Procedimientos recomendados de seguridad de Azure

  • Artículo

En este artículo se describen los procedimientos recomendados de seguridad de Azure, que se basan en las lecciones aprendidas por los clientes y en la experiencia en nuestros propios entornos.

Para ver una presentación en vídeo, consulte los procedimientos recomendados para la seguridad de Azure.

1. Personas: Formación del equipo sobre el recorrido de seguridad de la nube

El equipo debe comprender el recorrido que van a realizar.

¿Qué?

Instruya a sus equipos de seguridad y de TI sobre el recorrido de seguridad en la nube y los cambios a los que se enfrentarán, entre los cuales cabe destacar:

  • Amenazas en la nube
  • El modelo de responsabilidad compartida y cómo afecta este a la seguridad.
  • Los cambios en la cultura y en los roles y responsabilidades que normalmente vienen con la adopción de la nube.

¿Por qué?

La seguridad en la nube requiere un cambio en la mentalidad y el enfoque. Aunque los resultados que ofrezca la seguridad a la organización serán los mismos, la mejor manera de lograr estos resultados en la nube puede cambiar de forma significativa.

La transición a la nube es similar a pasar de una casa independiente a un rascacielos. Todavía tiene una infraestructura básica, como la fontanería y la electricidad, y hace actividades similares, como socializar, cocinar, ver la televisión y usar Internet, etc. Sin embargo, a menudo hay una gran diferencia en lo que respecta al edificio, quién se encarga de los suministros, el mantenimiento y su rutina diaria.

¿Quién?

Todos los miembros de los equipos de seguridad y de TI de la organización con responsabilidades en materia de seguridad, desde el director tecnológico o el de seguridad de la información a los técnicos, deben estar familiarizados con los cambios.

¿Cómo lo hago?

proporcione a los equipos el contexto necesario para implementar y operar correctamente durante la transición al entorno de nube.

Microsoft ha publicado las siguientes lecciones que los clientes y la organización de TI han aprendido en sus recorridos a la nube.

Para más información, consulte los roles y responsabilidades en Azure Security Benchmark.

2. Personas: Formación del equipo en tecnología de seguridad de la nube

Los miembros del equipo deben comprender cuáles son los objetivos.

¿Qué?

Asegúrese de que los equipos dispongan de un tiempo reservado para la formación técnica sobre la protección de recursos de la nube que incluya:

  • Tecnología de la nube y tecnología de seguridad de la nube
  • Configuraciones y procedimientos recomendados
  • Dónde obtener más información técnica

¿Por qué?

Los equipos deben tener acceso a la información técnica para tomar decisiones de seguridad fundamentadas. Los equipos técnicos son buenos en el aprendizaje de nuevas tecnologías en el trabajo, pero la gran cantidad de información sobre la nube suele sobrecargar su capacidad a la hora de incorporar la formación a sus rutinas diarias.

Reservar tiempo dedicado para la formación técnica. Aprender ayuda a garantizar que las personas tengan tiempo para generar confianza en su capacidad de evaluar la seguridad en la nube. Les ayuda a pensar en cómo adaptar sus aptitudes y procesos existentes.

¿Quién?

Todos los roles de seguridad y TI que interactúan directamente con la tecnología de la nube deben dedicar un tiempo a la formación técnica sobre plataformas en la nube y su protección.

La seguridad, los administradores técnicos de TI y los administradores de proyectos pueden familiarizarse con algunos detalles técnicos para proteger los recursos en la nube. Esta familiaridad les ayuda a dirigir y coordinar iniciativas en la nube de forma más eficaz.

¿Cómo lo hago?

Asegúrese de que los profesionales de la seguridad técnica dispongan de un tiempo reservado para realizar un aprendizaje autodirigido sobre la protección de los recursos en la nube. A pesar de que no siempre es factible, trate de permitir el acceso a un aprendizaje formal con un instructor experimentado y laboratorios prácticos.

Importante

Los protocolos de identidad son fundamentales para el control de acceso en la nube, pero a menudo no se priorizan en la seguridad local. Los equipos de seguridad deben centrarse en familiarizarse con estos protocolos y registros.

Microsoft ofrece gran cantidad de recursos para ayudar a los profesionales técnicos a mejorar sus competencias. Estos recursos incluyen:

3. Proceso: Asignación de responsabilidades por las decisiones de seguridad en la nube

Nadie tomará las decisiones de seguridad si no se asigna a nadie la responsabilidad.

¿Qué?

Elija quién es el responsable de tomar cada tipo de decisión de seguridad para el entorno empresarial de Azure.

¿Por qué?

Definir claramente quién es el encargado de tomar cada decisión de seguridad acelera la adopción de la nube y aumenta la seguridad. La falta de apropiación crea fricción, ya que nadie se siente facultado para tomar decisiones. Nadie sabe a quién pedir que tome una decisión y nadie se siente motivado a investigar una decisión bien fundamentada. Con frecuencia, la fricción impide lo siguiente:

  • Objetivos empresariales
  • Escalas de tiempo para desarrolladores
  • Objetivos de TI
  • Garantías de seguridad

La fricción puede dar lugar a:

  • Proyectos estancados a la espera de la aprobación de seguridad
  • Implementaciones no seguras que no pudieron esperar la aprobación de seguridad

¿Quién?

La dirección del departamento de seguridad elige qué equipos o personas son los responsables de tomar decisiones de seguridad sobre la nube.

¿Cómo lo hago?

Elija los grupos o personas individuales que serán responsables de tomar estas decisiones clave de seguridad.

Documente quiénes son estos propietarios, su información de contacto y distribuya la información a los equipos de seguridad, DEA y nube. La distribución facilita que todos los roles puedan ponerse en contacto con ellos.

Estas áreas suelen ser donde se necesitan decisiones de seguridad. En la tabla siguiente se muestra la categoría de decisión, la descripción de la categoría y los equipos que suelen tomar las decisiones.

Decisión Descripción Equipo habitual
Seguridad de las redes Configura y mantiene Azure Firewall, las aplicaciones virtuales de red y el enrutamiento asociado, Web Application Firewalls (WAF), NSG, ASG, etc. El equipo de infraestructura y seguridad de los puntos de conexión es el que se centra en la seguridad de la red
Administración de redes Administración de la subred y red virtual de toda la empresa. El equipo de operaciones de red existente en el departamento de Operaciones de TI central
Seguridad de los puntos de conexión de servidor Supervisión y corrección de la seguridad del servidor, incluida la aplicación de revisiones, configuración, seguridad de los puntos de conexión, etc. Los equipos de Operaciones de TI central e Infraestructura y seguridad de los puntos de conexión de forma conjunta
Supervisión de incidentes y respuesta Investigación y corrección de incidentes de seguridad en SIEM o en la consola de origen, incluidos Microsoft Defender for Cloud, Microsoft Entra Identity Protection, etc. Equipo de operaciones de seguridad
Administración de directivas Establecimiento de la dirección de uso del control de acceso basado en roles de Azure (Azure RBAC), Defender for Cloud, la estrategia de protección del administrador y Azure Policy para controlar los recursos de Azure. Equipos de Directivas y estándares y Arquitectura de seguridad de forma conjunta
Seguridad y estándares de identidad Establecimiento de la directiva sobre los directorios de Microsoft Entra, el uso de PIM/PAM, la autenticación multifactor, la configuración de sincronización y contraseñas, o los estándares de identidad de la aplicación. Los equipos de Administración de identidades y claves, Directivas y estándares y Arquitectura de seguridad de forma conjunta

Nota:

  • Asegúrese de que los responsables de la toma de decisiones tengan la formación adecuada en su área de la nube para respaldar esta responsabilidad.
  • Asegúrese de que las decisiones se documentan mediante directivas y estándares para proporcionar un registro y que sirva de guía a la organización a largo plazo.

4. Proceso: Actualización de los procesos de respuesta a incidentes para la nube

Planifique por adelantado. No hay tiempo para planear una crisis durante una crisis.

¿Qué?

Prepárese para los incidentes de seguridad de la plataforma en la nube de Azure. En esta preparación están incluidas las herramientas de detección de amenazas nativas que haya adoptado. Actualice los procesos, prepare a su equipo y practique con ataques simulados para que puedan trabajar lo mejor posible durante la investigación y corrección de incidentes, y la detección de amenazas.

¿Por qué?

Los atacantes activos presentan un riesgo inmediato para la organización. La situación puede volverse difícil de controlar con rapidez. Responder de forma rápida y eficaz a los ataques. Este proceso de respuesta a incidentes debe ser efectivo para todo el patrimonio digital, incluidas todas las plataformas en la nube que hospedan datos empresariales, sistemas y cuentas.

Aunque son similares de muchas maneras, las plataformas en la nube son diferentes técnicamente a los sistemas locales. Los sistemas locales pueden interrumpir los procesos existentes, normalmente porque la información está disponible de forma diferente. Es posible que los analistas de seguridad tengan dificultades para responder rápidamente a un entorno desconocido que pueda ralentizarlos. Esta declaración es especialmente verdadera solo si se entrenan en arquitecturas locales clásicas y enfoques forenses de red o disco.

¿Quién?

La modernización del proceso de IR suele estar dirigida por el equipo de operaciones de seguridad. A menudo, el esfuerzo viene con el apoyo de otros grupos para conocimientos y conocimientos.

  • Patrocinio: el director de Operaciones de seguridad o el equivalente suelen patrocinar la modernización del proceso.

  • Ejecución: La adaptación de los procesos existentes, o escribirlos por primera vez, es un esfuerzo colaborativo en el que interviene:

    • Operaciones de seguridad: el equipo de administración de incidentes o los responsables del proceso y las actualizaciones de integración para las principales partes externas interesadas. Estos equipos incluyen equipos legales y de comunicaciones o relaciones públicas.
    • Operaciones de seguridad: los analistas de seguridad proporcionan experiencia en la investigación y evaluación de prioridades de los incidentes técnicos.
    • Operaciones de IT central: este equipo proporciona experiencia en la plataforma en la nube directamente, a través del centro de excelencia en la nube o mediante consultores externos.

¿Cómo lo hago?

actualice los procesos y prepare a su equipo para que sepan qué hacer si detectan un atacante activo.

  • Procesos y cuadernos de estrategias: adapte los procesos existentes de investigación, corrección y búsqueda de amenazas a las diferencias de funcionamiento de las plataformas en la nube. Estas diferencias incluyen herramientas nuevas o diferentes, orígenes de datos, protocolos de identidad, entre otras.
  • Educación: instruye a los analistas sobre la transformación general de la nube, los detalles técnicos de cómo funciona la plataforma y los procesos nuevos o actualizados. Esta información les permite saber qué puede cambiar y a dónde ir para buscar lo que necesitan.
  • Áreas de enfoque principales: Aunque hay más información en los vínculos de recursos, estas son las áreas en las que se deben centrar los esfuerzos de formación y planeación:
    • Modelo de responsabilidad compartida y arquitecturas en la nube: para un analista de seguridad, Azure es un centro de datos definido por software que proporciona muchos servicios. Estos servicios incluyen VM y otros que son diferentes del entorno local, como Azure SQL Database, Azure Functions. Los mejores datos están en los registros de servicio o en los servicios de detección de amenazas especializados. No están en los registros del sistema operativo o las máquinas virtuales subyacentes, que son operados por Microsoft y clientes de servicios múltiples. Los analistas deben comprender e integrar este contexto en sus flujos de trabajo diarios. De este modo, saben qué datos esperar, dónde obtenerlos y en qué formato se encuentran.
    • Orígenes de datos de punto de conexión: La obtención de información y datos de ataques y malware en servidores hospedados en la nube suele ser más rápida, sencilla y precisa con herramientas nativas de detección de nube. Herramientas como Microsoft Defender for Cloud y detección y respuesta de puntos de conexión (EDR) proporcionan datos más precisos que los enfoques tradicionales de acceso directo al disco. Los análisis forenses acceso directo a disco están disponibles para escenarios en los que son posibles y obligatorios para los procedimientos legales. Para más información, consulte Análisis forense de equipos en Azure. Sin embargo, a menudo, este enfoque es la manera más ineficaz de detectar e investigar ataques.
    • Orígenes de datos de redes e identidades: muchas funciones de las plataformas en la nube usan principalmente la identidad para el control de acceso. Este control de acceso incluye el acceso a Azure Portal, aunque los controles de acceso a la red también se usan ampliamente. Este control de acceso requiere que los analistas desarrollen una comprensión de los protocolos de identidad en la nube para obtener una imagen completa y enriquecida de la actividad de los atacantes y las actividades de los usuarios legítimos para respaldar la investigación y la corrección de incidentes. Los directorios y protocolos de identidad son diferentes de los locales. Normalmente se basan en SAML, OAuth y OpenID Connect y directorios en la nube en lugar de LDAP, Kerberos, NTLM y Active Directory.
    • Ejercicios prácticos: Los ataques y respuestas simulados pueden ayudar a mejorar la memoria organizativa y la preparación técnica. Proporcionan preparación para los analistas de seguridad, buscadores de amenazas, administradores de incidentes y otras partes interesadas de la organización. El aprendizaje sobre la marcha y la adaptación son parte natural de la respuesta ante incidentes, sin embargo puede esforzarse por reducir al mínimo este aprendizaje durante una crisis.

Recursos clave

Para obtener más información, consulte el proceso de respuesta ante incidentes para Azure de Azure Security Benchmark.

5. Proceso: Establecimiento de la administración de la posición de seguridad en la nube

En primer lugar, conócete a ti mismo.

¿Qué?

Asegúrese de que está administrando activamente la posición de seguridad de su entorno de Azure mediante:

  • La asignación clara de responsabilidades a la hora de:
    • Supervisión de la posición de seguridad
    • Mitigar los riesgos para los recursos
  • Automatización y simplificación de estas tareas

¿Por qué?

la rápida identificación y corrección de los riesgos de protección de seguridad comunes reduce de forma considerable el riesgo para la organización.

La naturaleza definida por software de los centros de datos en la nube permite la supervisión continua de los riesgos para la seguridad, como las vulnerabilidades del software o los errores de la configuración de seguridad, con una amplia instrumentación de los recursos. La velocidad a la que los desarrolladores y el equipo de TI pueden implementar máquinas virtuales, bases de datos y otros recursos crea la necesidad de asegurarse de que los recursos estén configurados de forma segura y de que se supervisan activamente.

Estas nuevas funcionalidades ofrecen nuevas posibilidades, pero para obtener valor de ellas es necesario asignar la responsabilidad de su uso. La ejecución coherente de las operaciones de la nube en constante evolución requiere mantener los procesos humanos lo más simples y automatizados posible. Consulte el principio de seguridad de "impulso de la simplificación".

Nota:

El objetivo de la simplificación y la automatización no consiste en deshacerse de los trabajos, sino en quitar a las personas la carga que suponen las tareas repetitivas para que puedan centrarse en actividades humanas de mayor valor, como la interacción con los equipos de TI y DevOps, y la instrucción de estos.

¿Quién?

Esta práctica se divide normalmente en dos conjuntos de responsabilidades:

  • Administración de la posición de seguridad: esta función reciente suele ser una evolución de las funciones ya existentes de administración de vulnerabilidades o de gobernanza. El resultado incluye la supervisión de la posición de seguridad general mediante la puntuación segura de Microsoft Defender for Cloud y otros orígenes de datos. Incluye trabajar activamente con los propietarios de recursos para mitigar riesgos y notificar el riesgo a la dirección de seguridad.

  • Corrección de seguridad: asigne la responsabilidad de hacer frente a estos riesgos a los equipos responsables de administrar esos recursos. Esta responsabilidad la tienen los equipos de DevOps que administran sus propios recursos de aplicaciones o los equipos de tecnologías específicas del departamento de Operaciones de TI central:

    • Recursos de proceso y aplicación
      • Servicios de aplicaciones: equipos de desarrollo y seguridad de aplicaciones
      • Contenedores: equipos de desarrollo de aplicaciones y operaciones de infraestructura o TI
      • VM, conjuntos de escalado y proceso: equipos de operaciones de TI y de infraestructura
    • Recursos de datos y almacenamiento
      • SQL, Redis, Data Lake Analytics, Data Lake Store: equipo de bases de datos
      • Cuentas de almacenamiento: equipo de almacenamiento e infraestructura
    • Identificación y acceso a los recursos
      • Suscripciones: equipos de identidad
      • Almacén de claves: equipos de seguridad de identidades o información y datos
    • Recursos de redes: equipo de seguridad de la red
    • Seguridad de IoT: equipo de operaciones de IoT

¿Cómo lo hago?

La seguridad es trabajo de todos los usuarios. Sin embargo, no todos saben lo importante que es, qué hacer y cómo hacerlo.

  • Haga responsables a los propietarios de los recursos del riesgo de seguridad, al igual que ya lo hace con otros factores de éxito como la disponibilidad, el rendimiento, los costos, etc.
  • Proporcione a los propietarios de los recursos una visión clara de por qué el riesgo de seguridad es importante para sus recursos, qué pueden hacer para mitigar los riesgos y cómo realizar la implementación con una pérdida de productividad mínima.

Importante

Las explicaciones sobre por qué, qué y cómo proteger los recursos suelen ser similares para los diferentes tipos de recursos y aplicaciones, pero es fundamental relacionarlos con lo que cada equipo ya conoce y de lo que ya se ocupa. Los equipos de seguridad pueden interactuar con sus colegas de TI y DevOps como asesores y asociados de confianza centrados en permitir que estos equipos funcionen correctamente.

Herramientas: la puntuación segura de Microsoft Defender for Cloud proporciona una evaluación de la información de seguridad más importante de Azure para una amplia variedad de recursos. Esta valoración puede ser el punto de partida en la administración de la posición y se puede complementar con directivas de Azure personalizadas y otros mecanismos según sea necesario.

Frecuencia: establezca una cadencia regular, normalmente mensual, para revisar la puntuación segura de Azure y planear iniciativas con objetivos de mejora específicos. La frecuencia se puede aumentar según sea necesario.

Sugerencia

Ludifique la actividad si es posible para aumentar el compromiso, con actividades como la creación de divertidas competiciones y premios para el equipo de DevOps que les permitan mejorar su puntuación al máximo.

Para obtener más información, consulte también la estrategia de administración de la posición de seguridad de Azure Security Benchmark.

6. Tecnología: exigencia de autenticación sin contraseña o multifactor

¿Pondrías la mano en el fuego afirmando en relación con la seguridad de tu empresa que los atacantes no podrán adivinar ni robar la contraseña del administrador?

¿Qué?

Exija que todos los administradores de impacto crítico usen la autenticación sin contraseña o la autenticación multifactor.

¿Por qué?

Del mismo modo que las antiguas llaves maestras no servirán para proteger una casa de los ladrones de hoy en día, las contraseñas no pueden proteger las cuentas contra los ataques comunes. Para obtener detalles técnicos, consulte Su contra$eña no importa.

La autenticación multifactor fue una vez un paso adicional molesto. En la actualidad, los métodos sin contraseña mejoran el modo en que los usuarios inician sesión con enfoques biométricos, como el reconocimiento facial en Windows Hello y dispositivos móviles. Además, los enfoques de confianza cero recuerdan los dispositivos de confianza. Este método reduce las solicitudes de molestas acciones de autenticación multifactor fuera de banda. Para obtener más información, consulte Frecuencia de inicio de sesión de usuario.

¿Quién?

Las iniciativas de contraseña y autenticación multifactor suelen llevarlas a cabo normalmente los equipos de administración de identidades y claves y de arquitectura de seguridad.

¿Cómo lo hago?

Implementa autenticación sin contraseña o multifactor. Eduque a los administradores sobre cómo usarla según la necesiten y exija a los administradores que la sigan mediante una directiva escrita. Use una de las siguientes tecnologías o más:

Nota:

La autenticación multifactor basada en mensajes de texto es ahora relativamente fácil de superar para los atacantes, por lo que debe centrarse en la autenticación multifactor más segura y sin contraseña.

Para más información, consulte también los controles con autenticación sólida para todo el acceso basado en Microsoft Entra ID de Azure Security Benchmark.

7. Tecnología: Integración del firewall nativo y la seguridad de red

Simplifique la protección de los sistemas y los datos frente a ataques de red.

¿Qué?

Simplifique la estrategia de seguridad de red y el mantenimiento mediante la integración de Azure Firewall, el firewall de aplicaciones web de Azure y las mitigaciones de denegación de servicio distribuido (DDoS) en el enfoque de seguridad de la red.

¿Por qué?

la simplicidad es fundamental para la seguridad, ya que reduce la probabilidad de confusión, configuraciones erróneas y otros errores humanos. Consulte el principio de seguridad de "impulso de la simplificación".

Los firewalls y los firewalls de aplicaciones web son controles de seguridad básicos importantes para proteger las aplicaciones frente a tráfico malintencionado, pero su configuración y mantenimiento pueden ser complejos y consumen una cantidad significativa de tiempo y atención por parte del equipo de seguridad (se parece a la incorporación de repuestos posventa personalizados a un automóvil). Las funcionalidades nativas de Azure pueden simplificar la implementación y el funcionamiento de los firewalls, firewalls de aplicaciones web, mitigaciones de denegación de servicio distribuido, etc.

Esta práctica puede liberar tiempo y atención del equipo para tareas de seguridad de mayor valor, como:

  • Evaluación de la seguridad de los servicios de Azure
  • Automatización de las operaciones de seguridad
  • Integración de la seguridad con aplicaciones y soluciones de IT

¿Quién?

  • Patrocinio: La dirección de seguridad o la dirección de IT suelen patrocinar la actualización de la estrategia de seguridad de red.
  • Ejecución: la integración de estrategias en la seguridad de red en la nube es un esfuerzo colaborativo que involucra:
    • Al equipo de arquitectura de seguridad para establecer la arquitectura de seguridad de la red en la nube con los responsables de la red en la nube y de la seguridad de esta.
    • Responsables de redes en la nube operaciones de TI central y responsables de seguridad de la red en la nube equipo de seguridad de la infraestructura
      • Establecimiento de la arquitectura de seguridad de la red en la nube con arquitectos de seguridad.
      • Configuración de firewalls, grupos de seguridad de red y firewalls de aplicaciones web y colaboración con los arquitectos de aplicaciones en las reglas del firewall de aplicaciones web.
    • Arquitectos de aplicaciones: trabaje con el equipo de seguridad de la red para crear y adaptar los conjuntos de reglas del firewall de aplicaciones web y las configuraciones de DDoS para proteger la aplicación sin interrumpir la disponibilidad.

¿Cómo lo hago?

Las organizaciones que quieren simplificar sus operaciones tienen dos opciones:

  • Ampliar las funcionalidades y arquitecturas existentes: a menudo, muchas organizaciones optan por ampliar el uso de las funcionalidades de firewall existentes para aprovechar las inversiones existentes en la integración de aptitudes y procesos, especialmente cuando adoptan la nube por primera vez.
  • Adoptar controles de seguridad nativos: cada vez más organizaciones prefieren usar controles nativos para evitar la complejidad de la integración con funcionalidades de terceros. Normalmente, estas organizaciones buscan evitar el riesgo de que se produzca una configuración errónea en el equilibrio de carga, las rutas definidas por el usuario, el firewall o firewall de aplicaciones web en sí y el riesgo de retrasos en las entregas entre los diferentes equipos técnicos. Esta opción es atractiva para las organizaciones que adoptan enfoques de infraestructura como código, ya que pueden automatizar e instrumentar las funcionalidades integradas más fácilmente que las funcionalidades de terceros.

Se puede encontrar documentación sobre las funcionalidades de seguridad nativas de Azure en:

Azure Marketplace incluye muchos proveedores de firewall de terceros.

Para más información, consulte Protección contra DDOS de Azure Security Benchmark y protección del firewall de aplicaciones web.

8. Tecnología: Integración de la detección de amenazas nativa

Simplifique la detección y respuesta a los ataques contra los sistemas y datos de Azure.

¿Qué?

simplifique la detección de amenazas y la estrategia de respuesta mediante la incorporación de funcionalidades de detección de amenazas nativas en las operaciones de seguridad y en Administración de eventos e información de seguridad.

¿Por qué?

El propósito de las operaciones de seguridad es reducir el impacto de los atacantes activos que obtienen acceso al entorno. El impacto se mide según el tiempo medio para confirmar (MTTA) y corregir (MTTR) incidentes. Esta práctica requiere precisión y velocidad en todos los elementos de la respuesta a los incidentes. El resultado ayuda a garantizar que la calidad de las herramientas y la eficacia de la ejecución de procesos son fundamentales.

Es difícil obtener detecciones de amenazas elevadas mediante las herramientas y los enfoques existentes. Las herramientas y los enfoques están diseñados para la detección de amenazas locales debido a las diferencias en la tecnología en la nube y su ritmo de cambio rápido. Las detecciones integradas de forma nativa proporcionan soluciones a escala industrial mantenidas por los proveedores en la nube que pueden hacer frente a las amenazas y los cambios actuales de la plataforma en la nube.

Estas soluciones nativas permiten a los equipos de operaciones de seguridad centrarse en la investigación y corrección de incidentes. Céntrate en esos elementos en lugar de perder tiempo creando alertas a partir de datos de registro, integración de herramientas y tareas de mantenimiento desconocidos.

¿Quién?

Normalmente lo dirige el equipo de operaciones de seguridad.

  • Patrocinio: este trabajo suele estar patrocinado por el director de operaciones de seguridad o un puesto equivalente.
  • Ejecución: la integración de la detección de amenazas nativa es un esfuerzo colaborativo que implica a estas soluciones con:
    • Operaciones de seguridad: integran alertas en los procesos de SIEM e investigación de incidentes. Las operaciones de seguridad pueden formar a los analistas sobre las alertas en la nube y lo que significan, y sobre cómo usar las herramientas nativas de la nube.
    • Preparación para incidentes: integran incidentes de la nube en ejercicios prácticos y se aseguran de que estos se lleven a cabo para impulsar la preparación del equipo.
    • Inteligencia sobre amenazas: investigan e integran la información sobre ataques en la nube para proporcionar a los equipos contexto e inteligencia.
    • Arquitectura de seguridad: integran las herramientas nativas en la documentación de la arquitectura de seguridad.
    • Directiva y estándares : establezca estándares y directivas para habilitar las herramientas nativas en toda la organización. Supervise el cumplimiento.
    • Infraestructura y puntos de conexión y Operaciones de TI central: Configure y habilite detecciones, e intégrelas en la automatización y la infraestructura como soluciones de código.

¿Cómo lo hago?

Permita la detección de amenazas en Microsoft Defender for Cloud para todos los recursos que usa y haga que cada equipo integre estos recursos en sus procesos como se describió anteriormente.

Para obtener más información, consulte la detección de amenazas para recursos de Azure de Azure Security Benchmark.

9. Arquitectura: Unificación en un único directorio e identidad

A nadie le gusta tratar con varias identidades y directorios.

¿Qué?

Normalice en un único directorio de Microsoft Entra. Puede estandarizar una identidad única para cada aplicación y usuario de Azure.

Nota:

Este procedimiento recomendado se refiere específicamente a los recursos de empresa. En el caso de las cuentas de asociados, use Microsoft Entra B2B de modo que no tenga que crear y mantener cuentas en el directorio. En el caso de las cuentas de clientes o ciudadanos, use Azure AD B2C para administrarlas.

¿Por qué?

Varias cuentas y directorios de identidad crean fricción innecesaria, lo que crea confusión en los flujos de trabajo diarios para:

  • Usuarios de productividad
  • Desarrolladores
  • Administradores de TI y de identidad
  • Analistas de seguridad
  • Otros roles

La administración de varias cuentas y directorios crea un incentivo para las prácticas de seguridad deficientes. Estas prácticas incluyen aspectos como la reutilización de contraseñas entre cuentas. Aumenta la probabilidad de cuentas obsoletas o abandonadas a las que pueden dirigirse los atacantes.

Aunque a veces parece más fácil crear rápidamente un directorio LDAP personalizado para una aplicación o carga de trabajo determinada, esta acción genera mucho más trabajo de integración y administración. Este trabajo es similar a preferir configurar otro inquilino de Azure o un bosque de Active Directory local en lugar de usar el inquilino empresarial existente. Para más información, consulte el principio de seguridad de impulso de la simplificación.

¿Quién?

La estandarización en un único directorio de Microsoft Entra suele ser un esfuerzo entre equipos. Este esfuerzo lo controlan los equipos de arquitectura de seguridad o administración de identidades y claves.

¿Cómo lo hago?

Adopte un enfoque pragmático que comience con nuevas funcionalidades de greenfield. A continuación, limpie los desafíos del brown field de las aplicaciones y servicios existentes como ejercicio de seguimiento:

  • Greenfield: establezca e implemente una directiva clara en la que todas las identidades de empresa usen un solo directorio de Microsoft Entra con una sola cuenta para cada usuario.

  • Existentes: muchas organizaciones suelen tener varios directorios y sistemas de identidad heredados. Tendrá que dar una solución a estos elementos heredados si el costo de las fricciones de su administración continua superan al de la inversión necesaria para eliminarlas. Aunque las soluciones de sincronización y administración de identidades pueden mitigar algunos de estos problemas, carecen de una integración profunda de las características de seguridad y productividad. Estas características permiten una experiencia sin problemas para usuarios, administradores y desarrolladores.

El momento ideal para combinar el uso de la identidad es durante los ciclos de desarrollo de aplicaciones ya que puede:

  • Modernizar las aplicaciones para la nube.
  • Actualizar las aplicaciones en la nube con procesos de DevOps.

Aunque hay motivos válidos para tener un directorio aparte para unidades de negocio independientes o requisitos normativos, evite tener varios directorios en todas las demás circunstancias.

Para más información, vea el Azure Security Benchmark Sistema central de identidad y autenticación de Microsoft Entra.

Importante

La única excepción a la regla de cuentas únicas es que los usuarios con privilegios elevados, incluidos los administradores de TI y analistas de seguridad, pueden tener cuentas independientes para tareas de usuario estándar en comparación con las tareas administrativas.

Para más información, consulte la prueba comparativa de seguridad de Azure de acceso con privilegios.

10. Arquitectura: Uso del control de acceso basado en identidades en lugar de claves

¿Qué?

Use identidades de Microsoft Entra en lugar de la autenticación basada en claves siempre que sea posible. Por ejemplo, servicios de Azure, aplicaciones, API.

¿Por qué?

La autenticación basada en claves se puede usar para autenticarse en las API y en los servicios en la nube. Sin embargo, requiere administrar las claves de forma segura, lo que es difícil de hacer bien, especialmente a gran escala. La administración de claves segura es complicada para los profesionales no relacionados con la seguridad, como desarrolladores y profesionales de la infraestructura y, a menudo, no lo hacen de forma segura, lo cual supone riesgos de seguridad importantes para la organización.

La autenticación basada en identidades supera muchos de estos desafíos con funcionalidades maduras. Las funcionalidades incluyen la rotación de secretos, la administración del ciclo de vida, la delegación administrativa, etc.

¿Quién?

La implementación del control de acceso basado en identidades suele ser un trabajo de distintos equipos. Este esfuerzo lo controlan los equipos de arquitectura de seguridad o administración de identidades y claves.

¿Cómo lo hago?

el establecimiento de una preferencia organizativa y un hábito para usar la autenticación basada en identidades requiere seguir un proceso y habilitar la tecnología necesaria.

El proceso

  1. Establezca directivas y normas que describan claramente la autenticación predeterminada basada en identidades y las excepciones aceptables.
  2. Instruya a los equipos de desarrolladores e infraestructura sobre el por qué del uso del nuevo enfoque, qué tienen que hacer y cómo lo tienen que hacer.
  3. Implemente los cambios de forma práctica, empezando por las nuevas funcionalidades que se adoptan ahora y en el futuro, como nuevos servicios de Azure, nuevas aplicaciones, y, después, por una limpieza de las configuraciones ya existentes.
  4. Supervise el cumplimiento y haga un seguimiento con los equipos de desarrolladores y de infraestructura para corregir los posibles problemas.

Las tecnologías

En el caso de cuentas no humanas como las de servicios o automatización, use identidades administradas. Las identidades administradas de Azure le permiten autenticarse en los servicios y recursos de Azure que admiten la autenticación de Microsoft Entra. La autenticación se habilita mediante reglas de concesión de acceso predefinidas que permiten evitar las credenciales codificadas de forma rígida en los archivos de código fuente o de configuración.

En el caso de los servicios que no admiten identidades administradas, use Microsoft Entra ID para crear entidades de servicio con permisos restringidos en el nivel de recurso. Debe configurar las entidades de servicio con credenciales de certificado y revertir a secretos de cliente. En ambos casos, Azure Key Vault se puede usar con las identidades administradas de Azure, de modo que el entorno en tiempo de ejecución, por ejemplo, una instancia de Azure Functions, pueda recuperar la credencial del almacén de claves.

Para obtener más información, consulte las identidades de aplicación de Azure Security Benchmark.

11. Arquitectura: Establecimiento de una estrategia de seguridad unificada

Es necesario que todos remen en la misma dirección para que el barco avance.

¿Qué?

Asegúrese de que todos los equipos estén alineados con una sola estrategia que permita y proteja los datos y sistemas empresariales.

¿Por qué?

Cuando los equipos trabajan de forma aislada sin estar alineados a una estrategia común, sus acciones individuales pueden debilitar involuntariamente los esfuerzos de los demás. La desalineación puede crear una fricción innecesaria que ralentiza el progreso de los objetivos de todos.

Un ejemplo de equipos trabajando de forma aislada que se ha visto de forma constante en muchas organizaciones es la segmentación de recursos:

  • Grupo de seguridad de red: ha desarrollado una estrategia para segmentar una red plana. La estrategia aumenta la seguridad, a menudo basada en sitios físicos, direcciones o intervalos de direcciones IP asignadas, o elementos similares.
  • Equipo de identidad: ha desarrollado una estrategia para grupos y unidades organizativas de Active Directory en función de sus conocimientos de la organización.
  • Equipos de aplicaciones: les resulta difícil trabajar con estos sistemas. Es difícil porque se diseñaron con una entrada y conocimiento limitado de las operaciones empresariales, los objetivos y los riesgos.

En las organizaciones en las que se produce esta limitación, los equipos suelen experimentar conflictos por las excepciones del firewall. Los conflictos pueden afectar negativamente a la seguridad porque los equipos aprueban excepciones. La productividad afecta negativamente a la seguridad porque las implementaciones ralentizan la funcionalidad de las aplicaciones que la empresa necesita.

Aunque la seguridad puede crear una fricción positiva al forzar el pensamiento crítico, este conflicto solo crea una fricción negativa que impide la consecución de los objetivos. Para obtener más información, consulte la guía de estrategia de seguridad.

¿Quién?

  • Patrocinio: la estrategia unificada suele estar al cargo del CIO, el CISO y el CTO. A menudo, el patrocinio viene con el apoyo de la dirección empresarial para algunos elementos de alto nivel y cuenta con el apoyo de representantes de cada equipo.
  • Ejecución: la estrategia de seguridad debe ser implementada por todos los usuarios. Integra datos de varios equipos para aumentar la propiedad, la compra y la probabilidad de éxito.
    • Arquitectura de seguridad: este equipo dirige el esfuerzo por crear una estrategia de seguridad y una arquitectura resultante. La arquitectura de seguridad recopila activamente los comentarios de los equipos y los documenta en presentaciones, documentos y diagramas para las distintas audiencias.
    • Directiva y estándares: este equipo refleja los elementos adecuados en estándares y directivas y, a continuación, supervisan su cumplimiento.
    • Todos los equipos técnicos de TI y de seguridad: Estos equipos proporcionan los requisitos de información y, a continuación, se alinean con la estrategia empresarial y la implementan.
    • Propietarios y desarrolladores de aplicaciones: estos equipos leen y comprenden la documentación estratégica que les es aplicable. Lo ideal es adaptar las instrucciones a su rol.

¿Cómo lo hago?

cree e implemente una estrategia de seguridad para la nube que incluya la información y la participación activa de todos los equipos. Aunque el formato de documentación del proceso puede variar, siempre incluye:

  • Información activa de los equipos: se suelen producir errores en las estrategias si los miembros de la organización no participan en ellas. Lo ideal sería reunir a todos los equipos para que creen la estrategia de forma colaborativa. En los talleres que llevamos a cabo con los clientes, a menudo encontramos que las organizaciones han estado funcionando en silos de facto y estas reuniones suelen dar lugar a personas que se reúnen entre sí por primera vez. Encontramos que la inclusión es un requisito. Si no se invita a algunos equipos, esta reunión normalmente debe repetirse hasta que todos los participantes se unan a ella. Si no se unen, el proyecto no avanza.
  • Documentada y comunicada claramente: todos los equipos deben tener conocimiento de la estrategia de seguridad. Idealmente, la estrategia de seguridad es un componente de seguridad de la estrategia de tecnología general. Esta estrategia incluye por qué integrar la seguridad, que es importante en esta y el aspecto del éxito de la seguridad. Esta estrategia incluye instrucciones específicas para los equipos de aplicaciones y desarrollo, de modo que puedan obtener instrucciones claras y organizadas sin tener que leer las partes no pertinentes de la guía.
  • Estable, pero flexible: mantenga las estrategias relativamente coherentes y estables, pero es posible que las arquitecturas y la documentación necesiten agregar claridad y dar cabida a la naturaleza dinámica de la nube. Por ejemplo, el filtrado de tráfico externo malintencionado permanecerá coherente como un imperativo estratégico incluso si cambia de un firewall de próxima generación de terceros a un Azure Firewall y ajusta los diagramas o instrucciones sobre cómo hacerlo.
  • Comenzar por la segmentación: Hay problemas de estrategia grandes y pequeños para abordar, pero debe empezar en algún lugar. Comience la estrategia de seguridad por la segmentación de recursos empresariales. Esta segmentación es una decisión fundamental que sería difícil de cambiar más adelante y requiere tanto la información empresarial como la de muchos equipos técnicos.

Microsoft ha publicado una guía en vídeo para aplicar una estrategia de segmentación a Azure. Hay documentos publicados sobre la segmentación empresarial y la alineación de la seguridad de red con ella.

Cloud Adoption Framework incluye instrucciones para ayudar a los equipos con:

Para obtener más información, consulte la estrategia de gobernanza de Azure Security Benchmark.