueven entre el cliente y el servidor. Consulte Seguridad
de las redes.
Cómo se implementan
El Cifrado de datos transparente (TDE) con claves administradas por el servicio
están habilitadas de manera predeterminada para todas las bases de datos creadas
después de 2017 en Azure SQL Database e Instancia administrada de SQL.
En una instancia administrada, si la base de datos se crea a partir de una operación
de restauración mediante un servidor local, se respetará la configuración de TDE
de la base de datos original. Si la base de datos original no tiene habilitado TDE, se
recomienda que TDE se active manualmente para la instancia administrada.
procedimientos recomendados
Use claves administradas por el cliente en Azure Key Vault si necesita mayor
transparencia y control granular sobre la protección de TDE. Azure Key Vault
permite revocar los permisos en cualquier momento para representar la base de
datos como inaccesible. Puede administrar de forma centralizada los protectores
de TDE junto con otras claves, o bien rotar el protector de TDE según su propia
programación mediante Azure Key Vault.
Si usa claves administradas por el cliente en Azure Key Vault, siga los artículos
Directrices para configurar TDE con Azure Key Vault y Configuración de la
recuperación ante desastres con localización geográfica con Azure Key Vault.
7 Nota
Cómo se implementan
procedimientos recomendados
Administre las claves de Always Encrypted con la separación de roles si usa Always
Encrypted para proteger los datos de DBA malintencionados. Con la separación de
roles, un administrador de seguridad crea las claves físicas. El DBA crea objetos de
metadatos de clave maestra de columna y de cifrado de columna, que describen
las claves físicas en la base de datos. Durante este proceso, el administrador de
seguridad no necesita tener acceso a la base de datos y el DBA no necesita tener
acceso a las claves físicas en texto sin formato.
Consulte el artículo Administración de claves con separación de roles para
detalles.
Almacene las claves maestras de columna en Azure Key Vault para facilitar la
administración. Evite usar el Almacén de certificados de Windows (y, en general, las
soluciones de almacén de claves distribuidas, a diferencia de las soluciones de
administración de claves centrales) que dificultan la administración de claves.
Cómo se implementan
Use Cifrado de nivel de celda (CLE). Para detalles, consulte el artículo Cifrar una
columna de datos.
Use Always Encrypted, pero tenga en cuenta sus limitaciones. Las limitaciones se
indican a continuación.
Procedimientos recomendados:
Al usar CLE:
Use AES (se recomienda AES 256) para el cifrado de datos. Los algoritmos, como
RC4, DES y TripleDES, están en desuso y no se deben utilizar debido a
vulnerabilidades conocidas.
Proteja las claves simétricas con certificados o claves asimétricos (no contraseñas)
para evitar el uso de 3DES.
Tenga cuidado al migrar una base de datos mediante el Cifrado de nivel de celda a
través de Export/Import (archivos bacpac).
Consulte el artículo de recomendaciones para usar el cifrado de nivel de celda
en Azure SQL Database para saber cómo evitar perder claves al migrar datos y
otras instrucciones de procedimientos recomendados.
Tenga en cuenta que Always Encrypted está diseñado principalmente para proteger los
datos confidenciales en uso de los usuarios con privilegios elevados de
Azure SQL Database (operadores de nube, DBA). Consulte Protección de datos
confidenciales en uso de usuarios no autorizados con privilegios elevados. Tenga en
cuenta los siguientes desafíos al usar Always Encrypted para proteger los datos de los
usuarios de la aplicación:
Cómo se implementan
7 Nota
procedimientos recomendados
7 Nota
Use una directiva de control de acceso adecuada (a través de RLS, roles y permisos
de SQL) para limitar los permisos de usuario para hacer actualizaciones en las
columnas enmascaradas. La creación de una máscara en una columna no impide
que se efectúen actualizaciones en ella. Los usuarios que reciban datos
enmascarados cuando realicen una consulta en una columna enmascarada podrán
actualizar los datos si cuentan con permisos de escritura.
Cómo se implementan
Asegúrese de que las máquinas cliente que se conectan a Azure SQL Database y
SQL Managed Instance usan la última versión de Seguridad de la capa de
transporte (TLS).
procedimientos recomendados
Aplique una versión mínima de TLS en el nivel de servidor de SQL Database o SQL
Managed Instance con la configuración mínima de la versión TLS. Se recomienda
establecer la versión mínima de TLS en 1.2, después de realizar pruebas para
confirmar que las aplicaciones la admiten. TLS 1.2 incluye correcciones para
vulnerabilidades encontradas en versiones anteriores.
Si la aplicación usa un controlador que no admite TLS o que admite una versión
anterior de TLS, reemplace el controlador, si es posible. Si no es posible, evalúe
detenidamente los riesgos de seguridad.
Para reducir los vectores de ataque a través de vulnerabilidades en SSL 2.0,
SSL 3.0, TLS 1.0 y TLS 1.1, deshabilítelos en las máquinas cliente que se conectan
a Azure SQL Database por configuración del Registro de Seguridad de la capa
de transporte (TLS).
Compruebe los conjuntos de cifrado disponibles en el cliente: Conjuntos de
cifrado en TLS/SSL (Schannel SSP). En concreto, deshabilite 3DES para
configurar el orden de los conjuntos de cifrado TLS.
Cómo se implementan
En SQL Database:
procedimientos recomendados
7 Nota
Para Power BI Desktop, utilice la ruta de acceso a datos privada siempre que sea
posible.
Para el servicio Power BI, use la puerta de enlace de datos local, teniendo en
cuenta las limitaciones y consideraciones.
Configuración de App Service para proteger las
conexiones a Azure SQL Database o Instancia
administrada de SQL
procedimientos recomendados
Asegúrese de que todas las máquinas virtuales están asociadas con una red virtual
y una subred específicas.
Use puntos de conexión de servicio de red virtual para el acceso seguro a los
servicios de PaaS, como Azure Storage, a través de la red troncal de Azure.
Cómo se implementan
Use Azure DDoS Protection para supervisar las direcciones IP públicas asociadas a
los recursos implementados en redes virtuales.
Utilice Advanced Threat Protection en Azure SQL Database para detectar ataques
de denegación de servicio (DoS) contra las bases de datos.
procedimientos recomendados
Siga los procedimientos que se describen en Minimización de la superficie
expuesta a ataques para minimizar las amenazas de ataques DDoS.
Cómo se implementan
Use Advanced Threat Protection para SQL para detectar intentos inusuales y
potencialmente dañinos para acceder o vulnerar las bases de datos, entre los que
se incluyen los siguientes:
Ataque por inyección de código SQL.
Robo o pérdida de credenciales.
Abuso de privilegios.
Filtración de datos.
procedimientos recomendados
Configure Microsoft Defender para SQL para un servidor o una instancia
administrada concretos. También puede configurar Microsoft Defender para SQL
para todos los servidores y las instancias administradas de una suscripción. Para
ello, habilite Microsoft Defender for Cloud.
Cómo se implementan
procedimientos recomendados
7 Nota
Recursos adicionales
Cómo se implementan
procedimientos recomendados
Administración de seguridad
En esta sección se describen los distintos aspectos y procedimientos recomendados
para administrar su posición de seguridad de las bases de datos. Incluye procedimientos
recomendados para garantizar que las bases de datos están configuradas para cumplir
con los estándares de seguridad, para detectar y para clasificar y realizar el seguimiento
del acceso a datos potencialmente confidenciales en las bases de datos.
Cómo se implementan
procedimientos recomendados
Para empezar, ejecute VA en sus bases de datos y realice una iteración mediante la
corrección de las comprobaciones con errores que se oponen a los procedimientos
recomendados de seguridad. Configure líneas de base para las configuraciones
aceptables hasta obtener un examen limpio o superar todas las comprobaciones.
Resuelva las comprobaciones y actualice las líneas de base cuando proceda. Cree
elementos de vale para resolver acciones y realizar un seguimiento de estos hasta
que se resuelvan.
Recursos adicionales
Cómo se implementan
procedimientos recomendados
Use la clasificación de una manera que esté adaptada a las necesidades específicas
de su organización. Personalice la directiva Information Protection (etiquetas de
confidencialidad, tipos de información, lógica de detección) en la directiva SQL
Information Protection de Microsoft Defender for Cloud.
Cómo se implementan
Use la auditoría de SQL y la clasificación de datos en combinación.
En el registro de auditoría de SQL Database, puede realizar un seguimiento del
acceso a datos confidenciales específicamente. También puede ver información,
como los datos a los que se accedió, así como su etiqueta de confidencialidad.
Para obtener más información, consulte Clasificación y detección de datos y
Auditoría del acceso a datos confidenciales.
procedimientos recomendados
Cómo se implementan
Escenario 1: una aplicación en una VM de Azure se conecta a una base de datos de una
instancia de Azure SQL Database. Un actor no autorizado obtiene acceso a la máquina
virtual y la pone en peligro. En este escenario, la filtración de datos significa que una
entidad externa que usa la VM no autorizada se conecta a la base de datos, copia la
información personal y la almacena en un almacenamiento de blobs o en una base de
datos SQL Database diferente en una suscripción distinta.
Posibles mitigaciones
Azure ofrece alta disponibilidad integrada: Alta disponibilidad con SQL Database y
SQL Managed Instance
El nivel Crítico para la empresa incluye grupos de conmutación por error, copias de
seguridad de registros completas y diferenciales y copias de seguridad de
restauración a un momento dado habilitadas de manera predeterminada:
Copias de seguridad automatizadas
Recuperación de una base de datos mediante copias de seguridad
automatizadas de base de datos - Restauración a un momento dado
Pasos siguientes
Consulte Información general sobre las funcionalidades de seguridad de
Azure SQL Database.
Lista de comprobación de la seguridad
de Azure Database
Artículo • 27/04/2023
Introducción
La informática en la nube requiere nuevos paradigmas de seguridad que son poco
conocidos para muchos usuarios de aplicaciones, administradores de bases de datos y
programadores. Como resultado, algunas organizaciones dudan de si implementar una
infraestructura en la nube para la administración de datos debido a los riesgos de
seguridad percibidos. Sin embargo, se puede mitigar gran parte de este problema
mediante una mejor comprensión de las características de seguridad integradas en
Microsoft Azure y Microsoft Azure SQL Database.
Lista de comprobación
Le recomendamos que lea el artículo Prácticas recomendadas de seguridad de Azure
Database antes de revisar esta lista. Cuando comprenda los procedimientos
recomendados, podrá obtener el máximo partido de esta lista de comprobación. A
continuación, puede usarla para asegurarse de que ha abordado las cuestiones
importantes de la seguridad para las bases de datos de Azure.
Categoría de la Descripción
lista de
comprobación
Protección de
datos
Control de acceso
Supervisión
proactiva
Pasos siguientes
Con unos pocos pasos sencillos puede mejorar la protección de su base de datos contra
usuarios malintencionados o acceso no autorizado. En este tutorial, aprenderá a:
Limitar los tokens de Requerir HTTPS cuando un cliente usa un token de SAS -
firma de acceso para acceder a los datos de los blobs ayuda a minimizar
compartido (SAS) solo a el riesgo de espionaje. Para obtener más información,
conexiones HTTPS consulte Otorgar acceso limitado a recursos de Azure
Storage con firmas de acceso compartido (SAS).
Usar una SAS de Una SAS de delegación de usuarios está protegida con -
delegación de usuario credenciales de Microsoft Entra y también con los
para conceder a los permisos especificados para la SAS. Una SAS de
Recomendación Comentarios Defender
for Cloud
Volver a generar las El cambio periódico de las claves de una cuenta reduce -
claves de cuenta el riesgo de exponer los datos a actores
periódicamente malintencionados.
Tener en vigor un plan de Si alguna SAS corre peligro, seguro que deseará poder -
revocación para cualquier revocarla lo antes posible. Para revocar una SAS de
SAS que emita a los delegación de usuario, revoque la clave de delegación
clientes de usuario para invalidar rápidamente todas las firmas
asociadas con ella. Para revocar una SAS de servicio
asociada a una directiva de acceso almacenado, puede
eliminar esta, cambiar el nombre de la directiva, o bien
cambiar su tiempo de vencimiento a un tiempo pasado.
Para obtener más información, consulte Otorgar acceso
limitado a recursos de Azure Storage con firmas de
acceso compartido (SAS).
Si una SAS de servicio no Las SAS de servicio que no estén asociadas con alguna -
está asociada a una directiva de acceso almacenada no se pueden revocar.
Recomendación Comentarios Defender
for Cloud
Redes
Recomendación Comentarios Defender
for Cloud
Configurar la versión Exija a los clientes que usen una versión más segura de TLS -
mínima necesaria de para realizar solicitudes en una cuenta de Azure Storage
Seguridad de la capa configurando la versión mínima de TLS para esa cuenta.
de transporte (TLS) Para más información, consulte Configuración de la versión
para una cuenta de mínima necesaria de Seguridad de la capa de transporte
almacenamiento (TLS) para una cuenta de almacenamiento.
Registro y supervisión
Recomendación Comentarios Defender
for Cloud
Pasos siguientes
Documentación de Azure Security Center
Documentación sobre desarrollo seguro
Caja de seguridad del cliente de
Microsoft Azure
Artículo • 18/08/2023
7 Nota
Este artículo se describe cómo habilitar Caja de seguridad del cliente y cómo se inician,
siguen y almacenan las solicitudes de Caja de seguridad del cliente para revisiones y
auditorías posteriores.
Disponibilidad general
Los servicios siguientes están disponibles con carácter general para Caja de seguridad
del cliente:
7 Nota
Para habilitar Caja de seguridad del cliente, la cuenta de usuario debe tener
asignado el rol de administrador global.
Flujo de trabajo
Los siguientes pasos describen un flujo de trabajo típico para una solicitud de la Caja de
seguridad del cliente.
2. Esta persona soluciona el problema pero, como no puede corregirlo, se abre una
incidencia de soporte técnico desde Azure Portal . La incidencia de soporte
técnico se asigna a un ingeniero del servicio de soporte técnico de Azure.
5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el servicio Just-In-
Time evalúa la solicitud teniendo en cuenta factores como:
6. Cuando la solicitud requiere obtener acceso directo a los datos del cliente, se inicia
una solicitud de Caja de seguridad del cliente. Por ejemplo, se obtiene acceso
desde el escritorio remoto a la máquina virtual de un cliente.
7 Nota
10. Para obtener los detalles de la solicitud pendiente, el aprobador designado puede
seleccionar la solicitud de la caja de seguridad desde Solicitudes pendientes:
Con fines de auditoría, las acciones realizadas en este flujo de trabajo se registran
en los registros de solicitud de la Caja de seguridad del cliente.
Registros de auditoría
Los registros de la Caja de seguridad del cliente se almacenan en los registros de
actividad. En Azure Portal, seleccione Registros de actividad para ver la información de
auditoría relacionada con las solicitudes de la Caja de seguridad del cliente. Puede filtrar
acciones específicas, tales como:
Denegar la solicitud de la caja de seguridad
Crear la solicitud de la caja de seguridad
Aprobar la solicitud de la caja de seguridad
Expiración de la solicitud de la caja de seguridad
Por ejemplo:
Exclusiones
Las solicitudes de Caja de seguridad del cliente no se activan en los siguientes
escenarios de soporte técnico de ingeniería:
Pasos siguientes
Caja de seguridad del cliente está disponible para todos los clientes que tengan un plan
de Soporte técnico de Azure con un nivel mínimo de Desarrollador. Puede habilitar
Caja de seguridad del cliente desde el módulo de administración en la hoja Caja de
seguridad del cliente.
Un ingeniero de Microsoft inicia las solicitudes de Caja de seguridad del cliente si esta
acción es necesaria para avanzar un caso de soporte técnico.
Base de referencia de seguridad de
Azure para Caja de seguridad del cliente
para Microsoft Azure
Artículo • 20/09/2023
Esta línea de base de seguridad aplica instrucciones de la versión 1.0 del banco de
pruebas de seguridad en la nube de Microsoft a caja de seguridad del cliente para
Microsoft Azure. El punto de referencia de seguridad en la nube de Microsoft
proporciona recomendaciones sobre cómo puede proteger sus soluciones de nube en
Azure. El contenido se agrupa mediante los controles de seguridad definidos por el
banco de pruebas de seguridad en la nube de Microsoft y las instrucciones relacionadas
aplicables a la Caja de seguridad del cliente para Microsoft Azure.
7 Nota
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de la Caja de
seguridad del cliente para Microsoft Azure, lo que puede dar lugar a un aumento de las
consideraciones de seguridad.
Atributo de comportamiento del servicio Value
Seguridad de red
Para más información, consulte la prueba comparativa de seguridad en la nube de
Microsoft: Seguridad de red.
Características
Descripción: funcionalidad de filtrado ip nativa del servicio para filtrar el tráfico de red
(no confundir con NSG o Azure Firewall). Más información.
Administración de identidades
Para obtener más información, consulte La prueba comparativa de seguridad en la nube
de Microsoft: Administración de identidades.
Características
Características
Identidades administradas
Entidades de servicio
Características
Características
Descripción: el plano de datos admite el uso nativo de Azure Key Vault para el almacén
de credenciales y secretos. Más información.
Características
Características
Descripción: Azure Role-Based Access Control (Azure RBAC) se puede usar para
administrar el acceso a las acciones del plano de datos del servicio. Más información.
Características
Características
Características
Prevención de pérdida y pérdida de datos
Características
Características
Descripción: el servicio admite la integración de Azure Key Vault para las claves, secretos
o certificados de cliente. Más información.
Características
Descripción: el servicio admite la integración de Azure Key Vault para los certificados de
cliente. Más información.
Administración de recursos
Para obtener más información, consulte La prueba comparativa de seguridad en la nube
de Microsoft: Administración de recursos.
Características
Características
Características
Trusted Hardware Identity Management adopta un enfoque más lento para actualizar la
línea de base de TCB para que los clientes puedan hacer los cambios necesarios a su
propio ritmo. Aunque este enfoque proporciona una línea de base de TCB anterior, los
clientes no experimentarán una interrupción si no han cumplido los requisitos de la
nueva línea de base de TCB. Este es el motivo por el que la línea de base de TCB de
Trusted Hardware Identity Management es una versión diferente de la línea de base de
Intel. Queremos capacitar a los clientes para que cumplan los requisitos de la nueva
línea de base de TCB a su ritmo, en lugar de obligarlos a actualizar y provocar una
interrupción que requeriría volver a priorizar las series de tareas.
Para recuperar el certificado, debe instalar la biblioteca de Azure DCAP, que reemplaza a
Intel QPL. Esta biblioteca dirige las solicitudes de captura al servicio Trusted Hardware
Identity Management que se ejecuta en la nube de Azure. Para obtener vínculos de
descarga, consulte ¿Dónde puedo descargar los paquetes DCAP más recientes?
¿Cómo usar Intel QPL con Trusted Hardware Identity
Management?
Es posible que los clientes quieran la flexibilidad de usar Intel QPL para interactuar con
Trusted Hardware Identity Management sin tener que descargar otra dependencia de
Microsoft (es decir, la biblioteca cliente de Azure DCAP). Los clientes que quieran usar
Intel QPL con el servicio Trusted Hardware Identity Management deben ajustar el
archivo de configuración de Intel QPL, sgx_default_qcnl.conf.
El certificado PCK. Para recuperarlo, los clientes deben usar un punto de conexión
de Trusted Hardware Identity Management.
El resto del material de garantía de comprobación o generación de ofertas. Para
recuperarlo, los clientes pueden usar un punto de conexión de Trusted Hardware
Identity Management o un punto de conexión de Intel Provisioning Certification
Service (PCS).
Bash
{
"pccs_url":
"https://global.acccache.azure.net/sgx/certification/v3/",
"use_secure_cert": true,
"collateral_service":
"https://global.acccache.azure.net/sgx/certification/v3/",
"pccs_api_version": "3.1",
"retry_times": 6,
"retry_delay": 5,
"local_pck_url":
"http://169.254.169.254/metadata/THIM/sgx/certification/v3/",
"pck_cache_expire_hours": 24,
"verify_collateral_cache_expire_hours": 24,
"custom_request_options": {
"get_cert": {
"headers": {
"metadata": "true"
},
"params": {
"api-version ": "2021-07-22-preview"
}
}
}
}
En Windows
1. Haga los cambios en el archivo de configuración.
Bash
[HKEY_LOCAL_MACHINE\SOFTWARE\Intel\SGX\QCNL]
"CONFIG_FILE"="<Full File Path>"
3. Reinicie el servicio AESMD. Por ejemplo, abra PowerShell como administrador y use
los comandos siguientes:
Bash
Bash
Bash
Bash
GET "http://169.254.169.254/metadata/THIM/amd/certification"
Cuerpo de la solicitud
Solicitud de ejemplo
Bash
curl GET "http://169.254.169.254/metadata/THIM/amd/certification" -H
"Metadata: true"
Respuestas
Nombre Descripción
Definiciones
Clave Descripción
certificateChain Certificados AMD SEV Key (ASK) y AMD Root Key (ARK)
Bash
Bash
az aks create --name <CLUSTER_NAME> --resource-group <RG_NAME>
-l <LOCATION> --node-vm-size Standard_DC4as_v5 --nodepool-name
<POOL_NAME> --node-count 1
Bash
Bash
Bash
En el ejemplo de salida siguiente se muestra el nodo único que creó en los pasos
anteriores. Asegúrese de que el estado del nodo es Ready .
3. Cree un archivo curl.yaml con el siguiente contenido. Define un trabajo que ejecuta
un contenedor curl para capturar la garantía de AMD del punto de conexión de
Trusted Hardware Identity Management. Para más información sobre los trabajos
de Kubernetes, consulte la documentación de Kubernetes .
Bash
apiVersion: batch/v1
kind: Job
metadata:
name: curl
spec:
template:
metadata:
labels:
app: curl
spec:
nodeSelector:
kubernetes.azure.com/security-type: ConfidentialVM
containers:
- name: curlcontainer
image: alpine/curl:3.14
imagePullPolicy: IfNotPresent
args: ["-H", "Metadata:true",
"http://169.254.169.254/metadata/THIM/amd/certification"]
restartPolicy: "Never"
Bash
Bash
Bash
Desarrollo de aplicaciones seguras en Azure es una guía general que incluye los
controles y las preguntas de seguridad que se deben considerar en cada fase del ciclo
de vida de desarrollo de software al desarrollar aplicaciones para la nube.
Si es posible, siga otros enfoques, como usar redes privadas virtuales en una red virtual
de Azure. Si no hay otros métodos disponibles, asegúrese de usar frases de contraseña
complejas y la autenticación en dos fases (como Azure AD Multi-Factor Authentication).
Procedimiento recomendado: Protección de las claves. Detalles: Azure Key Vault ayuda
a proteger las claves criptográficas y los secretos que usan los servicios y aplicaciones en
la nube. Con Key Vault, puede cifrar claves y secretos (por ejemplo claves de
autenticación, claves de cuenta de almacenamiento, claves de cifrado de datos, archivos
.PFX y contraseñas) a través del uso de claves que están protegidas por módulos de
seguridad de hardware (HSM). Para tener mayor seguridad, puede importar o generar
las claves en HSM. Vea Azure Key Vault para más información. También puede utilizar
Key Vault para administrar los certificados TLS con renovación automática.
Application Insights tiene numerosas herramientas para interactuar con los datos que
recopila. Application Insights almacena sus datos en un repositorio común. Puede sacar
partido a las funciones compartidas, como alertas, paneles y análisis detallados con el
lenguaje de consulta de Kusto.
Las pruebas de vulnerabilidad ante datos aleatorios o inesperados son un método para
buscar errores de programa (errores de código), proporcionando los datos de entrada
con formato incorrecto para interfaces de programación (puntos de entrada) que
analizan y consumen estos datos.
Pasos siguientes
Este artículo se centra en las ventajas de seguridad que ofrece una implementación de
PaaS de Azure y los procedimientos de seguridad recomendados para aplicaciones en la
nube. Después, conocerá los procedimientos recomendados para proteger las
soluciones móviles y web de PaaS mediante determinados servicios de Azure.
Empezaremos con Azure App Service, Azure SQL Database, Azure Synapse Analytics,
Azure Storage y Azure Cloud Services. A medida que estén disponibles los artículos
sobre procedimientos recomendados para otros servicios de Azure, se proporcionarán
los vínculos correspondientes en la lista siguiente:
Vea Desarrollo de aplicaciones seguras en Azure para profundizar en los controles y las
preguntas de seguridad que se deben considerar en cada fase del ciclo de vida de
desarrollo de software al desarrollar aplicaciones para la nube.
Azure App Service es una oferta de plataforma como servicio (PaaS) que permite crear
aplicaciones web y móviles para cualquier plataforma o dispositivo y conectarse a datos
en cualquier lugar, en la nube o en un entorno local. App Service incluye las
funcionalidades web y móviles que anteriormente se ofrecían por separado como Azure
Websites y Azure Mobile Services. También incluye nuevas funcionalidades para
automatizar procesos empresariales y hospedar las API en la nube. Como único servicio
integrado, App Service ofrece un amplio conjunto de funcionalidades para escenarios
web, móviles y de integración.
Pasos siguientes
En este artículo se presenta una colección de procedimientos recomendados de
seguridad de App Service para proteger las aplicaciones web y móviles PaaS. Para
obtener más información sobre cómo proteger las implementaciones de PaaS, vea:
Azure Storage proporciona los cuatro servicios siguientes: Blob storage, Table storage,
Queue storage y File storage. Para obtener más información, consulte Introducción a
Microsoft Azure Storage.
Las claves de acceso de almacenamiento son secretos de prioridad alta y solo deben
estar accesibles a los responsables del control de acceso de almacenamiento. Si los
usuarios equivocados consiguen acceder a estas claves, controlarían por completo el
almacenamiento y podrían reemplazar, eliminar o agregar archivos en él. Por ejemplo,
software malintencionado y otro tipo de contenido que puede poner en peligro a sus
clientes u organización.
SAS permite compartir contenido de la forma que se quiera sin tener que proporcionar
las claves de cuenta de almacenamiento. Utilizar siempre SAS en la aplicación es una
forma segura de compartir los recursos de almacenamiento sin poner en peligro las
claves de cuenta de almacenamiento.
Para obtener más información sobre la firma de acceso compartido, vea Uso de firmas
de acceso compartido (SAS).
Puede que las organizaciones que no aplican el control de acceso de datos mediante
funcionalidades como Azure RBAC estén concediendo más privilegios de los necesarios
a sus usuarios. Más privilegios de los necesarios pueden llevar a comprometer los datos
al permitir que algunos usuarios accedan a datos que no deberían tener en primer lugar.
El cifrado del lado cliente también permite controlar de forma exclusiva las claves de
cifrado. Puede generar y administrar sus propias claves de cifrado. Usa una técnica de
sobre que consiste en que la biblioteca cliente de Azure Storage genera una clave de
cifrado de contenido (CEK) que se encapsula (se cifra) mediante la clave de cifrado de
claves (KEK). La KEK se identifica mediante un identificador de clave y puede ser un par
de clave asimétrico o una clave simétrica que puede administrarse de forma local o
guardarse en Azure Key Vault.
Pasos siguientes
En este artículo se presenta una serie de procedimientos recomendados de seguridad
de Azure Storage para proteger aplicaciones web y móviles PaaS. Para obtener más
información sobre cómo proteger las implementaciones de PaaS, vea:
7 Nota
Para asegurarse de que Microsoft Entra ID sea una buena elección para su entorno,
vea Características y limitaciones de Microsoft Entra.
Para obtener más información sobre las restricciones de IP y el firewall de Azure SQL,
vea:
Azure SQL administra los problemas relacionados con las claves para TDE. Al igual que
con TDE, debe tener especial cuidado en el entorno local para garantizar la capacidad
de recuperación y al mover las bases de datos. En escenarios más complejos, las claves
se pueden administrar explícitamente en Azure Key Vault mediante la administración
extensible de claves. Vea Habilitar TDE en SQL Server con EKM. Esto también permite la
funcionalidad Bring Your Own Key (BYOK), que incorpora Azure Key Vault.
Azure SQL ofrece cifrado de columnas mediante Always Encrypted. Esta funcionalidad
permite que solo las aplicaciones autorizadas accedan a las columnas confidenciales.
Mediante este tipo de cifrado, se limitan las consultas SQL en las columnas cifradas a
valores basados en la igualdad.
También debe usarse el cifrado a nivel de aplicación para datos selectivos. Las
cuestiones sobre la soberanía de los datos se pueden mitigar en ocasiones mediante el
cifrado de datos con una clave que se mantiene en el país o región correctos. Esto
impide incluso que las transferencias de datos accidentales causen algún error, ya que
resultará imposible descifrar los datos sin la clave, suponiendo que se emplee un
algoritmo seguro (como AES 256).
Puede tomar precauciones adicionales con las que proteger aún más la base de datos,
como diseñar un sistema seguro, cifrar los recursos confidenciales e instalar un firewall
alrededor de los servidores de base de datos.
Pasos siguientes
En este artículo se presenta una colección de procedimientos recomendados de
seguridad de SQL Database y Azure Synapse Analytics para proteger las aplicaciones
web y móviles PaaS. Para obtener más información sobre cómo proteger las
implementaciones de PaaS, vea:
Además de este artículo, revise también Seguridad de Azure Service Fabric para más
información.
El procedimiento recomendado.
Por qué debería implementar el procedimiento recomendado.
Qué puede ocurrir si no se implementa el procedimiento recomendado.
Cómo aprender a implementar el procedimiento recomendado.
Los clústeres deben estar protegidos para evitar que usuarios no autorizados se
conecten a ellos, especialmente cuando un clúster está en producción. Aunque es
posible crear un clúster sin protección, si este expone los puntos de conexión de
administración a Internet público, podrían conectarse a él usuarios anónimos.
Hay tres escenarios para implementar la seguridad del clúster mediante el uso de varias
tecnologías:
7 Nota
Para más información sobre el uso de certificados X.509, consulte Agregar o quitar
certificados para un clúster de Service Fabric.
En general, utilice el modelo de diseño de actor para ayudar a modelar soluciones para
los siguientes problemas de software o escenarios de seguridad:
Cada actor se define como una instancia de un tipo de actor, similar a la forma en que
un objeto de .NET es una instancia de un tipo de .NET. Por ejemplo, un tipo de actor
que implementa la funcionalidad de una calculadora puede tener muchos actores de
ese tipo distribuidos en varios nodos en un clúster. Cada uno de los actores distribuidos
se caracteriza de forma única por un identificador de actor.
Para configurar TLS para una aplicación, primero debe obtener un certificado SSL/TLS
firmado por una entidad de certificación. La entidad de certificación es un tercero de
confianza que emite certificados para TLS por motivos de seguridad. Si todavía no tiene
un certificado SSL/TLS, deberá obtenerlo de una compañía que los venda.
7 Nota
El protocolo HTTP no es seguro y está sujeto a ataques de interceptación. Los datos que
se transmiten a través de HTTP se envían como texto sin formato desde el explorador
web al servidor web o entre otros puntos de conexión. Los atacantes pueden interceptar
y ver datos confidenciales enviados a través de HTTP, como los detalles de las tarjetas
de crédito e inicios de sesión de cuenta. Cuando los datos se envían o se publican a
través de un explorador mediante HTTPS, SSL garantiza que esa información se cifra y
protege de la interceptación.
Para más información sobre el uso de certificados SSL/TLS, consulte Configuración de
TLS para una aplicación en Azure.
La plantilla tiene un grupo de seguridad de red para cada uno de los conjuntos de
escalado de máquinas virtuales a fin de controlar el tráfico dentro y fuera del conjunto.
De forma predeterminada, las reglas se configuran para permitir todo el tráfico que
necesitan los servicios del sistema y los puertos de la aplicación especificados en la
plantilla. Revise esas reglas y realice los cambios que necesite, incluido agregar nuevas
reglas para las aplicaciones.
Para más información, consulte Escenarios comunes de redes para Azure Service Fabric.
Existe una relación de certificados entre Azure Key Vault, el clúster de Service Fabric y el
proveedor de recursos que usa los certificados. Cuando se crea el clúster, la información
sobre la relación de certificados se almacena en un almacén de claves.
Para obtener más información sobre cómo configurar un almacén de claves, consulte
¿Qué es Azure Key Vault?.
7 Nota
Para más información sobre el uso de roles en Service Fabric, consulte Control de
acceso basado en roles de Service Fabric para clientes de Service Fabric.
Azure Service Fabric admite dos tipos de control de acceso para los clientes que están
conectados a un clúster de Service Fabric: administrador y usuario. El administrador del
clúster puede usar el control de acceso para limitarlo a determinadas operaciones del
clúster para los diferentes grupos de usuarios. El control de acceso hace que el clúster
sea más seguro.
7 Nota
Los registros del plano de datos proporcionan información sobre los eventos
desencadenados como parte del uso de los recursos de Azure. Ejemplos de este
tipo de registro son los registros de eventos del sistema de Windows, de seguridad
y de aplicaciones en una máquina virtual, así como los registros de diagnóstico
que se han configurado mediante Azure Monitor.
Máquinas virtuales y Servicio de Registro de Captura los datos del Windows (con el
servicios en la nube eventos de Windows y sistema y los datos de almacenamiento
Syslog de Linux registro en las de Azure
máquinas virtuales, y Diagnostics]) y
transfiere estos datos a Linux en Azure
la cuenta de Monitor
almacenamiento que
elija.
Pasos siguientes
Auditoría y registro: proteja los datos mediante el mantenimiento de la visibilidad
y la rápida respuesta a las alertas de seguridad puntuales
Más información:
Antimalware
Con Azure, puede usar el software antimalware que ofrecen los principales proveedores
de seguridad como Microsoft, Symantec, Trend Micro, McAfee y Kaspersky. Este
software le ayudará a proteger las máquinas virtuales de archivos malintencionados,
adware y otras amenazas.
Más información:
Microsoft Antimalware para Azure Cloud Services y Virtual Machines
New Antimalware Options for Protecting Azure Virtual Machines (Nuevas
opciones de antimalware para proteger máquinas virtuales de Azure)
Autenticación multifactor
La autenticación multifactor de Microsoft Entra es un método de autenticación que
requiere el uso de más de un método de verificación. Proporciona una segunda capa de
seguridad crítica a los inicios de sesión y transacciones de los usuarios.
Más información:
Autenticación multifactor
Cómo funciona la autenticación multifactor de Microsoft Entra
ExpressRoute
Puede usar Azure ExpressRoute para ampliar sus redes locales en Microsoft Cloud a
través de una conexión privada y dedicada que facilita un proveedor de conectividad.
Mediante ExpressRoute, se pueden establecer conexiones con servicios en la nube de
Microsoft, como Azure, Microsoft 365 y CRM Online. La conectividad puede provenir de:
Más información:
Más información:
Este hecho representa un riesgo creciente para la seguridad de los recursos hospedados
en la nube, ya que las organizaciones no pueden supervisar lo suficiente todo lo que
hacen esos usuarios con su acceso privilegiado. Además, si se pone en peligro una
cuenta de usuario que tiene acceso con privilegios, esta situación podría afectar a la
seguridad de la organización en la nube global. Microsoft Entra Privileged Identity
Management ayuda a resolver este riesgo reduciendo el tiempo de exposición de los
privilegios y aumentando la visibilidad del uso.
Más información:
Protección de identidad
La protección de Microsoft Entra ID proporciona una vista consolidada de actividades de
inicio de sesión sospechosas y posibles vulnerabilidades para ayudar a proteger su
negocio. Identity Protection detecta actividades sospechosas en los usuarios e
identidades con privilegios (administradores), en función de señales como:
Más información:
Pasos siguientes
Información sobre el modelo de responsabilidad compartida y las tareas de seguridad
que administra Microsoft y las que administra el usuario.
Los suscriptores de Azure pueden administrar sus entornos de nube desde diversos
dispositivos, incluidas estaciones de trabajo de administración, equipos de desarrollador
e incluso dispositivos de usuario final con privilegios que tengan permisos específicos
para la tarea. En algunos casos, las funciones administrativas se realizan mediante
consolas web tales como Azure Portal . En otros casos, puede haber conexiones
directas a Azure desde sistemas locales a través de redes privadas virtuales (VPN),
Terminal Services, protocolos de aplicaciones cliente o (mediante programación) el
modelo de implementación clásico de Azure. Además, los puntos de conexión de cliente
pueden estar unidos a un dominio o aislados y no administrados, como tabletas o
smartphones.
Incluso con controles estrictos en las cuentas de los administradores principales, las
cuentas de usuario de niveles inferiores se pueden usar para vulnerar los puntos débiles
de la estrategia de seguridad de cada uno. La falta de un aprendizaje de seguridad
adecuado también puede provocar infracciones debidas a la revelación o la exposición
accidental de información de la cuenta.
Cuando una estación de trabajo de usuario se usa también para realizar tareas
administrativas, puede presentar muchos puntos de riesgo distintos, por ejemplo, al
explorar la Web, al utilizar herramientas de código abierto y de terceros o al abrir un
documento perjudicial que contiene un troyano.
En general, la mayoría de los ataques dirigidos que provocan infracciones de datos
pueden rastrearse hasta vulnerabilidades del navegador, complementos (por ejemplo,
Flash, PDF, Java) y suplantación de identidad (correo electrónico) en equipos de
escritorio. Estos equipos pueden tener permisos de nivel administrativo o de nivel de
servicio para tener acceso a los servidores activos o los dispositivos de red para
operaciones cuando se usan para el desarrollo o la administración de otros activos.
Las tareas administrativas no deben combinarse con las actividades que pueden
suponer un riesgo (por ejemplo, un malware en el correo electrónico de un
administrador que luego infecte un servidor de la infraestructura).
Una estación de trabajo que se usa para operaciones de alta confidencialidad no
debería estar en el mismo sistema que se usa para acciones de alto riesgo, como
explorar Internet.
7 Nota
Usar una huella digital de software minimizada con privilegios mínimos en una estación
de trabajo bloqueada para la administración en la nube, así como para el desarrollo de
aplicaciones, normaliza los entornos de desarrollo y administración remota y reduce el
riesgo de incidentes de seguridad. La configuración de una estación de trabajo
protegida puede ayudar a cerrar muchas de las vías vulnerables normalmente usadas
por el malware, lo que ayuda a evitar riesgos en las cuentas que se usan para
administrar recursos de nube críticos. En concreto, puede usar Windows AppLocker y la
tecnología Hyper-V para controlar y aislar el comportamiento del sistema de cliente y
mitigar las amenazas, incluido el correo electrónico o la exploración de Internet.
Para aplicar todo esto, puede usar objetos de directiva de grupo (GPO) en Active
Directory Domain Services (AD DS) y aplicarlos mediante su dominio de administración
(local) a todas las cuentas de administración.
Directrices de seguridad
En general, para ayudar a proteger las estaciones de trabajo de administrador para su
uso con la nube se usan procedimientos similares a los usados para cualquier estación
de trabajo local. Por ejemplo, se minimizan los permisos de compilación y restrictivos.
Algunos aspectos únicos de la administración en la nube son más parecidos a la
administración remota o empresarial fuera de banda. Estos incluyen el uso y la auditoría
de credenciales, el acceso remoto con seguridad mejorada y la detección de amenazas y
respuesta a las mismas.
Authentication
Puede usar las restricciones de inicio de sesión de Azure para impedir que direcciones IP
de origen tengan acceso a herramientas administrativas y solicitudes de acceso de
auditoría. Para ayudar a Azure a identificar los clientes de administración (estaciones de
trabajo o aplicaciones), puede configurar SMAPI (mediante herramientas desarrolladas
por el cliente tales como cmdlets de Windows PowerShell) y Azure Portal para que
requieran la instalación de certificados de administración del cliente, además de los
certificados SSL/TLS. Se recomienda también que el acceso de administrador requiera
autenticación multifactor.
Algunas aplicaciones o servicios que se implementan en Azure pueden tener sus propios
mecanismos de autenticación para el acceso de usuario final y de administrador,
mientras que otras aprovechan toda la funcionalidad de Azure AD. Dependiendo de si
desea federar credenciales mediante Servicios de federación de Active Directory (AD FS),
usar la sincronización de directorios o mantener las cuentas de usuario únicamente en la
nube, el uso de Microsoft Identity Manager (parte de Azure AD Premium) lo ayuda a
administrar los ciclos de vida de las identidades entre los recursos.
Conectividad
Existen varios mecanismos para ayudar a proteger las conexiones de cliente de las redes
virtuales de Azure. Dos de estos mecanismos, VPN de sitio a sitio (S2S) y VPN de punto
a sitio (P2S), permiten usar el estándar del sector IPsec (S2S) para el cifrado y la
tunelización. Cuando Azure se conecta a la administración de servicios de Azure
accesibles desde Internet, como Azure Portal, requiere el protocolo HTTPS.
Configuración de cliente
Se recomiendan tres configuraciones principales para una estación de trabajo protegida.
Los principales puntos de diferencia entre ellas son el costo, la facilidad de uso y la
accesibilidad, pero el perfil de seguridad es similar en todas las opciones. La tabla
siguiente proporciona un breve análisis de las ventajas y los riesgos de cada una.
(Observe que "equipos corporativos" hace referencia a una configuración de PC de
escritorio estándar que se puede implementar para todos los usuarios del dominio,
independientemente de sus roles).
Puede separar aún más las funciones administrativas mediante imágenes de sistema
dedicadas para cada estación de trabajo protegida, que solo tengan las herramientas y
los permisos necesarios para administrar determinadas aplicaciones de Azure y en la
nube, con GPO de AD DS locales específicos para las tareas en la nube.
Para los entornos de TI que carecen de infraestructura local (por ejemplo, sin acceso a
una instancia de AD DS local para los GPO porque todos los servidores se encuentran
en la nube), un servicio como Microsoft Intune puede simplificar la implementación y el
mantenimiento de configuraciones de estación de trabajo.
Para evitar varios riesgos de seguridad que pueden surgir del uso de una estación de
trabajo para la administración de sistemas y otras tareas del trabajo diario, puede
implementar una máquina virtual de Windows Hyper-V en la estación de trabajo
protegido. Esta máquina virtual puede usarse como equipo corporativo. El entorno del
equipo corporativo puede permanecer aislado del host, lo que reduce la superficie de
ataque y evita que las actividades diarias del usuario (por ejemplo, el correo electrónico)
coexistan con tareas administrativas importantes.
Procedimientos recomendados
Tenga en cuenta las siguientes directrices adicionales cuando administre aplicaciones y
datos en Azure.
No envíe por correo electrónico Mantenga la confidencialidad; para ello, entregue los nombres
credenciales de acceso de y las contraseñas de las cuentas de palabra (pero no los
administrador ni otros secretos almacene en buzones de voz), realice una instalación remota
(por ejemplo, certificados de los certificados de cliente y servidor (a través de una sesión
TLS/SSL o de administración) cifrada), descárguelos desde un recurso compartido de red
protegido o distribúyalos manualmente mediante soportes
físicos extraíbles.
No exponga los puertos de Bloquee los puertos y las direcciones IP de Azure para
administración a Internet. restringir el acceso de administración.
Operaciones de Azure
Dentro de las operaciones que Microsoft realiza con Azure, los ingenieros de
operaciones y el personal de soporte técnico que tienen acceso a los sistemas de
producción de Azure usan equipos de estación de trabajo protegidos con máquinas
virtuales aprovisionadas en ellos para el acceso a las aplicaciones y a la red corporativa
interna (como correo electrónico, intranet, etc.). Todos los equipos de estación de
trabajo de administración tienen TPM, la unidad de arranque del host está cifrada con
BitLocker y están unidas a una unidad organizativa (OU) especial en el dominio
corporativo principal de Microsoft.
Resumen
Usar una configuración de estación de trabajo protegida para administrar los servicios
en la nube de Azure, las máquinas virtuales y las aplicaciones puede ayudarle a evitar
muchos riesgos y amenazas que pueden derivar de la administración remota de la
infraestructura de TI esencial. Tanto Azure como Windows proporcionan mecanismos
que puede emplear para ayudar a proteger y controlar el comportamiento de las
comunicaciones, la autenticación y los clientes.
Pasos siguientes
En los siguientes recursos se ofrece más información general sobre Azure y los servicios
de Microsoft relacionados:
Con seguridad operativa de Azure, se hace referencia a los servicios, los controles y las
características disponibles para los usuarios para proteger sus datos, aplicaciones y
otros recursos en Microsoft Azure. Es un marco que incorpora el conocimiento
adquirido a través de una variedad de funcionalidades exclusivas de Microsoft. Estas
funcionalidades incluyen el Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft,
el programa Microsoft Security Response Center y un conocimiento profundo del
panorama de amenazas de ciberseguridad.
Azure Monitor
Azure Monitor recopila datos de orígenes administrados en almacenes de datos
centralizados. Estos datos pueden incluir eventos, datos de rendimiento o datos
personalizados proporcionados mediante la API. Una vez recopilados los datos, están
disponibles para las alertas, el análisis y la exportación.
Puede consolidar datos de varios orígenes y combinar datos de los servicios de Azure
con el entorno local existente. Los registros de Azure Monitor también separan
claramente la recopilación de los datos de la acción realizada en los datos para que
todas las acciones estén disponibles para todos los tipos de datos.
Automation
Azure Automation le ofrece una manera de automatizar las tareas manuales, propensas
a errores, con una ejecución prolongada y repetidas con frecuencia que se realizan
normalmente en un entorno empresarial y en la nube. Ahorra tiempo y aumenta la
confiabilidad de las tareas administrativas. Incluso programa estas tareas para que se
realicen automáticamente a intervalos regulares. Puede automatizar procesos mediante
runbooks o automatizar la administración de configuración mediante la configuración
de estado deseada.
Copia de seguridad
Azure Backup es el servicio de Azure que puede usar para hacer una copia de seguridad
de los datos (protegerlos) y restaurarlos en Microsoft Cloud. Azure Backup reemplaza su
solución de copia de seguridad local o remota existente por una solución confiable,
segura y rentable basada en la nube.
Site Recovery
Azure Site Recovery proporciona continuidad del negocio a través de la organización de
la replicación de máquinas virtuales y físicas locales en Azure o en un sitio secundario. Si
su sitio primario no está disponible, se realizará la conmutación por error a la ubicación
secundaria para que los usuarios pueden seguir trabajando. Se realizará una
conmutación por recuperación cuando los sistemas vuelvan a las condiciones de
funcionamiento normales. Use Microsoft Defender for Cloud para realizar una detección
de amenazas más inteligente y eficaz.
Autenticación multifactor
Administración de contraseñas de autoservicio
Administración de grupos de autoservicio
Administración de cuentas con privilegios
Control de acceso basado en roles de Azure (Azure RBAC)
Supervisión del uso de la aplicación
Auditoría avanzada
Supervisión de seguridad y alertas
Con Azure Active Directory, todas las aplicaciones que publica para sus asociados y
clientes (empresa o consumidor) tendrán las mismas funcionalidades de administración
de identidad y acceso. Esto permite reducir significativamente los costos operativos.
Defender for Cloud evalúa la configuración de los recursos para identificar problemas de
seguridad y vulnerabilidades. En Defender for Cloud, se muestra información
relacionada con un recurso solo cuando tiene asignado el rol de Propietario,
Colaborador o Lector a la suscripción o grupo de recursos al que pertenece un recurso.
7 Nota
Consulte Permisos en Microsoft Defender for Cloud para obtener más información
sobre los roles y las acciones permitidas en Defender for Cloud.
Defender for Cloud usa Microsoft Monitoring Agent. Es el mismo agente que usa el
servicio de Azure Monitor. Los datos que recopila este agente se almacenan en una área
de trabajo existente de Log Analytics asociada con la suscripción a Azure o en una
nueva área de trabajo, según la geolocalización de la VM.
Azure Monitor
Los problemas de rendimiento de la aplicación en la nube pueden afectar a su negocio.
Con varios componentes interconectados y versiones frecuentes, las degradaciones
pueden ocurrir en cualquier momento. Y, si va a desarrollar una aplicación, los usuarios
normalmente encuentran problemas que no se han detectado durante las pruebas.
Debe tener conocimiento de estos problemas de inmediato y disponer de las
herramientas de diagnóstico y solución de problemas.
También puede usar datos de supervisión para extraer conclusiones detalladas sobre la
aplicación. Este conocimiento puede ayudarle a mejorar el rendimiento o
mantenimiento de la aplicación, o a automatizar acciones que de lo contrario
requerirían intervención manual.
Los registros del sistema de eventos de Windows son una categoría de registros de
diagnóstico para VM. Los registros de BLOB, tabla y cola son categorías de registros de
diagnóstico para cuentas de almacenamiento.
Métricas
Azure Monitor proporciona telemetría que le ofrece visibilidad sobre el rendimiento y el
estado de las cargas de trabajo en Azure. El tipo de telemetría de datos de Azure más
importante son las métricas (también denominadas contadores de rendimiento)
emitidas por la mayoría de los recursos de Azure. Azure Monitor proporciona varias
maneras de configurar y usar estas métricas para supervisar y solucionar problemas.
Diagnóstico de Azure
Azure Diagnostics habilita la recopilación de datos de diagnóstico en una aplicación
implementada. Puede utilizar la extensión de Diagnostics desde diversos orígenes.
Actualmente, se admiten roles de servicio en la nube de Azure, máquinas virtuales de
Azure que ejecutan Microsoft Windows y Azure Service Fabric.
Asignaciones de roles
Asignaciones de directiva
Plantillas del Administrador de recursos de Azure
Grupos de recursos
DevOps
Antes del desarrollo de aplicaciones de Developer Operations (DevOps) , los equipos
eran los responsables de recopilar los requisitos de negocio para un programa de
software y de escribir el código. A continuación, un equipo independiente de QA
probaba el programa en un entorno de desarrollo aislado. Si se cumplían los requisitos,
el equipo de QA liberaba el código de las operaciones para implementarlo. Los equipos
de implementación se dividieron más en grupos, como redes y bases de datos. Cada vez
que se pasaba un programa de software a un equipo independiente, se agregaban
cuellos de botella.
DevOps permite a los equipos ofrecer soluciones más seguras y de mayor calidad,
además de más rápidas y baratas. Los clientes esperan una experiencia dinámica y
confiable al consumir servicios y software. Los equipos deben iterar rápidamente en
actualizaciones de software y medir el impacto de las actualizaciones. Deben responder
rápidamente con nuevas iteraciones de desarrollo para solucionar problemas o para
proporcionar más valor.
Las plataformas en la nube, como Microsoft Azure, han quitado los cuellos de botella
tradicionales y ayudaron a homogeneizar la infraestructura. El software impera en cada
negocio como factor y diferenciador claves en los resultados empresariales. Ninguna
organización, desarrollador o trabajador de TI puede o debe evitar el movimiento de
DevOps.
Pasos siguientes
Para obtener información sobre la solución Seguridad y auditoría, vea los artículos
siguientes:
Definición e implementación de
procedimientos de seguridad operativa
exhaustivos
Por seguridad operativa de Azure, se entienden los servicios, los controles y las
características disponibles para los usuarios para proteger sus datos, aplicaciones y
otros recursos en Azure. La seguridad operativa de Azure se basa en un marco que
incorpora el conocimiento adquirido a través de diversas funcionalidades exclusivas de
Microsoft, incluido el ciclo de vida de desarrollo de seguridad (SDL) , el programa
Microsoft Security Response Center y un conocimiento en profundidad del panorama
de amenazas de ciberseguridad.
Existen varias opciones para exigir la verificación en dos pasos. La mejor opción para
usted depende de sus objetivos, la edición de Azure AD que ejecuta y su programa de
licencias. Consulte Exigencia de verificación en dos pasos para un usuario para
determinar la mejor opción para usted. Puede encontrar más información sobre
licencias y precios en las páginas de precios de Azure AD y Azure AD Multi-Factor
Authentication .
A continuación, se indican las opciones y ventajas para habilitar la verificación en dos
pasos:
Opción 1: Habilite MFA para todos los usuarios y métodos de inicio de sesión con la
Ventaja de los valores predeterminados de seguridad de Azure AD: Esta opción le
permite aplicar de forma rápida y sencilla MFA para todos los usuarios de su entorno
con una directiva estricta para:
Este método está disponible para todos los niveles de licencia, pero no se puede
mezclar con las directivas de acceso condicional existentes. Puede encontrar más
información en los valores predeterminados de seguridad de Azure AD.
Esta es la forma más flexible de habilitar la verificación en dos pasos para los usuarios.
Habilitar la directiva de acceso condicional solo funciona con Azure AD Multi-Factor
Authentication en la nube y es una característica premium de Azure AD. Puede
encontrar más información sobre este método en Implementación de Azure AD Multi-
Factor Authentication en la nube.
Opción 4: habilitar Multi-Factor Authentication con directivas de acceso condicional
mediante la evaluación de directivas de acceso condicional basadas en riesgos.
Ventaja: esta opción le permite:
7 Nota
El nivel Gratis de Defender for Cloud ofrece seguridad limitada para los recursos de
Azure, así como recursos habilitados para Arc fuera de Azure. Las características de
seguridad mejoradas amplían estas funcionalidades para incluir la administración de
amenazas y vulnerabilidades, así como informes de cumplimiento normativo. Los planes
de Defender for Cloud ayudan a encontrar y corregir vulnerabilidades de seguridad,
aplicar controles de acceso y de aplicación para bloquear actividades malintencionadas,
detectar amenazas mediante análisis e inteligencia, y responder rápidamente en caso de
ataque. Puede probar Defender for Cloud Estándar sin costo alguno durante los
primeros 30 días. Se recomienda habilitar características de seguridad mejoradas en las
suscripciones de Azure en Defender for Cloud.
Use Defender for Cloud para obtener una vista central del estado de seguridad de todos
los recursos de sus propios centros de datos, Azure y otras nubes. Compruebe que los
controles de seguridad adecuados se han implementado y configurado correctamente,
e identifique de un vistazo cualquier recurso que demande atención.
Defender for Cloud también se integra con Microsoft Defender para punto de conexión,
que proporciona funcionalidades completas de detección y respuesta de puntos de
conexión (EDR). Con la integración de Microsoft Defender para punto de conexión,
puede detectar anomalías y detectar vulnerabilidades. También puede detectar y
responder a ataques avanzados en los puntos de conexión de servidor supervisados por
Defender for Cloud.
Estos son algunos procedimientos recomendados para evitar, detectar y responder a las
amenazas:
Puede usar Azure Resource Manager para aprovisionar las aplicaciones mediante una
plantilla declarativa. En una plantilla, puede implementar varios servicios junto con sus
dependencias. Use la misma plantilla para implementar la aplicación de forma repetida
durante cada fase de su ciclo de vida.
Apache JMeter es una conocida herramienta gratuita de código abierto que cuenta
con el respaldo de una sólida comunidad.
Diseñar y compilar para la resistencia frente a DDoS requiere planear y diseñar para una
serie de modos de error. Estos son los procedimientos recomendados para compilar
servicios resistentes a DDoS en Azure.
Para Azure Cloud Services, configure cada uno de los roles para utilizar varias instancias.
Los grupos de seguridad de red constituyen otra manera de reducir el área expuesta a
ataques. Puede usar etiquetas de servicio y grupos de seguridad de la aplicación para
minimizar la complejidad de la creación de reglas de seguridad y configurar la
seguridad de la red como una extensión natural de la estructura de una aplicación.
Debe implementar los servicios de Azure en una red virtual siempre que sea posible.
Este procedimiento permite que los recursos del servicio se comuniquen mediante
direcciones IP privadas. De forma predeterminada, el tráfico de los servicios Azure desde
una red virtual usa direcciones IP públicas como direcciones IP de origen.
Con los puntos de conexión de servicio, el tráfico del servicio cambia para usar
direcciones privadas de red virtual como direcciones IP de origen al acceder al servicio
de Azure desde una red virtual.
Con frecuencia vemos ataques a los recursos locales de un cliente, además de a los
recursos en Azure. Si conecta un entorno local a Azure, minimice la exposición de los
recursos locales a la red pública de Internet.
Azure tiene dos ofertas de servicio de DDoS que proporcionan protección frente a
ataques de red:
Habilite Azure Policy para supervisar y aplicar la directiva escrita de la organización. Esto
garantizará el cumplimiento de los requisitos de seguridad normativos o de la empresa
mediante la administración centralizada de las directivas de seguridad en todas las
cargas de trabajo en la nube híbrida. Más información sobre cómo crear y administrar
directivas para aplicar el cumplimiento. Vea Estructura de definición de Azure Policy para
obtener información general de los elementos de una directiva.
Introducción
Azure ofrece un conjunto de servicios de infraestructura que puede usar para
implementar las aplicaciones. Con seguridad operativa de Azure, se hace referencia a los
servicios, los controles y las características disponibles para los usuarios para proteger
sus datos, aplicaciones y otros recursos en Microsoft Azure.
Lista de comprobación
Esta lista de comprobación se ha creado para ayudar a las empresas a pensar en
distintas consideraciones de la seguridad operativa a medida que se implementan
aplicaciones empresariales sofisticadas en Azure. También puede utilizarse para ayudarle
a crear una estrategia segura de operación y migración a nube para la organización.
Microsoft .
Supervise activamente las actividades sospechosas mediante
informes de anomalías de Microsoft Entra ID P1 o P2 y la
funcionalidad Microsoft Entra ID Protection.
Conclusión
Muchas organizaciones han implementado y puesto en funcionamiento correctamente
sus aplicaciones en la nube en Azure. Las listas de comprobación proporcionadas
destacan algunas listas de comprobación que son fundamentales y le ayudan a mejorar
la probabilidad de implementaciones correctas y operaciones sin frustraciones.
Recomendamos fehacientemente estas consideraciones operativas y estratégicas para
las implementaciones de aplicaciones nuevas y existentes en Azure.
Pasos siguientes
Para más información sobre seguridad en Azure, vea los artículos siguientes:
En nuestras conversaciones con los clientes de Azure actuales y futuros, se nos pregunta
a menudo si tenemos una lista de todos los servicios y tecnologías relacionados con la
seguridad que ofrece Azure.
Al evaluar las opciones del proveedor de servicios en la nube, es útil tener esta
información. Por este motivo, hemos preparado esta lista para que pueda empezar.
Con el tiempo, esta lista cambiará y aumentará, igual que lo hace Azure. Asegúrese de
que consultar esta página periódicamente para mantenerse informado sobre nuestros
servicios relacionados con la seguridad y las tecnologías.
Microsoft Sentinel Una solución escalable y nativa de la nube que ofrece análisis de
seguridad inteligentes e inteligencia sobre amenazas en toda la
empresa.
Azure Key Vault Almacén de secretos seguro para las contraseñas, las cadenas
de conexión y otra información que necesita para mantener sus
aplicaciones en funcionamiento.
Registros de Azure Monitor Servicio de supervisión que recopila datos de telemetría y otros
datos, y proporciona un motor de lenguaje de consultas y
análisis para proporcionar información detallada sobre sus
aplicaciones y recursos. Puede utilizarse solo o con otros
servicios como Defender for Cloud.
Cifrado del servicio Característica de seguridad que permite cifrar automáticamente los datos
Azure Storage en Azure Storage.
Azure StorSimple Una solución de almacenamiento integrada que administra las tareas de
Virtual Array almacenamiento de información entre una matriz virtual local que se
ejecuta en un hipervisor y el almacenamiento en la nube de Microsoft
Azure.
Cifrado de cliente Una solución de cifrado en el lado del cliente que admite el cifrado de
para blobs datos dentro de las aplicaciones cliente antes de cargarlos en Azure Storage
y el descifrado de los datos mientras se descargan en el cliente.
Firmas de acceso Una Firma de acceso compartido (SAS) ofrece acceso delegado a los
compartido de recursos en la cuenta de almacenamiento.
Azure Storage
Acerca de las Un método de control de acceso de Azure Storage que se usa para
cuentas de Azure autorizar las solicitudes a la cuenta de almacenamiento mediante las claves
Storage de acceso de la cuenta o una cuenta de Microsoft Entra (valor
predeterminado).
Análisis de Azure Tecnología de generación y registro de métricas para los datos de la cuenta
Storage de almacenamiento.
Cómo configurar un Característica de control de acceso de red que protege frente a ataques
firewall de base de basados en red a una base de datos.
datos SQL de Azure
Auditoría de Azure SQL Una característica de auditoría para Azure SQL Database y
Database Azure Synapse Analytics que realiza el seguimiento de eventos de base
de datos y los escribe en un registro de auditoría en la cuenta de Azure
Storage, el área de trabajo de Log Analytics o Event Hubs.
Reglas de red virtual Una característica de seguridad de firewall que controla si el servidor de
las bases de datos y de los grupos elásticos de Azure SQL Database o
de las bases de datos del grupo de SQL dedicado (anteriormente,
SQL DW) de Azure Synapse Analytics acepta las comunicaciones que se
envían desde subredes específicas de redes virtuales.
Control de acceso Característica de control de acceso diseñada para que los usuarios
basado en rol accedan únicamente a los recursos necesarios en función de sus roles
dentro de la organización.
Azure Active Una solución de administración de identidad y acceso (CIAM) que permite
Directory B2C controlar la manera en que los clientes se registran, inician sesión y
administran sus perfiles al usar las aplicaciones basadas en Azure.
Servicios de dominio Una versión basada en la nube y administrada de Active Directory Domain
de Microsoft Entra Services que proporciona servicios de dominio administrados como, por
ejemplo, unión a un dominio, directivas de grupo, protocolo ligero de
acceso a directorios (LDAP) y autenticación Kerberos o NTLM.
Azure Servicio de Azure que se usa para realizar copias de seguridad y restaurar los
Backup datos en la nube de Azure.
Azure Site Servicio en línea que replica las cargas de trabajo que se ejecutan en máquinas
Recovery físicas y virtuales desde un sitio principal a una ubicación secundaria para poder
recuperar los servicios después de un error.
Redes
Servicio Descripción
Grupos de seguridad Una característica de control de acceso basado en red para filtrar el
de red tráfico de red entre los recursos de Azure de una red virtual de Azure.
Acerca de VPN Dispositivo de red que se usa como un punto de conexión VPN para
Gateway permitir el acceso entre entornos locales a las redes virtuales de Azure.
Firewall de Una función que ofrece una protección centralizada de las aplicaciones
aplicaciones web web contra las vulnerabilidades de seguridad comunes.
(WAF)
Información técnica de Una característica que le permite ampliar las redes locales a la nube de
ExpressRoute Microsoft mediante una conexión privada con la ayuda de un proveedor
de conectividad.
Puntos de conexión de Proporciona conectividad directa y segura con los servicios de Azure por
servicio de red virtual medio de una ruta optimizada a través de la red troncal de Azure.
Azure Private Link Permite acceder a los servicios PaaS de Azure (por ejemplo, Azure
Storage y SQL Database) y a los servicios hospedados en Azure que son
propiedad de los clientes, o a los servicios de asociados, a través de un
punto de conexión privado de la red virtual.
Azure Front Door Proporciona capacidad de protección de aplicaciones web para blindar
las aplicaciones web frente a ataques de red y vulnerabilidades web
habituales, tales como la inyección de código SQL o scripts entre sitios
(XSS).
Pasos siguientes
Obtenga más información acerca de la seguridad total de Azure y sobre cómo estos
servicios le ayudan a satisfacer las necesidades de seguridad de su empresa y a proteger
a los usuarios, los dispositivos, los recursos, los datos y las aplicaciones en la nube.
Disponibilidad de las características en
la nube para clientes de la
Administración Pública de Estados
Unidos
Artículo • 26/10/2023
7 Nota
Azure Government
Azure Government usa las mismas tecnologías subyacentes que Azure (a veces
denominadas Azure Commercial o Azure Public), que incluye los componentes
principales de la infraestructura como servicio (IaaS), la plataforma como servicio (PaaS)
y el software como servicio (SaaS). Tanto Azure como Azure Government cuentan con
controles de seguridad integrales y el compromiso de Microsoft para la protección de
los datos de los clientes.
Azure Government es un entorno en la nube aislado físicamente que está dedicado a los
gobiernos federales, estatales, locales y tribales de Estados Unidos, así como a sus
asociados. Mientras que ambos entornos en la nube se evalúan y autorizan en el nivel
de impacto FedRAMP High, Azure Government proporciona un nivel adicional de
protección a los clientes a través de compromisos contractuales relacionados con el
almacenamiento de los datos de clientes en Estados Unidos y la limitación del posible
acceso a los sistemas que procesen los datos del cliente a personas seleccionadas de
Estados Unidos. Estos compromisos pueden ser de interés para los clientes que usan la
nube a fin de almacenar o procesar datos sujetos a las regulaciones de control de
exportación de Estados Unidos, como EAR, ITAR y 10 CFR parte 810 del Departamento
de Energía de Estados Unidos.
Para obtener más información acerca de Azure Government, consulte ¿Qué es Azure
Government?
El entorno de Office 365 GCC ayuda a los clientes a cumplir los requisitos de la
Administración Pública de Estados Unidos, incluidos FedRAMP High, CJIS y la
publicación 1075 de IRS. Los entornos de Office 365 GCC High y DoD admiten a los
clientes que necesitan cumplir con DoD IL4/5, DFARS 7012, NIST 800-171 e ITAR.
Para obtener más información acerca de los entornos de Office 365 para la
Administración Pública de Estados Unidos, consulte:
AIP forma parte de la solución Microsoft Purview Information Protection (MIP) y amplía
las funcionalidades de etiquetado y clasificación que proporciona Microsoft 365.
Office 365 GCC se empareja con Microsoft Entra ID en Azure. Office 365 GCC High
y Office 365 DoD se emparejan con Microsoft Entra ID en Azure Government.
Asegúrese de prestar atención al entorno de Azure para comprender dónde es
posible la interoperabilidad. En la tabla siguiente, la interoperabilidad que no es
posible está marcada con un guion (-) a fin de indicar que la compatibilidad no es
pertinente.
7 Nota
En las notas al pie de la tabla se muestran más detalles sobre el soporte técnico
para los clientes de la administración pública.
Administración
Clasificación y etiquetado2
1
El analizador puede funcionar sin Office 365 para examinar archivos únicamente. El
analizador no puede aplicar etiquetas a los archivos sin Office 365.
2
El complemento de clasificación y etiquetado solo se admite para los clientes de la
administración pública con Aplicaciones Microsoft 365 (versión 9126.1001 o posterior),
incluidas las versiones Profesional Plus (ProPlus) y Hacer clic y ejecutar (C2R). No se
admite Office 2010, Office 2013 ni otras versiones de Office 2016.
Características de Office 365
Administración
SDK
Personalizaciones
Administración de claves
Archivos de Office3
Clasificación y etiquetado2 / 8
Característica o servicio Office 365 GCC Office 365 Office 365
GCC High DoD
3
La extensión de dispositivos móviles para AD RMS no está disponible actualmente
para los clientes de la administración pública.
4
Information Rights Management con SharePoint Online (sitios y bibliotecas protegidos
por IRM) no está disponible actualmente.
5
Information Rights Management (IRM) solo se admite para Aplicaciones de
Microsoft 365 (versión 9126.1001 o posterior), incluidas las versiones Profesional Plus
(ProPlus) y Hacer clic y ejecutar (C2R). No se admite Office 2010, Office 2013 ni otras
versiones de Office 2016.
6
Solo se admite Exchange local. No se admiten las reglas de protección de Outlook. No
se admite la infraestructura de clasificación de archivos. No se admite SharePoint local.
7
Actualmente no está disponible el uso compartido de documentos y correos
electrónicos protegidos desde nubes gubernamentales con los usuarios de la nube
comercial. Incluye usuarios de Aplicaciones de Microsoft 365 en la nube comercial,
usuarios distintos de Aplicaciones de Microsoft 365 en la nube comercial y usuarios con
una licencia de RMS for Individuals.
Características gratuitas de
Microsoft Defender for Cloud
Inventario de recursos GA GA
Microsoft Defender para DNS No disponible para las No disponible para las
nuevas suscripciones nuevas suscripciones
Sincronización de alertas bidireccional con Vista previa pública Vista previa pública
Microsoft Sentinel
1
Parcialmente en disponibilidad general: la capacidad de deshabilitar los resultados
específicos de los exámenes de vulnerabilidades está en versión preliminar pública.
2
Los exámenes de vulnerabilidades de los registros de contenedor en Azure Gov solo se
pueden realizar con la característica de examen en inserción.
3
Requiere Microsoft Defender para registros de contenedor.
4
Parcialmente en disponibilidad general: la compatibilidad con clústeres habilitados
para Azure Arc está en versión preliminar pública y no está disponible en Azure
Government.
5
Requiere Microsoft Defender para Kubernetes.
6
Parcialmente en disponibilidad general: algunas de las alertas de protección contra
amenazas de Microsoft Defender para Storage están en versión preliminar pública.
8
Puede haber diferencias en los estándares ofrecidos por cada tipo de nube.
9
Disponibilidad general parcial: la compatibilidad con clústeres de Kubernetes
habilitados para Arc (y, por tanto, también EKS de AWS) está en versión preliminar
pública y no está disponible en Azure Government. La visibilidad en tiempo de ejecución
de las vulnerabilidades de las imágenes de contenedor también es una característica en
vista previa.
Microsoft Sentinel
Microsoft Sentinel es una solución de administración de eventos e información de
seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) que
es escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad
inteligente e inteligencia frente a amenazas en toda la empresa, de forma que
proporciona una única solución para la detección de alertas, la visibilidad de amenazas,
la búsqueda proactiva y la respuesta a amenazas.
Para obtener más información, consulte la documentación del producto Microsoft
Sentinel.
Sugerencia
Office IRM
Dynamics 365
- Microsoft Power BI
- Microsoft Project
Office 365
Teams
Para organizaciones
Administración de vulnerabilidades GA GA
Active Directory GA GA
ArcSight GA GA
CyberArk PSM GA GA
Correo electrónico GA GA
FortiGate GA GA
FortiSIEM GA GA
Microsoft Sentinel GA GA
NetWitness GA GA
Splunk GA GA
Azure Attestation
Microsoft Azure Attestation es una solución unificada para comprobar de forma remota
la confiabilidad de una plataforma y la integridad de los archivos binarios que se
ejecutan en ella. El servicio recibe evidencia de la plataforma, la valida según estándares
de seguridad, la evalúa con directivas configurables y genera un token de atestación
para aplicaciones basadas en notificaciones (por ejemplo, usuarios de confianza o
entidades de auditoría).
Azure Attestation está disponible actualmente en varias regiones en las nubes públicas y
de administración pública de Azure. En Azure Government, el servicio está disponible en
versión preliminar en US Gov Virginia y US Gov Arizona.
Pasos siguientes
Información sobre el modelo de responsabilidad compartida, las tareas de
seguridad que administra el proveedor de nube y las tareas que administra el
usuario.
Información sobre las capacidades de la nube de Azure Government y de la
seguridad y el diseño de confianza que se usa para apoyar el cumplimiento
aplicable a organizaciones locales, estatales, federales y sus asociados.
Información sobre el plan de Office 365 Administración Pública.
Información sobre el cumplimiento en Azure de los estándares legales y
normativos.
Patrones y procedimientos
recomendados de seguridad en Azure
Artículo • 17/11/2023
procedimientos recomendados
Estos procedimientos recomendados están diseñados como recurso para los
profesionales de la TI. Aquí podrían caber diseñadores, arquitectos, desarrolladores y
evaluadores que compilen e implementen soluciones seguras de Azure.
Pasos siguientes
Microsoft ha descubierto que el uso de pruebas comparativas de seguridad puede
ayudarle a proteger rápidamente las implementaciones en la nube. Las
recomendaciones para las pruebas comparativas del proveedor de servicios en la nube
ofrecen un punto de partida para seleccionar opciones de configuración de seguridad
específicas en su entorno y le permiten reducir rápidamente los riesgos para su
organización. Consulte Microsoft Cloud Security Benchmark para una recopilación de
recomendaciones de seguridad de gran impacto que puede usar para ayudar a proteger
los servicios que usa en Azure.
Servicios de Microsoft en
ciberseguridad
Artículo • 06/04/2023
Los servicios de Microsoft pueden crear soluciones que integren y mejoren las
funcionalidades de seguridad e identidad más recientes de nuestros productos para
ayudar a proteger sus negocios e impulsar la innovación.
También puede crear una solicitud personalizada de soporte técnico de Azure en Azure
Portal. Visite Azure Portal aquí . Siga las indicaciones para recibir soluciones
recomendadas o para registrar una solicitud de soporte técnico.
Pasos siguientes
MSRC forma parte de la comunidad de seguridad. Obtenga información sobre cómo
MSRC ayuda a proteger a los clientes y al ecosistema en general.
Pruebas de penetración
Artículo • 06/04/2023
Una de las ventajas del uso de Azure para las pruebas y la implementación de
aplicaciones es que puede crear entornos rápidamente. No tiene que preocuparse del
pedido, la adquisición, la "instalación en bastidor y apilamiento" de su propio hardware
local.
Crear entornos rápidamente está muy bien, pero debe asegurarse de realizar sus
diligencias de seguridad normales. Una de las cosas que quizá desee hacer es realizar
pruebas de penetración de las aplicaciones que implemente en Azure. No realizamos
pruebas de penetración de su aplicación, pero sabemos que quiere y necesita realizar
dichas pruebas en sus propias aplicaciones. Eso es bueno, ya que al mejorar la
seguridad de sus aplicaciones, ayuda a hacer que todo el ecosistema de Azure sea más
seguro.
) Importante
7 Nota
Solo puede simular ataques mediante partners de prueba aprobados por Microsoft:
Para más información sobre estos partners de simulación, consulte Pruebas con
partners de simulación.
Pasos siguientes
Más información sobre las reglas de compromiso de pruebas de penetración .
Lista de referencia de dominios de
Azure (no es exhaustiva)
Artículo • 21/10/2023
En esta página se muestra una lista parcial de los dominios de Azure en uso. Algunos de
ellos son puntos de conexión de la API de REST.
Servicio Subdominio