El ecosistema de Microsoft Azure ayuda a las empresas a almacenar sus datos y recursos basados en la nube de forma segura mediante su Marco de seguridad de Azure. El Marco de seguridad de Azure proporciona a las organizaciones directrices detalladas y les enseña las prácticas recomendadas para aprovechar al máximo el marco, ya que cada vez más empresas trasladan sus operaciones a la nube, lo que las hace vulnerables y las obliga a necesitar urgentemente seguridad.
Seguridad de Azure El marco es una característica importante, especialmente para las empresas que desean una solución escalable para sus necesidades de seguridad y que, al mismo tiempo, siga las mejores prácticas. El marco se ajusta a los principios modernos de confianza cero, que eliminan el antiguo perímetro de red con sus soluciones basadas en la nube.
En esta publicación, analizaremos cómo Azure Security Framework implementaría los principios de confianza cero, cómo funciona la estrategia de defensa en profundidad del marco y cómo las empresas pueden utilizar Azure para operar de forma compatible con la normativa.
Comprender Azure Security Framework
Azure Security Framework se diseñó con el objetivo de proteger los recursos en la nube dentro del entorno Azure de Microsoft. Ayuda a las empresas a cumplir sus requisitos de conformidad al tiempo que protege sus datos, aplicaciones e infraestructura. Por lo tanto, este marco proporciona un marco de seguridad uniforme y completo en todos sus servicios de Azure.
Azure Security Framework representa un conjunto de prácticas de seguridad que ayudan a proteger y aumentar la calidad de la carga de trabajo de Azure. Abarca una amplia variedad de habilidades que proporcionan un enfoque para proteger los recursos en la nube en Azure de Microsoft.
El marco no solo se centra en la protección de los datos y los recursos en la nube, sino que también ayuda a implementar mejores prácticas para la seguridad en la nube, que luego pueden ser utilizadas por las empresas para construir y mantener un frente sólido contra las amenazas cibernéticas. Sigue una estrategia de defensa en profundidad, en la que crea múltiples capas de protección para estar a salvo de cualquier tipo de vulnerabilidad o vector de ataque.
El marco proporciona una metodología establecida para garantizar que los cambios sean uniformes en todo el entorno de Azure, lo que reduce el riesgo de pasar por alto cualquier vulnerabilidad potencial. Este método también es escalable, lo que garantiza que las prácticas de seguridad puedan adaptarse al crecimiento de la infraestructura en la nube de una organización. Además de todo esto, la alineación del marco con las normas reglamentarias facilita las actividades de cumplimiento normativo a las organizaciones. Ayuda a desarrollar la eficiencia al ahorrar tiempo en esfuerzos duplicados.
¿Cuáles son los cinco pilares del marco de Azure?
A continuación se presentan los cinco pilares del Marco de seguridad de Azure, que son los componentes básicos de este enfoque de seguridad en la nube:
1. Gestión de identidades y accesos
Sigue una regla sencilla: solo los usuarios y servicios autorizados pueden acceder a los recursos. Utiliza Azure Active Directory (ahora conocido como Microsoft Entra ID) para proporcionar autenticación y autorización. Este pilar tiene en cuenta la verificación de identidades, la autenticación multifactor y el principio del privilegio mínimo para reducir la superficie de ataque.
2. Seguridad de la red
Se centra en proteger los recursos de la red e influir en el flujo de tráfico dentro del entorno de Azure. Este pilar incluye características como los grupos de seguridad de red, los firewalls de Azure y la protección contra DDoS. Cuando las redes están segmentadas y se aplica una conectividad de red segura, se reduce el riesgo potencial de accesos no autorizados y violaciones de datos dentro de la organización.
3. Protección de datos
Esta capa se centra en proteger los datos de una organización. Ayuda a cifrar los datos en ambas etapas, tanto en reposo como en tránsito. También ayuda a prevenir la pérdida de datos, gracias a sus políticas de prevención y a la gestión de claves secretas con la ayuda de Azure Key Vault. Garantiza que, incluso si las medidas de seguridad se ven comprometidas, los datos confidenciales no queden expuestos.
4. Seguridad de las aplicaciones
Este pilar se centra en las aplicaciones implementadas en Azure. Esto implica prácticas de desarrollo seguras, evaluaciones periódicas de vulnerabilidades y el uso de características de seguridad integradas para las aplicaciones en Azure. Destaca la necesidad de proteger las aplicaciones a lo largo de su ciclo de vida de desarrollo, implementación y mantenimiento.
5. Gestión y supervisión de la seguridad
Esta capa se centra en la visibilidad del estado de seguridad de los recursos de Azure y proporciona respuestas eficaces a los eventos. Utiliza Azure Security Center (ahora conocido como Microsoft Defender for Cloud ) y Azure Sentinel para la validación continua de la seguridad, la detección de amenazas y las capacidades de respuesta a incidentes. Por lo tanto, las organizaciones pueden mantener una postura de seguridad proactiva y trabajar rápidamente para identificar y resolver posibles amenazas antes de que se produzca cualquier incidente de seguridad importante.
¿Cómo saber si su marco de Azure está optimizado?
Para determinar si el marco de seguridad de Azure dado está optimizado o no, es necesario realizar una evaluación detallada que abarque diversos aspectos del entorno de la nube y las prácticas de seguridad.
En primer lugar, su marco debe basarse en las recomendaciones de Microsoft proporcionadas en Azure Security Benchmark, que es una base de referencia de seguridad para los servicios de Azure y un conjunto práctico de recomendaciones que cumplen los requisitos específicos del sector una vez que se conocen. Para medir con precisión el grado de optimización de su marco de seguridad, debe ser capaz de gestionar eficazmente las identidades y el acceso, para lo cual debe contar con Azure Active Directory y una implementación adecuada de la autenticación multifactor entre todos los empleados.
También deben evaluarse las características de seguridad de red del marco, incluida la protección adecuada mediante grupos de seguridad de red, Azure Firewall y una segmentación de red eficaz. En cuanto a la seguridad de los datos, debe asegurarse de que estos estén cifrados tanto en reposo como en tránsito.También debe evaluarse la seguridad de las aplicaciones, siendo la protección eficaz de las mismas una parte importante del ciclo de desarrollo, la evaluación periódica de la seguridad y la implementación de un firewall de aplicaciones web para las aplicaciones web.La supervisión de los incidentes de seguridad también debe proporcionar información sobre el grado de optimización de su marco de seguridad, e incluye el uso de Azure Sentinel para la detección de amenazas, el análisis avanzado de amenazas, el registro exhaustivo y los planes de respuesta a incidentes bien practicados.
El último factor que hay que evaluar es la optimización de las medidas de seguridad y la gestión de sus costes, pero, al mismo tiempo, la evaluación final debe dejarse en manos de la organización, al igual que la formación y la sensibilización.
Principios básicos del marco de seguridad de Azure
El marco de seguridad de Azure se basa en dos principios: Arquitectura de confianza cero y la estrategia de defensa en profundidad. Estos principios ayudan a crear una postura de seguridad sólida y detallada para los entornos de Azure.
- El modelo de confianza cero funciona según el principio de "nunca confiar, siempre verificar". Por lo tanto, para que cualquier persona pueda acceder a un recurso, debe autenticarse y tener acceso al recurso. Esto es independiente de la ubicación de la entidad, ya sea dentro o fuera de la red de la organización. En Azure, el modelo Zero Trust o los principios se aplican mediante la verificación explícita, el acceso con privilegios mínimos y la suposición de una infracción.
- Por su parte, la defensa en profundidad se basa en la creación de múltiples capas de seguridad. Estas capas comprenden la seguridad física, la gestión de identidades y accesos, las defensas perimetrales, la seguridad de la red, la protección informática, la seguridad de las aplicaciones y los controles de datos en Azure. Azure Firewall, los grupos de seguridad de red, Azure DDoS Protection, Azure Security Center y Azure Sentinel son algunas de las herramientas que ofrece Azure para seguir este enfoque.
Guía de mercados de la CNAPP
Obtenga información clave sobre el estado del mercado de CNAPP en esta guía de mercado de Gartner para plataformas de protección de aplicaciones nativas de la nube.
Guía de lecturaGestión de identidades y accesos en Azure
La gestión de identidades y accesos es esencial para el marco de seguridad de Microsoft Azure. Azure ofrece diversas herramientas y servicios que permiten controlar la identidad y el acceso en la nube y en las instalaciones locales. Entre ellos se incluyen:
Azure Active Directory (AAD)
Azure Active Directory es un servicio de gestión de identidades y accesos desarrollado por Microsoft. Constituye el núcleo de la gestión de identidades y accesos (IAM) para la mayoría de las ofertas de infraestructura como servicio (IaaS) en Azure. La solución protege la información confidencial y mantiene el cumplimiento normativo, permite un acceso fluido a las aplicaciones preferidas desde cualquier lugar y mejora la capacidad de gestión mediante el uso de una única solución de gestión de identidades y accesos para todas las aplicaciones locales, SaaS y de otro tipo.
Autenticación multifactor (MFA) y directivas de acceso condicional
Azure ayuda a añadir una capa adicional de protección con la ayuda de autenticación multifactor (MFA). Esta característica requiere que los usuarios pasen por una capa de verificación adicional antes de obtener acceso a cualquier recurso. Las políticas de acceso condicional permiten la implementación de controles de acceso, que básicamente ayudan a configurar ciertas condiciones que deben cumplirse antes de que se conceda el acceso.
Gestión de identidades privilegiadas (PIM)
La gestión de identidades privilegiadas es una característica de Azure que permite gestionar, controlar y supervisar el acceso a recursos importantes en Azure Active Directory. Con PIM, los riesgos asociados a los privilegios administrativos son difíciles de comprometer. PIM puede ayudar a garantizar que el acceso privilegiado solo se conceda cuando sea necesario y durante un breve periodo de tiempo, manteniendo el principio del mínimo privilegio.
Azure AD B2B y B2C
Azure AD B2B (Business-to-Business) y B2C (Business-to-Consumer) son extensiones de Azure AD en el campo de la administración de usuarios externos.
Azure AD B2B permite al usuario invitar a usuarios invitados de otras empresas a través de las aplicaciones de Azure AD. Los usuarios externos pueden utilizar sus propias credenciales para iniciar sesión, lo que posiblemente reducirá los esfuerzos administrativos de mantener un punto final completo para los usuarios externos.
Azure AD B2C es una solución de gestión de acceso de identidad de clientes. Se trata de una solución de gestión de identidades y accesos de clientes (CIAM) que le permite controlar y personalizar la forma en que los usuarios se registran, inician sesión y gestionan sus perfiles cuando utilizan sus aplicaciones.
Implementación de la seguridad de la red, las aplicaciones y los datos en Azure
Azure proporciona una amplia gama de herramientas y servicios para implementar la seguridad de redes, aplicaciones y datos. La combinación de estas tecnologías crea un enfoque de seguridad multicapa que protege los sistemas de diversos tipos de amenazas y problemas.
Redes virtuales (VNet) y grupos de seguridad de red (NSG)
Es la base de la red privada que los usuarios pueden crear en la nube y conectar recursos entre sí, a Internet y a la red local. Las redes virtuales (VNet) ofrecen aislamiento, segmentación, espacio de direcciones IP y capacidades de subred, además de permitir la configuración de DNS. Cada instancia de recursos añadida a una VNet interactuará únicamente con otras instancias de esa red. El filtrado del tráfico de entrada y salida lo realiza Azure Network Security Group, que es una capa de protección. Los grupos de seguridad de red (NSG) son esencialmente un firewall integrado que tiene reglas de seguridad que permiten o deniegan el tráfico en función de las direcciones IP de origen y destino, los puertos y los protocolos.
Azure Firewall y protección contra DDoS
Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network. Es un firewall como servicio y tiene alta disponibilidad integrada y escalabilidad ilimitada en la nube. El firewall puede crear, aplicar y registrar políticas de conectividad de aplicaciones y redes en todas las suscripciones y redes virtuales de forma centralizada. Con Azure DDoS Protection que se ejecutan en Azure, están protegidas contra ataques de denegación de servicio distribuido. La protección contra DDoS proporciona supervisión del tráfico siempre activa y gestión en tiempo real de los ataques comunes a nivel de red.
Cifrado del servicio de almacenamiento de Azure (SSE) y cifrado de disco
El cifrado del servicio de almacenamiento de Azure (SSE) cifra automáticamente los datos en reposo en Azure Storage. Esto garantiza la seguridad de los datos y ayuda a la organización a cumplir sus compromisos de seguridad y cumplimiento normativo. Cifra los datos almacenados mediante el cifrado AES de 256 bits, que es uno de los cifrados por bloques más seguros que existen. Con el cifrado de disco, puede cifrar los discos de máquinas virtuales IaaS de Windows y Linux. El cifrado está disponible tanto para discos de sistema operativo como de datos y utiliza BitLocker para Windows y la característica Dm-Crypt para Linux.
Azure Key Vault para la gestión de claves y secretos
Azure Key Vault es un servicio en la nube para proteger y almacenar secretos. Estos secretos pueden ser claves de cifrado, certificados y contraseñas. Key Vault le ayuda a mantener el control de las claves que acceden y cifran sus datos. Proporciona herramientas de supervisión que le ayudarán a garantizar que solo los usuarios y aplicaciones autorizados tengan acceso a sus claves y secretos.
Cifrado de datos en tránsito y en reposo
Azure puede ayudarnos a proteger los datos mediante técnicas de cifrado. Si los datos se encuentran en tránsito, Azure aplica el conjunto de reglas estándar entre el dispositivo de uso y el centro de datos, e incluso dentro del propio centro de datos. Si los datos están en reposo, se pueden proteger mediante tecnologías de cifrado.
Prácticas recomendadas para implementar el marco de Azure
A continuación se enumeran algunas prácticas recomendadas que se deben seguir para la implementación del marco de Azure:
N.º 1. Implementar el principio del privilegio mínimo
El principio del mínimo privilegio representa la idea de proporcionar los niveles mínimos de acceso o permisos necesarios para completar determinadas tareas. En Azure, el principio se lleva a cabo mediante el uso del control de acceso basado en roles. Cada rol implica un determinado conjunto de permisos. A continuación, se asignan estos permisos a los usuarios, grupos y aplicaciones, que no pueden sobrepasarlos. Utilice Azure AD Privileged Identity Management, que concede acceso privilegiado justo a tiempo para reducir el riesgo de que el atacante adquiera un alto nivel de permisos.
#2. Habilitar y configurar el acceso justo a tiempo (JIT)
El acceso JIT a máquinas virtuales es una característica exclusiva de Microsoft Defender para la nube que bloquea el tráfico entrante a las máquinas virtuales supervisadas. Cuando se accede a ellas, se abre el tráfico a las fuentes identificadas durante el tiempo especificado. Cuando un usuario solicita acceso a una máquina virtual, Microsoft Defender para la nube podrá comprobar si el usuario tiene permisos RBAC. Si obtiene el permiso, Microsoft Defender para la nube abre los puertos controlados por la solución JIT durante el tiempo especificado y, una vez transcurrido este tiempo, los vuelve a bloquear.
N.º 3. Implementar la segmentación de red y microsegmentación
La segmentación de red se refiere al proceso de fragmentar una sola red en varias más pequeñas y aplicar seguridad a estos microsegmentos. Considere la posibilidad de utilizar redes virtuales (VNet) y subredes en Azure para facilitar una estructura de red. Utilice grupos de seguridad de red (NSG) en todas sus subredes para implementar estas características.
#4. Automatizar las políticas de seguridad y las comprobaciones de cumplimiento
Se debe mantener un alto nivel de automatización para garantizar un nivel de seguridad unificado para Azure. Azure Policy es capaz de aplicar sus estándares en una configuración determinada y evaluar el grado de cumplimiento en todo su entorno. Puede corregir automáticamente los fallos en la arquitectura y combinarlos con las recomendaciones de seguridad de Azure Security Center.
#5. Realización de evaluaciones de seguridad y pruebas de penetración periódicas
Es necesario evaluar periódicamente la protección de su entorno de Azure y realizar pruebas de penetración. Azure Security Center se puede utilizar para realizar evaluaciones continuas de sus recursos de Azure. Para realizar pruebas más completas, es conveniente aprovechar las ofertas de evaluación de vulnerabilidades integradas en Azure o conectar herramientas de pruebas de penetración de terceros.
SentinelOne para la seguridad y la supervisión de Azure
SentinelOne’s Singularity Endpoint es una potente plataforma de detección y respuesta en endpoints (EDR) que se integra con Azure para ofrecer un valor añadido en materia de seguridad y supervisión.
- Protección basada en IA: El uso de inteligencia artificial y aprendizaje automático por parte de SentinelOne permite a la plataforma ofrecer detección de amenazas en tiempo real, respuesta totalmente autónoma y visibilidad completa en todo el entorno de Azure. Como resultado, la integración con SentinelOne permite a las organizaciones aumentar el nivel de seguridad automatizada y supervisar adecuadamente sus cargas de trabajo de Azure.
- Protección unificada de endpoints: La integración de SentinelOne con Azure nos permite obtener una protección unificada de los puntos finales en las máquinas virtuales de Azure y las cargas de trabajo en la nube. En concreto, la plataforma puede analizar y proteger todos los recursos de la infraestructura de Azure mediante la detección autónoma de amenazas.
- Registro y supervisión mejorados: Las funciones de visibilidad profunda de SentinleOne incluyen la capacidad de realizar un seguimiento de las actividades del sistema, como procesos, cambios en el sistema de archivos, conexiones de red y otros, para todo tipo de procesos y aplicaciones que se ejecutan en los servidores. La posibilidad de este tipo de supervisión es importante a efectos de la detección de amenazas y el análisis forense en caso de un incidente de seguridad.
- Respuesta automatizada: En caso de amenaza, la plataforma de SentinleOne bloquearía toda posible propagación de la amenaza, realizaría una reversión automatizada de los cambios causados por el malware y, cuando fuera necesario, restauraría el sistema a su estado anterior.
Vea SentinelOne en acción
Descubra cómo la seguridad en la nube basada en IA puede proteger su organización en una demostración individual con un experto en productos SentinelOne.
DemostraciónConclusión
Azure Security Framework es un enfoque de seguridad amplio y elaborado que ofrece una defensa multicapa y se mantiene a la vanguardia de los avances de las amenazas modernas de ciberseguridad. Como se ha comentado en el blog, podemos ver que Azure Security Framework no es solo un conjunto de herramientas de seguridad, sino un paquete completo basado en la arquitectura Zero Trust y defensa en profundidad . Este marco protege las operaciones en la nube de cualquier empresa y les proporciona un nivel máximo de flexibilidad y capacidad en términos de almacenamiento de información y realización de operaciones digitales en la nube.
Una de las ventajas más evidentes del marco de seguridad es que reduce la complejidad sin comprometer la seguridad. Azure Security Framework está diseñado de manera que sea escalable y complementario a cualquier etapa del desarrollo de la infraestructura en la nube. Es importante destacar que el marco se diseñó específicamente de esta manera, teniendo en cuenta que, en el mundo moderno, las amenazas de ciberseguridad relacionadas con la nube tienden a degradar las ventajas de la transformación de la nube. Por lo tanto, adoptar este modelo es una forma perfecta para que las empresas se mantengan a la vanguardia y migren y operen en la nube de forma segura.
"Preguntas frecuentes sobre Azure Security Framework
El marco de Azure incorpora una variedad de herramientas para ayudar a las organizaciones a desarrollar, implementar y mantener aplicaciones en la nube. Azure proporciona herramientas para soluciones de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS).
Azure DevOps ha sido diseñado por Microsoft como un conjunto de soluciones y herramientas de desarrollo. Se centra en una variedad de características relacionadas con el proceso, como el control de versiones, el seguimiento de elementos de trabajo, los módulos CI/CD y las capacidades de prueba. Es fundamental para las organizaciones, ya que ayuda a los equipos de proyecto a optimizar el ciclo de desarrollo.
Azure Identity Experience Framework es uno de los componentes del sistema de soluciones de gestión de identidades de Microsoft. Se percibe como una plataforma fácilmente configurable diseñada para crear soluciones de marca que permiten a los usuarios iniciar sesión o registrarse en la aplicación.
