Procedimientos recomendados de seguridad de AzureAzure security best practices

Estos son los principales procedimientos recomendados de seguridad que aconseja Microsoft a partir de las lecciones aprendidas de clientes y de nuestros propios entornos.These are the top Azure security best practices that Microsoft recommends based on lessons learned across customers and our own environments.

Puede ver una presentación en vídeo de estos procedimientos recomendados en la Comunidad tecnológica de Microsoft.You can view a video presentation of these best practices in the Microsoft Tech Community.

1. Personas: Formación del equipo sobre el recorrido de seguridad de la nube1. People: Educate teams about the cloud security journey

El equipo debe comprender el recorrido que van a realizar.The team needs to understand the journey they're on.

Qué: instruya a sus equipos de seguridad y de TI sobre el recorrido de seguridad de la nube y los cambios a los que se enfrentarán, entre los cuales cabe destacar:What: Educate your security and IT teams on the cloud security journey and the changes they will be navigating including:

  • Cambios en las amenazas en la nubeChanges to threats in the cloud
  • Modelo de responsabilidad compartida y cómo afecta este a la seguridadShared responsibility model and how it impacts security
  • Cambios culturales y en los roles y responsabilidades que normalmente acompañan a la adopción de la nubeCultural and role/responsibility changes that typically accompany cloud adoption

Por qué: el paso a la nube es un cambio significativo que requiere un cambio en la mentalidad y en el enfoque de seguridad.Why: Moving to the cloud is a significant change that requires a shift in mindset and approach for security. Aunque los resultados que proporciona la seguridad a la organización serán los mismos, la mejor manera de obtenerlos en la nube sí cambiará y, en ocasiones, significativamente.While the outcomes security provides to the organization won't change, the best way to accomplish this in the cloud often changes, sometimes significantly.

En muchos sentidos, el cambio a la nube es parecido a mudarse de una casa independiente a un edificio de apartamentos de lujo de muchas plantas.In many ways, moving to the cloud is similar to moving from a standalone house into a high-rise luxury apartment building. La infraestructura básica seguirá siendo la misma (fontanería, electricidad, etc.) y realizará actividades similares (socializar, cocinar, ver la tele, navegar por Internet, etc.), pero a menudo hay grandes diferencias en lo que incluye el edificio (gimnasio, restaurantes, etc.), quién proporciona esos servicios y quién se encarga de su mantenimiento, y en sus rutinas diarias.You still have basic infrastructure (plumbing, electricity, etc.) and perform similar activities (socializing, cooking, TV and Internet, etc.) but there often quite a difference in what comes with the building (gym, restaurants, etc.), who provides and maintains them, and your daily routine.

Quién: todos los miembros de los equipos de seguridad y de TI de la organización con responsabilidades en materia de seguridad deben estar familiarizados con este contexto y los cambios (desde el Director tecnológico o el de seguridad de la información a los técnicos).Who: Everyone in the security and IT organization with any security responsibilities should be familiar with this context and the changes (from CIO/CISO to technical practitioners).

Cómo: proporcione a los equipos el contexto necesario para implementar y operar correctamente durante la transición al entorno de nube.How: Provide teams with the context required to successfully deploy and operate during the transition to the cloud environment.

Microsoft ha publicado las lecciones que han aprendido nuestros clientes y nuestra propia organización de TI en sus recorridos a la nube:Microsoft has published lessons learned by our customers and our own IT organization on their journeys to the cloud:

Consulte también la prueba comparativa de seguridad de Azure GS-3: Alineación de los roles y responsabilidades de la organización.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities.

2. Personas: Formación del equipo en tecnología de seguridad de la nube2. People: Educate teams on cloud security technology

Los miembros del equipo deben comprender cuáles son los objetivos.People need to understand where they're going.

Qué: asegúrese de que los equipos dispongan de un tiempo reservado para la formación técnica sobre la protección de recursos de la nube que incluya:What: Ensure your teams have time set aside for technical education on securing cloud resources including:

  • Tecnología de la nube y tecnología de seguridad de la nubeCloud technology and cloud security technology
  • Configuraciones y procedimientos recomendadosRecommended configurations and best practices
  • Dónde obtener más información técnica si es necesarioWhere to learn more technical details as needed

Por qué: los equipos necesitan tener acceso a la información técnica para tomar decisiones de seguridad bien fundamentadas.Why: Technical teams need access to technical information to make sound informed security decisions. Los equipos técnicos son buenos en el aprendizaje de nuevas tecnologías en el trabajo, pero la gran cantidad de información sobre la nube suele sobrecargar su capacidad a la hora de incorporar la formación a sus rutinas diarias.Technical teams are good at learning new technologies on the job, but the volume of details in the cloud often overwhelms their ability to fit learning into their daily routine.

Estructurar un tiempo dedicado para la formación técnica ayuda a garantizar que los miembros del equipo dispongan de tiempo para generar la confianza en su capacidad de evaluar la seguridad de la nube y reflexionar sobre cómo adaptar sus habilidades y procesos existentes.Structuring dedicated time for technical learning helps ensure people have time to build confidence on their ability to assess cloud security and think through how to adapt their existing skills and processes. Incluso los equipos de operaciones especiales más cualificados del ejército necesitan entrenamiento y formación para conseguir el máximo rendimiento.Even the most talented special operations teams in the military need training and intelligence to perform at their best.

Quién: todos los roles que interactúan directamente con la tecnología de la nube (en los departamentos de seguridad y de TI) deben dedicar un tiempo a la formación técnica sobre plataformas en la nube y su protección.Who: All roles that directly interact with cloud technology (in security and IT departments) should dedicate time for technical learning on cloud platforms and how to secure them.

Además, los administradores técnicos de TI y de seguridad (y, a menudo, los jefes de proyectos) deben estar familiarizados con algunos detalles técnicos para proteger los recursos en la nube (ya que esto les permitirá liderar y coordinar iniciativas en la nube de forma más eficaz).Additionally security and IT technical managers (and often project managers) should develop familiarity with some technical details for securing cloud resources (as this will help them more effectively lead and coordinate cloud initiatives).

Cómo: asegúrese de que los profesionales técnicos de la seguridad dispongan de un tiempo reservado para realizar un aprendizaje autodirigido sobre protección de los recursos de la nube.How: Ensure that technical professionals in security have time set aside for self-paced training on how to secure cloud assets. A pesar de que no siempre es factible, lo ideal sería permitir el acceso a un aprendizaje formal con un instructor experimentado y laboratorios prácticos.While not always feasible, ideally provide access to formal training with an experienced instructor and hands-on labs.

Importante

Los protocolos de identidad son fundamentales para el control de acceso en la nube pero no suelen tener la misma prioridad en la seguridad local. Por ello, los equipos de seguridad deben centrarse en desarrollar una familiaridad con estos protocolos y registros.Identity protocols are critical to access control in the cloud but often not prioritized in on-premises security, so security teams should ensure to focus on developing familiarity with these protocols and logs.

Microsoft ofrece gran cantidad de recursos para ayudar a los profesionales técnicos a mejorar su competencia en relación con la protección de recursos de Azure y los informes sobre cumplimiento:Microsoft provides extensive resources to help technical professionals ramp up on securing Azure resources and report compliance:

Consulte también la prueba comparativa de seguridad de Azure GS-3: Alineación de los roles y responsabilidades de la organizaciónAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

3. Proceso: Asignación de responsabilidades por las decisiones de seguridad en la nube3. Process: Assign accountability for cloud security decisions

Si no se asigna la responsabilidad de tomar las decisiones de seguridad, estas no se llevarán a cabo.If nobody is accountable for making security decisions, they won't get made.

Qué: designe quién es el responsable de tomar cada tipo de decisión de seguridad para el entorno empresarial de Azure.What: Designate who is responsible for making each type of security decision for the enterprise Azure environment.

Por qué: definir claramente quién es el encargado de tomar cada decisión de seguridad acelera la adopción de la nube y aumenta la seguridad.Why: Clear ownership of security decisions speeds up cloud adoption and increases security. Por el contrario, no disponer de esta definición clara genera normalmente fricciones ya que nadie se siente capacitado para tomar decisiones, nadie sabe a quién preguntar por una decisión y nadie tiene el incentivo de investigar para tomar una decisión bien fundamentada.Lack of typically creates friction because nobody feels empowered to make decisions, nobody knows who to ask for a decision, and nobody is incentivized to research a well-informed decision. Estas fricciones suelen impedir la consecución de los objetivos empresariales, las escalas de tiempo de los desarrolladores, los objetivos de TI y las garantías de seguridad, lo que da lugar a:This friction frequently impedes business goals, developer timelines, IT goals, and security assurances, resulting in:

  • Proyectos estancados a la espera de la aprobación de seguridadStalled projects that are waiting for security approval
  • Implementaciones no seguras que no pudieron esperar la aprobación de seguridadInsecure deployments that couldn't wait for security approval

Quién: la dirección del departamento de seguridad designa qué equipos o personas son los responsables de tomar decisiones de seguridad sobre la nube.Who: Security leadership designates which teams or individuals are accountable for making security decisions about the cloud.

Cómo: designe los grupos (o personas individuales) que serán responsables de tomar estas decisiones clave de seguridad.How: Designate groups (or individuals) that will be responsible for making key security decisions.

Registre la información sobre estos responsables, principalmente su información de contacto, y comparta esta información con los equipos de seguridad, TI y de la nube para garantizar que puedan ponerse en contacto con ellos con facilidad.Document these owners, their contact information, and socialize this widely within the security, IT, and cloud teams to ensure it's easy for all roles to contact them.

Estas son las áreas típicas en las que se necesitan decisiones de seguridad, descripciones sobre estas y qué equipos suelen tomarlas.These are the typical areas where security decisions are needed, descriptions, and which teams typically make the decisions.

DecisiónDecision DescripciónDescription Equipo habitualTypical Team
Seguridad de redesNetwork Security Configuración y mantenimiento de Azure Firewall, aplicaciones virtuales de red (y el enrutamiento asociado), firewalls de aplicaciones web (WAF), grupos de seguridad de red (NSG), grupos de seguridad de aplicaciones (ASG), etc.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc. Normalmente, el equipo de Infraestructura y seguridad de los puntos de conexión es el que se centra en la seguridad de la redTypically Infrastructure and endpoint security team focused on network security
Administración de redNetwork Management Asignación de subred y red virtual en toda la empresaEnterprise-wide virtual network and subnet allocation Normalmente, el equipo de operaciones de red existente en el departamento de Operaciones de TI centralTypically existing network operations team in Central IT Operations
Seguridad de los puntos de conexión de servidorServer Endpoint Security Supervisión y corrección de la seguridad del servidor (aplicación de revisiones, configuración, seguridad de los puntos de conexión, etc.)Monitor and remediate server security (patching, configuration, endpoint security, etc.) Normalmente, los equipos de Operaciones de TI central e Infraestructura y seguridad de los puntos de conexión de forma conjuntaTypically Central IT Operations and Infrastructure and endpoint security teams jointly
Supervisión de incidentes y respuestaIncident Monitoring and Response Análisis y corrección de incidentes de seguridad en SIEM o en la consola de origen (Azure Security Center, Azure AD Identity Protection, etc.)Investigate and remediate security incidents in SIEM or source console (Azure Security Center, Azure AD Identity Protection, etc.) Normalmente, el equipo de operaciones de seguridad .Typically security operations team
Administración de directivasPolicy Management Establecimiento de la dirección de uso del control de acceso basado en rol de Azure (RBAC de Azure), Azure Security Center, la estrategia de protección del administrador y Azure Policy para gobernar los recursos de AzureSet direction for use of Azure role-based access control (Azure RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources Normalmente, los equipos de Directivas y estándares + Arquitectura de seguridad de forma conjuntaTypically Policy and Standards + Security Architecture Teams jointly
Seguridad y estándares de identidadIdentity Security and Standards Establecimiento de la directiva sobre los directorios de Azure AD, el uso de PIM/PAM, la autenticación multifactor, la configuración de sincronización y contraseñas, o los estándares de identidad de la aplicaciónSet direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards Normalmente, los equipos de Administración de identidades y claves + Directivas y estándares + Arquitectura de seguridad de forma conjuntaTypically Identity and Key Management + Policy and Standards + Security Architecture Teams jointly

Nota

  • Asegúrese de que los responsables de la toma de decisiones tengan la formación adecuada en su área de la nube para respaldar esta responsabilidad.Ensure decision makers have the appropriate education in their area of the cloud to accompany this responsibility.
  • Asegúrese de que las decisiones se documentan mediante directivas y estándares para proporcionar un registro y que sirva de guía a la organización a largo plazo.Ensure decisions are documented in policy and standards to provide a record and guide the organization over the long term.

Consulte también la prueba comparativa de seguridad de Azure GS-3: Alineación de los roles y responsabilidades de la organizaciónAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

4. Proceso: Actualización de los procesos de respuesta a incidentes para la nube4. Process: Update incident response processes for cloud

No hay tiempo para planear una crisis durante una crisis.You don't have time to plan for a crisis during a crisis.

Qué: actualice los procesos y prepare a los analistas para que den respuesta a los incidentes de seguridad en su plataforma en la nube de Azure (incluidas las herramientas de detección de amenazas nativas que haya adoptado).What: Update processes and prepare analysts to for responding to security incidents on your Azure cloud platform (including any native threat detection tools you have adopted). Actualice los procesos, prepare a su equipo y practique con ataques simulados para que puedan alcanzar su mejor rendimiento durante la investigación y corrección de incidentes, y la detección de amenazas.Update processes, prepare your team, and practice with simulated attacks so they can perform at their best during incident investigation, remediation, and threat hunting.

Por qué: los atacantes activos suponen un riesgo inmediato para la organización que puede convertirse en una situación difícil de controlar, por lo que debe responder rápidamente a los ataques.Why: Active attackers present an immediate risk to the organization that can quickly become a difficult to control situation, so you must rapidly effectively respond to attacks. Este proceso de respuesta a incidentes debe ser efectivo para todo el patrimonio digital, incluidas todas las plataformas en la nube que hospedan datos empresariales, sistemas y cuentas.This incident response (IR) process must be effective for your entire estate including all cloud platforms hosting enterprise data, systems, and accounts.

Aunque tiene cierta similitud, las plataformas en la nube presentan diferencias técnicas importantes con respecto a los sistemas locales que pueden interrumpir los procesos existentes, normalmente porque la información está disponible en un formato diferente.While similar in many ways, cloud platforms have important technical difference from on-premises systems that can break existing processes, typically because information is available in a different form. Los analistas de seguridad también pueden tener dificultades a la hora de dar una respuesta rápida en un entorno desconocido que puede ralentizarlos (especialmente si están entrenados únicamente en arquitecturas locales clásicas y enfoques de análisis forense de redes o discos).Security analysts may also have challenges rapidly responding to an unfamiliar environment that can slow them down (especially if they are trained only on classic on-premises architectures and network/disk forensics approaches).

Quién: normalmente, la modernización de los procesos de IR la dirige el equipo de Operaciones de seguridad con la ayuda de los conocimientos y la experiencia de otros equipos.Who: Modernizing the IR processes is typically led by Security Operations with support from other groups for knowledge and expertise.

  • Patrocinio: este proceso de modernización suele estar patrocinado por el director de Operaciones de seguridad o equivalente.Sponsorship: This process modernization is typically sponsored by the Security Operations director or equivalent.

  • Ejecución: la adaptación de los procesos existentes (o escribirlos por primera vez) es un esfuerzo colaborativo en el que interviene:Execution: Adapting existing processes (or writing them for the first time) is a collaborative effort involving:

    • El equipo de administración de incidentes o la dirección de Operaciones de seguridad dirige las actualizaciones de los procesos y la integración de las principales partes interesadas externas entre las que se incluyen el equipo legal y el de comunicaciones o relaciones públicasSecurity Operations incident management team or leadership –leads updates to process and integration of key external stakeholders including legal and communications/public relations teams
    • Los analistas de seguridad del equipo de Operaciones de seguridad proporcionan experiencia en la investigación y evaluación de prioridades de los incidentes técnicosSecurity Operations security analysts – provide expertise on technical incident investigation and triage
    • El equipo de Operaciones de TI central proporciona experiencia en la plataforma en la nube (directamente, a través del centro de excelencia en la nube, o mediante consultores externos)Central IT Operations - Provides expertise on cloud platform (directly, via cloud center of excellence, or via external consultants)

Cómo: actualice los procesos y prepare a su equipo para que sepan qué hacer si detectan un atacante activo.How: Update processes and prepare your team so they know what to do when they find an active attacker.

  • Procesos y cuadernos de estrategias: adapte los procesos existentes de investigación, corrección y búsqueda de amenazas a las diferencias de funcionamiento de las plataformas en la nube: nuevas (o diferentes) herramientas, orígenes de datos, protocolos de identidad, etc.Processes and Playbooks: Adapt existing investigations, remediation, and threat hunting processes to the differences of how cloud platforms work (new/different tools, data sources, identity protocols, etc.).

  • Educación: instruya a los analistas sobre la transformación de la nube en general, los detalles técnicos de cómo funciona la plataforma y los procesos nuevos o actualizados para que sepan qué será diferente y dónde acudir en caso de necesidad.Education: Educate analysts on the overall cloud transformation, technical details of how the platform works, and new/updated processes so that they know what will be different and where to go for what they need.

Áreas de enfoque principales: aunque hay más información en los vínculos de recursos, estas son las áreas principales en las que se deben centrar los esfuerzos de formación y planeación:Key Focus Areas: While there are many details described in the resource links, these are key areas to focus your education and planning efforts:

  • Modelo de responsabilidad compartida y arquitecturas de la nube: Para un analista de seguridad, Azure es un centro de datos definido por software que proporciona muchos servicios como el de máquinas virtuales (que resultan conocidos) y otros que son muy diferentes a los del entorno local, como Azure SQL, Azure Functions, etc., donde los mejores datos se encuentran en los registros del servicio o en los servicios especializados de detección de amenazas, en lugar de en los registros de las máquinas virtuales o el sistema operativo subyacente (que está dirigido por Microsoft y clientes de servicios múltiples).Shared responsibility model and cloud architectures: To a security analyst, Azure is a software defined datacenter that provides many services including VMs (familiar) and others that are very different from on-premises such as Azure SQL Azure Functions, etc. where the best data is in the service logs or the specialized threat detection services rather than in logs for the underlying OS/VMs (which are operated by Microsoft and service multiple customers). Los analistas deben comprender e integrar este contexto en sus flujos de trabajo diarios para conocer qué datos se deben esperar, dónde obtenerlos y en qué formato se encontrarán.Analysts need to understand and integrate this context into their daily workflows so they know what data to expect, where to get it, and what format it will be in.
  • Orígenes de datos de puntos de conexión: la obtención de información y datos de ataques y malware en servidores hospedados en la nube es a menudo más rápida, fácil y precisa con herramientas de detección nativas de la nube, como Azure Security Center y los sistemas EDR, en comparación con los enfoques tradicionales de acceso directo a disco.Endpoint data sources: Getting insights and data for attacks and malware on cloud hosted servers is often faster, easier, and more accurate with native cloud detection tools like Azure Security Center and EDR systems as opposed to traditional approaches of direct disk access. Aunque los métodos de análisis forense de acceso directo a disco están disponibles para aquellos escenarios en los que son posibles y obligatorios para los procedimientos legales (Análisis forense de equipos en Azure), constituyen a menudo el método más ineficaz de detección e investigación de ataques.While direct disk forensics are available for scenarios where it is possible and required for legal proceedings (Computer forensics in Azure), this is often the most inefficient way to detect and investigate attacks.
  • Orígenes de datos de redes e identidades: muchas funciones de las plataformas en la nube usan principalmente la identidad para el control de acceso como, por ejemplo, el acceso a Azure Portal (aunque los controles de acceso a la red también se usan ampliamente).Network and Identity data sources: Many functions of cloud platforms primarily use identity primarily for access control such as access to the Azure portal (though network access controls are used extensively as well). Esto requiere que los analistas desarrollen una comprensión de los protocolos de identidad en la nube para obtener una imagen completa y enriquecida de la actividad de los atacantes (y las actividades de los usuarios legítimos) para respaldar la investigación y la corrección de incidentes.This requires analysts to develop an understanding of cloud identity protocols to get a full, rich, picture of attacker activity (and legitimate user activity) to support incident investigation and remediation. Los directorios y protocolos de identidad son también diferentes a los del entorno local ya que, normalmente, se basan en directorios SAML, OAuth, OIDC y en la nube en lugar de LDAP, Kerberos, NTLM y Active Directory que son los que se encuentran habitualmente en el entorno local.Identity directories and protocols are also different from on-premises as they are typically based on SAML, OAuth, and OIDC and Cloud directories rather than LDAP, Kerberos, NTLM, and Active Directory that are commonly found on-premises.
  • Ejercicios prácticos: los ataques y respuestas simulados pueden ayudar a mejorar la memoria organizativa y la preparación técnica de los analistas de seguridad, buscadores de amenazas, administradores de incidentes y otras partes interesadas de la organización.Practice exercises: Simulated attacks and response can help build organizational muscle memory and technical readiness for your security analysts, threat hunters, incident managers, and other stakeholders in your organization. El aprendizaje sobre la marcha y la adaptación son parte natural de la respuesta ante incidentes, sin embargo debe esforzarse por reducir al mínimo este aprendizaje durante una crisis.Learning on the job and adapting is a natural part of incident response, but you should work to minimize how much you have to learn in a crisis.

Recursos clave:Key Resources:

Consulte también las pruebas comparativas de seguridad de Azure IR-1: Preparación: Actualización del proceso de respuesta a incidentes para Azure.Also see the Azure Security Benchmark IR-1: Preparation – update incident response process for Azure.

5. Proceso: Establecimiento de la administración de la posición de seguridad en la nube5. Process: Establish security posture management

En primer lugar, conócete a ti mismo.First, know thyself.

Qué: asegúrese de que está administrando activamente la posición de seguridad de su entorno de Azure mediante:What: Ensure that you are actively managing the security posture of your Azure environment by:

  • Asignación clara de responsabilidades a la hora deAssigning clear ownership of responsibilities for
    • Supervisar la posición de seguridadMonitoring security posture
    • Mitigar los riesgos para los recursosMitigating risks to assets
  • Automatización y simplificación de estas tareasAutomating and simplifying these tasks

Por qué: la rápida identificación y corrección de los riesgos de protección de seguridad comunes reduce de forma considerable el riesgo para la organización.Why: Rapidly identifying and remediating common security hygiene risks significantly reduces organizational risk.

La naturaleza definida por software de los centros de datos en la nube permite la supervisión continua de los riesgos para la seguridad (vulnerabilidades del software, errores de la configuración de seguridad, etc.) con una amplia instrumentación de los recursos.The software defined nature of cloud datacenters enables continuous monitoring of security risk (software vulnerabilities, security misconfigurations, etc.) with extensive asset instrumentation. La velocidad a la que los desarrolladores y el equipo de TI pueden implementar máquinas virtuales, bases de datos y otros recursos también crea la necesidad de asegurarse de que los recursos estén configurados de forma segura y de que se supervisan activamente.The speed at which developers and IT team can deploy VMs, databases, and other resources also create a need to ensure resources are configured securely and actively monitored.

Estas nuevas funcionalidades ofrecen nuevas posibilidades, pero para obtener valor de ellas es necesario asignar la responsabilidad de su uso.These new capabilities offer new possibilities, but realizing value from them requires assigning responsibility for using them. La ejecución coherente de las operaciones de la nube en constante evolución requiere también mantener los procesos humanos lo más simples y automatizados posible.Executing consistently on with rapidly evolving cloud operations also requires keeping human processes as simple and automated as possible. Consulte el principio de seguridad "Impulso de la simplificación".See the "Drive Simplicity" security principle.

Nota

El objetivo de la simplificación y la automatización no consiste en deshacerse de los trabajos, sino en quitar a las personas la carga que suponen las tareas repetitivas para que puedan centrarse en actividades humanas de mayor valor, como la interacción con los equipos de TI y DevOps, y la instrucción de estos.The goal of simplification and automation isn't about getting rid of jobs, but about removing the burden of repetitive tasks from people so they can focus on higher value human activities like engaging with and educating IT and DevOps teams.

Quién: esto se divide normalmente en dos conjuntos de responsabilidades:Who: This is typically divided into two sets of responsibilities:

  • Administración de la posición de seguridad : esta función reciente suele ser una evolución de las funciones ya existentes de administración de vulnerabilidades o de gobernanza.Security posture management – This newer function is often an evolution of existing vulnerability management or governance functions. Esto incluye la supervisión de la posición de seguridad general mediante la puntuación de seguridad de Azure Security Center y otros orígenes de datos, la colaboración activa con los propietarios de los recursos para mitigar los riesgos y el informe sobre los riesgos para la dirección del equipo de seguridad.This includes monitoring overall security posture using Azure Security Center Secure Score and other data sources, actively working with resource owners to mitigate risks, and reporting risk to security leadership.

  • Corrección de seguridad: asigne la responsabilidad de hacer frente a estos riesgos a los equipos responsables de administrar esos recursos.Security remediation: Assign accountability for addressing these risks to the teams responsible for managing those resources. Estos equipos pueden ser los equipos de DevOps que administran sus propios recursos de aplicaciones o los equipos de tecnologías específicas del departamento de Operaciones de TI central :This should either the DevOps teams managing their own application resources or the technology-specific teams in Central IT Operations:

    • Recursos de procesos y aplicaciones:Compute and Apps Resources:
      • App Services: equipos de desarrollo de aplicaciones y seguridadApp Services - Application Development/Security Team(s)
      • Contenedores: equipos de desarrollo de aplicaciones y operaciones de infraestructura o TIContainers - Application Development and/or Infrastructure/IT Operations
      • Máquinas virtuales, conjuntos de escalado y proceso: equipos de operaciones de TI y de infraestructuraVMs/Scale sets/compute - IT/Infrastructure Operations
    • Recursos de datos y almacenamiento:Data & Storage Resources:
      • SQL/Redis/Data Lake Analytics/Data Lake Store: equipo de bases de datosSQL/Redis/Data Lake Analytics/Data Lake Store - Database Team
      • Cuentas de almacenamiento: equipo de almacenamiento e infraestructuraStorage Accounts - Storage/Infrastructure Team
    • Identificación y acceso a los recursos:Identity and Access Resources:
      • Suscripciones: equipos de identidadSubscriptions - Identity Team(s)
      • Key Vault: equipos de identidades o de seguridad de la información y los datosKey Vault – Identity or Information/Data Security Team
    • Recursos de redes: equipo de seguridad de la redNetworking Resources - Network Security Team
    • Seguridad de IoT: equipo de operaciones de IoTIoT Security - IoT Operations Team

Cómo: la seguridad es responsabilidad de todos, pero no todo el mundo sabe lo importante que es, qué hacer y cómo hacerlo.How: Security is everyone's job, but not everyone currently knows how important it is, what to do, and how to do it.

  • Haga responsables a los propietarios de los recursos del riesgo de seguridad, al igual que ya lo hace con otros factores de éxito como la disponibilidad, el rendimiento, los costos, etc.Hold resource owners accountable for the security risk just as they are held accountable for availability, performance, cost, and other success factors.
  • Proporcione a los propietarios de los recursos una visión clara de por qué el riesgo de seguridad es importante para sus recursos, qué deben hacer para mitigar los riesgos y cómo realizar la implementación con una pérdida de productividad mínima.Support resource owners with a clear understanding of why security risk matters to their assets, what they should do to mitigate risk, and how to implement it with minimal productivity loss.

Importante

Las explicaciones sobre por qué, qué y cómo proteger los recursos suelen ser similares para los diferentes tipos de recursos y aplicaciones, pero es fundamental relacionarlos con lo que cada equipo ya conoce y de lo que ya se ocupa.The explanations for why, what, and how to secure resources are often similar across different resource types and applications, but it's critical to relate these to what each team already knows and cares about. Los equipos de seguridad deben interactuar con sus colegas de TI y DevOps como asesores y asociados de confianza centrados en permitir que estos equipos funcionen correctamente.Security teams should engage with their IT and DevOps counterparts as a trusted advisor and partner focused on enabling these teams to be successful.

Herramientas: La puntuación segura de Azure Security Center proporciona una evaluación de la información de seguridad más importante de Azure para una amplia variedad de recursos.Tooling: Secure Score in Azure Security Center provides an assessment of the most important security information in Azure for a wide variety of assets. Este debe ser el punto de partida en la administración de la posición y se puede complementar con directivas de Azure personalizadas y otros mecanismos según sea necesario.This should be your starting point on posture management and can be supplemented with custom Azure policies and other mechanisms as needed.

Frecuencia: Establezca una cadencia regular (normalmente mensual) para revisar la puntuación segura de Azure y planear iniciativas con objetivos de mejora específicos.Frequency: Set up a regular cadence (typically monthly) to review Azure secure score and plan initiatives with specific improvement goals. La frecuencia se puede aumentar según sea necesario.The frequency can be increased as needed.

Sugerencia

Ludifique la actividad si es posible para aumentar el compromiso, con actividades como la creación de divertidas competiciones y premios para el equipo de DevOps que les permitan mejorar su puntuación al máximo.Gamify the activity if possible to increase engagement, such as creating fun competitions and prizes for the DevOps teams that improve their score the most.

Consulte también la prueba comparativa de seguridad de Azure GS-2: Definición de la estrategia de administración de la posición de seguridad.Also see the Azure Security Benchmark GS-2: Define security posture management strategy.

6. Tecnología: Requerir autenticación sin contraseña o multifactor6. Technology: Require Passwordless or Multi-Factor Authentication (MFA)

¿Pondrías la mano en el fuego afirmando en relación con la seguridad de tu empresa que los atacantes no podrán adivinar ni robar la contraseña del administrador?Are you willing to bet the security of your enterprise that professional attackers can't guess or steal your admin's password?

Qué: exija que todos los administradores de impacto crítico usen la autenticación sin contraseña o la autenticación multifactor (MFA).What: Require all critical impact admins to use passwordless or multi-factor authentication (MFA).

Por qué: del mismo modo que las antiguas llaves maestras no servirán para proteger una casa de los ladrones de hoy en día, las contraseñas no pueden proteger las cuentas contra los ataques comunes que se producen en la actualidad.Why: Just as antique skeleton keys won't protect a house against a modern day burglar, passwords cannot protect accounts against common attacks we see today. Los detalles técnicos se describen en Su Contra$eña no importa.Technical details are described in Your Pa$$word doesn't matter.

Aunque la autenticación multifactor fue en su día un pesado paso adicional, los enfoques de acceso sin contraseña de hoy en día mejoran la experiencia de inicio de sesión mediante enfoques biométricos como el reconocimiento facial en Windows Hello y en los dispositivos móviles (en los que no es necesario recordar ni escribir una contraseña).While MFA was once a burdensome extra step, Passwordless approaches today improve the logon experience using biometric approaches like facial recognition in Windows Hello and mobile devices (where you don't have to remember or type a password). Además, los enfoques de confianza cero recuerdan los dispositivos de confianza, lo cual reduce la solicitud de costosas acciones de autenticación multifactor fuera de banda (consulte la frecuencia de inicio de sesión).Additionally, zero trust approaches remember trusted devices, which reduce prompting for annoying out of band MFA actions (see user sign-in frequency).

Quién: las iniciativas de contraseña y autenticación multifactor suelen llevarlas a cabo normalmente los equipos de Administración de identidades y claves y de Arquitectura de seguridad.Who: Password and multi-factor initiative is typically led by Identity and Key Management and/or Security Architecture.

Cómo: implemente la autenticación sin contraseña o la autenticación multifactor, instruya a los administradores sobre cómo usarlas (según sea necesario) y haga que los administradores utilicen las directivas escritas.How: Implement Passwordless or MFA authentication, train administrators on how to use it (as needed), and require admins to follow using written policy. Esto puede lograrse mediante una o varias de estas tecnologías:This can be accomplished by one or more of these technologies:

Nota

Hoy en día es relativamente sencillo que los atacantes logren sortear una autenticación multifactor basada en mensajes de texto, por lo que deberá centrarse en la autenticación sin contraseña o en una autenticación multifactor más sólida.Text Message based MFA is now relatively inexpensive for attackers to bypass, so focus on passwordless & stronger MFA.

Consulte también la prueba comparativa de seguridad de Azure ID-4: Uso de controles con autenticación multifactor sólida para todo el acceso basado en Azure Active Directory.Also see the Azure Security Benchmark ID-4: Use strong authentication controls for all Azure Active Directory based access.

7. Tecnología: Integración del firewall nativo y la seguridad de red7. Technology: Integrate native firewall and network security

Simplifique la protección de los sistemas y los datos frente a ataques de red.Simplify protection of systems and data against network attacks.

Qué: simplifique la estrategia de seguridad de red y el mantenimiento mediante la integración de Azure Firewall, el firewall de aplicaciones web de Azure y las mitigaciones de denegación de servicio distribuido (DDoS) en el enfoque de seguridad de la red.What: Simplify your network security strategy and maintenance by integrating Azure Firewall, Azure Web App Firewall (WAF), and Distributed Denial of Service (DDoS) mitigations into your network security approach.

Por qué: la simplicidad es fundamental para la seguridad, ya que reduce la probabilidad de confusión, configuraciones erróneas y otros errores humanos.Why: Simplicity is critical to security as it reduces likelihood of risk from confusion, misconfigurations, and other human errors. Consulte el principio de seguridad "Impulso de la simplificación".See the "Drive Simplicity" security principle.

Los firewalls y los firewalls de aplicaciones web son controles de seguridad básicos importantes para proteger las aplicaciones frente a tráfico malintencionado, pero su configuración y mantenimiento pueden ser complejos y consumen una cantidad significativa de tiempo y atención por parte del equipo de seguridad (se parece a la incorporación de repuestos posventa personalizados a un automóvil).Firewalls and WAFs are important basic security controls to protect applications from malicious traffic, but their setup and maintenance can be complex and consume a significant amount of the security team's time and attention (similar to adding custom aftermarket parts to a car). Las funcionalidades nativas de Azure pueden simplificar la implementación y el funcionamiento de los firewalls, firewalls de aplicaciones web, mitigaciones de denegación de servicio distribuido, etc.Azure's native capabilities can simplify implementation and operation of Firewalls, Web Application Firewalls, Distributed Denial of Service (DDoS) mitigations, and more.

Esto permite liberar parte del tiempo y la atención del equipo para dedicarlos a tareas de seguridad de mayor valor, como la evaluación de la seguridad de los servicios de Azure, la automatización de las operaciones de seguridad y la integración de la seguridad con las aplicaciones y soluciones de TI.This can free up your team's time and attention for higher value security tasks like evaluating the security of Azure Services, automating security operations, and integrating security with applications and IT solutions.

Quién:Who:

  • Patrocinio: esta actualización de la estrategia de seguridad de la red suele estar patrocinada por la dirección de los equipos de Seguridad y de TISponsorship: This update of network security strategy is typically sponsored by security leadership and/or IT leadership

  • Ejecución: la integración en su estrategia de seguridad de red en la nube es un esfuerzo colaborativo que involucra:Execution: Integrating these into your cloud network security strategy is a collaborative effort involving:

    • Al equipo de Arquitectura de seguridad para establecer la arquitectura de seguridad de la red en la nube con los responsables de la red en la nube y de la seguridad de esta.Security Architecture - Establish cloud network security architecture with cloud network and cloud network security leads.
    • Responsables de la red en la nube (Operaciones de TI central) + responsables de Seguridad de la red en la nube (equipo de Seguridad de la infraestructura)Cloud network leads (Central IT Operations) + Cloud Network security leads (Infrastructure security Team)
      • Establecimiento de la arquitectura de seguridad de la red en la nube con arquitectos de seguridadEstablish cloud network security architecture with security architects
      • Configuración de firewalls, grupos de seguridad de red y firewalls de aplicaciones web y colaboración con los arquitectos de aplicaciones en las reglas del firewall de aplicaciones webConfigure Firewall, NSG, and WAF capabilities and work with application architects on WAF rules
    • Arquitectos de aplicaciones: trabaje con el equipo de seguridad de la red para crear y adaptar los conjuntos de reglas del firewall de aplicaciones web y las configuraciones de DDoS para proteger la aplicación sin interrumpir la disponibilidadApplication architects: Work with network security to build and refine WAF rulesets and DDoS configurations to protect the application without disrupting availability

Cómo: las organizaciones que buscan simplificar sus operaciones tienen dos opciones:How: Organizations looking to simplify their operations have two options:

  • Ampliar las funcionalidades y arquitecturas existentes: a menudo, muchas organizaciones optan por ampliar el uso de las funcionalidades de firewall existentes para aprovechar las inversiones existentes en la integración de aptitudes y procesos, especialmente cuando adoptan la nube por primera vez.Extend existing capabilities and architectures: Many organizations often choose to extend the use of existing firewall capabilities so they can capitalize on existing investments into skills and process integration, particularly as they first adopt the cloud.
  • Adoptar controles de seguridad nativos: cada vez más organizaciones prefieren usar controles nativos para evitar la complejidad de la integración con funcionalidades de terceros.Embrace native security controls: More and more organizations are starting to prefer using native controls to avoid the complexity of integrating third-party capabilities. Normalmente, estas organizaciones buscan evitar el riesgo de que se produzca una configuración errónea en el equilibrio de carga, las rutas definidas por el usuario, el firewall o firewall de aplicaciones web en sí y el riesgo de retrasos en las entregas entre los diferentes equipos técnicos.These organizations are typically seeking to avoid the risk of a misconfiguration in load balancing, user-defined routes, the firewall/WAF itself, and delays in handoffs between different technical teams. Esta opción es especialmente atractiva para las organizaciones que adoptan enfoques de infraestructura como código, ya que pueden automatizar e instrumentar las funcionalidades integradas más fácilmente que las funcionalidades de terceros.This option is particularly compelling to organizations embracing infrastructure as code approaches as they can automate and instrument the built-in capabilities more easily than third-party capabilities.

Se puede encontrar documentación sobre las funcionalidades de seguridad nativas de Azure en:Documentation on Azure native network security capabilities can be found at:

Azure Marketplace incluye muchos proveedores de firewall de terceros.Azure Marketplace includes many third-party firewall providers.

Consulte también la prueba comparativa de seguridad de Azure NS-4: Protección de las aplicaciones y servicios de ataques de redes externas.Also see the Azure Security Benchmark NS-4: Protect applications and services from external network attacks.

8. Tecnología: Integración de la detección de amenazas nativa8. Technology: Integrate native threat detection

Simplifique la detección y respuesta a los ataques contra los sistemas y datos de Azure.Simplify detection and response of attacks against Azure systems and data.

Qué: simplifique la detección de amenazas y la estrategia de respuesta mediante la incorporación de funcionalidades de detección de amenazas nativas en las operaciones de seguridad y en Administración de eventos e información de seguridad.What: Simplify your threat detection and response strategy by incorporating native threat detection capabilities into your security operations and SIEM.

Por qué: el propósito de las operaciones de seguridad es reducir el impacto de los atacantes activos que acceden al entorno, medido según el tiempo medio de confirmación (MTTA) y de corrección (MTTR) de los incidentes.Why: The purpose of security operations is to reduce the impact of active attackers who get access to the environment, as measured by mean time to acknowledge (MTTA) and remediate (MTTR) incidents. Esto requiere precisión y velocidad en todos los elementos del proceso de respuesta a incidentes, por lo que la calidad de las herramientas y la eficacia de la ejecución del proceso son primordiales.This requires both accuracy and speed in all elements of incident response, so the quality of tools and the efficiency of process execution are paramount.

Es difícil obtener detecciones de amenazas de alto nivel mediante las herramientas y enfoques existentes diseñados para la detección de amenazas en el entorno local debido a las diferencias con la tecnología de la nube y su rápido ritmo de cambio.It's difficult to get high threat detections using existing tools and approaches designed for on-premises threat detection because of differences in cloud technology and its rapid pace of change. Las detecciones integradas de forma nativa proporcionan soluciones a escala industrial mantenidas por los proveedores en la nube que pueden hacer frente a las amenazas y los cambios actuales de la plataforma en la nube.Natively integrated detections provide industrial scale solutions maintained by the cloud providers that can keep up with current threats and cloud platform changes.

Estas soluciones nativas también permiten a los equipos de operaciones de seguridad centrarse en la investigación y la corrección de incidentes en lugar de perder tiempo intentando crear alertas a partir de datos de registro desconocidos, herramientas de integración y tareas de mantenimiento.These native solutions also enable security operations teams to focus on incident investigation and remediation instead of wasting time trying to create alerts from unfamiliar log data, integrating tools, and maintenance tasks.

Quién: normalmente, este proceso lo dirige el equipo de Operaciones de seguridad.Who: This is typically driven by the Security Operations team.

  • Patrocinio: este proceso suele estar patrocinado por el director de Operaciones de seguridad (o equivalente).Sponsorship: This is typically sponsored by the Security Operations Director (or equivalent)..
  • Ejecución: la integración de la detección de amenazas nativa es un esfuerzo colaborativo que involucra a:Execution: Integrating native threat detection is a collaborative effort involving those with:
    • Operaciones de seguridad: integre alertas en los procesos de Administración de eventos e información de seguridad y en los de investigación de incidentes, instruya a los analistas sobre las alertas en la nube y su significado, y en el uso de las herramientas nativas en la nube.Security Operations: integrate alerts into SIEM and incident investigation processes, educate analysts on cloud alerts and what they mean, and how to use the native cloud tools.
    • Preparación para incidentes: integre incidentes de la nube en ejercicios prácticos y asegúrese de que estos se lleven a cabo para impulsar la preparación del equipo.Incident Preparation: Integrate cloud incidents into practice exercises and ensure practice exercises are conducted to drive team readiness.
    • Inteligencia sobre amenazas: investigue e integre la información sobre ataques en la nube para proporcionar a los equipos contexto e inteligencia.Threat Intelligence: Research and integrate information on cloud attacks to inform teams with context and intelligence.
    • Arquitectura de seguridad: integre las herramientas nativas en la documentación de la arquitectura de seguridad.Security Architecture: Integrate native tooling into security architecture documentation.
    • Directiva y estándares: establezca estándares y directivas para habilitar las herramientas nativas en toda la organización.Policy and standards: Set standards and policy for enabling native tooling throughout the organization. Supervise el cumplimiento.Monitor for compliance.
    • Infraestructura y puntos de conexión / Operaciones de TI central: configure y habilite detecciones, e intégrelas en la automatización y la infraestructura como soluciones de código.Infrastructure and Endpoint / Central IT Operations: Configure and enable detections, integrate into automation and infrastructure as code solutions.

Cómo: permita la detección de amenazas en Azure Security Center para todos los recursos que usa y haga que cada equipo integre estos en sus procesos como se describió anteriormente.How: Enable threat detection in Azure security center for all the resources you are using and have each team integrate these into their processes as described above.

Consulte también la prueba comparativa de seguridad de Azure LT-1: Permitir la detección de amenazas para recursos de Azure.Also see the Azure Security Benchmark LT-1: Enable threat detection for Azure resources.

9. Arquitectura: Unificación en un único directorio e identidad9. Architecture: Standardize on a single directory and identity

A nadie le gusta tratar con varias identidades y directorios.Nobody wants to deal with multiple identities and directories.

Qué: unifique en un solo directorio e identidad de Azure AD cada aplicación y usuario de Azure (para todas las funciones de identidad de la empresa).What: Standardize on a single Azure AD directory and single identity for each application and user in Azure (for all enterprise identity functions).

Nota

Este procedimiento recomendado se refiere específicamente a los recursos de empresa.This best practice refers specifically to enterprise resources. En el caso de las cuentas de asociados, use Azure AD B2B de modo que no tenga que crear y mantener cuentas en el directorio.For partner accounts, use Azure AD B2B so you don't have to create and maintain accounts in your directory. En el caso de las cuentas de clientes o ciudadanos, use Azure AD B2C para administrarlas.For customer/citizen accounts, use Azure AD B2C to manage them.

Por qué: varias cuentas y directorios de identidad crean una fricción y confusión innecesarias en los flujos de trabajo diarios de los usuarios de producción, desarrolladores, administradores de TI y de identidad, analistas de seguridad y otros roles.Why: Multiple accounts and identity directories create unnecessary friction and confusion in daily workflows for productivity users, developers, IT and Identity Admins, security analysts, and other roles.

La administración de varias cuentas y directorios también conlleva unos procedimientos de seguridad deficientes, como la reutilización de la misma contraseña en todas las cuentas, y aumenta la probabilidad de cuentas obsoletas o abandonadas a las que los atacantes pueden dirigirse.Managing multiple accounts and directories also creates an incentive for poor security practices such as reusing the same password across accounts and increases the likelihood of stale/abandoned accounts that attackers can target.

Aunque a veces parece más fácil crear rápidamente un directorio personalizado (basado en LDAP, etc.) para una aplicación o carga de trabajo determinada, esto genera más trabajo de integración y mantenimiento que configurar y administrar.While it sometimes seems easier to quickly stand up a custom directory (based on LDAP, etc.) for a particular application or workload, this creates much more integration and maintenance work to set up and manage. Esto tiene bastantes similitudes con la decisión de configurar un inquilino de Azure adicional o bosques adicionales locales de Active Directory en lugar de usar la empresa existente.This is similar in many ways to the decision of setting up an additional Azure tenant or additional on-premises Active Directory Forest vs. using the existing enterprise one. Consulte también el principio de seguridad "Impulso de la simplificación".See also the "Drive Simplicity" security principle.

Quién: esto suele ser un esfuerzo conjunto que controlan los equipos de Arquitectura de seguridad o Administración de identidades y claves.Who: This is often a cross-team effort driven by Security Architecture or Identity and Key Management teams.

Cómo: adopte un enfoque práctico que comience por las nuevas funcionalidades greenfield (que están surgiendo en la actualidad) y solucione los desafíos que surjan con las aplicaciones y servicios existentes brownfield como ejercicio de seguimiento:How: Adopt a pragmatic approach that starts with new greenfield capabilities (growing today) and then clean up challenges with the brownfield of existing applications and services as a follow-up exercise:

  • Nuevas: establezca e implemente una directiva clara en la que todas las identidades de empresa usen, de ahora en adelante, un solo directorio de Azure AD con una sola cuenta para cada usuario.Greenfield: Establish and implement a clear policy that all enterprise identity going forward should use a single Azure AD directory with a single account for each user.

  • Existentes: muchas organizaciones suelen tener varios directorios y sistemas de identidad heredados.Brownfield: Many organizations often have multiple legacy directories and identity systems. Tendrá que dar una solución a estas si el costo de las fricciones de su administración continua superan al de la inversión necesaria para eliminarlas.Address these when the cost of ongoing management friction exceeds the investment to clean it up. Aunque las soluciones de administración de identidades y sincronización pueden mitigar algunos de estos problemas, carecen de una integración profunda de las características de seguridad y productividad que permitan una experiencia sin problemas para los usuarios, administradores y desarrolladores.While identity management and synchronization solutions can mitigate some of these issues, they lack deep integration of security and productivity features that enable a seamless experience for users, admins, and developers.

El momento ideal para consolidar el uso de la identidad es durante los ciclos de desarrollo de aplicaciones ya que puede:The ideal time to consolidate your use of identity is during application development cycles as you:

  • Modernizar las aplicaciones para la nubeModernize applications for the cloud
  • Actualizar las aplicaciones en la nube con procesos de DevOpsUpdate cloud applications with DevOps processes

Aunque existen motivos válidos para un directorio independiente en el caso de unidades de negocio extremadamente independientes o requisitos normativos, en todas las demás circunstancias se debe evitar el uso de varios directorios.While there are valid reasons for a separate directory in the case of extremely independent business units or regulatory requirements, multiple directories should be avoided in all other circumstances.

Consulte también la prueba comparativa de seguridad de Azure ID-1: Unificación en Azure Active Directory como sistema central de identidad y autenticación.Also see the Azure Security Benchmark ID-1: Standardize Azure Active Directory as the central identity and authentication system.

Importante

La única excepción a la regla de cuentas únicas es que los usuarios con privilegios elevados (incluidos los administradores de TI y los analistas de seguridad) deben tener cuentas independientes para tareas de usuario estándar y tareas administrativas.The only exception to the single accounts rule is that privileged users (including IT administrators and security analysts) should have separate accounts for standard user tasks vs. administrative tasks.

Para más información, consulte la prueba comparativa de seguridad de Azure Acceso con privilegios.For more information, see Azure Security Benchmark Privileged Access.

10. Arquitectura: Uso del control de acceso basado en identidades (en lugar de claves)10. Architecture: Use identity based access control (instead of keys)

Qué: use identidades de Azure AD en lugar de la autenticación basada en claves siempre que sea posible (servicios de Azure, aplicaciones, API, etc.).What: Use Azure AD identities instead of key based authentication wherever possible (Azure Services, Applications, APIs, etc.).

Por qué: la autenticación basada en claves se puede usar para autenticarse en servicios en la nube y en API, pero requiere administrar las claves de forma segura, lo que supone una dificultad para lograr un buen rendimiento (especialmente a escala).Why: Key based authentication can be used to authenticate to cloud services and APIs but requires managing keys securely, which is challenging to perform well (especially at scale). La administración de claves segura es complicada para los profesionales no relacionados con la seguridad, como desarrolladores y profesionales de la infraestructura y, a menudo, no lo hacen de forma segura, lo cual supone riesgos de seguridad importantes para la organización.Secure key management is difficult for non-security professionals like developers and infrastructure professionals and they often fail to do it securely, often creating major security risks for the organization.

La autenticación basada en identidades ayuda a superar muchos de estos problemas con funcionalidades consolidadas de rotación de secretos, administración del ciclo de vida, delegación administrativa, etc.Identity based authentication overcomes many of these challenges with mature capabilities for secret rotation, lifecycle management, administrative delegation, and more.

Quién: esto suele ser un esfuerzo conjunto que controlan los equipos de Arquitectura de seguridad o Administración de identidades y claves.Who: This is often a cross-team effort driven by Security Architecture or Identity and Key management teams.

Cómo: el establecimiento de una preferencia organizativa y un hábito para usar la autenticación basada en identidades requiere seguir un proceso y habilitar la tecnología necesaria.How: Setting an organizational preference and habit for using identity-based authentication requires following a process and enabling technology.

El proceso:The process:

  1. Establezca directivas y normas que describan claramente la autenticación predeterminada basada en identidades, así como las excepciones aceptables.Establish policy and standards that clearly outline the default identity-based authentication, as well as acceptable exceptions.
  2. Instruya a los equipos de desarrolladores e infraestructura sobre el por qué del uso del nuevo enfoque, qué tienen que hacer y cómo lo tienen que hacer.Educate developers & infrastructure teams on why to use the new approach, what they need to do, and how to do it.
  3. Implemente los cambios de forma práctica, empezando por las nuevas funcionalidades que se adoptan ahora y en el futuro (nuevos servicios de Azure, nuevas aplicaciones) y, después, por una limpieza de las configuraciones ya existentes.Implement changes in a pragmatic way – starting with new greenfield capabilities being adopted now and in the future (new Azure services, new applications) and then following up with a clean-up of existing brownfield configurations.
  4. Supervise el cumplimiento y haga un seguimiento con los equipos de desarrolladores y de infraestructura para corregir los posibles problemas.Monitor for compliance and follow up with developer and infrastructure teams to remediate.

Las tecnologías: En el caso de cuentas no humanas como las de servicios o automatización, use identidades administradas.The technologies: For non-human accounts such as services or automation, use managed identities. Las identidades administradas de Azure le permiten autenticarse en los servicios y recursos de Azure que admiten la autenticación de Azure AD.Azure managed identities can authenticate to Azure services and resources that support Azure AD authentication. La autenticación se habilita mediante reglas de concesión de acceso predefinidas que permiten evitar las credenciales codificadas de forma rígida en los archivos de código fuente o de configuración.Authentication is enabled through pre-defined access grant rules, avoiding hard-coded credentials in source code or configuration files.

En el caso de los servicios que no admiten identidades administradas, use Azure AD para crear entidades de servicio con permisos restringidos en el nivel de recurso.For services that do not support managed identities, use Azure AD to create a service principal with restricted permissions at the resource level instead. Se recomienda configurar entidades de servicio con credenciales de certificado y revertir a secretos de cliente.We recommended configuring service principals with certificate credentials and fall back to client secrets. En ambos casos, Azure Key Vault se puede usar junto con las identidades administradas de Azure, de modo que el entorno en tiempo de ejecución (por ejemplo, una función de Azure) pueda recuperar la credencial del almacén de claves.In both cases, Azure Key Vault can be used in conjunction with Azure managed identities, so that the runtime environment (such as an Azure function) can retrieve the credential from the key vault.

Consulte también la prueba comparativa de seguridad de Azure ID-2: Administración de identidades de aplicaciones de forma segura y automática.Also see the Azure Security Benchmark ID-2: Manage application identities securely and automatically.

11. Arquitectura: Establecimiento de una estrategia de seguridad unificada11. Architecture: Establish a single unified security strategy

Es necesario que todos remen en la misma dirección para que el barco avance.Everyone needs to row in the same direction for the boat to go forward.

Qué: asegúrese de que todos los equipos estén en línea con una sola estrategia que habilite y proteja los datos y los sistemas empresariales.What: Ensure all teams are aligned to a single strategy that both enables and secures enterprise systems and data.

Por qué: cuando los equipos trabajan de forma aislada sin estar alineados con una estrategia común, sus acciones individuales pueden perjudicar involuntariamente a los esfuerzos de otros, creando una fricción innecesaria que reduce el progreso de los objetivos de todos.Why: When teams work in isolation without being aligned to a common strategy, their individual actions can inadvertently undermine each other's efforts, creating unnecessary friction that slows down progress against everyone's goals.

Un ejemplo de esto que se ha reproducido de forma constante en muchas organizaciones es la segmentación de recursos:One example of this that has played out consistently in many organizations is the segmentation of assets:

  • El equipo de seguridad de red desarrolla una estrategia para segmentar una red plana para aumentar la seguridad (a menudo basándose en sitios físicos, direcciones IP o intervalos asignados, etc.)The network security team develops a strategy for segmenting a flat network to increase security (often based on physical sites, assigned IP address addresses/ranges, or similar)
  • Por separado, el equipo de identidad ha desarrollado una estrategia para grupos y unidades organizativas de Active Directory en función de sus conocimientos de la organización.Separately, the identity team developed a strategy for groups and Active Directory organizational units (OUs) based on their understanding and knowledge of the organization.
  • A los equipos de aplicaciones a menudo les resulta difícil trabajar con estos sistemas porque se diseñaron con una información y un conocimiento de las operaciones, objetivos y riesgos empresariales limitados.Application teams often find it difficult to work with these systems because they were designed with limited input and understanding of business operations, goals, and risks.

En las organizaciones en las que esto ocurre, los equipos experimentan con frecuencia conflictos en las excepciones de firewall, lo cual afecta negativamente a la seguridad (las excepciones normalmente se aprueban) y a la productividad (la implementación se ralentiza para la funcionalidad de la aplicación y las necesidades empresariales).In organizations where this happens, teams frequently experience conflicts over firewall exceptions, which negatively impact both security (exceptions are usually approved) and productivity (deployment is slowed for application functionality the business needs).

Aunque la seguridad puede crear una fricción positiva al forzar el pensamiento crítico, este conflicto solo crea una fricción negativa que impide la consecución de los objetivos.While security can create healthy friction by forcing critical thinking, this conflict only creates unhealthy friction that impedes goals. Para más información, consulte Guía de estrategias de seguridad: El nivel adecuado de fricción de seguridad.For more information, see Security strategy guidance: the right level of security friction.

Quién:Who:

  • Patrocinio: la estrategia unificada suele estar patrocinada de forma conjunta por el Director de seguridad de la información y el Director tecnológico (a menudo con el respaldo de la dirección de la empresa para determinadas cuestiones de alto nivel) y apoyadas por los miembros de cada equipo.Sponsorship: The unified strategy typically co-sponsored by CIO, CISO, and CTO (often with business leadership support for some high-level elements) and championed by representatives from each team.
  • Ejecución: la estrategia de seguridad debe ser implementada por todos, por lo que debe integrar datos de todos los equipos para aumentar la responsabilidad, la participación y la probabilidad de éxito.Execution: Security strategy must be implemented by everyone, so it should integrate input from across teams to increase ownership, buy-in, and likelihood of success.
    • Arquitectura de seguridad: lidera el esfuerzo de crear la estrategia de seguridad y la arquitectura resultante, recopilar activamente los comentarios de los equipos y documentarlos en presentaciones, documentos y diagramas para las distintas audiencias.Security architecture: Leads the effort to build security strategy and resulting architecture, actively gather feedback from teams, and document it in presentations, documents, and diagrams for the various audiences.
    • Directiva y estándares: reflejan los elementos adecuados en estándares y directivas y, a continuación, supervisan su cumplimiento.Policy and standards: Captures the appropriate elements into standards and policy and then monitors for compliance.
    • Todos los equipos técnicos de TI y de seguridad: proporcionan los requisitos de información y, a continuación, se alinean con la estrategia empresarial y la implementan.All technical IT and security teams: Provide input requirements, then align to and implement the enterprise strategy.
    • Propietarios y desarrolladores de aplicaciones: leen y comprenden la documentación estratégica que les es aplicable (idealmente, reciben una guía adaptada a su rol).Application owners and developers: Read and understand strategy documentation that applies to them (ideally, guidance tailored to their role).

Cómo:How:

cree e implemente una estrategia de seguridad para la nube que incluya la información y la participación activa de todos los equipos.Build and implement a security strategy for cloud that includes the input and active participation of all teams. Aunque el formato de la documentación del proceso varíe, esta siempre debe incluir:While the process documentation format will vary, this should always include:

  • Información activa de los equipos: se suelen producir errores en las estrategias si los miembros de la organización no participan en ellas.Active input from teams: Strategies typically fail if people in the organization don't buy into them. Lo ideal sería reunir a todos los equipos para que creen la estrategia de forma colaborativa.Ideally, get all teams in the same room to collaboratively build the strategy. En los talleres que llevamos a cabo con los clientes, a menudo encontramos que las organizaciones han estado funcionando en silos de facto y estas reuniones suelen dar lugar a personas que se reúnen entre sí por primera vez.In the workshops we conduct with customers, we often find organizations have been operating in de facto silos and these meetings often result in people meeting each other for the first time. También encontramos que la inclusión es un requisito.We also find that inclusiveness is a requirement. Si algunos equipos no están invitados, normalmente se tiene que repetir la reunión hasta que todos los participantes se unan (o el proyecto no avanzará).If some teams are not invited, this meeting typically has to be repeated until all participants join it (or the project doesn't move forward).
  • Documentación y comunicaciones claras: todos los equipos deben conocer la estrategia de seguridad (idealmente, un componente de seguridad de la estrategia global tecnológica), lo cual incluya el motivo de la integración de la seguridad, qué es importante en relación con la seguridad y cómo se mide el éxito de la seguridad.Documented and communicated clearly: All teams should have awareness of the security strategy (ideally a security component of the overall technology strategy) including why to integrate security, what is important in security, and what security success looks like. Esto debe incluir instrucciones específicas para los equipos de aplicaciones y desarrollo, de modo que puedan obtener orientaciones con prioridades claras sin tener que leer las partes no pertinentes de la guía.This should include specific guidance for application and development teams so they can get a clear prioritized guidance without having to read through non-relevant parts of the guidance.
  • Estable, pero flexible: las estrategias deben ser relativamente coherentes y estables, pero puede que las arquitecturas y la documentación necesiten cambios para aportar claridad y dar cabida a la naturaleza dinámica de la nube.Stable, but flexible: Strategies should remain relatively consistent and stable, but the architectures and the documentation may need changes to add clarity and accommodate the dynamic nature of cloud. Por ejemplo, el filtrado de tráfico externo malintencionado permanecerá coherente como un imperativo estratégico incluso si cambia de un firewall de próxima generación de terceros a un firewall de Azure y ajusta los diagramas o instrucciones sobre cómo hacerlo.For example, filtering out malicious external traffic would stay consistent as a strategic imperative even if you shift from the use of a third-party next generation firewall to Azure Firewall and adjust diagrams/guidance on how to do it.
  • Empezar por la segmentación: en el transcurso de la adopción de la nube, los equipos abordarán muchos temas de estrategia grandes y pequeños, pero debe empezar por alguna parte.Start with segmentation: Over the course of cloud adoption, your teams will address many strategy topics large and small, but you need to start somewhere. Se recomienda iniciar la estrategia de seguridad con la segmentación de los recursos de la empresa, ya que se trata de una decisión fundamental que sería difícil de cambiar más adelante y requiere tanto la información empresarial como la de muchos equipos técnicos.We recommend starting the security strategy with enterprise asset segmentation as it's a foundational decision that would be challenging to change later and requires both business input and many technical teams.

Microsoft ha publicado instrucciones en vídeo sobre cómo aplicar una estrategia de segmentación a Azure así como documentos sobre segmentación empresarial y alineación de la seguridad de red con ella.Microsoft has published video guidance for applying a segmentation strategy to Azure as well as documents on enterprise segmentation and aligning network security to it.

Cloud Adoption Framework incluye instrucciones para ayudar a los equipos con:The Cloud Adoption Framework includes guidance to help your teams with:

Consulte también la prueba comparativa de seguridad de Azure Gobernanza y estrategia.Also see the Azure Security Benchmark governance and strategy.