ºÚÁϲ»´òìÈ

Plataforma Azure

La plataforma Azure ofrece una serie de servicios que se pueden clasificar ampliamente en modelos de entrega de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). Admite m¨²ltiples sistemas operativos, pilas de aplicaciones, las plataformas de base de datos m¨¢s populares y soluciones de alojamiento de contenedores. Independientemente de si su aplicaci¨®n est¨¢ creada con .NET, PHP, Python, Node.JS, Java, MySQL, SQL, MariaDB, Docker, Kubernetes , puede encontrar un hogar en Azure.

?

Al migrar una aplicaci¨®n del centro de datos completamente administrado por usted a Azure, depender¨¢ en gran medida de la plataforma para proteger estas cargas de trabajo. Por lo tanto, el modelo de responsabilidad compartida para la seguridad se vuelve muy relevante aqu¨ª para la demarcaci¨®n de roles y responsabilidades.

?

Microsoft posee la de la plataforma Azure y maneja su seguridad, cubriendo varios aspectos como el centro de datos f¨ªsico, control de acceso, capacitaci¨®n de seguridad obligatoria para el personal, verificaci¨®n de antecedentes, etc. Pero a medida que implementa cargas de trabajo en la plataforma Azure, se debe tener en cuenta una divisi¨®n de responsabilidades (entre usted y su proveedor), como se resume a continuaci¨®n:

?

Como se muestra en la imagen anterior, los proveedores de la nube se encargan de algunas responsabilidades de seguridad, incluidas las del centro de datos f¨ªsico, la red y el host. Pero, dependiendo de si est¨¢ utilizando un modelo IaaS, PaaS o SaaS, debe abordar la pila de aplicaciones SO y los requisitos de seguridad adicionales de la capa de red.

Descripci¨®n general de la seguridad de Microsoft Azure

Los requisitos de seguridad de cada organizaci¨®n son ¨²nicos y necesitar¨ªan amplias personalizaciones para garantizar la seguridad de cada carga de trabajo espec¨ªfica. Los vectores de amenazas avanzados en la nube exigen un enfoque de seguridad de confianza cero, donde no se conf¨ªa en nada de forma predeterminada y todo est¨¢ verificado. Este enfoque proactivo de la seguridad en la nube ayuda a reducir la superficie de ataque y limitar los da?os en caso de un ataque.

?

La seguridad debe implementarse en cada capa de su pila de aplicaciones, desde la inform¨¢tica, el almacenamiento y las redes hasta los controles espec¨ªficos de la aplicaci¨®n y la gesti¨®n de identidades y accesos. La visibilidad del estado de seguridad de su entorno tambi¨¦n es importante, ya que cualquier actividad maliciosa debe detectarse en tiempo real para una protecci¨®n ¨®ptima.

?

permite la seguridad de las cargas de trabajo a trav¨¦s de m¨²ltiples herramientas y servicios configurables que puede aprovechar para satisfacer las distintas demandas de seguridad y mejorar su postura de seguridad en la nube. Tambi¨¦n puede usar soluciones de seguridad de socios donde sea aplicable para aumentar a¨²n m¨¢s esta postura.

Azure Security Center

es la soluci¨®n de administraci¨®n de seguridad centralizada de Azure que lo ayuda a adaptar sus controles de seguridad a un panorama de amenazas cambiante y proteger proactivamente su organizaci¨®n contra m¨²ltiples tipos de ataques. Los servicios de Azure se incorporan autom¨¢ticamente a Security Center y se monitorean seg¨²n l¨ªneas base de seguridad definidas. Se pueden usar pol¨ªticas predeterminadas y personalizadas para monitorear el estado de su suscripci¨®n de Azure y los recursos incluidos. Basado en la evaluaci¨®n continua de sus entornos de Azure, Security Center proporciona recomendaciones pr¨¢cticas que se pueden utilizar para abordar de forma proactiva el intervalo de seguridad.

?

Azure Security Center tambi¨¦n ofrece protecci¨®n integral contra amenazas y utiliza an¨¢lisis de la cadena de muerte cibern¨¦tica para brindarle visibilidad de extremo a extremo del vector de ataque. Adem¨¢s, puede utilizar Microsoft Defender para terminal para proteger sus servidores de Azure. Proporciona sensores avanzados de detecci¨®n de infracciones que se adaptan r¨¢pidamente a las amenazas en evoluci¨®n a trav¨¦s del poder del big data y el an¨¢lisis y proporciona inteligencia superior sobre amenazas para proteger sus cargas de trabajo.

?

Adem¨¢s, la capacidad de incorporaci¨®n automatizada para servidores Windows y la visibilidad de panel ¨²nico facilitan la vida de los equipos de seguridad en la nube al reducir los gastos operativos. Azure Security Center se integra con soluciones como Azure Policy, Azure Monitor Logs y Azure nube App Security, as¨ª como para una seguridad profunda.

Gesti¨®n de la postura de seguridad en la nube (CSPM)

Las amenazas en la nube no son lo mismo que las locales. La nube necesita soluciones nacidas en la nube para garantizar la higiene de la seguridad y que se est¨¦n implementando las mejores pr¨¢cticas de seguridad. La gesti¨®n de la postura de seguridad en la nube de Azure le ayuda con esto, permiti¨¦ndole administrar de forma proactiva sus cargas de trabajo de seguridad en Azure.

?

La opci¨®n ¡°puntuaci¨®n segura¡± en el Centro de seguridad ayuda a cuantificar la postura de seguridad de sus entornos mediante m¨²ltiples controles de seguridad predise?ados contra los cuales se eval¨²an los entornos. Si alguno de estos controles no se implementa o si hay alguna configuraci¨®n incorrecta, el Centro de Seguridad ofrece recomendaciones prescriptivas para mejorar su puntaje. Mientras tanto, la puntuaci¨®n de cumplimiento normativo eval¨²a las cargas de trabajo seg¨²n est¨¢ndares como PCI DSS, HIPAA, el propio CIS de Azure y NIST, lo que le ayuda a evaluar su estado de cumplimiento oficial.

?

Security Center habilita CSPM al proporcionar una vista panor¨¢mica de la vulnerabilidad y generar alertas sobre posibles ataques. Cada alerta est¨¢ etiquetada con un nivel de gravedad para que pueda priorizar las actividades de mitigaci¨®n. Junto con las cargas de trabajo nativas de la nube, los servicios de IoT y los servicios de datos, Security Center puede proteger las m¨¢quinas Windows y Linux en todos los entornos contra amenazas, reduciendo as¨ª la superficie de ataque.

Seguridad de aplicaciones web

Con la expansi¨®n de las aplicaciones en la nube, se ha vuelto cada vez m¨¢s dif¨ªcil monitorear todas sus aplicaciones y garantizar transacciones de datos seguras. Azure ayuda a abordar esta preocupaci¨®n a trav¨¦s de una soluci¨®n de agente de seguridad en la nube llamada Microsoft nube App Security.

?

Esta herramienta protege contra la TI en la sombra al ayudarlo a detectar los servicios en la nube que utiliza su organizaci¨®n e identificar los riesgos asociados con ellos. Las pol¨ªticas integradas del servicio le permiten automatizar la implementaci¨®n de controles de seguridad para aplicaciones en la nube; adem¨¢s, puede sancionar o anular la sanci¨®n de aplicaciones a trav¨¦s de la funcionalidad del cat¨¢logo de aplicaciones en la nube, que cubre m¨¢s de 16?000 aplicaciones y las califica seg¨²n m¨¢s de 80 factores de riesgo para que usted Puede tomar una decisi¨®n informada sobre el tipo de aplicaciones que desea permitir en su organizaci¨®n.

?

nube App Security adem¨¢s proporciona visibilidad de su aplicaci¨®n y su estado de seguridad y controla c¨®mo viajan los datos entre ellas. Tambi¨¦n puede detectar comportamientos inusuales para identificar aplicaciones comprometidas y activar la correcci¨®n autom¨¢tica para reducir el riesgo. Puede evaluar m¨¢s a fondo su aplicaci¨®n para determinar el cumplimiento normativo y restringir el movimiento de datos a aplicaciones que no cumplan, y tambi¨¦n protege cualquier dato regulado en sus aplicaciones del acceso no autorizado.

?

La integraci¨®n nativa con otras soluciones de seguridad de Microsoft proporciona inteligencia sobre amenazas incomparable y an¨¢lisis en profundidad para defender su aplicaci¨®n de diferentes tipos de ataques en la nube.

Seguridad de contenedores

Azure Security Center ofrece evaluaci¨®n y base de seguridad de entornos de alojamiento de contenedores como AKS, as¨ª como m¨¢quinas virtuales que ejecutan Docker, para identificar posibles configuraciones err¨®neas y lagunas de seguridad. El endurecimiento de los entornos Docker se habilita mediante la supervisi¨®n de los puntos de con recomendaciones consolidadas en Security Center. Del mismo modo, el monitoreo y la detecci¨®n avanzada de amenazas est¨¢n disponibles para los nodos y cl¨²steres AKS. Tambi¨¦n puede habilitar el complemento de pol¨ªtica de Azure para cl¨²steres de Kubernetes para monitorear las solicitudes de servidores API de Kubernetes en comparaci¨®n con las mejores pr¨¢cticas definidas antes de atenderlas.

?

Mientras tanto, Azure Defender protege los nodos y cl¨²steres de AKS contra vulnerabilidades e infiltraci¨®n en tiempo de ejecuci¨®n al detectar actividades sospechosas como detecci¨®n de shell web, solicitudes de conexi¨®n de IP sospechosas, aprovisionamiento de contenedores privilegiados, etc. Azure Defender tambi¨¦n incluye una integraci¨®n de Qualys para escanear im¨¢genes extra¨ªdas o enviadas. al Registro de contenedores de Azure. Cualquier hallazgo se clasifica y muestra en el Centro de seguridad, lo que le permite diferenciar entre im¨¢genes saludables y no saludables.

Grupos de seguridad de red (NSG)

Los NSG act¨²an como la primera l¨ªnea de defensa de la red para cargas de trabajo conectadas a redes virtuales de Azure. Filtra el tr¨¢fico entrante y saliente a trav¨¦s de cinco reglas de tuple usando origen, puerto de origen, destino, puerto de destino y protocolo. Estos grupos se pueden asociar con subredes o tarjetas NIC de la m¨¢quina virtual y vienen con algunas reglas predeterminadas para permitir la comunicaci¨®n entre redes y el acceso a Internet. Adem¨¢s, los grupos de seguridad de red le permiten lograr un control detallado sobre el tr¨¢fico de este a oeste y de norte a sur y ayudan a segregar la comunicaci¨®n de los componentes de su aplicaci¨®n.

Azul virtual rojo

Azure VNet es el componente b¨¢sico de las redes en Azure y ayuda con la microsegmentaci¨®n de cargas de trabajo, lo que permite la comunicaci¨®n segura de cargas de trabajo conectadas con otros recursos de Azure, recursos locales e Internet. Los recursos en una VNet de Azure no pueden comunicarse con recursos en una VNet diferente de forma predeterminada, a menos que est¨¦n conectados expl¨ªcitamente a trav¨¦s de opciones como emparejamiento, VPN, v¨ªnculo privado, etc. Se puede agregar otra capa de seguridad habilitando NSG en subredes dentro de la VNet. Adem¨¢s, puede utilizar la configuraci¨®n del tr¨¢fico dentro de la VNet creando tablas de enrutamiento personalizadas, por ejemplo, si desea que todo el tr¨¢fico se enrute a trav¨¦s de un dispositivo virtual de red para la inspecci¨®n de paquetes.

VPN y aplicaci¨®n Gateway

Azure VPN le permite conectarse de forma segura a los recursos de Azure desde el centro de datos rojo local a trav¨¦s de una conexi¨®n de sitio a sitio o desde m¨¢quinas individuales mediante una conexi¨®n de punto a sitio. El tr¨¢fico a Azure pasa por Internet, pero a trav¨¦s de un t¨²nel cifrado y seguro mediante SSTP, OpenVPN o IPSec. Si bien la conexi¨®n VPN funciona bien en escenarios de sucursales, para una conectividad segura respaldada por SLA de Azure, los clientes pueden optar por ExpressRoute, que es una conexi¨®n dedicada desde su centro de datos local a la nube de Azure.

?

Azure aplicaci¨®n puerta de enlace es un equilibrador de carga que opera en la capa de aplicaci¨®n (OSI Layer 7) y redirige el tr¨¢fico a recursos en el grupo de backend en funci¨®n de los atributos HTTP. Cuenta con un firewall de aplicaciones web (WAF) que ayuda a proteger su aplicaci¨®n de ataques comunes, como ataques de inyecci¨®n SQL, secuencias de comandos entre sitios, divisi¨®n de solicitudes HTTP, inclusi¨®n remota de archivos, etc. Viene con un conjunto predefinido de reglas de seguridad, pero tambi¨¦n proporciona la flexibilidad para definir sus propias reglas. El servicio se basa en y es capaz de actualizarse autom¨¢ticamente para proteger su aplicaci¨®n de vulnerabilidades nuevas y en evoluci¨®n.

Administraci¨®n de Identidad y Acceso (IAM)

En un mundo impulsado por la nube, la identidad se ha convertido en el nuevo per¨ªmetro de seguridad. Azure proporciona control de acceso basado en roles (RBAC) habilitado por Azure Active Directory (AD) para controlar el acceso a la aplicaci¨®n hospedada. Se recomienda seguir el principio de privilegio m¨ªnimo (PoLP) para que los usuarios solo tengan el acceso m¨ªnimo requerido para su trabajo. Esta autorizaci¨®n se decide por el rol asignado al usuario, que puede ser uno de los roles integrados o un rol personalizado definido por el administrador.

?

Puede reforzar a¨²n m¨¢s la IAM a trav¨¦s de opciones como acceso justo a tiempo (JIT) para m¨¢quinas virtuales, firma de acceso compartido para almacenamiento, autenticaci¨®n de m¨²ltiples factores, etc. Tambi¨¦n es importante registrar y realizar un seguimiento de la actividad de los usuarios a trav¨¦s de registros de auditor¨ªa de Azure AD y registros de actividad de Azure para identificar identidades comprometidas y usuarios deshonestos.

Mejora de la seguridad de Azure

Si bien las herramientas y servicios nativos suelen proporcionar un buen punto de partida, tambi¨¦n necesita herramientas con capacidades avanzadas para proteger su aplicaci¨®n de los actores de amenazas en evoluci¨®n en la nube. Las siguientes capacidades adicionales son esenciales para garantizar una seguridad integral en la nube:

?

• Visibilidad: la detecci¨®n de intrusiones en la nube en tiempo real, la visualizaci¨®n del tr¨¢fico de red y el an¨¢lisis de la actividad del usuario que brindan informaci¨®n contextual ayudar¨¢n a identificar y mitigar anomal¨ªas de manera proactiva.
• ´¡³Ü³Ù´Ç³¾²¹³Ù¾±³ú²¹³¦¾±¨®²Ô: integrar la automatizaci¨®n en las operaciones de seguridad en la nube desde el primer d¨ªa a trav¨¦s de opciones como plantillas predefinidas y pol¨ªticas de seguridad autoadaptativas ayudar¨¢ a evitar errores humanos y configuraciones err¨®neas.
• Cumplimiento y gobernanza: los informes de seguridad dise?ados para mostrar el cumplimiento y la gobernanza frente a los est¨¢ndares de la industria simplificar¨¢n su proceso de informes y auditor¨ªa.
• Minimizar la configuraci¨®n err¨®nea: la evaluaci¨®n continua de las configuraciones de su entorno en comparaci¨®n con los est¨¢ndares de seguridad definidos y la automatizaci¨®n de los flujos de trabajo y las implementaciones de pol¨ªticas ayudar¨¢n a minimizar las configuraciones err¨®neas.
• Inteligencia y an¨¢lisis predictivo: La b¨²squeda de amenazas y el an¨¢lisis predictivo impulsado por IA pueden ayudar a detectar anomal¨ªas m¨¢s r¨¢pido y generar alertas en tiempo real sobre actividades maliciosas.
• Protecci¨®n de carga de trabajo/almacenamiento (para contenedores y sin servidor): ampl¨ªe sus capacidades de seguridad a contenedores y sin servidor para proteger cargas de trabajo modernas basadas en microservicios.

?

can help you with all of the above, as it comes prebuilt with these features. It seamlessly integrates with your Azure-native tools and augments the security of your data and workloads hosted in Azure.

?

Read more about how ºÚÁϲ»´òìÈ can help you achieve your cloud security goals today.