Protección contra amenazas de Azure

  • Artículo

Azure ofrece la funcionalidad de protección contra amenazas integrada mediante servicios como Microsoft Entra ID, registros de Azure Monitor y Microsoft Defender for Cloud. Esta colección de servicios de seguridad y funcionalidades ofrece una manera sencilla y rápida de comprender lo que ocurre en las implementaciones de Azure.

Azure proporciona una amplia gama de opciones para configurar y personalizar la seguridad para que cumpla los requisitos de las implementaciones de la aplicación. En este artículo se explica cómo cumplir estos requisitos.

Protección de Microsoft Entra ID

Microsoft Entra ID Protection es una característica de la edición Microsoft Entra ID P2 que proporciona una introducción a las detecciones de riesgos y a las posibles vulnerabilidades que pueden afectar a las identidades de la organización. Identity Protection usa las funcionalidades de detección de anomalías existentes de Microsoft Entra que están disponibles mediante informes de actividad anómala de Microsoft Entra e introduce nuevos tipos de detección de riesgo que pueden detectar anomalías en tiempo real.

Microsoft Entra ID Protection diagram

En Identity Protection se usan algoritmos y heurística de aprendizaje automático adaptable para detectar anomalías y detecciones de riesgo que es posible que indiquen que una identidad se ha puesto en peligro. Con estos datos, Identity Protection genera informes y alertas que permiten investigar estas detecciones de riesgo y tomar las acciones de corrección o mitigación adecuadas.

Funcionalidades de Identity Protection

Microsoft Entra ID Protection es más que una herramienta de supervisión e informes. Para proteger las identidades de la organización, puede configurar directivas basadas en riesgos que respondan automáticamente a problemas detectados si se alcanza un nivel de riesgo específico. Estas directivas, además de otros controles de acceso condicional proporcionados por Microsoft Entra ID y EMS, pueden bloquear o iniciar automáticamente acciones de corrección adaptables que incluyen el restablecimiento de contraseñas y el cumplimiento de la autenticación multifactor.

Ejemplos de algunas de las maneras en que Azure Identity Protection puede ayudar a proteger las cuentas e identidades:

Detecciones de riesgo y cuentas peligrosas

  • Detecte seis tipos de detecciones de riesgo mediante el aprendizaje automático y las reglas heurísticas.
  • Calcular los niveles de riesgo del usuario.
  • Proporcionar recomendaciones personalizadas para mejorar la posición de seguridad general al resaltar los puntos vulnerables.

Investigación de las detecciones de riesgo

  • Enviar notificaciones de las detecciones de riesgo.
  • Investigar las detecciones de riesgo con información pertinente y contextual.
  • Proporcionar los flujos de trabajo básicos para realizar un seguimiento de las investigaciones.
  • Proporcionar un acceso fácil a las acciones de corrección, como el restablecimiento de contraseñas.

Directivas de acceso condicional basadas en riesgos

  • Mitigar los inicios de sesión peligrosos mediante el bloqueo de los inicios de sesión o requerir desafíos de la autenticación multifactor.
  • Proteger o bloquear cuentas de usuario peligrosas.
  • Exigir a los usuarios que se registren en la autenticación multifactor.

Microsoft Entra Privileged Identity Management (PIM)

Con Microsoft Entra Privileged Identity Management (PIM), puede administrar, controlar y supervisar el acceso en su organización. Esta característica incluye el acceso a los recursos de Microsoft Entra ID y otros servicios en línea de Microsoft, como Microsoft 365 o Microsoft Intune.

Microsoft Entra Privileged Identity Management diagram

PIM ayuda a:

  • Obtener alertas e informes sobre los administradores de Microsoft Entra y el acceso administrativo Just-In-Time (JIT) a los servicios en línea de Microsoft, como Microsoft 365 e Intune.

  • Obtener informes sobre el historial de acceso de administrador y los cambios en las asignaciones de administrador.

  • Obtener alertas sobre el acceso a un rol con privilegios.

Registros de Azure Monitor

Los registros de Azure Monitor son una solución de administración de TI basada en la nube de Microsoft que permiten administrar y proteger la infraestructura local y en la nube. Como los registros de Azure Monitor se implementan como un servicio basado en la nube, puede ponerlos en funcionamiento rápidamente con una inversión mínima en servicios de infraestructura. Las características nuevas de seguridad se entregan de forma automática, lo que supone un ahorro en costos permanentes de mantenimiento y actualización.

Seguridad integral y postura de cumplimiento

Microsoft Defender for Cloud proporciona una vista global de la situación de seguridad de la TI de su organización, con consultas de búsqueda integradas en el caso de aquellos problemas importantes que requieran su atención. Proporciona información detallada sobre el estado de seguridad de los equipos. También se pueden ver todos los eventos de las últimas 24 horas, siete días o cualquier otro intervalo personalizado.

Los registros de Azure Monitor permiten comprender de forma rápida y sencilla la posición de seguridad global de cualquier entorno, todo ello en el contexto de las operaciones de TI, como la evaluación de actualizaciones de software, la evaluación de antimalware y las líneas base de configuración. Los datos del registro de seguridad son accesibles en todo momento para simplificar los procesos de auditoría de seguridad y cumplimiento.

Insight y Analytics

En el centro de los registros de Azure Monitor se encuentra el repositorio de OMS, que está hospedado en Azure.

Insight and analytics diagram

Los datos se recopilan en el repositorio desde los orígenes conectados mediante la configuración de orígenes de datos y la incorporación de soluciones a la suscripción.

Cada uno de los orígenes de datos y soluciones crea tipos de registros distintos con su propio conjunto de propiedades, pero se pueden seguir analizando de forma conjunta en consultas al repositorio. Se pueden usar las mismas herramientas y métodos para trabajar con una variedad de datos que se recopilan mediante diversos orígenes.

La mayor parte de la interacción con los registros de Azure Monitor se realiza mediante Azure Portal, que se ejecuta en cualquier explorador y proporciona acceso a opciones de configuración y a herramientas para analizar los datos recopilados y realizar acciones en estos. Desde el portal, puede usar:

  • Búsquedas de registros donde se crean consultas para analizar los datos recopilados.
  • Paneles, que se pueden personalizar con vistas gráficas de las búsquedas más valiosas.
  • Soluciones, que proporcionan herramientas de análisis y funcionalidad adicionales.

Las soluciones agregan funcionalidad a los registros de Azure Monitor. Se ejecutan principalmente en la nube y proporcionan análisis de los datos recopilados en el repositorio de Log Analytics. Puede que las soluciones también definan nuevos tipos de registro para recopilar que se pueden analizar con las búsquedas de registros o mediante una interfaz de usuario adicional que la solución proporciona en el panel de Log Analytics.

Defender para la nube es un ejemplo de este tipos de soluciones.

Automatización y control: desviación de la alerta de configuración de seguridad

Azure Automation automatiza los procesos administrativos con runbooks que se basan en PowerShell y se ejecutan en la nube. Los runbooks pueden ejecutarse en un servidor en el centro de datos local para administrar recursos locales. Azure Automation proporciona administración de configuración con Desired State Configuration (DSC) de PowerShell.

Azure Automation diagram

Puede crear y administrar recursos de DSC hospedados en Azure y aplicarlos a los sistemas de nube y locales. Al hacerlo, puede definir y aplicar de forma automática su configuración, o bien obtener informes de la desviación para ayudar a garantizar que las configuraciones de seguridad se ajusten siempre a las directivas.

Microsoft Defender for Cloud

Microsoft Defender for Cloud le ayuda a proteger el entorno de nube híbrida. Al realizar evaluaciones de seguridad continuas de los recursos conectados, puede proporcionar recomendaciones de seguridad detalladas para las vulnerabilidades detectadas.

Las recomendaciones de Defender para la nube se basan en el punto de referencia de seguridad en la nube de Microsoft, el conjunto de directrices de seguridad y cumplimiento normativo de Microsoft, que a su vez se basa en los marcos de cumplimiento comunes. Esta prueba comparativa, que cuenta con amplísimo respaldo, se basa en los controles del Centro de seguridad de Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST), con un enfoque en seguridad centrada en la nube.

La habilitación de las características de seguridad mejoradas de Defender for Cloud ofrece una protección avanzada e inteligente de las cargas de trabajo y recursos de Azure, híbridos y de varias nubes. Obtenga más información en Características de seguridad mejoradas de Microsoft Defender para la nube.

El panel de protección de cargas de trabajo de Defender para la nube proporciona visibilidad y control de las características de protección de cargas de trabajo integradas en la nube proporcionadas por una variedad de planes de Microsoft Defender:

An example of Defender for Cloud's workload protections dashboard.

Sugerencia

Obtenga más información sobre las secciones numeradas en el Panel de protección de cargas de trabajo.

Los investigadores de seguridad de Microsoft trabajan sin descanso para localizar amenazas. Tienen acceso al amplio conjunto de recursos de telemetría que les proporciona la presencia global de Microsoft en la nube y en sistemas locales. La amplitud y diversidad de estos conjuntos de datos permite a Microsoft detectar nuevos patrones y tendencias de ataque tanto en sus productos locales, destinados a particulares y empresas, como en sus servicios en línea.

Como resultado, Defender para la nube es capaz de actualizar rápidamente los algoritmos de detección a medida que los atacantes idean nuevas y más sofisticadas vulnerabilidades de seguridad. Este enfoque le ayuda a mantenerse al día en entornos con amenazas que cambian continuamente.

Microsoft Defender for Cloud's security alerts list

Microsoft Defender para la nube recopila automáticamente información de seguridad de los recursos, la red y las soluciones de asociados conectadas. Analiza estos datos (a menudo, al relacionar la información de diferentes orígenes) para identificar las amenazas.

En Defender para la nube, las alertas de seguridad están clasificadas por prioridad y se incluyen recomendaciones para solucionar la amenaza.

Defender for Cloud utiliza análisis avanzados que superan con creces los enfoques basados en firmas. Se usan innovaciones en tecnologías de macrodatos y aprendizaje automático para evaluar eventos en toda la nube. El análisis avanzado puede detectar amenazas que sería imposible identificar mediante enfoques manuales y predice la evolución de los ataques. Estos tipos de análisis de seguridad se tratan en las secciones siguientes.

Información sobre amenazas

Microsoft tiene acceso a una cantidad ingente de información sobre amenazas globales.

Los recursos telemétricos proceden de diferentes fuentes, como Azure, Microsoft 365, Microsoft CRM Online, Microsoft Dynamics AX, outlook.com, MSN.com, la Unidad de crímenes digitales de Microsoft (DCU) y Microsoft Security Response Center (MSRC).

Threat intelligence findings

Los investigadores también cuentan con la información de inteligencia sobre amenazas que comparten los principales proveedores de servicios en la nube y que procede de fuentes de terceros. Microsoft Defender for Cloud puede usar todos estos datos para avisarle de las amenazas procedentes de actores malintencionados conocidos. Estos son algunos ejemplos:

  • Aprovechamiento de la energía de Machine Learning: Microsoft Defender para la nube tiene acceso a una gran cantidad de datos sobre la actividad de red en la nube, que se puede usar para detectar amenazas dirigidas a las implementaciones de Azure.

  • Detección de fuerza bruta: el aprendizaje automático se usa para crear un patrón histórico de los intentos de acceso remoto, lo que permite detectar los ataques de fuerza bruta contra los puertos Secure Shell (SSH), Protocolo de escritorio remoto (RDP) y SQL.

  • Salida DDoS y detección de botnet: un objetivo común de los ataques dirigidos a los recursos de nube consiste en usar la capacidad de proceso de estos recursos para ejecutar otros ataques.

  • Nuevos servidores de análisis de comportamiento y máquinas virtuales: después de poner en peligro un servidor o una máquina virtual, los atacantes emplean una gran variedad de técnicas para ejecutar código malintencionado en el sistema sin ser detectados, lo que garantiza la persistencia y consigue evitar los controles de seguridad.

  • Detección de amenazas de Azure SQL Database: la detección de amenazas de Azure SQL Database identifica actividades anómalas de la base de datos que indican intentos inusuales o posiblemente dañinos de acceso o ataque a las bases de datos.

Análisis del comportamiento

El análisis del comportamiento es una técnica que analiza datos y los compara con una serie de patrones conocidos. No obstante, estos patrones no son simples firmas. Están determinados por unos complejos algoritmos de aprendizaje automático que se aplican a conjuntos de datos masivos.

Behavioral analytics findings

Los patrones también se determinan por medio de un análisis cuidadoso, llevado a cabo por analistas expertos, de los comportamientos malintencionados. Microsoft Defender para la nube puede utilizar el análisis del comportamiento para identificar recursos en peligro a partir del análisis de registros de las máquinas virtuales, registros de los dispositivos de redes virtuales, registros de los tejidos, volcados de memoria y otros orígenes.

Además, los patrones se ponen en correlación con otras señales que se comprueban para fundamentar las pruebas de que se trata una campaña de gran difusión. Dicha correlación permite identificar eventos que se ajustan a unos indicadores de peligro establecidos.

Estos son algunos ejemplos:

  • Ejecución de procesos sospechosos: los atacantes utilizan varias técnicas para ejecutar software malintencionado sin que se detecte. Por ejemplo, un atacante podría asignar a un malware los mismos nombres que se usan en los archivos legítimos del sistema, pero colocarlos en otras ubicaciones, usar un nombre muy parecido al de un archivo legítimo o enmascarar la verdadera extensión del archivo. Defender para la nube adapta los comportamientos de los procesos y supervisa su ejecución para detectar valores atípicos como estos.

  • Malware oculto e intentos de aprovecharse de vulnerabilidades de seguridad: el malware sofisticado puede eludir los productos antimalware tradicionales, para lo que evita escribir en el disco o cifra los componentes de software almacenados en el disco. Pero este malware se puede detectar mediante un análisis de memoria, ya que, para funcionar, deja rastros en la memoria. En el momento en que el software se bloquea, un volcado de memoria captura una porción de la memoria. Con un análisis de la memoria durante el volcado, Microsoft Defender para la nube puede detectar las técnicas usadas para aprovechar las vulnerabilidades del software, acceder a información confidencial y permanecer en secreto en un equipo afectado sin que esto afecte a su rendimiento.

  • Movimiento lateral y reconocimiento interno: para poder permanecer en una red afectada y localizar y recopilar información valiosa, los atacantes suelen tratar de desplazar lateralmente el contenido de la máquina afectada a otras de la misma red. Defender para la nube supervisa las actividades de los procesos e inicios de sesión para detectar cualquier intento de expandir el punto de apoyo del atacante en la red, como sondeos de redes de ejecución remota de comandos y enumeración de cuentas.

  • Scripts de PowerShell malintencionados: los atacantes usan PowerShell para ejecutar código malintencionado en las máquinas virtuales objetivo con diferentes propósitos. Defender para la nube analiza la actividad de PowerShell en busca de evidencias de actividad sospechosa.

  • Ataques de salida: a menudo, el objetivo de los atacantes son recursos en la nube, que utilizan con el propósito de perpetrar otros ataques. Por ejemplo, es posible que las máquinas virtuales afectadas se usen para iniciar ataques por fuerza bruta contra otras máquinas virtuales, enviar correo no deseado o buscar puertos abiertos y otros dispositivos en Internet. Gracias a la aplicación del aprendizaje automático en el tráfico de red, Defender para la nube puede detectar cuándo las comunicaciones de red salientes superan la norma establecida. Cuando se detecta correo no deseado, Defender para la nube relaciona el tráfico inusual de correo electrónico con la información de Microsoft 365 para determinar si es probable que el mensaje sea fraudulento o si es el resultado de una campaña de correo electrónico legítima.

Detección de anomalías

Microsoft Defender para la nube también usa la detección de anomalías para identificar amenazas. A diferencia del análisis del comportamiento, que depende de patrones conocidos obtenidos a partir de grandes conjuntos de datos, la detección de anomalías es una técnica más “personalizada” y se basa en referencias que son específicas de las implementaciones. El aprendizaje automático se aplica para determinar la actividad normal de las implementaciones y, después, se generan reglas para definir condiciones de valores atípicos que podrían constituir un evento de seguridad. Veamos un ejemplo:

  • Ataques ataque por fuerza bruta de RDP/SSH de entrada: es posible que las implementaciones integren máquinas virtuales con mucha actividad que tengan multitud de inicios de sesión al día y otras máquinas virtuales que tengan pocos inicios de sesión o ninguno. Microsoft Defender para la nube puede determinar la actividad de referencia de los inicios de sesión de estas máquinas virtuales y utilizar el aprendizaje automático para definir las actividades relacionadas con el inicio de sesión normal. Si hay alguna discrepancia con la línea de base definida para las características relacionadas con el inicio de sesión, es posible que se genere una alerta. Una vez más, es el aprendizaje automático el que se encarga de determinar qué es significativo.

Supervisión continuada de la información sobre amenazas

Microsoft Defender para la nube cuenta con equipos de científicos de datos e investigadores de seguridad de todo el mundo que supervisan sin descanso los cambios que se registran en el terreno de las amenazas. Estos son algunas de las iniciativas que llevan a cabo:

  • Supervisión de la inteligencia sobre amenazas: la inteligencia sobre amenazas incluye mecanismos, indicadores, implicaciones y notificaciones para las amenazas nuevas o existentes. Esta información se comparte con la comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de inteligencia sobre amenazas de orígenes internos y externos.

  • Uso compartido de señales: se comparte y analiza la información que recopilan los equipos de seguridad a partir de la amplia cartera de servicios de Microsoft en la nube y locales, de servidores y de dispositivos cliente de punto de conexión.

  • Especialistas en seguridad de Microsoft colaboración continua con equipos de Microsoft que trabajan en campos de seguridad especializados, como análisis forense y detección de ataques web.

  • Ajuste de la detección: los algoritmos se ejecutan en conjuntos de datos de clientes reales y los investigadores de seguridad trabajan en conjunción con los clientes para validar los resultados. Los falsos positivos y los positivos verdaderos se utilizan para perfeccionar los algoritmos de aprendizaje automático.

Toda esta combinación de esfuerzos culmina en técnicas de detección nuevas y mejoradas, de las que puede beneficiarse al instante. No es necesaria ninguna acción por su parte.

Microsoft Defender para Storage

Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta intentos poco habituales y potencialmente peligrosos de acceder a las cuentas de almacenamiento o vulnerarlas. Usa funcionalidades avanzadas de detección de amenazas y datos de Inteligencia sobre amenazas de Microsoft para proporcionar alertas de seguridad contextuales. Estas alertas también incluyen pasos para mitigar las amenazas detectadas y evitar ataques futuros.

Características de protección contra amenazas: Otros servicios de Azure

Máquinas virtuales: Microsoft Antimalware

Microsoft Antimalware para Azure es una solución de un único agente dirigida a entornos de aplicaciones e inquilinos, diseñada para la ejecución en segundo plano sin intervención humana. Puede implementar la protección en función de las necesidades de sus cargas de trabajo de aplicaciones, con configuración de protección básica o personalizada avanzada que incluye supervisión antimalware. Azure Antimalware es una opción de seguridad para máquinas virtuales de Azure que se instala automáticamente en todas las máquinas virtuales de PaaS de Azure.

Características principales de Microsoft Antimalware

Estas son las características de Azure que implementan y habilitan Microsoft Antimalware para las aplicaciones:

  • Protección en tiempo real: supervisa la actividad en los servicios en la nube y las máquinas virtuales para detectar y bloquear la ejecución de malware.

  • Análisis programado: realiza periódicamente exámenes dedicados a detectar malware, lo que incluye programas que se ejecutan activamente.

  • Corrección de malware: actúa automáticamente sobre el malware detectado y elimina o pone en cuarentena los archivos malintencionados y limpia las entradas del Registro malintencionadas.

  • Actualizaciones de firmas: instala de forma automática las firmas de protección (definiciones de virus) más recientes para garantizar que la protección está actualizada con una frecuencia determinada previamente.

  • Actualizaciones de Antimalware Engine: actualiza automáticamente Microsoft Antimalware Engine.

  • Actualizaciones de la plataforma antimalware: actualiza automáticamente la plataforma de Microsoft Antimalware.

  • Protección activa: envía a Microsoft Azure informes de metadatos de telemetría sobre las amenazas detectadas y los recursos sospechosos para garantizar una respuesta rápida a las amenazas en constante evolución, lo que permite la entrega sincrónica de firmas en tiempo real a través del sistema de protección activa de Microsoft.

  • Informes de ejemplos: proporciona informes de ejemplos al servicio Microsoft Antimalware que ayudan a mejorar el servicio y permiten la solución de problemas.

  • Exclusiones: permite a los administradores de aplicaciones y servicios configurar determinados archivos, procesos y unidades para que se excluyan de la protección y el examen por motivos de rendimiento o de otro tipo.

  • Recopilación de eventos antimalware: registra el estado del servicio de antimalware, las actividades sospechosas y las acciones de corrección adoptadas en el registro de eventos del sistema operativo y los recopila en la cuenta de Azure Storage del cliente.

Detección de amenazas de Azure SQL Database

Detección de amenazas de Azure SQL Database es una nueva característica de inteligencia de seguridad integrada en el servicio de Azure SQL Database. Estamos trabajando permanentemente para conocer y detectar actividades anómalas de la base de datos y generar perfiles; Detección de amenazas de Azure SQL Database identifica las posibles amenazas a la base de datos.

Los responsables de seguridad u otros administradores designados pueden recibir una notificación inmediata sobre las actividades sospechosas en las bases de datos cuando se producen. Cada notificación proporciona detalles de la actividad sospechosa y recomienda cómo investigar más y mitigar la amenaza.

Actualmente, Detección de amenazas de Azure SQL Database detecta posibles vulnerabilidades y ataques de inyección de SQL, así como patrones de acceso anómalos a las bases de datos.

Al recibir una notificación por correo electrónico de detección de amenazas, los usuarios pueden navegar y ver los registros de auditoría pertinentes a través de un vínculo profundo en el correo electrónico. El vínculo abre un visor de auditoría o una plantilla de Excel de auditoría preconfigurada en la que se muestran los registros de auditoría pertinentes en torno a la hora del evento sospechoso, según lo siguiente:

  • El almacenamiento de información de auditoría para el servidor o la base de datos con las actividades anómalas de la base de datos.

  • La tabla de almacenamiento de información de auditoría correspondiente que se usó en el momento del evento para escribir el registro de auditoría.

  • Los registros de auditoría de la hora inmediatamente posterior a la aparición del evento.

  • Los registros de auditoría con identificadores de evento similares en el momento del evento (opcional para algunos detectores).

Los detectores de amenazas de SQL Database usan una de las metodologías de detección siguientes:

  • Detección determinista: detecta patrones sospechosos (en función de reglas) en las consultas de cliente SQL que coinciden con ataques conocidos. Esta metodología tiene un grado alto de detección y bajo de falsos positivos; pero la cobertura es limitada, ya que se encuentra dentro de la categoría de "detecciones atómicas".

  • Detección de comportamiento: detecta la actividad anómala, que es el comportamiento anómalo de la base de datos que no se haya observado durante los últimos 30 días. Ejemplos de actividad anómala del cliente SQL pueden ser un pico de consultas o inicios de sesión fallidos, un gran volumen de datos extraídos, consultas canónicas inusuales, o bien direcciones IP no familiares que se hayan usado para acceder a la base de datos.

Firewall de aplicaciones web de Application Gateway

El firewall de aplicaciones web (WAF) es una característica de Application Gateway que protege las aplicaciones web que usan una puerta de enlace de aplicación para las funciones estándar de control de entrega de aplicaciones. Para hacerlo, el firewall de aplicaciones web ofrece protección contra las 10 vulnerabilidades web más comunes identificadas por Proyecto de seguridad de aplicación web abierta (OWASP).

Application Gateway Web Application Firewall diagram

Las protecciones incluyen lo siguiente:

  • Protección contra la inyección de código SQL.

  • Protección contra scripts entre sitios.

  • Protección contra ataques web comunes, como inyección de comandos, contrabando de solicitudes HTTP, división de respuestas HTTP y ataque remoto de inclusión de archivos.

  • Protección contra infracciones del protocolo HTTP.

  • Protección contra anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptación.

  • Prevención contra bots, rastreadores y escáneres.

  • Detección de errores de configuración comunes en aplicaciones (es decir, Apache, IIS, etc.).

La configuración de WAF en Application Gateway proporciona las siguientes ventajas:

  • Protección de la aplicación web contra las vulnerabilidades y los ataques web sin modificación del código de back-end.

  • Protección de varias aplicaciones web al mismo tiempo detrás de una instancia de Application Gateway. Una instancia de Application Gateway admite el hospedaje de hasta 20 sitios web.

  • Supervisión de las aplicaciones web de cara a los ataques mediante informes en tiempo real generados por los registros WAF de la puerta de enlace de aplicaciones.

  • Ayuda a cumplir los requisitos de cumplimiento. Algunos controles de cumplimiento requieren que todos los puntos de conexión accesibles desde Internet estén protegidos por una solución WAF.

Defender para aplicaciones en la nube

Defender para aplicaciones en la nube es un componente esencial de la pila de seguridad de Microsoft Cloud. Es una solución integral que ayuda a la organización a medida que avanza para aprovechar al máximo la promesa de las aplicaciones en la nube. Permite mantener el control gracias a la mejor visibilidad de la actividad. También ayuda a aumentar la protección de los datos críticos en todas las aplicaciones de la nube.

Con las herramientas que ayudan a descubrir zonas oscuras de TI, evaluar los riesgos, aplicar directivas, investigar actividades y detener amenazas, la organización puede mover datos a la nube con mayor seguridad y sin perder el control sobre los datos críticos.

Category Descripción
Descubra Descubra shadow IT con Defender para aplicaciones en la nube. Gane visibilidad al descubrir aplicaciones, actividades, usuarios, datos y archivos del entorno de la nube. Descubra las aplicaciones de terceros conectadas a su nube.
Investigación Investigue las aplicaciones de nube mediante herramientas forenses de nube en profundidad en las aplicaciones de riesgo o archivos y usuarios específicos de la red. Identifique patrones en los datos recopilados de la nube. Genere informes para supervisar su nube.
Control Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control sobre el tráfico de red en la nube. Use Defender para aplicaciones en la nube para migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.
Protección Use Defender para aplicaciones en la nube para autorizar o prohibir aplicaciones, prevenir la pérdida de datos, otorgar permisos de control, compartir y generar alertas e informes personalizados.
Control Mitigue el riesgo al establecer directivas y alertas para lograr el máximo control sobre el tráfico de red en la nube. Use Defender para aplicaciones en la nube para migrar los usuarios a alternativas de aplicaciones de nube seguras y autorizadas.

Defender for Cloud Apps diagram

Defender para aplicaciones en la nube integra la visibilidad con la nube mediante:

  • El uso de Cloud Discovery para asignar e identificar el entorno de la nube y las aplicaciones de nube que usa la organización.

  • La prohibición y autorización de aplicaciones en la nube.

  • El uso de conectores de aplicaciones fáciles de implementar que aprovechan las ventajas de las API de proveedor, para ganar visibilidad y gobernanza de las aplicaciones a las que se conecte.

  • La ayuda para mantener el control constante mediante la configuración y posterior ajuste permanente de las directivas.

En la recopilación de datos de estos orígenes, Defender para aplicaciones en la nube ejecuta un sofisticado análisis sobre los datos. Le avisa inmediatamente en caso de actividades anómalas y proporciona visibilidad profunda en el entorno de nube. Puede configurar una directiva en Defender para aplicaciones en la nube y usarla para proteger todo el contenido del entorno de nube.

Funcionalidades de protección contra amenazas de terceros a través de Azure Marketplace

Firewall de aplicaciones web

El firewall de aplicaciones web inspecciona el tráfico web entrante y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de malware, los ataques DDoS de aplicación, así como otros ataques dirigidos a las aplicaciones web. También inspecciona las respuestas de los servidores web back-end para la prevención de pérdida de datos (DLP). El motor de control de acceso integrado permite a los administradores crear directivas de control de acceso pormenorizadas para la autenticación, la autorización y la contabilidad (AAA), lo que proporciona autenticación fiable a las organizaciones así como control sobre los usuarios.

Firewall de aplicaciones web proporciona las ventajas siguientes:

  • Detecta y bloquea las inyecciones de SQL, el scripting entre sitios, las cargas de malware, el DDoS de aplicación y cualquier otro ataque contra la aplicación.

  • Autenticación y control de acceso.

  • Analiza el tráfico saliente para detectar los datos confidenciales y oculta o bloquea la información para que no se filtre.

  • Acelera la entrega de contenido de aplicación web, con funcionalidades como el almacenamiento en caché, la compresión y otras optimizaciones del tráfico.

Para obtener ejemplos de los firewalls de aplicaciones web que están disponibles en Azure Marketplace, vea Barracuda WAF, firewall de aplicaciones web virtual Brocade (vWAF), Imperva SecureSphere y el firewall ThreatSTOP IP.

Paso siguiente

  • Respuesta a las amenazas actuales: ayuda a identificar las amenazas activas cuyo objetivo son sus recursos de Azure y proporciona la información necesaria para responder a ellas con rapidez.