Incorporación de procedimientos de Confianza cero en la zona de aterrizaje

Confianza cero es una estrategia de seguridad en la que se incorporan productos y servicios en su diseño e implementación para cumplir los siguientes principios de seguridad:

• Comprobar explícitamente: realice siempre las operaciones de autorización y autenticación de acceso en función de todos los puntos de datos disponibles.

• Usar el acceso con privilegios mínimos: limite el acceso de los usuarios con Just-in-Time y Just-Enough-Access para proporcionar acceso teniendo en cuenta las directivas que se adaptan al nivel de riesgo y protección de datos.

• Asumir vulneración: minimice el radio de impacto y el acceso a segmentos, busque amenazas de forma proactiva y mejore continuamente las defensas.

Si su organización cumple la estrategia de Confianza cero, debe incorporar objetivos de implementación específicos de Confianza cero en las áreas de diseño de la zona de aterrizaje. La zona de aterrizaje es la base de las cargas de trabajo en Azure, por lo que es importante preparar la zona de aterrizaje para la adopción de Confianza cero.

En este artículo se proporcionan instrucciones para integrar prácticas de Confianza cero en la zona de aterrizaje y se explica dónde el cumplimiento de los principios de Confianza cero requiere soluciones fuera de la zona de aterrizaje.

Pilares de la Confianza cero y áreas de diseño de zona de aterrizaje

Al implementar las prácticas de Confianza cero en la implementación de la zona de aterrizaje de Azure, debe comenzar teniendo en cuenta las instrucciones de Confianza cero para cada área de diseño de zona de aterrizaje.

Para conocer las consideraciones sobre cómo diseñar una zona de aterrizaje e instrucciones para tomar decisiones críticas en cada área, consulte Áreas de diseño de zona de aterrizaje de Azure.

El modelo de Confianza cero tiene pilares organizados por conceptos y objetivos de implementación. Para más información, consulte Implementación de las soluciones de Confianza cero.

Estos pilares proporcionan objetivos de implementación específicos que ayudan a las organizaciones a alinearse con los principios de Confianza cero. Estos objetivos van más allá de las configuraciones técnicas. Por ejemplo, el pilar de red tiene un objetivo de implementación para la segmentación de red. El objetivo no proporciona información sobre cómo configurar redes aisladas en Azure, sino que ofrece instrucciones para crear el patrón de arquitectura. Hay otras decisiones de diseño que se deben tener en cuenta al implementar un objetivo de implementación.

En el diagrama siguiente se muestran las áreas de diseño de la zona de aterrizaje.

En la tabla siguiente se correlacionan los pilares de Confianza cero con las áreas de diseño que se muestran en la arquitectura.

Leyenda	Área de diseño de la zona de aterrizaje	Pilar de Confianza cero
	Facturación empresarial e inquilinos de Microsoft Entra y Azure	Pilar de identidad
	Administración de identidades y acceso	Pilar de identidad, Pilar de aplicaciones, Pilar de datos
	Organización de recursos	Pilar de identidad
	Gobernanza	Pilar de visibilidad, automatización y orquestación
	Administración	Pilar de puntos de conexión, Pilar de aplicaciones, Pilar de datos, Pilar de infraestructura
	Topología de red y conectividad	Pilar de redes
	Seguridad	Todos los pilares de Confianza cero
	Automatización de la plataforma y DevOps	Pilar de visibilidad, automatización y orquestación

No todos los objetivos de implementación de Confianza cero forman parte de una zona de aterrizaje. Muchos objetivos de implementación de Confianza cero son para diseñar y liberar cargas de trabajo individuales en Azure.

En las secciones siguientes se revisa cada pilar y se proporcionan consideraciones y recomendaciones para implementar objetivos de implementación.

Protección de la identidad

Para obtener información sobre los objetivos de implementación para proteger la identidad, consulte Protección de la identidad con Confianza cero. Para implementar estos objetivos de implementación, puede aplicar operaciones de federación de identidades, acceso condicional, gobernanza de identidades y datos en tiempo real.

Consideraciones de identidad

• Puede usar implementaciones de referencia de zona de aterrizaje de Azure para implementar recursos que amplían la plataforma de identidad existente en Azure y administrar la plataforma de identidad mediante la implementación de procedimientos recomendados de Azure.

• Puede configurar muchos de los controles para prácticas de Confianza cero en el inquilino de Microsoft Entra. También puede controlar el acceso a Microsoft 365 y a otros servicios en la nube que usan Microsoft Entra ID.

• Debe planear los requisitos de configuración más allá de lo que se encuentra en la zona de aterrizaje de Azure.

Recomendaciones de identidad

• Desarrolle un plan para administrar identidades en Microsoft Entra ID que van más allá de los recursos de Azure. Por ejemplo, puede usar:

  • Federación con sistemas de identidad en el entorno local.
  • Directivas de acceso condicional.
  • Información de usuario, dispositivo, ubicación o comportamiento para la autorización.

• Implemente la zona de aterrizaje de Azure con suscripciones independientes para recursos de identidad, como controladores de dominio, para que pueda proteger mejor el acceso a los recursos.

• Use identidades administradas de Microsoft Entra cuando sea posible.

Protección de los puntos de conexión

Para obtener información sobre los objetivos de implementación para proteger los puntos de conexión, consulte Protección de puntos de conexión con Confianza cero. Para implementar estos objetivos de implementación, puede:

• Registre puntos de conexión con proveedores de identidades en la nube para proporcionar acceso a los recursos únicamente a través de puntos de conexión y aplicaciones compatibles con la nube.

• Aplique la prevención de pérdida de datos (DLP) y el control de acceso para dispositivos corporativos y dispositivos personales inscritos en programas bring your own device (BYOD).

• Supervise el riesgo del dispositivo para la autenticación con la detección de amenazas del punto de conexión.

Consideraciones sobre puntos de conexión

• Los objetivos de implementación de puntos de conexión son para dispositivos informáticos de usuario final, como portátiles, equipos de escritorio y dispositivos móviles.

• A medida que adopte prácticas de Confianza cero para los puntos de conexión, debe implementar soluciones en Azure y fuera de Azure.

• Puede usar herramientas, como Microsoft Intune y otras soluciones de administración de dispositivos, para lograr objetivos de implementación.

• Si tiene puntos de conexión en Azure, como en Azure Virtual Desktop, puede inscribir la experiencia de cliente en Intune y aplicar directivas y controles de Azure para restringir el acceso a la infraestructura.

Recomendaciones de puntos de conexión

• Desarrolle un plan para administrar puntos de conexión con prácticas de Confianza cero, además de los planes para implementar una zona de aterrizaje de Azure.

• Para obtener más información sobre los dispositivos y servidores, consulte Infraestructura segura.

Aplicaciones seguras

Para obtener información sobre los objetivos de implementación para proteger aplicaciones, consulte Protección de aplicaciones con Confianza cero. Para implementar estos objetivos de implementación, puede:

• Use las API para obtener visibilidad de las aplicaciones.

• Aplique directivas de protección de la información confidencial.

• Aplique controles de acceso adaptable.

• Limite el alcance de shadow IT.

Aspectos que tener en cuenta sobre la aplicación

• Los objetivos de implementación de las aplicaciones se centran en administrar aplicaciones de terceros y propias en su organización.

• Los objetivos no abordan la protección de la infraestructura de aplicaciones. En su lugar, abordan la protección del consumo de aplicaciones, especialmente las aplicaciones en la nube.

• Las prácticas de zona de aterrizaje de Azure no proporcionan controles detallados para los objetivos de la aplicación. Estos controles se configuran como parte de la configuración de la aplicación.

Recomendaciones sobre aplicaciones

• Use Microsoft Defender for Cloud Apps para administrar el acceso a las aplicaciones.

• Use las directivas estandarizadas incluidas en Defender for Cloud Apps para aplicar sus prácticas.

• Desarrolle un plan para incorporar las aplicaciones a sus prácticas para el acceso a las aplicaciones. No confíe en las aplicaciones que hospeda su organización más de lo que confía en las aplicaciones de terceros.

Protección de datos

Para obtener información sobre los objetivos de implementación para proteger los datos, consulte Protección de datos con Confianza cero. Para implementar estos objetivos, puede:

• Clasificación y etiquetado de datos.
• Habilitación del control de acceso.
• Implemente protección de pérdida de datos.

Para obtener información sobre el registro y la administración de recursos de datos, consulte Implementaciones de referencia de zona de aterrizaje de Azure.

Un enfoque de Confianza cero implica controles exhaustivos para los datos. Desde un punto de vista de implementación, Microsoft Purview proporciona herramientas para la gobernanza, protección y administración de riesgos de datos. Puede usar Microsoft Purview como parte de una implementación de análisis a escala en la nube para proporcionar una solución que pueda implementar a escala.

Consideraciones sobre los datos

• De acuerdo con el principio de democratización de la suscripción de zona de aterrizaje, puede crear el acceso y el aislamiento de red para los recursos de datos y también establecer prácticas de registro.

  Hay directivas en las implementaciones de referencia para registrar y administrar recursos de datos.

• Necesita otros controles más allá de proteger los recursos de Azure para cumplir los objetivos de implementación. La seguridad de datos de Confianza cero implica clasificar datos, etiquetarlos para la confidencialidad y controlar el acceso a los datos. También se extiende más allá de los sistemas de base de datos y archivos. Debe tener en cuenta cómo proteger los datos en Microsoft Teams, Grupos de Microsoft 365 y SharePoint.

Recomendaciones de datos

• Microsoft Purview proporciona herramientas para la gobernanza, protección y administración de riesgos de datos.

• Implemente Microsoft Purview como parte de una implementación de análisis a escala en la nube para implementar la carga de trabajo a escala.

Protección de la infraestructura

Para obtener información sobre los objetivos de implementación para proteger la infraestructura, consulte Protección de la infraestructura con Confianza cero. Para implementar estos objetivos, puede:

• Supervise el comportamiento anómalo en las cargas de trabajo.
• Administre identidades de infraestructura.
• Limite el acceso humano.
• Segmente recursos.

Consideraciones sobre la infraestructura

• Los objetivos de implementación de infraestructura incluyen:

  • Administración de recursos de Azure.
  • Administración de entornos de sistemas operativos.
  • Acceso a sistemas.
  • Aplicación de controles específicos de la carga de trabajo.

• Puede usar el modelo de suscripción de zona de aterrizaje para crear límites de seguridad claros en los recursos de Azure y asignar permisos limitados según sea necesario en el nivel de recurso.

• Las organizaciones deben organizar sus cargas de trabajo para la administración.

Recomendaciones de infraestructura

• Use las directivas estándar de zona de aterrizaje de Azure para bloquear implementaciones y recursos no conformes y para aplicar patrones de registro.

• Configure Privileged Identity Management en Microsoft Entra ID para proporcionar acceso cuando es necesario a roles con privilegios elevados.

• Configure el acceso cuando es necesario en Defender for Cloud para que la zona de aterrizaje restrinja el acceso a las máquinas virtuales.

• Cree un plan para supervisar y administrar cargas de trabajo individuales que se implementan en Azure.

Protección de las redes

Para obtener información sobre los objetivos de implementación para proteger redes, consulte Protección de redes con Confianza cero. Para implementar estos objetivos, puede:

• Implementación de la segmentación de red.
• Use el filtrado nativo de la nube.
• Implemente privilegios de acceso mínimo.

Consideraciones sobre la red

• Para asegurarse de que los recursos de la plataforma admiten el modelo de seguridad de Confianza cero, debe implementar firewalls que sean capaces de inspeccionar el tráfico HTTPS y aislar los recursos de red de administración e identidad del centro de conectividad central.

• Además de los recursos de red de la suscripción de conectividad, debe crear planes para microsegmentar cargas de trabajo individuales en sus redes virtuales de tipo spoke. Por ejemplo, puede definir patrones de tráfico y crear grupos de seguridad de red específicos para cada red de carga de trabajo.

Recomendaciones de red

• Use las siguientes guías de implementación específicas de Confianza cero para implementar la zona de aterrizaje de Azure:

  • Implementación del acelerador del portal de zona de aterrizaje de Azure con principios de red de Confianza cero
  • Implementación de redes con principios de red de Confianza cero
  • Implementación de Terraform en la zona de aterrizaje de Azure con principios de red de Confianza cero

• Para obtener información sobre cómo aplicar principios de Confianza cero a la entrega de aplicaciones, consulte Red de Confianza cero para aplicaciones web.

• Para obtener información sobre cómo crear un plan para las redes de cargas de trabajo, consulte Planes de implementación de Confianza cero con Azure.

Visibilidad, automatización y orquestación

Para obtener información sobre los objetivos de implementación para la visibilidad, automatización y orquestación, consulte Visibilidad, automatización y orquestación con Confianza cero. Para implementar estos objetivos, puede:

• Establecimiento de la visibilidad.
• Habilitación de la automatización.
• Habilite controles adicionales mediante la práctica de una mejora continua.

Consideraciones de visibilidad, automatización y orquestación

• Las implementaciones de referencia de zona de aterrizaje de Azure contienen implementaciones de Microsoft Sentinel que puede usar para establecer rápidamente la visibilidad en su entorno de Azure.

• Las implementaciones de referencia proporcionan directivas para el registro de Azure, pero se necesita integración adicional para otros servicios.

• Debe configurar herramientas de automatización, como Azure DevOps y GitHub, para enviar señales.

Recomendaciones de visibilidad, automatización y orquestación

• Implemente Microsoft Sentinel como parte de la zona de aterrizaje de Azure.

• Cree un plan para integrar señales de Microsoft Entra ID y herramientas en Microsoft 365 en el área de trabajo de Microsoft Sentinel.

• Cree un plan para llevar a cabo ejercicios de búsqueda de amenazas y mejoras de seguridad continuas.

Pasos siguientes

• Seguridad en Microsoft Cloud Adoption Framework para Azure
• Aplicación de principios de Confianza cero a los servicios de Azure
• Evaluación de la posición de seguridad de Confianza cero