Procedimientos de seguridad recomendados para cargas de trabajo de IaaS de AzureSecurity best practices for IaaS workloads in Azure

En este artículo se describen los procedimientos recomendados de seguridad para máquinas virtuales y sistemas operativos.This article describes security best practices for VMs and operating systems.

Los procedimientos recomendados se basan en un consenso de opinión y son válidos para las funcionalidades y conjuntos de características actuales de la plataforma Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Puesto que las opiniones y las tecnologías pueden cambiar con el tiempo, este artículo se actualizará para reflejar dichos cambios.Because opinions and technologies can change over time, this article will be updated to reflect those changes.

En la mayoría de los escenarios de IaaS (infraestructura como servicio), las máquinas virtuales de Azure son la principal carga de trabajo de las organizaciones que usan la informática en la nube.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Esto es evidente en los escenarios híbridos, en los que las organizaciones quieran migrar lentamente las cargas de trabajo a la nube.This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. En estos escenarios, siga las consideraciones generales de seguridad de IaaS y aplique los procedimientos recomendados de seguridad a todas las máquinas virtuales.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Responsabilidad compartidaShared responsibility

Su responsabilidad de la seguridad se basa en el tipo de servicio en la nube.Your responsibility for security is based on the type of cloud service. En el siguiente gráfico se resume cómo se reparte la responsabilidad entre Microsoft y usted.The following chart summarizes the balance of responsibility for both Microsoft and you:

Áreas de responsabilidad

Los requisitos de seguridad varían en función de una serie de factores entre los que se encuentran los diferentes tipos de cargas de trabajo.Security requirements vary depending on a number of factors including different types of workloads. Ninguno de estos procedimientos recomendados puede por sí solo proteger sus sistemas.Not one of these best practices can by itself secure your systems. Al igual que en otros aspectos de la seguridad, es preciso elegir las opciones adecuadas y ver si las soluciones se pueden complementar entre sí y suplir las deficiencias.Like anything else in security, you have to choose the appropriate options and see how the solutions can complement each other by filling gaps.

Protección de máquinas virtuales mediante la autenticación y el control de accesoProtect VMs by using authentication and access control

El primer paso para proteger la máquina virtual es garantizar que solo los usuarios autorizados puedan configurar nuevas máquinas virtuales y obtener acceso a ellas.The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

Nota

Para mejorar la seguridad de las máquinas virtuales Linux en Azure, puede integrarlas con la autenticación de Azure Active Directory (AD).To improve the security of Linux VMs on Azure, you can integrate with Azure AD authentication. Cuando se usa la autenticación de Azure AD para máquinas virtuales Linux, se administran y se aplican de manera centralizada las directivas que permiten o deniegan el acceso a las máquinas virtuales.When you use Azure AD authentication for Linux VMs, you centrally control and enforce policies that allow or deny access to the VMs.

Procedimiento recomendado: Control de acceso a las máquinas virtuales.Best practice: Control VM access.
Detalles: Use directivas de Azure para establecer convenciones para los recursos de la organización y crear directivas personalizadas.Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Aplique estas directivas a los recursos, como los grupos de recursos.Apply these policies to resources, such as resource groups. Las máquinas virtuales que pertenecen a un grupo de recursos heredan sus directivas.VMs that belong to a resource group inherit its policies.

Si su organización tiene varias suscripciones, podría necesitar una manera de administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma eficaz.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Los grupos de administración de Azure proporcionan un nivel de ámbito por encima de las suscripciones.Azure management groups provide a level of scope above subscriptions. Las suscripciones se organizan en grupos de administración (contenedores) y aplican sus condiciones de gobernanza a dichos grupos.You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo.All subscriptions within a management group automatically inherit the conditions applied to the group. Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Procedimiento recomendado: Reducción de la variabilidad en la configuración e implementación de máquinas virtuales.Best practice: Reduce variability in your setup and deployment of VMs.
Detalles: Use plantillas de Azure Resource Manager para reforzar las opciones de implementación y facilitar la comprensión y la realización de inventario de las máquinas virtuales de su entorno.Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Procedimiento recomendado: Protección del acceso con privilegios.Best practice: Secure privileged access.
Detalles: Use un enfoque de privilegios mínimos y roles integrados de Azure para permitir que los usuarios configuren las máquinas virtuales y accedan a ellas.Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

  • Colaborador de la máquina virtual: Puede administrar máquinas virtuales, pero no la cuenta de almacenamiento o la red virtual a la que están conectadas.Virtual Machine Contributor: Can manage VMs, but not the virtual network or storage account to which they are connected.
  • Colaborador de la máquina virtual clásica: Puede administrar máquinas virtuales creadas con el modelo de implementación clásica, pero no la cuenta de almacenamiento ni la red virtual a la que están conectadas.Classic Virtual Machine Contributor: Can manage VMs created by using the classic deployment model, but not the virtual network or storage account to which the VMs are connected.
  • Administrador de seguridad: Solo en Security Center: puede ver las directivas de seguridad, los estados de seguridad, editar las directivas de seguridad, ver alertas y recomendaciones, y descartar alertas y recomendaciones.Security Admin: In Security Center only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
  • Usuario de DevTest Labs: puede ver todo el contenido, así como conectar, iniciar, reiniciar y apagar las máquinas virtuales.DevTest Labs User: Can view everything and connect, start, restart, and shut down VMs.

Los administradores y coadministradores de la suscripción pueden cambiar esta configuración, convirtiéndose en administradores de todas las máquinas virtuales de una suscripción.Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. Asegúrese de que confía en todos los administradores y coadministradores de la suscripción para iniciar sesión en cualquiera de las máquinas.Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

Nota

Se recomienda consolidar las máquinas virtuales con el mismo ciclo de vida en el mismo grupo de recursos.We recommend that you consolidate VMs with the same lifecycle into the same resource group. Mediante los grupos de recursos, puede implementar, supervisar y acumular los costos para sus recursos.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

Las organizaciones que controlan el acceso a la máquina virtual y la configuración mejoran la seguridad general de la máquina virtual.Organizations that control VM access and setup improve their overall VM security.

Uso de varias máquinas virtuales para mejorar la disponibilidadUse multiple VMs for better availability

Si la máquina virtual ejecuta aplicaciones esenciales que necesitan tener una alta disponibilidad, recomendamos encarecidamente usar varias máquinas virtuales.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. Para mejorar la disponibilidad, use un conjunto de disponibilidad o zonas de disponibilidad.For better availability, use an availability set or availability zones.

Un conjunto de disponibilidad es una agrupación lógica que puede usar en Azure para asegurarse de que los recursos de máquina virtual que coloque en dicho conjunto de disponibilidad estén aislados entre sí cuando se implementen en un centro de datos de Azure.An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. Azure garantiza que las máquinas virtuales colocadas en un conjunto de disponibilidad se ejecuten en varios servidores físicos, grupos de proceso, unidades de almacenamiento y conmutadores de red.Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. Si se produce un error de hardware o software de Azure, solo un subconjunto de las máquinas virtuales se ve afectado y la aplicación sigue estando disponible para los clientes.If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. Los conjuntos de disponibilidad son una funcionalidad fundamental para compilar soluciones en la nube confiables.Availability sets are an essential capability when you want to build reliable cloud solutions.

Protección frente a malwareProtect against malware

Debe instalar la protección antimalware para ayudar a identificar y eliminar virus, spyware y otro software malintencionado.You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. Puede instalar Microsoft Antimalware o una solución de Endpoint Protection de asociado de Microsoft (Trend Micro, Symantec, McAfee, Windows Defender y System Center Endpoint Protection).You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Symantec, McAfee, Windows Defender, and System Center Endpoint Protection).

Microsoft Antimalware incluye características como la protección en tiempo real, los análisis programados, la corrección de malware, las actualizaciones de firmas, las actualizaciones del motor, los ejemplos de informes y la colección de eventos de exclusión.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. En entornos hospedados por separado del entorno de producción, puede usar una extensión de antimalware para ayudar a proteger las máquinas virtuales y los servicios en la nube.For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

Puede integrar soluciones de asociados y Microsoft Antimalware con Azure Security Center para facilitar la implementación y la integración de detecciones (alertas e incidentes).You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

Procedimiento recomendado: Instalación de una solución antimalware para protegerse frente a malware.Best practice: Install an antimalware solution to protect against malware.
Detalles: Instale una solución de asociado de Microsoft o Microsoft AntimalwareDetail: Install a Microsoft partner solution or Microsoft Antimalware

Procedimiento recomendado: Integración de la solución antimalware con Security Center para supervisar el estado de la protección.Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
Detalles: Administre problemas de Endpoint Protection con Security CenterDetail: Manage endpoint protection issues with Security Center

Administrar las actualizaciones de la máquina virtualManage your VM updates

Las máquinas virtuales de Azure, al igual que todas las máquinas virtuales locales, están diseñadas para que las administre el usuario.Azure VMs, like all on-premises VMs, are meant to be user managed. Azure no inserta las actualizaciones de Windows en ellas.Azure doesn't push Windows updates to them. Debe administrar las actualizaciones de la máquina virtual.You need to manage your VM updates.

Procedimiento recomendado: Mantener actualizadas las máquinas virtuales.Best practice: Keep your VMs current.
Detalles: Use la solución Update Management de Azure Automation para administrar las actualizaciones del sistema operativo de los equipos Windows y Linux implementados en Azure, en entornos locales o en otros proveedores de nube.Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Puede evaluar rápidamente el estado de las actualizaciones disponibles en todos los equipos agente y administrar el proceso de instalación de las actualizaciones necesarias para los servidores.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Los equipos administrados por Update Management usan las siguientes configuraciones para evaluar e implementar actualizaciones:Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) para Windows o LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • Extensión DSC (configuración de estado deseado) de PowerShell para LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Hybrid Runbook Worker de AutomationAutomation Hybrid Runbook Worker
  • Microsoft Update o Windows Server Update Services (WSUS) para equipos WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Si usa Windows Update, deje habilitada la configuración automática de Windows Update.If you use Windows Update, leave the automatic Windows Update setting enabled.

Procedimiento recomendado: Comprobación de que en la implementación las imágenes creadas incluyen las actualizaciones de Windows más recientes.Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detalles: Busque e instale las actualizaciones de Windows como primer paso de cada implementación.Detail: Check for and install all Windows updates as a first step of every deployment. Es especialmente importante aplicar esta medida al implementar imágenes que proceden de usted o de su propia biblioteca.This measure is especially important to apply when you deploy images that come from either you or your own library. Aunque las imágenes de Azure Marketplace se actualizan automáticamente de forma predeterminada, puede producirse un intervalo de tiempo (hasta unas cuantas semanas) después de una versión pública.Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

Procedimiento recomendado: Volver a implementar periódicamente las máquinas virtuales para forzar una nueva versión del sistema operativo.Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detalles: Defina la máquina virtual con una plantilla de Azure Resource Manager para poder implementarla fácilmente.Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. El uso de una plantilla le ofrece una máquina virtual segura y revisada cuando la necesite.Using a template gives you a patched and secure VM when you need it.

Procedimiento recomendado: Aplique rápidamente las actualizaciones de seguridad a las máquinas virtuales.Best practice: Rapidly apply security updates to VMs.
Detalles: Habilite Azure Security Center (nivel Gratis o Estándar) para detectar si faltan actualizaciones de seguridad y aplicarlas.Detail: Enable Azure Security Center (Free tier or Standard tier) to identify missing security updates and apply them.

Procedimiento recomendado: Instalación de las últimas actualizaciones de seguridad.Best practice: Install the latest security updates.
Detalles: Algunas de las primeras cargas de trabajo que los clientes mueven a Azure son laboratorios y sistemas orientados externamente.Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Si las máquinas virtuales de Azure hospedan aplicaciones o servicios que deben estar accesibles desde Internet, esté atento a la aplicación de revisiones.If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. Aplique revisiones no solo del sistema operativo.Patch beyond the operating system. Las vulnerabilidades de aplicaciones de asociados a las que no se han aplicado revisiones también pueden provocar problemas que podrían haberse evitado si hubiera una buena administración de revisiones vigente.Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

Procedimiento recomendado: Implementación y comprobación de una solución de copia de seguridad.Best practice: Deploy and test a backup solution.
Detalles: Una copia de seguridad se debe realizar de la misma manera que cualquier otra operación.Detail: A backup needs to be handled the same way that you handle any other operation. al menos en los sistemas que formen parte del entorno de producción que se extiende a la nube.This is true of systems that are part of your production environment extending to the cloud.

Los sistemas de prueba y desarrollo deben seguir estrategias de copia de seguridad que proporcionen funcionalidades de restauración que sean similares a las que los usuarios están acostumbrado en función de su experiencia en entornos locales.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. Las cargas de trabajo de producción movidas a Azure deben integrarse con las soluciones de copia de seguridad existentes cuando sea posible.Production workloads moved to Azure should integrate with existing backup solutions when possible. O bien, puede usar Azure Backup para ayudarle a enfrentar los requisitos de copia de seguridad.Or, you can use Azure Backup to help address your backup requirements.

Las organizaciones que no aplican directivas de actualización de software están más expuestas a amenazas que aprovechan las vulnerabilidades conocidas, previamente fijas.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. Para cumplir con las normativas del sector, las empresas tienen que demostrar que son diligentes y que usan los controles adecuados para mejorar la seguridad de sus cargas de trabajo ubicadas en la nube.To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

Los procedimientos recomendados de actualización de software para los centros de datos tradicionales e IaaS de Azure tienen muchas similitudes.Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. Recomendamos evaluar las directivas de actualización de software actuales que se incluirán en las máquinas virtuales ubicadas en Azure.We recommend that you evaluate your current software update policies to include VMs located in Azure.

Administrar la posición de seguridad de la máquina virtualManage your VM security posture

Las ciberamenazas están en evolución.Cyberthreats are evolving. Para proteger las máquinas virtuales hace falta una funcionalidad de supervisión que pueda detectar rápidamente las amenazas, evitar el acceso no autorizado a los recursos, desencadenar alertas y reducir los falsos positivos.Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Para supervisar la posición de seguridad de sus máquinas virtuales Windows y Linux VMs, utilice Azure Security Center.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. En Security Center, proteja las máquinas virtuales aprovechando las ventajas de las funcionalidades siguientes:In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • Aplicar la configuración de seguridad del sistema operativo con las reglas de configuración recomendadas.Apply OS security settings with recommended configuration rules.
  • Identificar y descargar las actualizaciones críticas y de seguridad del sistema que puedan faltar.Identify and download system security and critical updates that might be missing.
  • Implementar recomendaciones de protección antimalware del punto de conexión.Deploy recommendations for endpoint antimalware protection.
  • Validar el cifrado del disco.Validate disk encryption.
  • Evaluar y corregir las vulnerabilidades.Assess and remediate vulnerabilities.
  • Detectar amenazas.Detect threats.

Security Center puede supervisar activamente si hay posibles amenazas, que se mostrarán en alertas de seguridad.Security Center can actively monitor for threats, and potential threats are exposed in security alerts. Las amenazas correlacionadas se agregan en una única vista denominada incidente de seguridad.Correlated threats are aggregated in a single view called a security incident.

Security Center almacena datos en loa registros de Azure Monitor.Security Center stores data in Azure Monitor logs. Los registros de Azure Monitor proporcionan un lenguaje de consulta y un motor de análisis que ofrece información sobre el funcionamiento de las aplicaciones y los recursos.Azure Monitor logs provides a query language and analytics engine that gives you insights into the operation of your applications and resources. Los datos también se recopilan de Azure Monitor, de las soluciones de administración y de los agentes instalados en máquinas virtuales locales en la nube o en el entorno local.Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Esta funcionalidad compartida le ayuda a formarse una imagen completa de su entorno.This shared functionality helps you form a complete picture of your environment.

Las organizaciones que no aplican una seguridad sólida a sus máquinas virtuales no están informadas de posibles intentos de eludir los controles de seguridad llevados a cabo por usuarios no autorizados.Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

Supervisar el rendimiento de la máquina virtualMonitor VM performance

El abuso de los recursos puede ser un problema cuando los procesos de las máquinas virtuales consumen más recursos de los que deberían.Resource abuse can be a problem when VM processes consume more resources than they should. Los problemas de rendimiento con una máquina virtual pueden provocar la interrupción del servicio, lo que infringe el principio de seguridad de disponibilidad.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Esto es especialmente importante en el caso de las máquinas virtuales que hospedan IIS u otros servidores web, ya que el uso elevado de la CPU o la memoria podría indicar un ataque de denegación de servicio (DoS).This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. Por esta razón, resulta imprescindible supervisar el acceso a las máquinas virtuales no solo de forma reactiva (aunque haya un problema), sino también de forma preventiva, usando como base de referencia un rendimiento medido durante el funcionamiento normal.It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

Se recomienda el uso de Azure Monitor para obtener una mayor visibilidad del estado de los recursos.We recommend that you use Azure Monitor to gain visibility into your resource’s health. Características de Azure Monitor:Azure Monitor features:

Las organizaciones que no supervisan el rendimiento de la máquina virtual no pueden determinar si ciertos cambios en los patrones de rendimiento son normales o anómalos.Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. Una máquina virtual que consume más recursos de lo habitual podría indicar un ataque procedente de un recurso externo o un proceso en peligro que se está ejecutando en la máquina virtual.A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

Cifrado de los archivos de disco duro virtualEncrypt your virtual hard disk files

Se recomienda cifrar los discos duros virtuales (VHD) para ayudar a proteger el volumen de arranque y los volúmenes de datos en reposo en el almacenamiento, junto con las claves de cifrado y los secretos.We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Azure Disk Encryption le ayuda a cifrar discos de las máquinas virtuales IaaS con Windows y Linux.Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. Azure Disk Encryption usa la característica BitLocker estándar del sector de Windows y la característica DM-Crypt de Linux para ofrecer cifrado de volumen para el sistema operativo y los discos de datos.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. La solución se integra con Azure Key Vault para ayudarle a controlar y administrar los secretos y las claves de cifrado de discos en su suscripción de Key Vault.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. La solución también garantiza que todos los datos de los discos de máquinas virtuales se cifran en reposo en Azure Storage.The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

Estos son algunos procedimientos recomendados para usar Azure Disk Encryption:Following are best practices for using Azure Disk Encryption:

Procedimiento recomendado: Habilitar cifrado en las máquinas virtuales.Best practice: Enable encryption on VMs.
Detalles: Azure Disk Encryption genera y escribe las claves de cifrado en el almacén de claves.Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. La administración de claves de cifrado en el almacén de claves necesita la autenticación de Azure AD.Managing encryption keys in your key vault requires Azure AD authentication. Para ello, cree una aplicación de Azure AD.Create an Azure AD application for this purpose. Para realizar la autenticación, se pueden usar la autenticación basada en secreto de cliente o la autenticación de Azure AD basada en certificado del cliente.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Procedimiento recomendado: Uso de una clave de cifrado de claves (KEK) para una brindar una capa adicional de seguridad para las claves de cifrado.Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Agregue una KEK al almacén de claves.Add a KEK to your key vault.
Detalles: Use el cmdlet Add-AzKeyVaultKey para crear una clave de cifrado de claves en el almacén de claves.Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. También puede importar una KEK en el módulo de seguridad de hardware (HSM) de administración de claves local.You can also import a KEK from your on-premises hardware security module (HSM) for key management. Para más información, consulte la documentación de Key Vault.For more information, see the Key Vault documentation. Cuando se especifica una clave de cifrado de claves, Azure Disk Encryption usa esa clave para encapsular los secretos de cifrado antes de escribirlos en Key Vault.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. El mantenimiento de una copia de custodia de esta clave en un HSM de administración de claves local ofrece una protección adicional contra la eliminación accidental de claves.Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

Procedimiento recomendado: Tomar una instantánea o realizar una copia de seguridad antes de cifrar los discos.Best practice: Take a snapshot and/or backup before disks are encrypted. Las copias de seguridad proporcionan una opción de recuperación si se produce un error inesperado durante el cifrado.Backups provide a recovery option if an unexpected failure happens during encryption.
Detalles: Las máquinas virtuales con discos administrados requieren una copia de seguridad antes del cifrado.Detail: VMs with managed disks require a backup before encryption occurs. Después de hacer la copia de seguridad, puede usar el cmdlet Set-AzVMDiskEncryptionExtension para cifrar los discos administrados mediante la especificación del parámetro -skipVmBackup.After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Para más información sobre cómo realizar la copia de seguridad y restauración de máquinas virtuales cifradas, consulte el artículo sobre Azure Backup.For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Procedimiento recomendado: Para garantizar que los secretos de cifrado no traspasen los límites regionales, Azure Disk Encryption necesita que Key Vault y las máquinas virtuales estén ubicadas en la misma región.Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detalles: Cree y use una instancia de Key Vault que se encuentre en la misma región que la máquina virtual que se va a cifrar.Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Cuando se aplica Azure Disk Encryption, puede atender las siguientes necesidades empresariales:When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • Las máquinas virtuales IaaS se protegen en reposo a través de la tecnología de cifrado estándar del sector para cumplir los requisitos de seguridad y cumplimiento de la organización.IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • Las máquinas virtuales IaaS se inician bajo directivas y claves controladas por el cliente, y puede auditar su uso en el almacén de claves.IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

Restringir la conectividad directa a InternetRestrict direct internet connectivity

Supervise y restrinja la conectividad directa a Internet de las máquinas virtuales.Monitor and restrict VM direct internet connectivity. Los atacantes analizan constantemente los intervalos de IP de la nube pública en busca de puertos de administración abiertos e intentan realizar ataques "sencillos", como contraseñas comunes y vulnerabilidades conocidas sin revisiones.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities. En esta tabla se enumeran los procedimientos recomendados para que sea más fácil protegerse frente a estos ataques:The following table lists best practices to help protect against these attacks:

Procedimiento recomendado: Evitar la exposición accidental a la seguridad y el enrutamiento de redes.Best practice: Prevent inadvertent exposure to network routing and security.
Detalles: Use RBAC para asegurarse de que solo el grupo de redes central tiene permiso para los recursos de red.Detail: Use RBAC to ensure that only the central networking group has permission to networking resources.

Procedimiento recomendado: Identificar y corregir las máquinas virtuales expuestas que permiten el acceso desde "cualquier" dirección IP de origen.Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detalles: Use Azure Security Center.Detail: Use Azure Security Center. Security Center le recomendará que restrinja el acceso a través de puntos de conexión accesibles desde Internet si alguno de los grupos de seguridad de red tiene una o varias reglas de entrada que permiten el acceso desde “cualquier” dirección IP de origen.Security Center will recommend that you restrict access through internet-facing endpoints if any of your network security groups has one or more inbound rules that allow access from “any” source IP address. Security Center recomienda editar estas reglas de entrada para restringir el acceso a las direcciones IP de origen que realmente necesiten el acceso.Security Center will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Procedimiento recomendado: Restringir los puertos de administración (RDP, SSH).Best practice: Restrict management ports (RDP, SSH).
Detalles: Puede usar el acceso a VM Just-In-Time para bloquear el tráfico entrante a las máquinas virtuales de Azure. Para ello, se reduce la exposición a ataques y se proporciona un acceso sencillo para conectarse a las máquinas virtuales cuando sea necesario.Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Cuando el acceso a Just-In-Time está habilitado, Security Center bloquea el tráfico entrante a las máquinas virtuales de Azure mediante la creación de una regla de grupo de seguridad de red.When JIT is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. Se deben seleccionar los puertos de la máquina virtual para la que se bloqueará el tráfico entrante.You select the ports on the VM to which inbound traffic will be locked down. Estos puertos los controla la solución Just-In-Time.These ports are controlled by the JIT solution.

Pasos siguientesNext steps

Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad de Azure y los servicios de Microsoft relacionados:The following resources are available to provide more general information about Azure security and related Microsoft services: