Aplicación de principios de confianza cero a aplicaciones IaaS en Amazon Web Services
En este artículo se describen los pasos para aplicar los principios de confianza cero a las aplicaciones IaaS en Amazon Web Services (AWS):
| Principio de Confianza cero | Definición | Forma de cumplimiento |
|---|---|---|
| Comprobación explícita | Autentique y autorice siempre en función de todos los puntos de datos disponibles. | Las opciones de seguridad en DevOps (DevSecOps) impulsadas por GitHub Advanced Security y DevOps examinan y protegen la infraestructura como código. |
| Uso del acceso con privilegios mínimos | Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos. |
|
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
|
Para más información sobre cómo aplicar los principios de Confianza cero en un entorno de IaaS de Azure, consulte Introducción a la aplicación de principios de Confianza cero a IaaS de Azure.
AWS y componentes de AWS
AWS es uno de los proveedores de nube pública disponibles en el mercado, junto con Microsoft Azure, Google Cloud Platform y otros. Es habitual que las empresas tengan una arquitectura multinube que conste de más de un proveedor de nube. En este artículo, nos centramos en una arquitectura multinube donde:
- Azure y AWS están integrados para ejecutar cargas de trabajo y soluciones empresariales de TI.
- Se protege una carga de trabajo IaaS de AWS mediante productos de Microsoft.
Las máquinas virtuales de AWS, denominadas Amazon Elastic Compute Cloud (Amazon EC2), se ejecutan sobre una red virtual de AWS, denominada Amazon Virtual Private Cloud (Amazon VPC). Los usuarios y los administradores de la nube configuran una Amazon VPC en su entorno de AWS y agregan máquinas virtuales de Amazon EC2.
AWS CloudTrail registra la actividad de la cuenta de AWS en el entorno de AWS. Amazon EC2, Amazon VPC y AWS CloudTrail son comunes en entornos de AWS. La recopilación de registros de estos servicios es esencial para comprender lo que sucede en su entorno de AWS y las acciones que se deben realizar para evitar o mitigar los ataques.
Amazon GuardDuty es un servicio de detección de amenazas que ayuda a proteger las cargas de trabajo de AWS mediante la supervisión del entorno de AWS para detectar actividades malintencionadas y comportamientos no autorizados.
En este artículo, aprenderá a integrar la supervisión y el registro de estos recursos y servicios de AWS con las soluciones de supervisión de Azure y la pila de seguridad de Microsoft.
Arquitectura de referencia
En el diagrama de arquitectura siguiente se muestran los servicios comunes y los recursos necesarios para ejecutar una carga de trabajo de IaaS en un entorno de AWS. En el diagrama también se muestran los servicios de Azure necesarios para ingerir registros y datos del entorno de AWS en Azure, y proporcionar protección y supervisión de amenazas.
En el diagrama se muestra la ingesta de registros en Azure para los siguientes recursos y servicios en el entorno de AWS:
- Amazon Elastic Compute Cloud (Amazon EC2)
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon Web Services CloudTrail (AWS CloudTrail)
- Amazon GuardDuty
Para ingerir registros en Azure para los recursos y servicios del entorno de AWS, debe tener definidos Amazon Simple Storage Service (Amazon S3) y Amazon Simple Queue Service (SQS).
Los registros y los datos se ingieren en Log Analytics de Azure Monitor.
Los siguientes productos de Microsoft usan los datos ingeridos con fines de supervisión:
- Microsoft Defender for Cloud
- Microsoft Sentinel
- Microsoft Defender para punto de conexión
Nota:
No tiene que ingerir registros en todos los productos de Microsoft enumerados para supervisar los recursos y servicios de AWS. Sin embargo, el uso de todos los productos de Microsoft proporciona mayores beneficios a partir de la ingesta de datos y el registro de AWS en Azure.
En este artículo se sigue el diagrama de arquitectura y se describe cómo hacer lo siguiente:
- Instalar y configurar los productos de Microsoft para ingerir registros de los recursos de AWS.
- Configurar métricas para los datos de seguridad que desea supervisar.
- Mejorar la posición general de seguridad y proteger la carga de trabajo de AWS.
- Proteger la infraestructura como código.
Paso 1: Instalar y conectar productos de Microsoft para ingerir registros y datos
En esta sección se explica cómo instalar y conectar los productos de Microsoft en la arquitectura a la que se hace referencia para ingerir registros de los servicios y recursos de AWS y Amazon. Para cumplir el principio de confianza cero de comprobación explícita, debe instalar productos de Microsoft y conectarse a su entorno de AWS para realizar acciones proactivas antes de un ataque.
| Pasos | Tarea |
|---|---|
| A | Instale el agente de Azure Connected Machine en las máquinas virtuales de Amazon Elastic Compute Cloud (Amazon EC2) para ingerir datos y registros del sistema operativo en Azure. |
| B | Instale el agente de Azure Monitor en máquinas virtuales de Amazon EC2 para enviar registros al área de trabajo de Log Analytics. |
| C | Conecte una cuenta de AWS a Microsoft Defender for Cloud. |
| D | Conecte Microsoft Sentinel a AWS para ingerir datos de registro de AWS. |
| E | Use los conectores de AWS para extraer los registros de servicio de AWS en Microsoft Sentinel. |
A. Instalación del agente de Azure Connected Machine en las máquinas virtuales de Amazon EC2 para ingerir datos y registros del sistema operativo en Azure
Los servidores habilitados para Azure Arc permiten administrar servidores físicos y máquinas virtuales Windows y Linux hospedados fuera de Azure, en la red corporativa o en otro proveedor de nube. Para Azure Arc, las máquinas hospedadas fuera de Azure se consideran máquinas híbridas. Para conectar las máquinas virtuales de Amazon EC2 (también conocidas como máquinas híbridas) a Azure, instale el agente de Azure Connected Machine en cada máquina.
Para obtener más información, consulte Conexión de máquinas híbridas a Azure.
B. Instalación del agente de Azure Monitor en máquinas virtuales de Amazon EC2 para enviar registros al área de trabajo de Log Analytics
Azure Monitor proporciona una supervisión completa de los recursos y las aplicaciones que se ejecutan en Azure y otras nubes, incluido AWS. Azure Monitor recopila y analiza los datos de telemetría de sus entornos locales y de nube, y actúa sobre dichos datos. VM Insights en Azure Monitor usa servidores habilitados para Azure Arc para proporcionar una experiencia coherente entre las máquinas virtuales de Azure y las máquinas virtuales de AWS EC2. Puede ver las máquinas virtuales de Amazon EC2 junto con las máquinas virtuales de Azure. También puede incorporar las máquinas virtuales de Amazon EC2 mediante métodos idénticos. Esta opción incluye las ventajas de las construcciones estándar de Azure, como Azure Policy y la aplicación de etiquetas.
Al habilitar VM Insights para una máquina, se instala el agente de Azure Monitor (AMA). AMA recopila datos de supervisión de las máquinas virtuales de Amazon EC2 y los entrega a Azure Monitor para usarse en características, conclusiones y otros servicios, como Microsoft Sentinel y Microsoft Defender for Cloud.
Importante
Log Analytics es una herramienta de Azure Portal que se usa para editar y ejecutar consultas de registro en los datos del almacén de registros de Azure Monitor. Log Analytics se instala automáticamente.
Las máquinas virtuales de Amazon EC2 pueden tener instalado el agente heredado de Log Analytics. Este agente quedará en desuso en septiembre de 2024. Microsoft recomienda instalar el nuevo agente de Azure Monitor.
El agente de Log Analytics o el agente de Azure Monitor para Windows y Linux es necesario para hacer lo siguiente:
- Supervisar de forma proactiva el sistema operativo y las cargas de trabajo que se ejecutan en la máquina.
- Administrar las máquinas mediante soluciones o runbooks de automatización, como Update Management.
- Use otros servicios de Azure como Microsoft Defender para la nube.
Al recopilar registros y datos, la información se almacena en un área de trabajo de Log Analytics. Necesitará un área de trabajo de Log Analytics para recopilar datos de recursos de Azure en su suscripción.
Los libros de Azure Monitor son una herramienta de visualización disponible en Azure Portal. Los libros combinan texto, consultas de registros, métricas y parámetros en informes interactivos avanzados. La configuración de libros le ayuda a usar análisis para cumplir el principio de confianza cero de presunción de vulneraciones.
Los libros se describen en el siguiente artículo en Supervisión de registros de Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail y Amazon GuardDuty en Microsoft Sentinel.
Para más información, vea:
- Instalación de AMA mediante reglas de recopilación de datos en Azure Monitor
- Creación de un área de trabajo de Log Analytics
- Introducción a Azure Workbooks
C. Conexión de una cuenta de AWS a Microsoft Defender for Cloud
Microsoft Defender for Cloud es un recurso de administración de la posición de seguridad en la nube (CSPM) y la plataforma de protección de cargas de trabajo en la nube (CWPP) para todos los recursos de Azure, locales y multinube, como AWS. Defender for Cloud cubre tres necesidades vitales a medida que administra la seguridad de los recursos y las cargas de trabajo en la nube y en el entorno local:
- Evaluación continua: conozca la posición de seguridad. Identifique y realice un seguimiento de las vulnerabilidades.
- Protección: proteja los recursos y los servicios con el punto de referencia de seguridad en la nube de Microsoft (MCSB) y los procedimientos recomendados estándar de seguridad de AWS.
- Defensa: detecte y resuelva las amenazas a recursos y servicios.
Microsoft Defender para servidores es uno de los planes de pago que ofrece Microsoft Defender for Cloud. Defender para servidores amplía la protección a las máquinas Windows y Linux que se ejecutan en Azure, AWS, Google Cloud Platform y en el entorno local. Defender para servidores se integra con Microsoft Defender para punto de conexión para proporcionar detección y respuesta de puntos de conexión (EDR), y otras características de protección contra amenazas.
Para más información, vea:
- Conexión de una cuenta de AWS a Microsoft Defender for Cloud para proteger los recursos de AWS.
- Seleccione un plan de Defender para servidores en Microsoft Defender for Cloud para comparar los diferentes planes que ofrece Defender para servidores. Defender para servidores aprovisiona automáticamente el sensor de Defender para punto de conexión en cada máquina compatible conectada a Defender for Cloud.
Nota:
Si aún no ha implementado AMA en los servidores, puede implementar el agente de Azure Monitor en los servidores al habilitar Defender para servidores.
D. Conexión de Microsoft Sentinel a AWS para ingerir datos de registro de AWS
Microsoft Sentinel es una solución escalable y nativa de nube que proporciona los siguientes servicios:
- Administración de eventos e información de seguridad (SIEM)
- Respuesta automatizada de orquestación de seguridad (SOAR)
Use Microsoft Sentinel para proporcionar análisis de seguridad e inteligencia sobre amenazas a toda la empresa. Con Microsoft Sentinel obtendrá una única solución para la detección de ataques, la visibilidad de amenazas, la búsqueda proactiva y la respuesta contra amenazas.
Para obtener instrucciones de configuración, consulte Incorporación de Microsoft Sentinel.
E. Uso de los conectores de AWS para extraer los registros de servicio de AWS en Microsoft Sentinel
Para extraer los registros de servicio de AWS en Microsoft Sentinel, debe usar un conector de AWS para Microsoft Sentinel. Este conector funciona concediendo a Microsoft Sentinel acceso a los registros de recursos de AWS. La configuración del conector establece una relación de confianza entre AWS y Microsoft Sentinel. En AWS se crea un rol que concede a Microsoft Sentinel el permiso necesario para acceder a los registros de AWS.
El conector AWS está disponible en dos versiones: el nuevo conector de Amazon Simple Storage Service (Amazon S3) que ingiere registros mediante su extracción desde un cubo de Amazon S3 y el conector heredado para la administración de CloudTrail y los registros de datos. El conector de Amazon S3 puede ingerir registros de Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail y Amazon GuardDuty. El conector de Amazon S3 está en versión preliminar. Se recomienda usar el conector de Amazon S3.
Para ingerir registros de Amazon VPC, AWS CloudTrail y Amazon GuardDuty mediante el conector de Amazon S3, consulte Conexión de Microsoft Sentinel a AWS.
Nota:
Microsoft recomienda usar el script de instalación automática para implementar el conector de Amazon S3. Si prefiere realizar cada paso manualmente, siga los pasos de la configuración manual para conectar Microsoft Sentinel a AWS.
Paso 2: Configuración de métricas para los datos de seguridad
Ahora que Azure ingiere registros de los recursos de AWS, puede crear reglas de detección de amenazas en su entorno y alertas de supervisión. Este artículo le guía por los pasos para recopilar registros y datos, y supervisar la actividad sospechosa. El principio de confianza cero de presunción de vulneraciones se cumple mediante la supervisión del entorno para detectar amenazas y vulnerabilidades.
| Pasos | Tarea |
|---|---|
| A | Recopile registros de Amazon Elastic Compute Cloud (Amazon EC2) en Azure Monitor. |
| B | Vea y administre alertas y recomendaciones de seguridad de Microsoft Defender for Cloud para Amazon EC2. |
| C | Integre Defender for Cloud con Microsoft Defender para punto de conexión. |
| D | Supervise los datos de Amazon EC2 en Microsoft Sentinel. |
| E | Supervise registros de Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail y Amazon GuardDuty en Microsoft Sentinel. |
| V | Use reglas de detección integradas de Microsoft Sentinel para crear e investigar las reglas de detección de amenazas en su entorno. |
A Recopilación de registros de Amazon Elastic Compute Cloud (Amazon EC2) en Azure Monitor
El agente de Azure Connected Machine instalado en las máquinas virtuales de Amazon EC2 le permite supervisar los recursos de AWS como si fueran recursos de Azure. Por ejemplo, puede usar directivas de Azure para controlar y administrar las actualizaciones de las máquinas virtuales de Amazon EC2.
El agente de Azure Monitor (AMA) instalado en las máquinas virtuales de Amazon EC2 recopila datos de supervisión y los entrega a Azure Monitor. Estos registros se convierten en una entrada para Microsoft Sentinel y Defender for Cloud.
Para recopilar registros de las máquinas virtuales de Amazon EC2, consulte Creación de reglas de recopilación de datos.
B. Visualización y administración de alertas y recomendaciones de seguridad de Microsoft Defender for Cloud para Amazon EC2
Microsoft Defender for Cloud usa registros de recursos para generar recomendaciones y alertas de seguridad detalladas. Defender for Cloud puede proporcionar alertas para advertirle sobre posibles amenazas en las máquinas virtuales de Amazon EC2. Las alertas reciben una clase de prioridad según su gravedad. Cada alerta proporciona detalles de los recursos, problemas y recomendaciones de corrección afectados.
Hay dos formas de ver las recomendaciones en Azure Portal. En la página de información general de Defender for Cloud, puede ver las recomendaciones para el entorno que quiera mejorar. En la página de inventario de recursos de Defender for Cloud, se muestran recomendaciones según el recurso afectado.
Para ver y administrar alertas y recomendaciones de Amazon EC2:
- Obtenga información sobre los diferentes tipos de alertas disponibles en Defender for Cloud y cómo responder a ellas.
- Mejore la posición de seguridad mediante la implementación de recomendaciones de Defender for Cloud.
- Obtenga información sobre cómo acceder a la página de inventario de recursos de Defender for Cloud.
Nota:
El punto de referencia de seguridad en la nube de Microsoft (MCSB) incluye una colección de recomendaciones de seguridad de alto impacto que puede usar para ayudar a proteger los servicios en la nube en un entorno de una o varias nubes. Microsoft recomienda usar pruebas comparativas de seguridad para ayudarle a proteger rápidamente las implementaciones en la nube. Más información sobre el MCSB.
C. Integración de Defender for Cloud con Microsoft Defender para punto de conexión
Proteja los puntos de conexión con la solución de detección y respuesta de puntos de conexión integrada de Defender for Cloud, Microsoft Defender para punto de conexión. Microsoft Defender para punto de conexión protege las máquinas Windows y Linux tanto si se hospedan en Azure, de manera local o en un entorno multinube. Microsoft Defender para punto de conexión es una solución integral de seguridad del punto de conexión que se entrega en la nube. Las principales características incluyen:
- Evaluación y administración de vulnerabilidades basadas en riesgos.
- Reducción de la superficie expuesta a ataques
- Protección basada en el comportamiento y con tecnología de nube.
- Detección y respuesta de puntos de conexión (EDR).
- Investigación y corrección automatizadas.
- Servicios de búsqueda administrados.
Para obtener más información, vea Habilitación de la integración de Microsoft Defender para punto de conexión.
D. Supervisión de datos de Amazon EC2 en Microsoft Sentinel
Una vez instalados el agente de Azure Connected Machine y AMA, los sistemas operativos de Amazon EC2 comienzan a enviar registros a las tablas de Azure Log Analytics que están disponibles automáticamente para Microsoft Sentinel.
En la imagen siguiente se muestra cómo Microsoft Sentinel ingiere los registros del sistema operativo de Amazon EC2. El agente de Azure Connected Machine hace que las máquinas virtuales de Amazon EC2 se integren en Azure. Los eventos de Seguridad de Windows a través del conector de datos de AMA recopilan datos de las máquinas virtuales de Amazon EC2.
Nota:
No necesita Microsoft Sentinel para ingerir registros de Amazon EC2, pero necesita un área de trabajo de Log Analytics configurada previamente.
Para obtener instrucciones detalladas, consulte Ingesta de datos de Amazon EC2 en Sentinel mediante Arc y AMA, que es un documento de GitHub. El documento de GitHub aborda la instalación de AMA, que en este caso puede omitir porque instaló AMA anteriormente en esta guía de solución.
E. Supervisión de registros de Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail y Amazon GuardDuty en Microsoft Sentinel
Anteriormente ha conectado Microsoft Sentinel a AWS mediante el conector de Amazon Simple Storage Service (Amazon S3). El cubo de Amazon S3 envía registros al área de trabajo de Log Analytics, la herramienta subyacente que se usa para consultarlos. En el área de trabajo se crean las tablas siguientes:
- AWSCloudTrail: los registros de AWS CloudTrail contienen todos los datos y eventos de administración de su cuenta de AWS.
- AWSGuardDuty: los hallazgos de Amazon GuardDuty representan un posible problema de seguridad detectado en la red. Amazon GuardDuty genera una búsqueda cada vez que detecta actividades inesperadas y potencialmente malintencionadas en su entorno de AWS.
- AWSVPCFlow: los registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) le permiten capturar el tráfico IP bidireccional en sus interfaces de red de Amazon VPC.
Puede consultar los registros de flujo de Amazon VPC, AWS CloudTrail y Amazon GuardDuty en Microsoft Sentinel. A continuación se muestran ejemplos de consultas para cada servicio y la tabla correspondiente en Log Analytics:
Para los registros de Amazon GuardDuty:
AWSGuardDuty | where Severity > 7 | summarize count() by ActivityType
Para los registros de Amazon VPC Flow:
AWSVPCFlow | where Action == "REJECT" | where Type == "Ipv4" | take 10
Para los registros de AWS CloudTrail:
AWSCloudTrail | where EventName == "CreateUser" | summarize count() by AWSRegion
En Microsoft Sentinel, usará el libro de Amazon S3 para analizar más detalles.
Para AWS CloudTrail, puede analizar:
- Flujo de datos con el tiempo
- Identificador de cuentas
- Lista de orígenes de eventos
Para Amazon GuardDuty, puede analizar:
- Amazon GuardDuty por mapa
- Amazon GuardDuty por región
- Amazon GuardDuty por IP
F. Uso de reglas de detección integradas de Microsoft Sentinel para crear e investigar las reglas de detección de amenazas en su entorno
Ahora que ha conectado los orígenes de datos a Microsoft Sentinel, use plantillas de reglas de detección integradas de Microsoft Sentinel para ayudarle a crear e investigar reglas de detección de amenazas en su entorno. Microsoft Sentinel proporciona plantillas integradas predefinidas para ayudarle a crear reglas de detección de amenazas.
Un equipo de expertos y analistas en seguridad de Microsoft diseña plantillas de reglas a partir de amenazas conocidas, vectores de ataque habituales y cadenas de escalado de actividades sospechosas. Las reglas creadas a partir de estas plantillas buscan automáticamente en el entorno las actividades que parezcan sospechosas. Muchas de las plantillas se pueden personalizar para buscar o filtrar actividades, según sus necesidades. Las alertas generadas por estas reglas crean incidentes que puede asignar e investigar en su entorno.
Para obtener más información, vea Detección de amenazas con reglas de análisis integradas en Microsoft Sentinel.
Paso 3: Mejorar la posición general de seguridad
En esta sección, obtendrá información sobre cómo le ayuda Administración de permisos de Microsoft Entra a supervisar el exceso de permisos y los permisos sin usar. Recorra paso a paso cómo configurar, incorporar y ver los datos clave. El principio de confianza cero de acceso con privilegios mínimos se logra mediante la administración, el control y la supervisión del acceso a los recursos.
| Pasos | Tarea |
|---|---|
| A | Configurar la administración de permisos y Privileged Identity Management. |
| B | Incorporar una cuenta de AWS. |
| C | Ver estadísticas y datos clave. |
Configuración de Permissions Management
Permissions Management es una solución de administración de derechos de infraestructura en la nube (CIEM) que detecta, adapta el tamaño y supervisa continuamente los permisos sin usar y excesivos en toda la infraestructura multinube.
Permissions Management amplía las estrategias de seguridad de confianza cero mediante el aumento del principio de acceso con privilegios mínimos, lo que permite a los clientes lo siguiente:
- Obtener visibilidad completa: descubrir qué identidad hace qué, dónde y cuándo.
- Automatizar el acceso con privilegios mínimos: use análisis de acceso para asegurarse de que las identidades tienen los permisos adecuados en el momento adecuado.
- Unifique las directivas de acceso entre plataformas IaaS: implemente directivas de seguridad coherentes en toda la infraestructura en la nube.
Permissions Management proporciona un resumen de las estadísticas y los datos clave de AWS y Azure. Los datos que proporciona incluyen métricas relacionadas con un riesgo evitable. Estas métricas permiten al administrador de Permissions Management identificar las áreas en las que se pueden reducir los riesgos relacionados con el principio de acceso con permisos mínimos del enfoque de confianza cero.
Los datos se pueden introducir en Microsoft Sentinel para su posterior análisis y automatización.
Para implementar estas tareas, consulte:
- A Habilitación de Permissions Management en una organización
- B. Incorporación de una cuenta de AWS en Permissions Management
- C. Visualización de estadísticas y datos clave
Paso 4: Proteger la infraestructura como código
En esta sección se trata un pilar fundamental de DevSecOps, el examen y la protección de la infraestructura como código. En el caso de la infraestructura como código, la seguridad y los equipos de DevOps deben supervisar si hay configuraciones incorrectas que puedan provocar vulnerabilidades en las implementaciones de infraestructura.
Al implementar comprobaciones continuas en las plantillas de Azure Resource Manager (ARM), Bicep o Terraform, se evitan infracciones y vulnerabilidades de seguridad en el desarrollo desde las fases iniciales, cuando son menos costosas de corregir. Se recomienda mantener también un control estricto de los administradores y los grupos de cuentas de servicio en Microsoft Entra ID y la herramienta DevOps.
Implemente el principio de confianza cero de acceso con privilegios mínimos mediante:
- La ejecución de revisiones sólidas de las configuraciones de infraestructura con acceso a identidades con privilegios mínimos y la configuración de las redes.
- La asignación a los usuarios de un control de acceso basado en roles (RBAC) a los recursos en el nivel de repositorio, nivel de equipo o organización.
Requisitos previos:
- Los repositorios de código se encuentran en Azure DevOps o GitHub
- Las canalizaciones se hospedan en Azure DevOps o GitHub
| Pasos | Tarea |
|---|---|
| A | Habilite DevSecOps para infraestructura como código (IaC). |
| B | Implemente RBAC para herramientas de DevOps. |
| C | Habilite GitHub Advanced Security. |
| D | Vea los resultados del examen de secretos y el código. |
A Habilitación de DevSecOps para IaC
Defender para DevOps proporciona visibilidad sobre la posición de seguridad del entorno de varias canalizaciones, independientemente de si el código y las canalizaciones están en Azure DevOps o GitHub. Tiene la ventaja adicional de implementar un único panel en el que los equipos de seguridad y DevOps pueden ver los resultados del examen de todos sus repositorios y configurar un proceso de solicitud de cambios para corregir cualquier problema.
Para más información, vea:
B. Implementación de RBAC para herramientas de DevOps
Debe administrar e implementar prácticas de gobernanza sólidas para el equipo, como los permisos de control de acceso basado en roles. Si este modelo no se refleja para la automatización de DevOps, su organización podría dejar abierta una puerta trasera de seguridad. Piense en un ejemplo en el que un desarrollador no tiene acceso a través de plantillas de ARM. Sin embargo, tiene permisos suficientes para cambiar el código de la aplicación o la infraestructura como código y desencadenar un flujo de trabajo de automatización. El desarrollador, indirectamente a través de DevOps, puede acceder a las plantillas de ARM y realizar cambios destructivos en las mismas.
Al implementar soluciones basadas en la nube para las implementaciones de infraestructura, la seguridad siempre debe ser su principal preocupación. Microsoft mantiene segura la infraestructura en la nube subyacente. La seguridad se configura en Azure DevOps o GitHub.
Para configurar la seguridad:
- En Azure DevOps, puede usar grupos de seguridad, directivas y configuraciones a nivel de organización/colección, proyecto u objeto.
- En GitHub, puede asignar a los usuarios acceso a los recursos concediéndoles roles a nivel de repositorio, nivel de equipo o nivel de organización.
C. Habilitación de GitHub Advanced Security
Para proteger de forma proactiva los entornos, es importante supervisar y reforzar continuamente la seguridad de DevOps. GitHub Advanced Security automatiza las comprobaciones de la canalización para buscar secretos expuestos, vulnerabilidades de dependencia y mucho más. GitHub pone a disposición de los clientes características de seguridad disponibles con una licencia de Advanced Security.
De forma predeterminada, GitHub Advanced Security está habilitado para repositorios públicos. Para los repositorios privados, debe usar las licencias de GitHub Advanced Security. Una vez habilitado, puede empezar a usar las muchas características que se incluyen con el conjunto de GitHub Advanced Security:
- Análisis de código
- Examen de dependencias
- Análisis de secretos
- Control de acceso
- Alertas de vulnerabilidades
- Registro de auditoría
- Reglas de protección de ramas
- Revisiones de solicitudes de extracción
Con estas características, puede asegurarse de que el código sea seguro y esté conforme con los estándares del sector. También puede crear flujos de trabajo automatizados para ayudarle a detectar y solucionar rápidamente los problemas de seguridad en el código. Además, puede usar reglas de protección de ramas para evitar cambios no autorizados en el código base.
Para más información, vea Habilitación de GitHub Advanced Security.
D. Visualización de resultados del examen de secretos y el código
Defender para DevOps, un servicio disponible en Defender for Cloud, permite a los equipos de seguridad administrar la seguridad de DevOps en entornos de varias canalizaciones. Defender para DevOps usa una consola central para permitir a los equipos de seguridad proteger las aplicaciones y los recursos desde el código a la nube en entornos de varias canalizaciones, como GitHub y Azure DevOps.
Defender para DevOps expone los resultados de seguridad como anotaciones en solicitudes de incorporación de cambios (PR). Los operadores de seguridad pueden habilitar las anotaciones de solicitud de incorporación de cambios en Microsoft Defender for Cloud. Los desarrolladores pueden solucionar cualquier incidencia expuesto. Este proceso ayuda a evitar y corregir posibles vulnerabilidades de seguridad y errores de configuración antes de entrar en la fase de producción. Puede configurar anotaciones de PR en Azure DevOps. Si es cliente de GitHub Advanced Security, puede obtener anotaciones de solicitud de incorporación de cambios en GitHub.
Para más información, vea:
- Configurar la acción de GitHub de DevOps de seguridad de Microsoft
- Configuración de la extensión Azure DevOps de Microsoft Security DevOps
- Habilitación de anotaciones de solicitud de incorporación de cambios en GitHub y Azure DevOps
Pasos siguientes
Obtenga más información sobre los servicios de Azure que se describen en este artículo:
- Microsoft Defender for Cloud
- Microsoft Sentinel
- Azure Monitor
- Servidores habilitados para Azure Azure Arc
- Log Analytics
Obtenga más información sobre AWS y Amazon Services, y los recursos que se describen en este artículo:
- Amazon Elastic Compute Cloud (Amazon EC2)
- AWS CloudTrail
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon GuardDuty
- Amazon Simple Storage Service (Amazon S3)
- Amazon Simple Queue Service (SQS)
- AWS Identity and Access Management (IAM)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de