Las mejores prácticas y listas de verificación de seguridad de Azure para 2025

Azure da soporte a más de 700 millones de usuarios activos en todo el mundo. Para mantener la confianza de una base de usuarios tan amplia, Microsoft invierte más de mil millones de dólares al año en mejorar la infraestructura de seguridad de Azure. Sin embargo, dado que los ataques a la seguridad en la nube son cada vez más sofisticados, las organizaciones deben mantenerse alerta.

Y para dividir esta vigilancia entre el proveedor de seguridad en la nube y sus clientes, Azure opera con un modelo de responsabilidad compartida (SRM). El modelo de responsabilidad compartida funciona según el principio de que, mientras Microsoft Azure protege la infraestructura subyacente de la nube, los clientes son responsables de proteger sus aplicaciones, datos e identidades.

A la luz de esta dinámica, este artículo proporciona una lista de verificación de prácticas recomendadas de seguridad de Azure para ayudar a sus usuarios a mantener una postura de seguridad sólida de manera eficaz.

Pero primero, aprendamos un poco más sobre el SRM de Azure.

¿Qué es el modelo de responsabilidad compartida (SRM) de Azure?

El modelo SRM de Azure, basado en el tipo de servicio, le permite decidir qué controles de seguridad corresponden al proveedor de la nube y cuáles al cliente. El modelo de responsabilidad compartida es fundamental en la seguridad de Azure, ya que describe la división de las tareas de seguridad entre el proveedor de la nube y el cliente. Para garantizar el cumplimiento de sus responsabilidades, soluciones como Singularity™ Cloud Workload Security protegen sus cargas de trabajo en la nube, salvaguardándolas de amenazas avanzadas mientras usted gestiona su entorno.

Hay tres tipos de servicios:

• Infraestructura como servicio (IaaS): En este caso, Azure protege la infraestructura básica, como las máquinas virtuales y el almacenamiento, mientras que los clientes deben gestionar la seguridad de los sistemas operativos, las aplicaciones y los datos.
• Plataforma como servicio (PaaS): En este caso, Azure también protege las capas de tiempo de ejecución y middleware. Los clientes son responsables de la seguridad de las aplicaciones y la protección de los datos.
• Software como servicio (SaaS): En el modelo SaaS, Azure asume más responsabilidad, ya que protege tanto la infraestructura como las capas de aplicaciones. Sin embargo, los clientes siguen teniendo que gestionar la seguridad de los datos y los controles de acceso.

Principales prácticas recomendadas de seguridad de Azure

Según un estudio reciente, el 80 % de las empresas sufrieron al menos un incidente de seguridad en la nube durante el último año. A medida que más personas migran a Azure Cloud, la estadística anterior pone de relieve la urgente necesidad de implementar las siguientes prácticas recomendadas de seguridad de Azure Cloud:seguridad en la nube de Azure:

N.º 1: Gestión de identidades y accesos (IAM)

Microsoft Azure Active Directory (AD) es un servicio de gestión de identidades y accesos que permite a los empleados acceder a datos y aplicaciones como OneDrive y Exchange Online.

Para maximizar las ventajas de Azure AD, las organizaciones deben implementar las siguientes prácticas recomendadas de Azure IAM:

• Autenticación multifactor (MFA): La autenticación multifactor le ayuda a añadir una capa de seguridad adicional a su cuenta. Funciona con dos o más de estos factores: algo que sabe (contraseñas), algo que tiene (dispositivo) y algo que es (datos biométricos). En pocas palabras, la MFA tiene en cuenta lo que tienes, que es tu dispositivo; lo que sabes, que es tu contraseña; y lo que eres como persona, que son tus huellas dactilares o el reconocimiento facial. Así, cuando introduces tu contraseña, se te pide que inicies sesión en tu dispositivo o que autentiques tu identificación mediante los datos biométricos introducidos en tu cuenta. De esta forma, los actores maliciosos no puedenno pueden abrir su cuenta sin su dispositivo o sin usted. Azure AD MFA también funciona según los mismos principios. Sin embargo, puede elegir entre diferentes métodos de verificación en Azure AD, como la aplicación Microsoft Authenticator, el token de hardware OATH, los SMS y las llamadas de voz.
• Acceso condicional: El acceso condicional utiliza señales en tiempo real como el cumplimiento de los dispositivos, el contexto del usuario, la ubicación y los factores de riesgo de la sesión para determinar cuándo permitir, bloquear o limitar el acceso o requerir pasos de verificación adicionales para acceder a los recursos de su organización basados en Azure.
• Control de acceso basado en roles de Azure (RBAC): El control de acceso basado en roles (RBAC) también se conoce como seguridad basada en roles. Es un mecanismo que ayuda a las organizaciones a restringir el acceso a personas no autorizadas. Con el modelo RBAC, las organizaciones pueden establecer permisos y privilegios que permiten el acceso solo a usuarios autorizados.

#2 Arquitectura de confianza cero

La confianza cero, como su nombre indica, funciona según el principio de "¡nunca confíes y verifica siempre!". En pocas palabras, ninguna entidad, ya sea una persona, una máquina o una aplicación, es de confianza por defecto, ya sea dentro o fuera de la red. Y la verificación es obligatoria para todos los que quieran acceder a los recursos de la red.

• Verificar explícitamente: Es fundamental autenticar, identificar y autorizar tu entrada. Debe hacerlo según los puntos de datos disponibles en el sistema.
• Utilizar el acceso con privilegios mínimos: Restringir a los usuarios al "acceso justo a tiempo y justo lo necesario" (JIT/JEA).
• Asuma que se producirá una infracción: Cuando trabaje con la mentalidad de que se producirán infracciones, debe segmentar las redes y utilizar el cifrado de extremo a extremo para minimizar las áreas de ataque de posibles infracciones.

#3 Seguridad de red

Basada en una estrategia de defensa multicapa, la base de Azure para la seguridad de red garantiza la protección de los datos en entornos compartidos. Esto se consigue mediante el aislamiento lógico, el control de acceso, el cifrado y el cumplimiento de marcos estándar como SOC2, SOC1 e ISO27001.

Y en esta era digital, la seguridad de la red dentro de su infraestructura en la nube desempeña un papel importante.

Proteja sus redes de Azure con Azure Firewall y los grupos de seguridad de red (NSG).

• Azure Firewall: Es un servicio de seguridad de red gestionado y basado en la nube que protege los recursos de su red virtual de Azure. Ofrece protección avanzada contra amenazas y le permite controlar el tráfico con alta disponibilidad y escalabilidad.
• NSG: Un grupo de seguridad de red comprende reglas de seguridad que ayudan a las organizaciones a decidir qué tráfico entrante se permitirá o se denegará desde diversos recursos de Azure dentro de una red virtual. Esto se puede hacer definiendo sus reglas de seguridad. El tráfico se basa en criterios de puerto, dirección IP y protocolo.

#4 Configuración de la red virtual (VNet)

El componente básico principal de su red privada en Azure, la red virtual (VNet), permite que numerosos recursos de Azure, como las máquinas virtuales (VM) de Azure, se comuniquen de forma segura entre sí, en la nube y en las redes locales

Las prácticas recomendadas de seguridad de Windows Azure incluyen las prácticas recomendadas para la configuración de redes virtuales (VNet), la segmentación de redes, los puntos de conexión privados y las reglas NSG.

• Puerta de enlace VPN: Utilice una puerta de enlace VPN para ampliar de forma segura su red local a Azure a través de una conexión VPN cifrada, lo que garantiza que los datos transmitidos entre los dos entornos estén protegidos contra el acceso no autorizado.
• ExpressRoute: Implemente ExpressRoute para mejorar la seguridad y la fiabilidad mediante la creación de una conexión privada entre su infraestructura local y Azure, sin pasar por la Internet pública, lo que mejora el rendimiento y la seguridad.
• Cifrado de datos en tránsito: Proteja sus datos en tránsito cifrando sus conexiones VPN mediante los protocolos IPsec (Internet Protocol Security) e IKE (Internet Key Exchange), que proporcionan un canal seguro para la transmisión de datos a través de Internet.

#5 Cifrado de datos en reposo y en tránsito

Las prácticas de cifrado eficaces protegen la información confidencial tanto en reposo como en tránsito, lo que garantiza el cumplimiento normativo y mantiene la confidencialidad de los datos. A continuación se explica cómo puede proteger sus datos en reposo y en tránsito.

• Azure Key Vault: Utilice Azure Key Vault para administrar y proteger las claves criptográficas y los secretos utilizados para el cifrado de datos. Este servicio proporciona almacenamiento seguro y control de acceso para la información confidencial, lo que reduce el riesgo de acceso no autorizado.
• Azure Update Management: utilice Azure Update Management para automatizar la aplicación de parches y las evaluaciones de cumplimiento. Además, debe mantener todas sus máquinas virtuales y servicios de Azure actualizados con los últimos parches de seguridad para evitar cualquier incidente indeseado.
• Cifrado del servicio de almacenamiento de Azure: Proteja sus datos en reposo utilizando el cifrado del servicio de almacenamiento de Azure, que cifra automáticamente sus datos cuando se escriben en la nube, lo que garantiza que la información confidencial permanezca segura incluso cuando se almacena.
• Seguridad de la capa de transporte (TLS): Implemente el cifrado TLS para los datos en tránsito a fin de protegerlos contra la interceptación durante la transmisión. TLS proporciona una autenticación sólida y la integridad de los mensajes, lo que dificulta que personas no autorizadas accedan a los datos o los manipulen mientras se transmiten.
• Copia de seguridad y recuperación ante desastres de Azure: Realice copias de seguridad periódicas de sus datos con Azure Backup. Además, debe desarrollar un plan de recuperación ante desastres sólido y realizar pruebas periódicas para garantizar la continuidad del negocio.

N.º 6: Detección y supervisión de amenazas

La detección y supervisión de amenazas es otra práctica recomendada de seguridad de Azure que las organizaciones deben seguir para lograr una arquitectura de seguridad sólida.

• Azure Security Center: Utilice Azure Security Center, que ofrece un sistema unificado de gestión de la seguridad de la infraestructura. Refuerza la postura de seguridad del centro de datos al proporcionar protección avanzada contra amenazas en Azure y cargas de trabajo híbridas.
• Azure Sentinel: Aproveche Azure Sentinel, una solución nativa de la nube de gestión de información y eventos de seguridad (SIEM) y de orquestación, automatización y respuesta (SOAR). Proporciona análisis de seguridad inteligentes e inteligencia sobre amenazas en toda la empresa, lo que mejora la visibilidad general de la seguridad.
• Supervisión y alertas continuas: Configure alertas en Azure Security Center y Azure Sentinel para recibir notificaciones sobre posibles amenazas o actividades sospechosas. Esto facilita respuestas rápidas y en tiempo real para mitigar los riesgos de manera eficaz.
• Detección de amenazas basada en IA: Utilice las herramientas de seguridad basadas en IA de Azure para analizar grandes cantidades de datos e identificar patrones que indiquen posibles amenazas. Estas herramientas utilizan el aprendizaje automático y el análisis del comportamiento, lo que proporciona una detección de amenazas más precisa en comparación con los métodos tradicionales.

#7 Seguridad de las aplicaciones

Asegúrese de que sus aplicaciones sean seguras siguiendo estas prácticas:

• Prácticas de codificación segura: Minimice las vulnerabilidades en las aplicaciones adhiriéndose a estándares de codificación segura.
• Cortafuegos de aplicaciones web (WAF):Proteja sus aplicaciones web utilizando WAF para filtrar y supervisar el tráfico HTTP en busca de posibles amenazas.
• Seguridad del canal CI/CD: Integre herramientas de análisis de seguridad en su canalización CI/CD mediante Azure DevOps para detectar y corregir vulnerabilidades durante el proceso de desarrollo. Verifique la integridad del código antes de la implementación.
• Puerta de enlace de aplicaciones de Azure: Administre el tráfico y mejore la seguridad con características como la terminación SSL, WAF y el enrutamiento basado en URL.

N.º 8: Cumplimiento normativo y gobernanza

Cumplir los requisitos de cumplimiento normativo y gobernanza es esencial para su empresa. A continuación se explica cómo puede usar la directiva de Azure y los planos para el cumplimiento normativo.

• Política y planos de Azure: Utilice la política de Azure para aplicar las normas de la organización y evaluar el cumplimiento. Automatice la implementación para cumplir los requisitos de cumplimiento y utilice herramientas de gobernanza para procesos repetibles.
• Cumplimiento normativo: Realice auditorías periódicas y utilice las herramientas de cumplimiento normativo de Azure para garantizar el cumplimiento de normativas como el RGPD y la HIPAA. Implemente mecanismos adecuados de auditoría y registro con Azure Monitor para recopilar datos de telemetría y actuar en consecuencia.

Lista de comprobación de seguridad de Azure para 2025

Basándonos en las prácticas recomendadas mencionadas anteriormente, aquí tiene una práctica lista de comprobación para garantizar la seguridad de Azure en 2025.

N.º 1: Administración de identidades y accesos

• Su organización debe aplicar la autenticación multifactor a todos los usuarios, especialmente a las cuentas con privilegios.
• Debe realizar revisiones periódicas y actualizar los derechos de acceso y las asignaciones de roles.
• Debe utilizar políticas de acceso condicional para limitar el acceso en función de determinadas condiciones, como la ubicación del usuario, el cumplimiento de los dispositivos o los niveles de riesgo.

#2 Arquitectura de confianza cero

• Autentique, identifique y autorice todas las solicitudes de acceso basándose en los puntos de datos disponibles.
• Aplique el principio de "justo a tiempo" y "acceso justo" (JIT/JEA) para limitar los permisos a lo necesario para la función.
• Operar bajo la premisa de que pueden producirse infracciones. Segmentar las redes y utilizar el cifrado de extremo a extremo para limitar las posibles superficies de ataque.

#3 Seguridad de la red

• Debe revisar las reglas de NSG y asegurarse de que se ajustan a su postura de seguridad actual.
• Debe garantizar las configuraciones seguras de sus redes virtuales, que deben incluir la segmentación de subredes, los puntos de conexión privados y la integración con Azure Firewall.
• Debe implementar medidas de seguridad sólidas, como el cifrado IPsec y controles de acceso para sus conexiones VPN y ExpressRoute.

N.º 4: Protección de datos

• Debe verificar que los datos confidenciales estén cifrados en reposo y en tránsito mediante los servicios de cifrado integrados de Azure y Azure Key Vault.
• Debe establecer y mantener procesos seguros de copia de seguridad de datos.
• Debe realizar auditorías periódicas de los registros de acceso a los datos para supervisar actividades no autorizadas o sospechosas. Puede utilizar Azure Monitor y Azure Sentinel para automatizar la detección de anomalías.

N.º 5: Supervisión y detección de amenazas

• Debe configurar Azure Security Center y Azure Sentinel para la supervisión continua y la detección de amenazas.
• Debe desarrollar un plan de respuesta ante incidentes y actualizarlo periódicamente para adaptarlo a su entorno de Azure.
• Debe realizar ejercicios periódicos de detección de amenazas para comprobar la resiliencia de su entorno y mejorar la postura de seguridad de su empresa.

#6 Seguridad de las aplicaciones

• Con la ayuda de Azure DevOps, puede integrar prácticas de codificación segura en su canalización de CI/CD y automatizar las comprobaciones de seguridad durante los procesos de compilación y publicación.
• Con la comprobación periódica de vulnerabilidades en sus aplicaciones web y API, puede mitigar el riesgo de inyección SQL y XSS.

#7 Cumplimiento normativo y gobernanza

• Debe revisar y actualizar periódicamente sus directivas de Azure y asegurarse de que cumplen los requisitos normativos y de la organización.
• Debe asegurarse de que se mantengan y revisen periódicamente los registros de auditoría adecuados mediante Azure Monitor.
• Mediante Azure Compliance Manager para realizar un seguimiento y gestionar los requisitos de cumplimiento, debe evaluar periódicamente su entorno de Azure.

A medida que sigue la lista de comprobación de seguridad de Azure, es esencial integrar herramientas de seguridad automatizadas que proporcionen protección continua a su infraestructura. Con Singularity™ Cloud Security Posture Management, puede identificar y solucionar fácilmente las configuraciones erróneas de la nube, reforzando así su postura de seguridad general en la nube.

¿Por qué debe utilizar SentinelOne para la seguridad de Azure?

Aunque puede utilizar soluciones tradicionales de detección de incidentes y gestión de riesgos, el enorme volumen de datos y la multitud de configuraciones de Azure pueden desbordar incluso a los mejores profesionales de la seguridad.

SentinelOne es la opción preferida, ya que ayuda a las empresas a actualizarse con protección de ciberseguridad autónoma impulsada por IA de última generación. SentinelOne simplifica la protección de la carga de trabajo en la nube, aumenta la agilidad y permite la ejecución automatizada contenedores.

Está equipado con un agente sin sidecar que protege pods, contenedores y nodos de trabajo K8s. Cuenta con un EDR de alto rendimiento y una visibilidad enriquecida con metadatos en la nube y visualización automatizada de ataques Storyline™, junto con el mapeo a TTP de MITRE ATT&CK®.>EDR y visibilidad enriquecida con metadatos en la nube y visualización automatizada de ataques Storyline™, junto con el mapeo a MITRE ATT&CK® TTPs.

Conclusión: cómo proteger su ecosistema de Azure

La creciente sofisticación de los ciberataques, junto con las vulnerabilidades inherentes a SHRM, crearán nuevos retos de seguridad para los usuarios de Azure. Azure ofrece un potente conjunto de herramientas de seguridad, como Azure Security Center, Azure Firewall y Azure Key Vault.

Además, las organizaciones deben implementar las recomendaciones de prácticas recomendadas de seguridad de Azure que hemos prescrito. Recuerde que la gestión de la seguridad en la nube no es una tarea puntual. Dado que la seguridad en Azure es una responsabilidad compartida, los usuarios de la nube son responsables de configurar adecuadamente los privilegios y derechos de acceso, así como de supervisar y proteger el tráfico de red, por lo que afirmamos que se trata de un proceso continuo.

La plataforma de seguridad en la nube de SentinelOne proporciona una seguridad integral para todo el ciclo de vida y la configuración de las aplicaciones nativas de la nube, con políticas y controles coherentes, desde la creación de imágenes hasta la implementación de un amplio conjunto de servicios de creación, infraestructura, implementación y servicios de tiempo de ejecución nativos de la nube de Microsoft Azure. Reserve una demostración para obtener más información.

"

Preguntas frecuentes sobre Azure Security