Área de diseño: Seguridad
Este área de diseño crea una base para la seguridad en los entornos de Azure, híbridos y multinube. Puede mejorar esta base más adelante con instrucciones de seguridad que se describen en la metodología segura de Cloud Adoption Framework.
Revisión del área de diseño
Roles o funciones implicados: esta área de diseño está dirigida por operaciones de seguridad en la nube, en concreto los arquitectos de seguridad de ese equipo. La plataforma en la nube y el centro de excelencia de la nube son necesarios para revisar las decisiones de redes e identidades. Es posible que los roles colectivos sean necesarios para definir e implementar los requisitos técnicos procedentes de este ejercicio. Las barreras de protección de seguridad más avanzadas también requieren compatibilidad con la gobernanza de la nube.
Ámbito: el objetivo de este ejercicio es comprender los requisitos de seguridad e implementarlos de forma coherente en todas las cargas de trabajo de la plataforma en la nube. El ámbito principal de este ejercicio se centra en las herramientas de operaciones de seguridad y el control de acceso. Este ámbito incluye la confianza cero y la seguridad de red avanzada.
Fuera del ámbito: este ejercicio se centra en la base de un centro de operaciones de seguridad moderno en la nube. Para simplificar la conversación, este ejercicio no aborda algunas de las materias de la metodología de seguridad de CAF. Las operaciones de seguridad, la protección de recursos y la seguridad de innovación se basarán en la implementación de la zona de aterrizaje de Azure. Sin embargo, están fuera del ámbito de esta discusión del área de diseño.
Introducción al área de diseño
La seguridad es una consideración fundamental para todos los clientes, en todos los entornos. Al diseñar e implementar una zona de aterrizaje de Azure, la seguridad debe ser una consideración a lo largo del proceso.
El área de diseño de seguridad se centra en consideraciones y recomendaciones para las decisiones de la zona de aterrizaje. La metodología de seguridad de Cloud Adoption Framework proporciona instrucciones más detalladas para herramientas y procesos de seguridad holísticos.
Nuevo entorno (greenfield) en la nube: Para iniciar el recorrido en la nube con un pequeño conjunto de suscripciones, consulte Creación de suscripciones iniciales de Azure. Además, considere la posibilidad de usar plantillas de implementación de Bicep para crear las zonas de aterrizaje de Azure. Para más información, consulte Azure Landing Zones Bicep: flujo de implementación.
Entorno de nube existente (brownfield): Considere la posibilidad de usar los siguientes servicios de identidad y acceso de Microsoft Entra si está interesado en aplicar los principios del área de diseño de seguridad a los entornos de Azure existentes:
- Use los 10 mejores procedimientos recomendados de seguridad de Azure de Microsoft. En esta guía se resumen las instrucciones probadas en el campo de los arquitectos de soluciones en la nube (CA) de Microsoft, así como de los asociados de Microsoft.
- Implemente la sincronización en la nube de Microsoft Entra Connect para proporcionar a los usuarios de Active Directory Domain Services (AD DS) el inicio de sesión único (SSO) seguro en las aplicaciones respaldadas por Microsoft Entra ID. Una ventaja adicional de configurar la identidad híbrida es que puedes aplicar la autenticación multifactor (MFA) de Microsoft Entra y la protección con contraseña de Microsoft Entra para proteger aún más estas identidades
- Considere el acceso condicional de Microsoft Entra para proporcionar autenticación segura a las aplicaciones en la nube y los recursos de Azure.
- Implemente Privileged Identity Management de Microsoft Entra para garantizar el acceso con privilegios mínimos y la creación de informes profundos en todo el entorno de Azure. Los equipos deben comenzar las revisiones de acceso periódicas para garantizar que las personas y los principios de servicio adecuados tengan niveles de autorización actuales y correctos.
- Use las recomendaciones, las alertas y las funcionalidades de corrección de Microsoft Defender for Cloud. El equipo de seguridad también puede integrar Microsoft Defender for Cloud en Microsoft Sentinel si necesitan una solución híbrida, administrada centralmente y de administración de eventos de información de seguridad multinube (SIEM)/Orquestación y respuesta de seguridad (SOAR).
El repositorio Azure Landing Zones Bicep - Deployment Flow contiene una serie de plantillas de implementación de Bicep que pueden acelerar las implementaciones de zona de aterrizaje greenfield y brownfield de Azure. Estas plantillas ya tienen una guía de seguridad probada de Microsoft integrada en ellas.
Para obtener más información sobre cómo trabajar en entornos de nube de brownfield, consulte Consideraciones sobre el entorno brownfield.
Pruebas comparativas de seguridad de Microsoft Cloud
Microsoft Cloud Security Benchmark incluye recomendaciones de seguridad de gran impacto para ayudar a proteger la mayoría de los servicios que usa en Azure. Puede considerar estas recomendaciones como generales u organizativas, ya que son aplicables a la mayoría de los servicios de Azure. Las recomendaciones de Microsoft Cloud Security Benchmark se personalizan para cada servicio de Azure. Esta guía personalizada se incluye en los artículos de recomendaciones de servicio.
La documentación de Microsoft Cloud Security Benchmark especifica recomendaciones de servicios y controles de seguridad.
- Controles de seguridad: las recomendaciones de Microsoft Cloud Security Benchmark se clasifican por controles de seguridad. Los controles de seguridad representan requisitos de seguridad independientes del proveedor de alto nivel, como la seguridad de red y la protección de datos. Cada control de seguridad tiene un conjunto de recomendaciones de seguridad e instrucciones que le ayudan a implementar esas recomendaciones.
- Recomendaciones de servicio: cuando estén disponibles, las recomendaciones de puntos de referencia de los servicios de Azure incluirán recomendaciones de Microsoft Cloud Security Benchmark exclusivas para el servicio en concreto.
Azure Attestation
Azure Attestation es una herramienta que puede ayudarte a garantizar la seguridad e integridad de la plataforma y los archivos binarios que se ejecutan dentro de ella. Es especialmente útil para empresas que requieran recursos de proceso muy escalables y una confianza absoluta, con la capacidad de atestación remota.
Consideraciones sobre el diseño de seguridad
Una organización debe tener visibilidad sobre lo que está ocurriendo dentro de su patrimonio tecnológico en la nube. La supervisión de seguridad y el registro de auditoría de los servicios de la plataforma Azure es un componente clave de un marco escalable.
Consideraciones de diseño de operaciones de seguridad
| Ámbito | Context |
|---|---|
| Alertas de seguridad | - ¿Qué equipos requieren notificaciones de alertas de seguridad? - ¿Hay grupos de servicios que requieren el enrutamiento de alertas a distintos equipos? - Requisitos empresariales de supervisión y alertas en tiempo real. - Información de seguridad y administración de eventos con Microsoft Defender for Cloud y Microsoft Sentinel. |
| Registros de seguridad | - Períodos de retención de datos para los datos de auditoría. Los informes P1 o P2 de Microsoft Entra ID tienen un período de retención de 30 días. - Archivado a largo plazo de registros como los registros de actividad de Azure, de máquina virtual y de plataforma como servicio (PaaS). |
| Controles de seguridad | - Base de referencia de configuración de la seguridad mediante una directiva de máquina virtual invitada de Azure. - Tenga en cuenta cómo se alinearán los controles de seguridad con los barreras de gobernanza. |
| Administración de vulnerabilidades | - Revisión de emergencia de los puntos vulnerables críticos. - Revisión de las máquinas virtuales desconectadas durante largos períodos de tiempo. - Evaluación de los puntos vulnerables de las máquinas virtuales. |
| Responsabilidad compartida | - ¿Dónde están las entregas de las responsabilidades del equipo? Estas responsabilidades deben tenerse en cuenta al supervisar o responder a eventos de seguridad. - Tenga en cuenta las instrucciones de metodología segura para las operaciones de seguridad. |
| Cifrado y claves | - ¿Quién requiere acceso a las claves del entorno? - ¿Quién será responsable de administrar las claves? - Explore aún más el cifrado y las claves. |
| Atestación | - ¿Vas a usar el inicio seguro para las VM y necesitas la atestación de la integridad de toda la cadena de arranque de la máquina virtual (UEFI, sistema operativo, sistema operativo y controladores)? - ¿Deseas aprovechar el cifrado de disco confidencial para las VM confidenciales? - ¿Las cargas de trabajo requieren atestación de que se ejecutan dentro de un entorno de confianza? |
Recomendaciones de diseño de operaciones de seguridad
Use las capacidades de informe de Microsoft Entra ID para generar informes de auditoría de control de acceso.
Exporte los registros de actividad de Azure a los registros de Azure Monitor para la retención de datos a largo plazo. Exporte a Azure Storage para el almacenamiento a más allá de dos años, si es necesario.
Habilite Defender for Cloud estándar para todas las suscripciones y use Azure Policy para garantizar el cumplimiento.
Supervise el desfase de revisiones del sistema operativo base mediante los registros de Azure Monitor y Microsoft Defender for Cloud.
Use directivas de Azure para implementar automáticamente las configuraciones de software con extensiones de máquina virtual y aplicar una base de referencia de configuración de máquina virtual compatible.
Supervise el desfase en la configuración de seguridad de máquina virtual a través de Azure Policy.
Conecte las configuraciones de los recursos predeterminados a un área de trabajo de Log Analytics de Azure Monitor centralizada.
Use una solución basada en Azure Event Grid para las alertas en tiempo real orientadas a registros.
Usa Azure Attestation para la atestación de:
- Integridad de toda la cadena de arranque de la VM. Para más información, consulta Información general sobre la supervisión de la integridad de arranque.
- Liberación segura de claves de cifrado de disco confidencial para una máquina virtual confidencial. Para más información, consulta Cifrado confidencial del disco del SO.
- Varios tipos de entornos de ejecución de confianza de carga de trabajo. Para más información, consulta Casos de uso.
Consideraciones sobre el diseño del control de acceso
Los límites de seguridad modernos son más complejos que los límites de un centro de datos tradicional. Las cuatro paredes del centro de datos ya no contienen los recursos. Mantener a los usuarios fuera de la red protegida ya no es suficiente para controlar el acceso. En la nube, el perímetro se compone de dos partes: controles de seguridad de red y controles de acceso de confianza cero.
Seguridad de red avanzada
| Ámbito | Context |
|---|---|
| Planeamiento de la conectividad de Internet entrante y saliente | Describe los modelos de conectividad recomendados para las conexiones entrantes y salientes hacia la red pública de Internet. |
| Planeamiento de la segmentación de la red de zona de aterrizaje | Explora las principales recomendaciones para ofrecer una segmentación muy segura de la red interna dentro de una zona de aterrizaje. Estas recomendaciones impulsan la implementación de la red de confianza cero. |
| Definición de los requisitos de cifrado de red | Explora las recomendaciones clave para lograr el cifrado de red entre el entorno local y Azure, así como entre regiones de Azure. |
| Planeamiento de la inspección del tráfico | Explora las principales consideraciones y los enfoques recomendados para el reflejo o la transmisión del tráfico en Azure Virtual Network. |
Confianza cero
Para acceso de Confianza cero con identidades, debe tener en cuenta lo siguiente:
- ¿Qué equipos o individuos requieren acceso a los servicios dentro de la zona de aterrizaje? ¿Qué roles están haciendo?
- ¿Quién debe autorizar las solicitudes de acceso?
- ¿Quién debe recibir las notificaciones cuando se activan roles con privilegios?
- ¿Quién debe tener acceso al historial de auditoría?
Para obtener más información, consulte Microsoft Enters Privileged Identity Management.
La implementación de Confianza cero puede ir más allá de la administración de identidades y acceso. Debe tener en cuenta si su organización debe implementar prácticas de Confianza cero en varios pilares, como la infraestructura, los datos y las redes. Para obtener más información, consulte Incorporación de procedimientos de Confianza cero en la zona de aterrizaje
Recomendaciones de diseño de control de acceso
En el contexto de sus requisitos subyacentes, realice un examen conjunto de cada servicio necesario. Si quiere emplear sus propias claves, es posible que no se admita en todos los servicios considerados. Implemente la mitigación pertinente para que las incoherencias no impidan los resultados deseados. Elija los pares de regiones adecuados y las regiones de recuperación ante desastres que minimicen la latencia.
Desarrolle un plan de lista de permitidos de seguridad para evaluar servicios como la configuración de seguridad, la supervisión y las alertas. A continuación, cree un plan para integrarlos con los sistemas existentes.
Determine el plan de respuesta a incidentes para los servicios de Azure antes de moverlo en producción.
Alinee sus requisitos de seguridad con las hojas de ruta de la plataforma Azure para mantenerse al día con los controles de seguridad publicados recientemente.
Implemente un enfoque de confianza cero para el acceso a la plataforma Azure, cuando sea necesario.
Seguridad en el acelerador de la zona de aterrizaje de Azure
La seguridad está en el núcleo del acelerador de la zona de aterrizaje de Azure. Como parte de la implementación, se implementan muchas herramientas y controles para ayudar a las organizaciones a lograr rápidamente una línea de base de seguridad.
Por ejemplo, se incluyen los siguientes elementos:
Herramientas:
- Nivel estándar o libre de Microsoft Defender for Cloud
- Microsoft Sentinel
- Protección de red contra DDoS de Azure (opcional)
- Azure Firewall
- Firewall de aplicaciones web (WAF)
- Privileged Identity Management (PIM)
Directivas para zonas de aterrizaje conectadas a la empresa y en línea:
- Aplicación del acceso seguro, como HTTPS, a las cuentas de almacenamiento
- Aplicación de la auditoría de Azure SQL Database
- Aplicación del cifrado para Azure SQL Database
- Impedir el reenvío de direcciones IP
- Impedir el RDP entrante desde Internet
- Asegurarse de que las subredes están asociadas a NSG
Pasos siguientes
Descubra cómo proteger el acceso con privilegios para las implementaciones híbridas y en la nube en Microsoft Entra ID.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de