Supervisión de los recursos de Azure en Azure Security Center
La mayoría de las soluciones de arquitectura en la nube tienen componentes de proceso, redes, datos e identidad, y cada uno de ellos requiere mecanismos de supervisión diferentes. Incluso los servicios de Azure tienen necesidades de supervisión individuales. Por ejemplo, para supervisar Azure Functions puede habilitar Azure Application Insights.
Azure Security Center tiene muchos planes que supervisan la posición de seguridad de máquinas, redes, almacenamiento y servicios de datos, y aplicaciones para detectar posibles problemas de seguridad. Entre los problemas comunes se incluyen las VM conectadas a Internet o las actualizaciones de seguridad que faltan, la falta de protección o cifrado de puntos de conexión, las desviaciones de las configuraciones de seguridad de línea de base, la falta de Web Application Firewall (WAF), etc.
Puntos clave
- Habilite Azure Defender como medida de defensa en profundidad. Use características de Defender específicas del recurso, como Azure Defender para servidores, Azure Defender para punto de conexión o Azure Defender para Storage.
- Observe la limpieza de contenedores a través de herramientas que tienen en cuenta los contenedores y de análisis regulares.
- Revise todos los registros de flujo de red a través de Network Watcher. Consulte los registros de diagnóstico en Azure Security Center.
- Integre todos los registros en una solución SIEM central para analizar y detectar comportamientos sospechosos.
- Supervise los eventos de riesgo relacionados con la identidad en informes de Azure AD y Azure Active Directory Identity Protection.
Procedimientos recomendados generales
La identificación de actividades de seguridad comunes reducirá significativamente el riesgo general.
- Supervise las actividades sospechosas desde cuentas administrativas.
- Supervise la ubicación desde la que se administran los recursos de Azure.
- Supervise los intentos de acceso a credenciales desactivadas.
- Use herramientas automatizadas para supervisar las configuraciones de los recursos de red y detectar cambios.
Para más información, consulte Línea base de seguridad de Azure para Azure Monitor.
Seguridad de IaaS y PaaS
En un modelo de IaaS, puede hospedar la carga de trabajo en la infraestructura de Azure. Azure proporciona garantías de seguridad que mantienen el aislamiento y las actualizaciones de seguridad puntuales de la infraestructura. Para un mayor control, debe hospedar toda la solución IaaS de forma local o en un centro de datos hospedado y hacerse responsable de la seguridad. Debe implementar la seguridad en el host, la máquina virtual, la red y el almacenamiento. Por ejemplo, si tiene su propia red virtual, considere la posibilidad de habilitar Azure Private Link a través de Azure Monitor para poder acceder a esta a través de un punto de conexión privado.
En PaaS, comparte la responsabilidad de la protección de los datos con Azure.
Máquinas virtuales
Si ejecuta sus propias máquinas virtuales Windows y Linux, use Azure Security Center. Aproveche los servicios gratuitos para comprobar si faltan revisiones del sistema operativo, la configuración incorrecta de la seguridad y la seguridad de red básica. Se recomienda encarecidamente habilitar Azure Defender porque se obtienen características que proporcionan controles de aplicaciones adaptables, supervisión de la integridad de los archivos (FIM), etc.
Por ejemplo, un riesgo común es que las máquinas virtuales no tienen soluciones de análisis de vulnerabilidades que comprueben si hay amenazas. Azure Security Center genera informes de esas máquinas. En Azure Security Center, puede resolverlo implementando una solución de análisis. Puede usar el analizador de vulnerabilidades integrado para máquinas virtuales. No necesita ninguna licencia. En su lugar, puede traer su licencia para las soluciones de asociados compatibles.
Nota
Las evaluaciones de vulnerabilidades también están disponibles para las imágenes de contenedor y los servidores SQL Server.
Los atacantes examinan constantemente los intervalos IP de la nube pública en busca de puertos de administración abiertos, que pueden conducir a ataques, como contraseñas comunes y vulnerabilidades sin revisar conocidas. El acceso JIT (Just-In-Time) permite bloquear el tráfico entrante a las máquinas virtuales y, al mismo tiempo, proporcionar un acceso sencillo para conectarse a las máquinas cuando sea necesario. Security Center las máquinas que deben tener JIT aplicado.
Con Azure Defender, también obtiene Microsoft Defender para punto de conexión. Proporciona la herramienta de investigación Detección y respuesta de puntos de conexión (EDR), que ayuda en la detección y el análisis de amenazas.
Azure Defender para servidores también observa la red hacia y desde las máquinas virtuales. Si usa grupos de seguridad de red para controlar el acceso a las máquinas virtuales y las reglas son excesivamente permisivas, Security Center las marcará. La protección de red adaptable proporciona recomendaciones para proteger mejor las reglas de NSG.
Para obtener una lista completa de características, vea Cobertura de características para las máquinas.
Quitar la conectividad directa a Internet
Asegúrese de que las directivas y los procesos exijan la restricción y la supervisión de la conectividad directa por las máquinas virtuales.
En Azure, puede aplicar directivas mediante:
Prevención de toda la empresa: evite la exposición involuntaria siguiendo los permisos y roles descritos en el modelo de referencia.
Garantiza que el tráfico de red se enruta de forma predeterminada por los puntos de salida aprobados.
Las excepciones (como agregar una dirección IP pública a un recurso) deben pasar por un grupo centralizado que evalúe las solicitudes de excepción y se asegure de que se aplican los controles adecuados.
Identificación y corrección de las máquinas virtuales expuestas mediante la virtualización de red de Azure Security Center para identificar rápidamente los recursos expuestos a Internet.
Restricción de los puertos de administración (RDP, SSH) mediante el acceso Just-in-Time en Azure Security Center.
Una manera de administrar las máquinas virtuales de la red virtual es mediante Azure Bastion. Este servicio permite iniciar sesión en las máquinas virtuales de la red virtual a través de SSH o el protocolo de escritorio remoto (RDP) sin exponer las máquinas virtuales directamente a Internet. Para ver una arquitectura de referencia que use Bastion, consulte Red perimetral entre Azure y un centro de datos local.
Contenedores
Las cargas de trabajo contenedorizadas tienen una capa adicional de abstracción y orquestación. Esa complejidad requiere medidas de seguridad específicas que protegen frente a ataques comunes a contenedores, como los ataques a la cadena de suministro.
Use registros de contenedor cuya seguridad se haya validado. Las imágenes de los registros públicos pueden contener malware o aplicaciones no deseadas que se activan cuando se ejecuta el contenedor. Cree un proceso para que los desarrolladores soliciten y obtengan rápidamente la validación de seguridad de nuevos contenedores e imágenes. El proceso debe validarse con los estándares de seguridad que ha implementado. Se incluyen la aplicación de actualizaciones de seguridad, el examen de código no deseado, como puertas traseras y minerías de monedas criptográficas ilegales, el examen de vulnerabilidades de seguridad y la aplicación de prácticas de desarrollo seguras.
Un patrón de proceso popular es el patrón de cuarentena. Este patrón le permite obtener las imágenes en un registro de contenedor dedicado y someterlas a un examen de seguridad o cumplimiento aplicable a su organización. Una vez validadas, se pueden liberar de la cuarentena y promover su disponibilidad.
Azure Security Center identifica contenedores no administrados y que están hospedados en VM de IaaS Linux u otras máquinas de Linux que ejecutan contenedores de Docker.
Asegúrese de usar imágenes de registros autorizados. Puede aplicar esta restricción mediante Azure Policy. Por ejemplo, para un clúster de Azure Kubernetes Service (AKS), tiene directivas que restringen el clúster para que solo extraiga imágenes de Azure Container Registry (ACR), que se implementa como parte de la arquitectura.
Sugerencia
A continuación, se ofrecen los recursos para el ejemplo anterior:
GitHub: Implementación de referencia de la línea de base segura de Azure Kubernetes Service (AKS).Las consideraciones de diseño se describen en Arquitectura de línea de base en un clúster de AKS.
Examine periódicamente los contenedores para detectar los riesgos conocidos en el registro de contenedor, antes de utilizarlos o durante su uso.
Use herramientas de supervisión de seguridad que sean compatibles con los contenedores para supervisar el comportamiento anómalo y permitir la investigación de incidentes.
Azure Defender para los registros de contenedor se ha diseñado para proteger los clústeres de AKS, los hosts de contenedor (máquinas virtuales que ejecutan Docker) y los registros de ACR. Cuando se habilita, las imágenes que se extraen o insertan en los registros están sujetas a exámenes de vulnerabilidades.
Para obtener más información, consulte estos artículos:
Red
¿Cómo se supervisan y diagnostican las condiciones de la red?
Como paso inicial, habilite y revise todos los registros (incluido el tráfico sin procesar) de sus dispositivos de red.
- Registros de grupo de seguridad: registros de flujo y registros de diagnóstico
- Azure Network Watcher
Aproveche la captura de paquetes para establecer alertas y obtener acceso a información de rendimiento en tiempo real en el nivel de paquete.
La captura de paquetes realiza un seguimiento del tráfico entrante y saliente de las máquinas virtuales. Le ofrece la funcionalidad de ejecutar capturas proactivas en función de las anomalías de red definidas, incluida información sobre las intrusiones de red.
Para obtener un ejemplo, consulte Escenario: Obtención de alertas cuando una VM envía más segmentos TCP de lo habitual.
A continuación, céntrese en la observabilidad de servicios específicos revisando los registros de diagnóstico. Por ejemplo, para Azure Application Gateway con WAF integrado, consulte los registros de Web Application Firewall. Azure Security Center analiza los registros de diagnóstico en redes virtuales, puertas de enlace y grupos de seguridad de red, y determina si los controles son lo suficientemente seguros. Por ejemplo:
- Si su máquina virtual está expuesta a la red pública de Internet. Si es así, ¿tiene reglas estrictas en los grupos de seguridad de red para proteger la máquina?
- ¿Los grupos de seguridad de red (NSG) y las reglas que controlan el acceso a las máquinas virtuales son muy permisivos?
- ¿Las cuentas de almacenamiento reciben tráfico a través de conexiones seguras?
Siga las recomendaciones que proporciona Security Center. Para más información, consulte Recomendaciones de redes. Use las métricas y los registros de Azure Firewall para la observabilidad en los registros operativos y de auditoría.
Integre todos los registros en un servicio de administración de eventos e información de seguridad (SIEM), como Azure Sentinel. Las soluciones SIEM admiten la ingesta de grandes cantidades de información y pueden analizar grandes conjuntos de datos con rapidez. En función de esa información, puede hacer lo siguiente:
- Establecer alertas o bloquear el tráfico que cruza los límites de segmentación.
- Identificar anomalías.
- Ajustar la ingesta para reducir significativamente las alertas de falsos positivos.
Identidad
Supervise los eventos de riesgo relacionados con la identidad mediante algoritmos de aprendizaje automático adaptables y heurística rápida antes de que el atacante acceda al interior del sistema.
Revisión de los riesgos de identidad
La mayoría de los incidentes de seguridad tienen lugar después de que un atacante obtiene acceso inicialmente mediante una identidad robada. Aunque la identidad tenga pocos privilegios, el atacante puede utilizarla para recorrer lateralmente las identidades con más privilegios y obtener acceso a estas. De este modo, el atacante puede controlar el acceso a los datos o sistemas de destino.
¿Supervisa la organización activamente los eventos de riesgo relacionados con la identidad de aquellas identidades que puedan suponer un riesgo?
Supervise los eventos de riesgo relacionados con la identidad en busca de identidades potencialmente en peligro y corrija esos riesgos. Revise los eventos de riesgo notificados de las siguientes maneras:
- Informes de Azure AD. Para obtener información, consulte el informe de seguridad de usuarios en riesgo y el informe de seguridad de inicios de sesión riesgosos.
- Funcionalidades de informe de Azure Active Directory Identity Protection.
- Utilice la API de eventos de riesgo de Identity Protection para acceder mediante programación a las detecciones de seguridad con Microsoft Graph. Consulte las API riskDetection y riskyUser.
Azure AD utiliza heurística, credenciales en peligro conocidas (pares de nombre de usuario y contraseña) y algoritmos de aprendizaje automático adaptables para detectar acciones sospechosas relacionadas con las cuentas de usuario. Estos pares de nombre de usuario y contraseña proceden de la supervisión de sitios web públicos y oscuros y al trabajar con investigadores de seguridad, fuerzas policiales, equipos de seguridad de Microsoft, etc.
Para corregir los riesgos, aborde manualmente cada una de las cuentas notificadas o implante una directiva de riesgo de usuarios para exigir un cambio de contraseña en los casos de riesgo elevado.
Revisión periódica del acceso crítico
Revise periódicamente los roles a los que se les asignan privilegios con un impacto crítico para la empresa.
Configure un patrón de revisión recurrente para asegurarse de que se retiran los permisos de las cuentas a medida que cambian los roles. Puede realizar la revisión manualmente o mediante un proceso automatizado mediante herramientas como las revisiones de acceso de Azure AD.
Detección y reemplazo de los protocolos poco seguros
Detecte y deshabilite el uso de protocolos poco seguros heredados SMBv1, LM/NTLMv1, wDigest, enlaces LDAP sin asignar y códigos débiles de Kerberos.
Las aplicaciones deben usar la familia SHA-2 de algoritmos hash (SHA-256, SHA-384, SHA-512). Se debe evitar el uso de algoritmos débiles, como SHA-1 y MD5.
Los protocolos de autenticación son una base fundamental de casi todas las garantías de seguridad. Estas versiones anteriores pueden ser aprovechadas por atacantes con acceso a la red, y a menudo se usan ampliamente en sistemas heredados en infraestructura como servicio (IaaS).
Estas son algunas formas de reducir el riesgo:
Detecte el uso de los protocolos; para ello, debe examinar los registros con el panel de protocolos poco seguros de Azure Sentinel o con herramientas de terceros.
Restrinja o deshabilite el uso de estos protocolos siguiendo las instrucciones de SMB, NTLM o WDigest.
Use solo algoritmos hash seguros (familia SHA-2).
Se recomienda implementar los cambios mediante pruebas piloto u otros método de prueba para reducir el riesgo de interrupciones en el funcionamiento.
Saber más
Para obtener más información sobre los algoritmos hash, consulte Algoritmos hash y de firma.
Inquilinos conectados
¿El equipo de seguridad tiene visibilidad sobre todas las suscripciones y entornos en la nube existentes? ¿Cómo descubren los elementos nuevos?
Asegúrese de que el equipo de seguridad tiene en cuenta todas las inscripciones y las suscripciones asociadas conectadas a su entorno existente a través de ExpressRoute o VPN de sitio a sitio. Supervíselas como parte de la empresa en general.
Evalúe si se siguen las directivas organizativas y los requisitos normativos aplicables para los inquilinos conectados. Esto se aplica a todos los entornos de Azure que se conectan a la red del entorno de producción.
La infraestructura en la nube de las organizaciones debe estar bien documentada, con acceso por parte del equipo de seguridad a todos los recursos necesarios para la supervisión y la información. Debe realizar exámenes frecuentes de los recursos conectados a la nube para asegurarse de que no se hayan agregado suscripciones o inquilinos adicionales fuera de los controles organizativos. Revise periódicamente la guía de Microsoft para asegurarse de que se consulten y sigan los procedimientos recomendados de acceso del equipo de seguridad.
Para obtener información sobre los permisos para este acceso, consulte la sección Asignación de privilegios para administrar el entorno.
Acciones sugeridas
Asegúrese de que todos los entornos de Azure que se conectan a su entorno de producción o red apliquen la directiva y los controles de gobernanza de TI de la organización en materia de seguridad.
Puede detectar los inquilinos que ya están conectados mediante una herramienta que proporciona Microsoft. Las instrucciones sobre los permisos que puede asignar a la seguridad se incluyen en la sección Asignación de privilegios para administrar el entorno.
Canalizaciones de CI/CD
Las prácticas de DevOps están destinadas a la administración de cambios de la carga de trabajo a través de la integración continua y la entrega continua (CI/CD). Asegúrese de agregar la validación de seguridad en las canalizaciones. Para obtener más información, vea Procedimiento para agregar un mecanismo de validación continua de la seguridad en la canalización de CI/CD.