Gobernanza, riesgo y cumplimiento
Organizaciones de todos los tamaños están limitadas por sus recursos disponibles: financieros, personas y tiempo. Para lograr una buena rentabilidad de la inversión (ROI), las organizaciones deben establecer prioridades sobre dónde quieren invertir. La implementación de la seguridad en la organización también está limitada por este hecho, de modo que para que la seguridad sea rentable, la organización debe comprender y definir primero sus prioridades de seguridad.
Gobernanza: ¿cómo se va a supervisar y auditar la seguridad de la organización y cómo se van a emitir informes al respecto? El diseño e implementación de los controles de seguridad dentro de una organización es solo el principio de la historia. ¿Cómo sabe la organización qué funciona realmente? ¿Experimentan mejoras? ¿Tienen nuevos requisitos? ¿Hay informes obligatorios? Como sucede con el cumplimiento, puede que haya estándares del sector externos, gubernamentales o normativos que deban tenerse en cuenta.
Riesgo: ¿a qué tipos de riesgos se enfrenta la organización al intentar proteger la información de identidad, de propiedad intelectual y financiera? ¿Quién podría estar interesado en esta información o quién podría aprovecharla en caso de robo? Aquí se incluirían tanto las amenazas externas como internas, como las involuntarias o malintencionadas. Un aspecto de gran importancia que a menudo se olvida en relación con el riesgo es la forma de abordar la recuperación ante desastres y la continuidad empresarial.
Cumplimiento: ¿hay requisitos específicos del sector, gubernamentales o normativos, que dictaminen o que proporcionen recomendaciones sobre los criterios que deben satisfacer los controles de seguridad de la organización? Algunos ejemplos de estos estándares, organizaciones, controles y legislación son ISO27001, NIST o PCI-DSS.
En conjunto, el papel de la organización es administrar sus estándares de seguridad a lo largo del ciclo de vida:
Definición: establezca los estándares y las directivas de la organización de los procedimientos, las tecnologías y las configuraciones en función de factores internos (mentalidad de la organización, tolerancia al riesgo, valoración de los recursos, iniciativas empresariales, etc.) y factores externos (referencias, estándares reglamentarios, entorno de amenazas, etc.)
Mejora: impulse continuamente estos estándares hacia el estado idóneo para garantizar la reducción continua de los riesgos.
Sostenibilidad: establezca procedimientos de auditoría y de supervisión del cumplimiento de estándares organizativos para que la postura de seguridad no se degrade de forma natural a lo largo del tiempo.
Clasificación por orden de prioridad de las inversiones en procedimientos recomendados de seguridad
Si bien lo mejor es que los procedimientos recomendados de seguridad se apliquen de forma anticipada y completa a todos los sistemas al crear un programa en la nube, la realidad es muy distinta para la mayoría de las organizaciones. Los objetivos empresariales, las restricciones de los proyectos y otros factores suelen hacer que las organizaciones sopesen el riesgo de seguridad con otros riesgos y apliquen un subconjunto de procedimientos recomendados en un momento dado.
Se recomienda aplicar la mayoría de los procedimientos recomendados lo antes posible y, luego, subsanar con el tiempo las posibles brechas mientras se termina de desarrollar el programa de seguridad. Al clasificar por orden de prioridad qué perseguir primero, se recomienda evaluar los siguientes aspectos:
Gran repercusión empresarial y sistemas muy expuestos: aquí se incluyen sistemas con valor intrínseco directo, así como los sistemas que proporcionan a los atacantes una ruta de acceso a ellos. Para obtener más información, consulte Identificar y clasificar aplicaciones críticas para la empresa.
Mitigaciones más fáciles de implementar: identifique las ganancias rápidas mediante la clasificación por orden de prioridad de los procedimientos recomendados que la organización pueda ejecutar rápidamente porque ya dispone de las aptitudes, las herramientas y los conocimientos necesarios para hacerlo; por ejemplo, la implementación de un firewall de aplicaciones web (WAF) para proteger una aplicación heredada.
Tenga cuidado de no usar exclusivamente (o usar en exceso) este método de clasificación en orden de prioridad a corto plazo. Si lo hace, puede aumentar el riesgo, ya que impide que el programa se desarrolle y deja que queden expuestos riesgos críticos durante períodos prolongados.
Microsoft ha proporcionado algunas listas clasificadas por orden de prioridad de iniciativas de seguridad por las que pueden empezar las organizaciones. Estas decisiones se basan en nuestra experiencia con amenazas e iniciativas de mitigación en nuestros propios entornos y a través de nuestros clientes. Consulte el Módulo 4a del Taller para CISO de Microsoft.
Administrar inquilinos conectados
Asegúrese de que la organización de seguridad tenga en cuenta todas las inscripciones y las suscripciones asociadas conectadas a su entorno existente (a través de ExpressRoute o VPN de sitio de sitio) y la supervisión como parte de la empresa en general.
Estos recursos de Azure forman parte de su entorno empresarial y las organizaciones de seguridad necesitan visibilidad sobre ellos. Las organizaciones de seguridad necesitan este acceso para evaluar el riesgo y para determinar si se siguen las directivas de la organización y los requisitos normativos aplicables.
Asegúrese de que todos los entornos de Azure que se conectan a su entorno de producción o red aplican la directiva y los controles de gobernanza de TI de la organización en materia de seguridad. Puede detectar los inquilinos que ya están conectados mediante una herramienta que proporciona Microsoft. Las instrucciones sobre los permisos que puede asignar a la seguridad se incluyen en la sección Asignación de privilegios para administrar el entorno.
Líneas de responsabilidad claras
Designación de las partes responsables de funciones específicas de Azure
Documentar claramente y compartir los contactos responsables de cada una de estas funciones creará coherencia y facilitará la comunicación. Según nuestra experiencia con muchos proyectos de adopción de la nube, esto evitará confusión que puede conducir a errores humanos y de automatización que suponen riesgos para la seguridad.
Designe los grupos (o roles individuales) que serán responsables de estas funciones clave:
| Grupo o rol individual | Responsabilidad |
|---|---|
| Seguridad de redes | Normalmente, el equipo de seguridad de la red existente. Configuración y mantenimiento de Azure Firewall, aplicaciones virtuales de red (y el enrutamiento asociado), firewalls de aplicaciones web (WAF), grupos de seguridad de red (NSG), grupos de seguridad de aplicaciones (ASG), etc. |
| Administración de red | Normalmente, el equipo de operaciones de red existente. Asignación de subred y red virtual en toda la empresa. |
| Seguridad de los puntos de conexión de servidor | Normalmente, el equipo de operaciones de TI, el equipo de seguridad, o ambos de forma conjunta. Supervisión y corrección de la seguridad del servidor (aplicación de revisiones, configuración, seguridad de los puntos de conexión, etc.). |
| Supervisión de incidentes y respuesta | Normalmente, el equipo de operaciones de seguridad. Investigación y corrección de incidentes de seguridad en Administración de eventos e información de seguridad (SIEM) o en la consola de origen. |
| Administración de directivas | Normalmente, el equipo de GRC y arquitectura. Establezca Dirección para el uso del control de acceso basado en rol (RBAC), Microsoft Defender para la nube, la estrategia de protección de administrador y Azure Policy para controlar los recursos de Azure. |
| Seguridad y estándares de identidad | Normalmente, el equipo de seguridad y el equipo de identidad de forma conjunta. Establecimiento de la dirección de los directorios de Azure AD, el uso de PIM/PAM, la autenticación multifactor (MFA), la configuración de sincronización y contraseñas o los estándares de identidad de la aplicación. |
Estrategia de segmentación empresarial
Identifique los grupos de recursos que se pueden aislar de otras partes de la empresa de cara a la contención (y detección) de movimientos de los adversarios dentro de la empresa. Esta estrategia de segmentación empresarial unificada guiará a todos los equipos técnicos a segmentar de forma coherente el acceso al uso de las redes, las aplicaciones, la identidad y otros controles de acceso.
Una estrategia de segmentación clara y sencilla ayuda a contener el riesgo, al mismo tiempo que posibilita la productividad y las operaciones empresariales.
Una estrategia de segmentación empresarial se define en un nivel más alto que una estrategia de seguridad de "segmentación de red" tradicional. Los enfoques de segmentación tradicionales para los entornos locales no solían alcanzar sus objetivos porque se desarrollaban de "abajo arriba" por parte de distintos equipos técnicos y no eran totalmente compatibles con los casos de uso empresariales y las cargas de trabajo de las aplicaciones. El resultado era una complejidad abrumadora que generaba problemas de soporte técnico y que con frecuencia minaba el propósito original con numerosas excepciones del firewall de red.
La creación de una estrategia de segmentación empresarial unificada permite guiar a todas las partes interesadas de los equipos técnicos (TI, seguridad, aplicaciones, etc.). Las unidades de negocio que se crean en torno a los riesgos y las necesidades empresariales permitirán comprender y respaldar mejor la viabilidad de las promesas de contención de la seguridad y mejorar la alineación con ella. Esta claridad y alineación también reducirán el riesgo de errores humanos y de automatización que pueden dar lugar a vulnerabilidades de la seguridad, tiempo de inactividad operativo, o ambos.
Aunque la microsegmentación de la red también ofrece la promesa de reducir el riesgo (se trata con más detalle en la sección Contención y seguridad de la red), no elimina la necesidad de alinear los equipos técnicos. La microsegmentación se debe tener en cuenta después de los planes para garantizar la alineación de los equipos técnicos a fin de evitar que se repitan los conflictos internos que plagan y llenan de confusión las estrategias de segmentación en la generación de las redes locales.
Estas son las recomendaciones de Microsoft para clasificar por orden de prioridad las iniciativas en la contención y segmentación (según los principios de Confianza cero). Estas recomendaciones se muestran en orden de mayor a menor importancia.
Asegúrese de la alineación de los equipos técnicos con una única estrategia de segmentación empresarial.
Invierte en ampliar la contención estableciendo un perímetro moderno basado en principios de confianza cero centrados en la identidad, el dispositivo, las aplicaciones y otras señales (para superar la limitación de los controles de red para proteger nuevos recursos y tipos de ataque).
Reforzar los controles de red para aplicaciones heredadas mediante la exploración de estrategias de micro segmentación.
Una buena estrategia de segmentación empresarial cumple estos criterios:
Habilita las operaciones: minimiza la fricción entre operaciones al alinearse con los procedimientos y los procedimientos empresariales.
Contiene el riesgo: agrega costo y dificultad para los atacantes ya que:
Aísla las cargas de trabajo confidenciales del riesgo de otros recursos.
Aísla los sistemas de alta exposición para que no se usen como una dinamización de otros sistemas.
Supervisión: las operaciones de seguridad deben supervisar las posibles infracciones de la integridad de los segmentos (uso de cuentas, tráfico inesperado, etc.).
Visibilidad del equipo de seguridad
Proporcione a los equipos de seguridad acceso de solo lectura a los aspectos de seguridad de todos los recursos técnicos de su incumbencia.
Las organizaciones de seguridad necesitan visibilidad sobre el entorno técnico para realizar sus tareas de evaluación y comunicación de los riesgos de la organización. Sin esta visibilidad, la seguridad tendrá que basarse en la información proporcionada por grupos que trabajan en el entorno que tienen un posible conflicto de intereses (y otras prioridades).
Tenga en cuenta que los equipos de seguridad pueden recibir otros privilegios si tienen responsabilidades operativas o el requisito de aplicar las reglas de cumplimiento en los recursos de Azure.
Por ejemplo, en Azure, asigne a los equipos de seguridad el permiso Lectores de seguridad que proporciona acceso para medir el riesgo de seguridad (sin proporcionar acceso a los datos propiamente dichos).
En el caso de grupos de seguridad empresariales con amplias responsabilidades sobre la seguridad de Azure, puede asignar este permiso mediante:
Grupo de administración raíz: para los equipos responsables de evaluar y comunicar el riesgo sobre todos los recursos.
Grupos de administración de segmentos: para los equipos con un ámbito de responsabilidad limitado (normalmente necesario debido a los límites de la organización o a los requisitos normativos).
Dado que los equipos de seguridad tendrán un amplio acceso al entorno (y visibilidad sobre las vulnerabilidades potencialmente infringibles), se deben considerar cuentas de impacto crítico y aplicar las mismas protecciones que a los administradores. En la sección Administración se detallan estos controles de Azure.
Asignación de privilegios para administrar el entorno
Conceda a los roles con responsabilidades operativas en Azure los permisos adecuados según una estrategia claramente documentada creada a partir del principio de privilegios mínimos y las necesidades operativas.
Proporcionar una orientación clara que siga un modelo de referencia reducirá el riesgo, ya que aumenta la claridad para los equipos técnicos que implementan estos permisos. Esta claridad facilita la detección y corrección de los errores humanos, como la asignación de permisos en exceso, lo que reduce el riesgo en general.
Microsoft recomienda comenzar con estos modelos de referencia y adaptarlos a cada organización.
Permisos básicos de referencia de servicios
Este segmento hospeda los servicios compartidos que se usan en toda la organización. Estos servicios compartidos suelen incluir Active Directory Domain Services, DNS/DHCP y herramientas de administración del sistema hospedadas en máquinas virtuales de infraestructura como servicio (IaaS) de Azure.
Visibilidad sobre la seguridad en todos los recursos: para los equipos de seguridad, conceda acceso de solo lectura a los atributos de seguridad de todos los entornos técnicos. Este nivel de acceso es necesario para evaluar los factores de riesgo, identificar posibles mitigaciones y aconsejar a las partes interesadas de la organización que aceptan el riesgo. Para más información, consulte Visibilidad del equipo de seguridad.
Administración de directivas en algunos recursos o en todos ellos: para supervisar y aplicar el cumplimiento de normas, estándares y directivas de seguridad externos (o internos), asigne el permiso adecuado a dichos roles. Los roles y permisos que elija dependerán de la mentalidad de la organización y de las expectativas del programa de directivas. Consulte Microsoft Cloud Adoption Framework para Azure.
Operaciones de TI central en todos los recursos: conceda permisos al departamento de TI central (a menudo el equipo de infraestructura) para crear, modificar y eliminar recursos, como máquinas virtuales y almacenamiento.
Grupo de redes central en los recursos de red: para garantizar la coherencia y evitar los conflictos técnicos, asigne las responsabilidades de los recursos de red a una sola organización de red central. Estos recursos deben incluir redes virtuales, subredes, grupos de seguridad de red (NSG) y las máquinas virtuales que hospedan las aplicaciones de red virtual. Para más información, consulte Centralizar la administración de redes y la seguridad.
Permisos de rol de recursos: en el caso de la mayoría de los servicios básicos, los privilegios administrativos necesarios para administrarlos se conceden a través de la propia aplicación (Active Directory, DNS/DHCP, herramientas de administración del sistema, etc.), por lo que no se requiere ningún permiso adicional de recursos de Azure. Si el modelo organizativo requiere que estos equipos administren sus propias máquinas virtuales, almacenamiento u otros recursos de Azure, puede asignar estos permisos a esos roles.
Administración de servicios (cuenta de emergencia) : use el rol de administrador de servicios solo para emergencias (y la configuración inicial, si es necesario). No use este rol para las tareas diarias. Para más información, consulte Acceso de emergencia (cuentas de emergencia).
Permisos de referencia se segmentos
Este diseño de permisos de segmentos proporciona coherencia, a la vez que ofrece la flexibilidad para acomodar la gama de modelos de la organización que van desde un solo grupo de TI centralizado hasta los equipos de TI y de DevOps en gran medida independientes.
Visibilidad sobre la seguridad en todos los recursos: para los equipos de seguridad, conceda acceso de solo lectura a los atributos de seguridad de todos los entornos técnicos. Este nivel de acceso es necesario para evaluar los factores de riesgo, identificar posibles mitigaciones y aconsejar a las partes interesadas de la organización que aceptan el riesgo. Consulte Visibilidad del equipo de seguridad.
Administración de directivas en algunos recursos o en todos ellos: para supervisar y aplicar el cumplimiento de normas, estándares y directivas de seguridad externos (o internos), asigne el permiso adecuado a dichos roles. Los roles y permisos que elija dependerán de la mentalidad de la organización y de las expectativas del programa de directivas. Consulte Microsoft Cloud Adoption Framework para Azure.
Operaciones de TI en todos los recursos: conceda permiso para crear, modificar y eliminar recursos. El propósito del segmento (y los permisos resultantes) dependerá de la estructura de la organización.
Los segmentos con recursos administrados por una organización de TI centralizada pueden conceder al departamento de TI central (con frecuencia, el equipo de infraestructura) permiso para modificar estos recursos.
Los segmentos administrados por funciones o unidades de negocio independientes (por ejemplo, un equipo de TI de Recursos Humanos) pueden conceder a esos equipos permisos para todos los recursos del segmento.
Los segmentos con equipos de DevOps autónomos no necesitan conceder permisos para todos los recursos, ya que el rol de recurso (a continuación) concede permisos a los equipos de aplicaciones. Para emergencias, use la cuenta de administrador de servicios (cuenta de emergencia).
Grupo de redes central en los recursos de red: para garantizar la coherencia y evitar los conflictos técnicos, asigne las responsabilidades de los recursos de red a una sola organización de red central. Estos recursos deben incluir redes virtuales, subredes, grupos de seguridad de red (NSG) y las máquinas virtuales que hospedan las aplicaciones de red virtual. Consulte Centralizar la administración de redes y la seguridad.
Permisos de rol de recursos: los segmentos con equipos de DevOps autónomos administrarán los recursos asociados a cada aplicación. Los roles reales y sus permisos dependen del tamaño y de la complejidad de las aplicaciones, del tamaño y de la complejidad del equipo de aplicaciones y de la mentalidad de la organización y del equipo de aplicaciones.
Administración de servicios (cuenta de emergencia) : use el rol de administrador de servicios solo para emergencias (y la configuración inicial, si es necesario). No use este rol para las tareas diarias. Para más información, consulte Acceso de emergencia (cuentas de emergencia).
Guía de permisos y sugerencias
Para impulsar la coherencia y garantizar la aplicación a suscripciones futuras, se deben asignar permisos en el grupo de administración del segmento en lugar de en las suscripciones individuales. Para más información, consulte el artículo en el que se indica cómo evitar permisos pormenorizados y personalizados.
En primer lugar, debe revisar los roles integrados para ver si alguno es aplicable antes de crear un rol personalizado para conceder los permisos adecuados a las máquinas virtuales y otros objetos. Para más información, consulte Usar roles integrados.
La pertenencia al grupo de administradores de seguridad puede ser adecuada en el caso de equipos u organizaciones más pequeños en los que los equipos de seguridad tienen numerosas responsabilidades operativas.
Establecimiento de la segmentación con grupos de administración
Estructure los grupos de administración en un diseño sencillo que guíe el modelo de segmentación empresarial.
Los grupos de administración ofrecen la posibilidad de administrar de forma coherente y eficaz los recursos (incluidas varias suscripciones según sea necesario). Sin embargo, debido a su flexibilidad, es posible crear un diseño demasiado complejo. La complejidad crea confusión y afecta negativamente a las operaciones y a la seguridad (como se muestra en los diseños demasiado complejos de unidades organizativas (OU) y objetos de directiva de grupo (GPO) para Active Directory).
Microsoft recomienda consolidar el nivel superior de los grupos de administración (MG) en una estrategia de segmentación empresarial simple limitada a 1 o 2 niveles.
Usar detenidamente el grupo de administración raíz
Use el grupo de administración raíz (MG) de cara a la coherencia empresarial, pero pruebe con cuidado los cambios para minimizar el riesgo de interrupción operativa.
El grupo de administración raíz le permite garantizar la coherencia en toda la empresa mediante la aplicación de directivas, permisos y etiquetas en todas las suscripciones. Se debe tener cuidado al planear e implementar las asignaciones al grupo de administración raíz, ya que todos los recursos de Azure pueden verse afectados y provocar tiempo de inactividad u otros efectos negativos en la productividad en caso de errores o efectos imprevistos.
Guía del grupo de administración raíz:
Planeamiento cuidadoso: seleccione elementos de toda la empresa para el grupo de administración raíz que tengan un requisito claro de aplicarse en cada recurso, o que tengan un impacto bajo.
Entre los candidatos adecuados destacan los siguientes:
Requisitos normativos con un impacto empresarial claro (por ejemplo, restricciones relacionadas con la soberanía de los datos).
Posible impacto negativo cercano a cero en las operaciones, como directivas con efecto de auditoría, asignaciones de etiquetas y asignaciones de permisos de RBAC que se hayan revisado con cuidado.
Probarlo primero: pruebe con cuidado todos los cambios a nivel empresarial en el grupo de administración raíz antes de aplicarlos (directivas, etiquetas, modelo RBAC, etc.) mediante las siguientes opciones:
Un laboratorio de pruebas: un segmento representativo del inquilino del laboratorio o del laboratorio en el inquilino de producción.
Una prueba piloto de producción: MG del segmento o subconjunto designado en las suscripciones/MG.
Validación de los cambios: para garantizar que tienen el efecto deseado.
Actualizaciones de seguridad y seguridad de las contraseñas de las máquinas virtuales (VM)
Asegúrese de que la directiva y los procesos permiten (y requieren) la aplicación rápida de las actualizaciones de seguridad a las máquinas virtuales.
Los atacantes analizan constantemente los intervalos IP de la nube pública en busca de puertos de administración abiertos e intentan realizar ataques "sencillos", como contraseñas comunes y vulnerabilidades no actualizadas.
Habilite Microsoft Defender for Cloud para identificar si faltan actualizaciones & de seguridad.
La solución de contraseña de administrador local (LAPS) o una instancia de terceros de Privileged Access Management pueden establecer contraseñas de administrador local seguras y acceso a ellas de forma puntual.
Eliminación de la conectividad directa a Internet de la máquina virtual (VM)
Asegúrese de que las directivas y los procesos exijan la restricción y la supervisión de la conectividad directa por las máquinas virtuales.
Los atacantes analizan constantemente los intervalos de IP de la nube pública en busca de puertos de administración abiertos e intentan realizar ataques "sencillos", como contraseñas comunes y vulnerabilidades conocidas no actualizadas.
Para ello, se pueden usar uno o varios métodos en Azure:
Prevención a nivel de empresa: evite la exposición involuntaria con una red de empresa y un modelo de permisos, como el modelo de referencia descrito en esta guía. De esta forma, se reduce sensiblemente el riesgo de exposiciones accidentales a Internet, ya que:
Existe la garantía de que el tráfico de red se enruta de forma predeterminada por los puntos de salida aprobados.
Las excepciones (por ejemplo, agregar una dirección IP pública a un recurso) deben pasar por un grupo centralizado (que puede evaluar con cuidado las solicitudes de excepciones para asegurarse de que se aplican los controles adecuados).
Identifique y corrija las máquinas virtuales expuestas mediante la visualización de red de Microsoft Defender for Cloud para identificar rápidamente los recursos expuestos a Internet.
Restricción de los puertos de administración (RDP, SSH) mediante el acceso Just-in-Time en Microsoft Defender for Cloud.
Asignación de contactos de notificación de incidentes
Asegúrese de que los contactos de seguridad reciben notificaciones de incidentes de Microsoft, normalmente una notificación de que sus recursos están en peligro o de ataques a otros clientes.
Estas notificaciones permiten que el equipo de operaciones de seguridad responda rápidamente a posibles riesgos de seguridad y los solucionen.
Asegúrese de que la información de contacto del administrador en el portal de inscripciones de Azure incluya datos que notifiquen las operaciones de seguridad (directa o rápidamente a través de un proceso interno).
Revisión periódica del acceso crítico
Revise periódicamente los roles a los que se les asignan privilegios con un impacto crítico para la empresa.
Configure un patrón de revisión recurrente para asegurarse de que se retiran los permisos de las cuentas a medida que cambian los roles. Puede realizar la revisión manualmente o mediante un proceso automatizado mediante herramientas como las revisiones de acceso de Azure AD.
Detección y corrección de riesgos comunes
Identifique los riesgos conocidos para los inquilinos de Azure, corrija esos riesgos y realice un seguimiento del progreso con Puntuación segura.
La identificación y corrección de los riesgos de higiene de seguridad comunes reduce de forma considerable el riesgo general para la organización al aumentar el costo para los atacantes. Cuando se quitan los vectores de ataque económicos y bien arraigados, los atacantes se ven obligados a adquirir y a usar métodos de ataque avanzados o no probados.
La puntuación de seguridad de Azure en Microsoft Defender for Cloud supervisa la posición de seguridad de las máquinas, las redes, el almacenamiento y los servicios de datos, y las aplicaciones para detectar posibles problemas de seguridad (máquinas virtuales conectadas a Internet o actualizaciones de seguridad que faltan, falta protección de puntos de conexión o cifrado, desviaciones de las configuraciones de seguridad de línea de base, firewall de aplicaciones web (WAF) que faltan, etc. Debe habilitar esta funcionalidad (sin costo adicional), revisar las conclusiones y seguir las recomendaciones incluidas para planear y ejecutar correcciones técnicas a partir de los elementos de prioridad más alta.
A medida que vaya encarando los riesgos, realice un seguimiento del progreso y clasifique por orden de prioridad las inversiones continuadas en los programas de gobernanza y reducción del riesgo.
Aumento de la automatización con Azure Blueprints
Use las funcionalidades de automatización nativas de Azure para aumentar la coherencia, el cumplimiento y la velocidad de implementación de las cargas de trabajo.
La automatización de las tareas de implementación y mantenimiento reduce los riesgos de seguridad y cumplimiento al limitar la oportunidad de introducir errores humanos durante las tareas manuales. También permite que los equipos de operaciones de TI y los equipos de seguridad cambien su enfoque de tareas manuales repetidas a tareas de valor más alto, como permitir iniciativas empresariales y de desarrollo, proteger la información, etc.
Utilice el servicio Azure Blueprints para implementar de forma rápida y coherente entornos de aplicación compatibles con las directivas y las regulaciones externas de la organización. El servicio Azure Blueprints automatiza la implementación de entornos, como los roles de RBAC, las directivas, los recursos (máquina virtual/red/almacenamiento, etc.) y muchos más. Azure Blueprints se crea a partir de una importante inversión de Microsoft en Azure Resource Manager para estandarizar la implementación de recursos en Azure y habilitar la implementación y la gobernanza de los recursos en función de un enfoque de estado deseado. Puede usar las configuraciones integradas de Azure Blueprints, crear las suyas propias o simplemente usar scripts de Resource Manager en el caso de ámbitos más pequeños.
Se pueden usar varios ejemplos de planos de seguridad y cumplimiento como plantilla de inicio.
Evaluación de la seguridad mediante pruebas comparativas
Use una prueba comparativa estándar del sector para evaluar la posición de seguridad actual de las organizaciones.
Las pruebas comparativas le permiten mejorar el programa de seguridad al aprender de las organizaciones externas. Conocerá cómo su estado de seguridad actual se compara con el de otras organizaciones, lo que proporciona tanto la validación externa de los elementos correctos del sistema actual como la identificación de brechas que sirven como oportunidad para enriquecer la estrategia de seguridad global del equipo. Aunque el programa de seguridad no esté vinculado a una prueba comparativa o a un estándar regulador en concreto, podrá comprender los estados idóneos documentados por aquellos que se encuentran fuera y dentro del sector.
- Por ejemplo, el Centro para la Seguridad de Internet (CIS) ha creado pruebas comparativas de seguridad para Azure que se asignan al marco de control de CIS. Otro ejemplo de referencia es el marco de MITRE ATT&CK™, que define las diversas tácticas y técnicas de los adversarios según las observaciones del mundo real. Estas asignaciones de control de referencias externas le ayudan a comprender las brechas entre la estrategia actual que tiene y la que tienen otros expertos del sector.
Auditoría y aplicación del cumplimiento de directivas
Asegúrese de que el equipo de seguridad audita el entorno para informar sobre el cumplimiento de la directiva de seguridad de la organización. Los equipos de seguridad también pueden exigir el cumplimiento de estas directivas.
Las organizaciones de todos los tamaños tendrán requisitos de cumplimiento de la seguridad. Todas las directivas de seguridad corporativas internas, del sector y gubernamentales deben auditarse y aplicarse. Para comprobar que las configuraciones iniciales son correctas y que siguen siendo compatible con el tiempo, es fundamental supervisar las directivas.
En Azure, puede aprovechar las ventajas de Azure Policy para crear y administrar las directivas que exijan el cumplimiento. Al igual que Azure Blueprints, las directivas de Azure se basan en las funcionalidades subyacentes de Azure Resource Manager en la plataforma Azure (y Azure Policy también se puede asignar a través de Azure Blueprints).
Para más información sobre cómo hacerlo en Azure, consulte el Tutorial: Creación y administración de directivas para aplicar el cumplimiento.
Supervisión del riesgo para la identidad
Supervise los eventos de riesgo relacionados con la identidad en busca de advertencias sobre las identidades potencialmente en peligro y corregir esos riesgos.
La mayoría de los incidentes de seguridad tienen lugar después de que un atacante obtiene acceso inicialmente mediante una identidad robada. Estas identidades a menudo pueden comenzar con pocos privilegios, pero los atacantes las usan luego para adentrarse en la red (movimiento lateral) y obtener acceso a identidades con más privilegios. Esta acción se repite las veces necesarias hasta que el atacante controla el acceso a los sistemas o datos de destino finales.
Azure Active Directory utiliza heurística, credenciales en peligro conocidas (pares de nombre de usuario y contraseña) y algoritmos de aprendizaje automático adaptable para detectar acciones sospechosas que están relacionadas con las cuentas de usuario. Estos pares de nombre de usuario y contraseña proceden de la supervisión de sitios web públicos y oscuros (donde los atacantes a menudo vuelcan contraseñas en peligro) y al trabajar con investigadores de seguridad, fuerzas policiales, equipos de seguridad de Microsoft, etc.
Hay dos lugares donde puede revisar los eventos de riesgo informados:
Informes de Azure AD: los eventos de riesgo forman parte de los informes de seguridad de Azure AD. Para más información, consulte el informe de seguridad de usuarios en riesgo y el informe de seguridad de inicios de sesión riesgosos.
Azure AD Identity Protection: los eventos de riesgo también forman parte de las funcionalidades de informes de Azure Active Directory Identity Protection.
Además, puede utilizar la API de eventos de riesgo Identity Protection para acceder mediante programación a las detecciones de seguridad con Microsoft Graph.
Para corregir estos riesgos, aborde manualmente cada una de las cuentas notificadas o implante una directiva de riesgo de usuarios para exigir un cambio de contraseña en estos casos de riesgo elevado.
Pruebas de penetración
Use pruebas de penetración para validar las defensas de seguridad.
La validación del mundo real de las defensas de seguridad es fundamental para confirmar la estrategia y la implementación de defensas. Para ello se puede usar una prueba de penetración (simula un ataque puntual) o un programa de equipo rojo (simula un actor de amenaza persistente dirigiéndose a su entorno).
Siga las instrucciones publicadas por Microsoft para planear y ejecutar ataques simulados.
Detección y reemplazo de protocolos poco seguros
Detecte y deshabilite el uso de protocolos poco seguros heredados SMBv1, LM/NTLMv1, wDigest, enlaces LDAP sin asignar y códigos débiles de Kerberos.
Los protocolos de autenticación son una base fundamental de casi todas las garantías de seguridad. Estas versiones anteriores pueden ser aprovechadas por atacantes con acceso a la red, y a menudo se usan ampliamente en sistemas heredados en infraestructura como servicio (IaaS).
Estas son algunas formas de reducir el riesgo:
Detección del uso del protocolo mediante la revisión de registros con el panel de protocolo no seguro de Microsoft Sentinel o herramientas de terceros
Restringir o deshabilitar el uso de estos protocolos siguiendo las instrucciones para SMB, NTLM, WDigest
Se recomienda implementar los cambios mediante pruebas piloto u otro método de prueba para reducir el riesgo de interrupciones operativas.
Funcionalidades de seguridad elevadas
Considere la posibilidad de usar funcionalidades de seguridad especializadas en la arquitectura de su empresa.
Estas medidas tienen el potencial de mejorar la seguridad y cumplir los requisitos normativos, pero pueden introducir una complejidad que podría afectar de manera negativa a las operaciones y la eficacia.
Se recomienda considerar cuidadosamente y hacer un uso prudente de estas medidas de seguridad según sea necesario:
Módulos de seguridad de hardware (HSM) dedicados
Los módulos de seguridad de hardware (HSM) dedicados pueden ayudar a cumplir los requisitos normativos o de seguridad.Computación confidencial
La informática confidencial puede ayudar a cumplir los requisitos normativos o de seguridad.
Pasos siguientes
Para obtener más directrices de seguridad de Microsoft, consulte la documentación de seguridad de Microsoft.