Consideraciones sobre la seguridad de Azure Stack HCI

Se aplica a: Azure Stack HCI, versiones 22H2 y 21H2; Windows Server 2022, Windows Server 2019

En este tema se proporcionan consideraciones de seguridad y recomendaciones relacionadas con el sistema operativo Azure Stack HCI:

  • En la parte 1 se cubren las herramientas y tecnologías de seguridad básicas para proteger el sistema operativo, los datos y las identidades a fin de crear de forma eficaz una base segura para su organización.
  • En la parte 2 se tratan los recursos disponibles a través de la Microsoft Defender for Cloud. Consulte Microsoft Defender para la introducción a la nube.
  • En la parte 3 se cubren las consideraciones de seguridad más avanzadas para reforzar aún más el nivel de seguridad de su organización en estas áreas.

¿Por qué son importantes las consideraciones de seguridad?

La seguridad afecta a todos los usuarios de su organización, desde las personas que ocupan cargos directivos hasta aquellas que trabajan con la información. La seguridad inadecuada es un riesgo real para las organizaciones, ya que una infracción de seguridad puede interrumpir todo el negocio normal y detener la organización. Cuanto antes pueda detectar un posible ataque, más rápido podrá mitigar cualquier riesgo de seguridad.

Un atacante, después de investigar los puntos débiles de un entorno para aprovecharlos, suele tardar entre 24 y 48 horas en escalar los privilegios para tomar el control de los sistemas de la red desde el compromiso inicial. Las medidas de seguridad adecuadas protegen los sistemas del entorno para ampliar el tiempo que tarda un atacante en tomar el control de horas a semanas o incluso meses al bloquear los movimientos del atacante. La implementación de las recomendaciones de seguridad de este tema permitirá que su organización detecte y responda a estos ataques lo más rápido posible.

Parte 1: creación de una base segura

En las secciones siguientes se recomiendan las herramientas y tecnologías de seguridad para crear una base segura para los servidores que ejecutan el sistema operativo de Azure Stack HCI en su entorno.

Protección del entorno

En esta sección se explica cómo proteger los servicios y las máquinas virtuales (VM) que se ejecutan en el sistema operativo:

  • El hardware certificado por Azure Stack HCI proporciona una configuración coherente de arranque seguro, UEFI y TPM lista para usar. La combinación de la seguridad basada en virtualización y el hardware certificado ayuda a proteger las cargas de trabajo críticas para la seguridad. También puede conectar esta infraestructura de confianza a Microsoft Defender for Cloud para activar el análisis de comportamiento y los informes para tener en cuenta las cargas de trabajo y las amenazas que cambian rápidamente.

    • Arranque seguro es un estándar de seguridad desarrollado por la industria de la informática que permite garantizar que un dispositivo solo arranque con el software en que confíe el fabricante de equipos originales (OEM). Para obtener más información, vea Arranque seguro.
    • United Extensible Firmware Interface (UEFI) controla el proceso de arranque del servidor y, a continuación, pasa el control a Windows u otro sistema operativo. Para obtener más información, vea Requisitos de firmware de UEFI.
    • La tecnología de Módulo de plataforma segura (TPM) proporciona funciones relacionadas con la seguridad basadas en hardware. Un chip de TPM es un procesador de cifrado seguro que genera, almacena y limita el uso de claves criptográficas. Para obtener más información, consulte Información general sobre la tecnología del Módulo de plataforma segura.

    Para más información sobre los proveedores de hardware certificados por Azure Stack HCI, consulte el sitio web de soluciones de Azure Stack HCI .

  • La herramienta de seguridad está disponible de forma nativa en Windows Admin Center para clústeres de un único servidor único y de Azure Stack HCI para facilitar la administración y el control de la seguridad. Esta herramienta centraliza algunas opciones de configuración de seguridad clave para servidores y clústeres, como la capacidad de ver el estado principal protegido de los sistemas.

    Para más información, consulte Servidor principal protegido

  • Device Guard y Credential Guard. Device Guard protege contra malware sin firma conocida, código sin firmar y malware que obtiene acceso al kernel para capturar información confidencial o dañar el sistema. Credential Guard de Windows Defender utiliza la seguridad basada en la virtualización para aislar los secretos, de modo que solo el software del sistema con privilegios pueda acceder a ellos.

    Para obtener más información, consulte Administrar Credential Guard de Windows Defender y descargue la herramienta de preparación de hardware de Device Guard y Credential Guard.

  • Las actualizaciones del firmware y de Windows son esenciales en clústeres, servidores (incluidas las máquinas virtuales invitadas) y equipos para garantizar que el sistema operativo y el hardware del sistema están protegidos contra los atacantes. Puede usar la herramienta Actualizaciones de Windows Admin Center para aplicar actualizaciones a sistemas individuales. Si el proveedor de hardware incluye Windows Admin Center compatibilidad para obtener actualizaciones de controladores, firmware y soluciones, puede obtener estas actualizaciones al mismo tiempo que las actualizaciones de Windows; de lo contrario, obtenerlas directamente del proveedor.

    Para obtener más información, consulte Actualización del clúster.

    Para administrar las actualizaciones en varios clústeres y servidores a la vez, considere la posibilidad de suscribirse al servicio de Azure Update Management opcional, que se integra con Windows Admin Center. Para obtener más información, consulte Azure Update Management mediante Windows Admin Center.

Protección de datos

En esta sección se describe cómo usar Windows Admin Center para proteger los datos y las cargas de trabajo en el sistema operativo:

  • BitLocker para Espacios de almacenamiento protege los datos en reposo. Puede usar BitLocker para cifrar el contenido de los volúmenes de datos de Espacios de almacenamiento en el sistema operativo. El uso de BitLocker para proteger los datos puede ayudar a las organizaciones a cumplir los estándares gubernamentales, regionales y específicos del sector, como FIPS 140-2 y HIPAA.

    Para más información acerca del uso de BitLocker en Windows Admin Center, consulte Habilitación del cifrado de volumen, desduplicación y compresión.

  • El cifrado de SMB para redes de Windows protege los datos en tránsito. Bloque de mensajes del servidor (SMB) es un protocolo de uso compartido de archivos de red que permite a las aplicaciones de un equipo leer y escribir en archivos y solicitar servicios de programas de servidor en una red de equipos.

    Para habilitar el cifrado SMB, consulte Mejoras de seguridad SMB.

  • Windows Defender Antivirus protege el sistema operativo en clientes y servidores frente a virus, malware, spyware y otras amenazas. Para obtener más información, consulta Microsoft Defender Antivirus en Windows Server.

Protección de identidades

En esta sección se describe cómo usar Windows Admin Center para proteger las identidades con privilegios:

  • El control de acceso puede mejorar la seguridad de su entorno de administración. Si usa un servidor de Windows Admin Center (en lugar de ejecutar un equipo Windows 10), puede controlar dos niveles de acceso a Windows Admin Center: usuarios de puerta de enlace y administradores de puerta de enlace. Entre las opciones del proveedor de identidades del administrador de puertas de enlace se incluyen las siguientes:

    • Active Directory o grupos de máquinas locales para aplicar la autenticación de tarjeta inteligente.
    • Microsoft Entra id. para aplicar el acceso condicional y la autenticación multifactor.

    Para obtener más información, consulte Opciones de acceso de usuario con Windows Admin Center y Configuración de los permisos y el control de acceso de usuarios.

  • El tráfico del explorador a Windows Admin Center usa HTTPS. El tráfico desde Windows Admin Center a los servidores administrados usa Instrumental de administración de Windows (WMI) y PowerShell estándar en Administración remota de Windows (WinRM). Windows Admin Center admite la solución de contraseñas de administrador local (LAPS), la delegación restringida basada en recursos, el control de acceso de puerta de enlace mediante Active Directory (AD) o Microsoft Entra id. y el control de acceso basado en rol (RBAC) para administrar la puerta de enlace de Windows Admin Center.

    Windows Admin Center es compatible con Microsoft Edge (Windows 10, versión 1709 o posterior), Google Chrome y Microsoft Edge Insider en Windows 10. Puede instalar Windows Admin Center en un equipo Windows 10 o Windows Server.

    Si instala Windows Admin Center en un servidor, se ejecuta como puerta de enlace, sin interfaz de usuario en el servidor host. En este escenario, los administradores pueden iniciar sesión en el servidor a través de una sesión HTTPS, protegida por un certificado de seguridad autofirmado en el host. Sin embargo, es mejor usar un certificado SSL adecuado de una entidad de certificación de confianza para el proceso de inicio de sesión porque los exploradores compatibles tratan una conexión autofirmada como no segura, incluso si la conexión es a una dirección IP local a través de una VPN de confianza.

    Para obtener más información sobre las opciones de instalación de su organización, consulte ¿Qué tipo de instalación es la adecuada para usted?.

  • CredSSP es un proveedor de autenticación que Windows Admin Center usa en algunos casos para pasar credenciales a máquinas más allá del servidor específico al que destina la administración. Actualmente, Windows Admin Center requiere CredSSP para:

    • Cree un clúster nuevo.
    • Acceder a la herramienta Actualizaciones para usar las características de clústeres de conmutación por error o de actualización compatible con clústeres.
    • Administrar el almacenamiento de SMB desagregado en máquinas virtuales.

    Para más información, consulte ¿Windows Admin Center usa CredSSP?.

  • Las herramientas de seguridad de Windows Admin Center que puede usar para administrar y proteger las identidades incluyen Active Directory, certificados, firewall, usuarios locales y grupos, etc.

    Para obtener más información, vea Administración de servidores con Windows Admin Center.

Parte 2: Uso de Microsoft Defender for Cloud (MDC)

Microsoft Defender for Cloud es un sistema unificado de administración de seguridad de la infraestructura que refuerza la posición de seguridad de los centros de datos y proporciona protección contra amenazas avanzada en las cargas de trabajo híbridas en la nube y en el entorno local. Defender for Cloud proporciona herramientas para evaluar el estado de seguridad de la red, proteger las cargas de trabajo, generar alertas de seguridad y seguir recomendaciones específicas para corregir ataques y abordar amenazas futuras. Defender for Cloud realiza todos estos servicios a alta velocidad en la nube sin sobrecarga de implementación mediante el aprovisionamiento automático y la protección con servicios de Azure.

Defender for Cloud protege las máquinas virtuales para servidores Windows y servidores Linux mediante la instalación del agente de Log Analytics en estos recursos. Azure correlaciona los eventos que los agentes recopilan en recomendaciones (tareas de protección) que realiza para proteger las cargas de trabajo. Las tareas de protección basadas en los procedimientos recomendados de seguridad incluyen la administración y la aplicación de directivas de seguridad. A continuación, puede realizar un seguimiento de los resultados y administrar el cumplimiento y la gobernanza a lo largo del tiempo a través de la supervisión de Defender for Cloud, a la vez que reduce la superficie expuesta a ataques en todos los recursos.

Administrar quién puede acceder a los recursos y suscripciones de Azure constituye una parte importante de la estrategia de gobernanza de Azure. Azure RBAC es el método principal para administrar el acceso en Azure. Para obtener más información, consulte Administración del acceso al entorno de Azure con el control de acceso basado en roles.

Para trabajar con Defender for Cloud a través de Windows Admin Center se requiere una suscripción de Azure. Para empezar, consulte Protección de recursos de Windows Admin Center con Microsoft Defender for Cloud. Para empezar, consulte Planear la implementación de Defender for Server. Para obtener licencias de Defender para servidores (planes de servidor), consulte Seleccionar un plan de Defender para servidores.

Después de registrarse, acceda a MDC en Windows Admin Center: en la página Todas las conexiones, seleccione un servidor o máquina virtual, en Herramientas, seleccione Microsoft Defender for Cloud y, a continuación, seleccione Iniciar sesión en Azure.

Para más información, vea ¿Qué es Microsoft Defender for Cloud?

Parte 3: adición de seguridad avanzada

En las secciones siguientes se recomiendan las herramientas y tecnologías de seguridad avanzadas para proteger aún más los servidores que ejecutan el sistema operativo de Azure Stack HCI en su entorno.

Protección del entorno

  • Las bases de referencia de seguridad de Microsoft se basan en recomendaciones de seguridad de Microsoft obtenidas a través de la asociación con organizaciones comerciales y el gobierno de EE. UU., como el Departamento de Defensa. Las bases de referencia de seguridad incluyen la configuración de seguridad recomendada para Windows Firewall y Windows Defender, entre otras.

    Las líneas base de seguridad se proporcionan como copias de seguridad de directiva de grupo Object (GPO) que se pueden importar en Servicios de dominio de Active Directory (AD DS) y, a continuación, se implementan en servidores unidos a un dominio para proteger el entorno. También puede usar herramientas de script local para configurar servidores independientes (no unidos a un dominio) con líneas base de seguridad. Para empezar a usar las bases de referencia de seguridad, descargue Microsoft Security Compliance Toolkit 1.0.

    Para obtener más información, consulte Bases de referencia de seguridad de Microsoft.

Protección de datos

  • La protección del entorno de Hyper-V requiere también la protección de Windows Server que se ejecuta en una máquina virtual, al igual que protegería el sistema operativo que se ejecuta en un servidor físico. Dado que los entornos virtuales suelen tener varias máquinas virtuales que comparten el mismo host físico, es necesario proteger tanto el host físico como las máquinas virtuales que se ejecutan en él. Un atacante que ponga un host en peligro puede afectar a varias máquinas virtuales y causar un mayor impacto en las cargas de trabajo y los servicios. En esta sección se describen los siguientes métodos que puede usar para proteger Windows Server en un entorno de Hyper-V:

    • El Módulo de plataforma segura virtual (vTPM) en Windows Server admite TPM para máquinas virtuales, lo que permite usar tecnologías de seguridad avanzadas, como BitLocker en máquinas virtuales. Puede habilitar la compatibilidad con TPM en cualquier máquina virtual de Hyper-V de generación 2 mediante el administrador de Hyper-V o el cmdlet de Windows PowerShell Enable-VMTPM.

      Nota

      Habilitar vTPM afectará a la movilidad de la máquina virtual: se requerirán acciones manuales para permitir que la máquina virtual se inicie en un host diferente del que habilitó vTPM originalmente.

      Para obtener más información, vea Enable-VMTPM

    • Las redes definidas por software (SDN) en Azure Stack HCI y Windows Server configuran y administran centralmente los dispositivos de red virtual, como el equilibrador de carga de software, el firewall del centro de datos, las puertas de enlace y los conmutadores virtuales de la infraestructura. Los elementos de red virtual, como el conmutador virtual de Hyper-V, la virtualización de red de Hyper-V y la puerta de enlace de RAS están diseñados para ser elementos integrales de la infraestructura de SDN.

      Para obtener más información, consulte Redes definidas por software (SDN).

      Nota

      Las máquinas virtuales blindadas protegidas por el servicio de protección de host no se admiten en Azure Stack HCI.

Protección de identidades

  • Local Administrator Password Solution (LAPS) es un mecanismo ligero para los sistemas unidos a un dominio de Active Directory que establece periódicamente la contraseña de la cuenta de administrador local de cada equipo en un nuevo valor aleatorio y único. Las contraseñas se almacenan en un atributo confidencial protegido en el objeto del equipo correspondiente de Active Directory, en que solo los usuarios que están autorizados específicamente pueden recuperarlas. LAPS usa cuentas locales para la administración remota de equipos, de modo que ofrece algunas ventajas sobre el uso de las cuentas de dominio. Para obtener más información, consulte Uso remoto de cuentas locales: LAPS lo cambia todo.

    Para empezar a usar LAPS, descargue Local Administrator Password Solution (LAPS).

  • Microsoft Advanced Threat Analytics (ATA) es un producto local que se puede usar para detectar atacantes que intenten poner en peligro las identidades con privilegios. ATA analiza el tráfico de red para la autenticación, autorización y protocolos de recopilación de información, como Kerberos y DNS. ATA usa los datos para generar perfiles de comportamiento de los usuarios y otras entidades de la red a fin de detectar anomalías y patrones de ataque conocidos.

    Para más información, consulte ¿Qué es Advanced Threat Analytics?

  • Credential Guard remoto de Windows Defender protege las credenciales a través de una conexión de Escritorio remoto. Para ello, redirige las solicitudes de Kerberos al dispositivo que solicita la conexión. También proporciona un inicio de sesión único (SSO) para sesiones de Escritorio remoto. Durante una sesión de Escritorio remoto, si el dispositivo de destino se ve comprometido, las credenciales no se exponen, ya que estas y los derivados de estas nunca se pasan a través de la red al dispositivo de destino.

    Para obtener más información, consulte Administración de Credential Guard de Windows Defender.

  • Microsoft Defender para identidades le ayuda a proteger las identidades con privilegios mediante la supervisión del comportamiento y las actividades del usuario, reduciendo la superficie expuesta a ataques, protegiendo el Servicio Federal de Active Directory (AD FS) en un entorno híbrido e identificando actividades sospechosas y ataques avanzados en toda la cadena de eliminación de ataques cibernéticos.

    Para más información, consulte ¿Qué es Microsoft Defender for Identity?.

Pasos siguientes

Para obtener más información sobre la seguridad y el cumplimiento normativo, consulte: