Seguridad integral en Azure
Una de las mejores razones para usar Azure en sus aplicaciones y servicios es poder aprovechar su amplia gama de funcionalidades y herramientas de seguridad. Estas herramientas y funcionalidades permiten crear soluciones seguras en la plataforma Azure segura. Microsoft Azure proporciona confidencialidad, integridad y disponibilidad para los datos del cliente, al mismo tiempo que hace posible una responsabilidad transparente.
En el diagrama y la documentación siguientes se presentan los servicios de seguridad de Azure. Estos servicios le ayudan a satisfacer las necesidades de seguridad de su empresa y a proteger a los usuarios, los dispositivos, los recursos, los datos y las aplicaciones en la nube.
Mapa de servicios de seguridad de Microsoft
El mapa de servicios de seguridad organiza los servicios por los recursos que protegen (columna). El diagrama también agrupa los servicios en las siguientes categorías (fila):
- Seguridad y protección: servicios que le permiten implementar una estrategia de defensa en profundidad por niveles que abarca la identidad, los hosts, las redes y los datos. Esta colección de funcionalidades y servicios de seguridad proporciona una manera de comprender y mejorar la posición de seguridad en el entorno de Azure.
- Detección de amenazas: servicios que identifican actividades sospechosas y facilitan la mitigación de la amenaza.
- Investigación y respuesta: servicios que extraen datos de registro para que pueda evaluar las actividades sospechosas y responder a ellas.
Controles de seguridad y líneas de base
El punto de referencia de seguridad en la nube de Microsoft incluye una recopilación de recomendaciones de seguridad de gran impacto que se puede usar para ayudar a proteger los servicios que se usan en Azure:
- Controles de seguridad: estas recomendaciones se suelen aplicar tanto al inquilino como a los servicios de Azure. Cada recomendación señala una lista de partes interesadas que suelen estar implicadas en el planeamiento, la aprobación o la implementación de la prueba comparativa.
- Líneas de base del servicio: aplican los controles a servicios individuales de Azure para proporcionar recomendaciones sobre la configuración de seguridad de dicho servicio.
Seguridad y protección
| Servicio | Descripción |
|---|---|
| Microsoft Defender for Cloud | Un sistema unificado de administración de seguridad de la infraestructura que fortalece la posición de seguridad de los centros de datos y proporciona protección avanzada contra amenazas en todas las cargas de trabajo híbridas que se encuentran en la nube, ya sea que estén en Azure o no, así como también en el entorno local. |
| Administración de identidad y acceso | |
| Microsoft Entra ID | El servicio de administración de identidades y acceso basado en la nube de Microsoft. |
| El acceso condicional es la herramienta utilizada por Microsoft Entra ID para reunir las señales de identidad, tomar decisiones y hacer cumplir las directivas de la organización. | |
| Los Servicios de dominio son la herramienta utilizada por Microsoft Entra ID para proporcionar servicios de dominio administrados tales como unión de dominios, directiva de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos/NTLM. | |
| Privileged Identity Management (PIM) es un servicio de Microsoft Entra ID que le permite administrar, controlar y supervisar el acceso a recursos importantes en su organización. | |
| La autenticación multifactor es la herramienta utilizada por Microsoft Entra ID para ayudar a salvaguardar el acceso a datos y aplicaciones al requerir una segunda forma de autenticación. | |
| Protección de Id. de Microsoft Entra | Herramienta que permite a las organizaciones automatizar la detección y corrección de riesgos basados en identidades, investigar riesgos mediante datos del portal y exportar datos de detección de riesgos a utilidades de terceros para analizarlos más a fondo. |
| Infraestructura y red | |
| VPN Gateway | Una puerta de enlace de red virtual que se usa para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local a través de la red pública de Internet y para enviar tráfico cifrado entre redes virtuales de Azure a través de la red de Microsoft. |
| Azure DDoS Protection | Proporciona características de mitigación de DDoS mejoradas para la defensa contra los ataques DDoS. Se ajusta de forma automática para proteger los recursos específicos de Azure de una red virtual. |
| Azure Front Door | Un punto de entrada global y escalable que usa la red perimetral global de Microsoft para crear aplicaciones web rápidas, seguras y muy escalables. |
| Azure Firewall | Un servicio de seguridad de firewall de red inteligente y nativo de nube que proporciona protección contra amenazas para las cargas de trabajo de nube que se ejecutan en Azure. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Azure Firewall se ofrece en tres SKU: Estándar, Premium y Básico. |
| Azure Key Vault | Un almacén de secretos seguro para tokens, contraseñas, certificados, claves de API y otros secretos. Key Vault también se puede usar para crear y controlar las claves de cifrado utilizadas para cifrar los datos. |
| HSM administrado por Key Vault | Un servicio en la nube que cumple los estándares, totalmente administrado, de alta disponibilidad y de un solo inquilino que le permite proteger las claves criptográficas de las aplicaciones de nube mediante dispositivos HSM validados de FIPS 140-2 nivel 3. |
| Azure Private Link | Permite acceder a los servicios PaaS de Azure (por ejemplo, Azure Storage y SQL Database) y a los servicios hospedados en Azure que son propiedad de los clientes, o a los servicios de asociados, a través de un punto de conexión privado de la red virtual. |
| Azure Application Gateway | Un equilibrador de carga avanzado para administrar el tráfico a las aplicaciones web. Application Gateway puede tomar decisiones de enrutamiento basadas en atributos adicionales de una solicitud HTTP, por ejemplo los encabezados de host o la ruta de acceso del URI. |
| Azure Service Bus | Un agente de mensajes empresarial totalmente administrado que incluye colas de mensajes y temas que se pueden publicar y a los que es posible suscribirse. Service Bus se usa para desacoplar aplicaciones de servicios. |
| Firewall de aplicaciones web | Ofrece una protección centralizada de las aplicaciones web contra vulnerabilidades de seguridad comunes. WAF se puede implementar con Azure Application Gateway y Azure Front Door. |
| Azure Policy | Ayuda a aplicar los estándares de la organización y a evaluar el cumplimiento a gran escala. Mediante su panel de cumplimiento, proporciona una vista agregada para evaluar el estado general del entorno, con la posibilidad de explorar en profundidad hasta el nivel de recurso y directiva. También ayuda al cumplimiento de los recursos gracias a la corrección masiva de los recursos existentes y la corrección automática de nuevos recursos. |
| Datos y aplicaciones | |
| Azure Backup | Proporciona soluciones sencillas, seguras y rentables tanto para realizar copias de seguridad de datos de la nube de Microsoft Azure como para recuperarlos. |
| Cifrado del servicio Azure Storage | Cifra automáticamente los datos antes de que se almacenen y los descifra automáticamente cuando los recupera. |
| Azure Information Protection | Una solución basada en la nube que permite a las organizaciones descubrir, clasificar y proteger los documentos y correos electrónicos mediante la aplicación de etiquetas. |
| API Management | Una manera de crear puertas de enlace de API coherentes y modernas para servicios de back-end existentes. |
| Azure confidential computing (Computación confidencial de Azure) | Permite aislar los datos confidenciales mientras se procesan en la nube. |
| Azure DevOps | Los proyectos de desarrollo se benefician de varias capas de tecnologías de seguridad y gobernanza, prácticas operativas y directivas de cumplimiento cuando se almacenan en Azure DevOps. |
| Acceso al cliente | |
| Id. externa de Microsoft Entra | Con External Identities en Microsoft Entra ID, puede permitir que personas ajenas a su organización accedan a sus aplicaciones y recursos, al tiempo que les permite iniciar sesión utilizando la identidad que prefieran. |
| Puede compartir sus aplicaciones y recursos con usuarios externos a través de la colaboración B2B de Microsoft Entra. | |
| Azure AD B2C tiene cabida para millones de usuarios y miles de millones de autenticaciones al día y permite supervisar y controlar automáticamente amenazas como la denegación de servicio, la aplicación de la contraseña o los ataques por fuerza bruta. |
Detectar amenazas
| Servicio | Descripción |
|---|---|
| Microsoft Defender for Cloud | Ofrece protección inteligente y avanzada para las cargas de trabajo y recursos híbridos y de Azure. El panel de protección de cargas de trabajo de Defender for Cloud proporciona visibilidad y control de las características de protección de cargas de trabajo en la nube para su entorno. |
| Microsoft Sentinel | Una solución nativa de nube y escalable para la administración de eventos de información de seguridad (SIEM) y la respuesta automatizada de orquestación de seguridad (SOAR). Sentinel ofrece análisis de seguridad inteligente e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una única solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas. |
| Administración de identidad y acceso | |
| Microsoft Defender XDR | Un conjunto unificado de defensa de la empresa que coordina de forma nativa la detección, la prevención, la investigación y la respuesta en relación con los puntos de conexión, las identidades, el correo electrónico y las aplicaciones para proporcionar protección integrada frente a ataques sofisticados antes y después de una infracción. |
| Microsoft Defender para punto de conexión es una plataforma de seguridad empresarial para puntos de conexión diseñada para evitar, detectar, investigar y responder a amenazas avanzadas. | |
| Microsoft Defender for Identity es una solución de seguridad basada en la nube que aprovecha las señales de Active Directory local para identificar, detectar e investigar amenazas avanzadas, identidades puestas en peligro y acciones malintencionadas dirigidas a la organización efectuadas por usuarios internos. | |
| Protección de Id. de Microsoft Entra | Envía dos tipos de correos electrónicos de notificación automatizados para ayudarle a administrar el riesgo de los usuarios y las detecciones de riesgos: correo electrónico de usuarios en riesgo detectados y correo electrónico de resumen semanal. |
| Infraestructura y red | |
| Azure Firewall | Azure Firewall Premium proporciona el sistema de detección y prevención de intrusiones (IDPS) basado en firmas para permitir la detección rápida de ataques mediante la búsqueda de patrones específicos, como secuencias de bytes en el tráfico de red o secuencias de instrucciones malintencionadas conocidas usadas por malware. |
| Microsoft Defender para IoT | Una solución de seguridad unificada para identificar dispositivos, vulnerabilidades y amenazas de IoT y OT. Permite proteger todo el entorno de IoT/OT, independientemente de que necesite proteger dispositivos IoT/OT existentes o incorporar seguridad a nuevas innovaciones de IoT. |
| Azure Network Watcher | Proporciona herramientas para supervisar, diagnosticar, ver métricas y habilitar o deshabilitar registros de recursos en una red virtual de Azure. Network Watcher está diseñado para supervisar y reparar el estado de la red de los productos de IaaS, lo que incluye máquinas virtuales, redes virtuales, puertas de enlace de aplicaciones y equilibradores de carga. |
| Azure Policy | Ayuda a aplicar los estándares de la organización y a evaluar el cumplimiento a gran escala. Azure Policy utiliza registros de actividad, que están habilitados automáticamente para incluir el origen del evento, la fecha, el usuario, la marca de tiempo, las direcciones de origen y de destino, y otros elementos útiles. |
| Datos y aplicaciones | |
| Microsoft Defender para contenedores | Una solución nativa de la nube que se utiliza para asegurar sus contenedores para que pueda mejorar, supervisar y mantener la seguridad de sus clústeres, contenedores y sus aplicaciones. |
| Microsoft Defender for Cloud Apps | Un agente de seguridad de acceso a la nube (CASB) que funciona en varias nubes. Proporciona visibilidad enriquecida, control sobre el viaje de los datos y análisis sofisticados para identificar y combatir las ciberamenazas en todos los servicios en la nube. |
Investigación y respuesta
| Servicio | Descripción |
|---|---|
| Microsoft Sentinel | Eficaces herramientas de búsqueda y consulta para buscar amenazas de seguridad en los orígenes de datos de la organización. |
| Métricas y registros de Azure Monitor | Ofrece una solución completa para recopilar y analizar la telemetría del entorno local y en la nube y realizar acciones en función de estos datos. Azure Monitor recopila datos de diversos orígenes y los agrega a una plataforma de datos común donde se pueden usar en el análisis, la visualización y la generación de alertas. |
| Administración de identidad y acceso | |
| Informes y supervisión de Azure AD | Los informes de Microsoft Entra proporcionan una visión completa de la actividad en su entorno. |
| La supervisión de Microsoft Entra le permite enrutar sus registros de actividad de Microsoft Entra a diferentes puntos de conexión. | |
| Historial de auditoría de Microsoft Entra PIM | Muestra todas las asignaciones de roles y activaciones en los últimos 30 días de todos los roles con privilegios. |
| Datos y aplicaciones | |
| Microsoft Defender para aplicaciones en la nube | Proporciona herramientas para mejorar su comprensión de lo que sucede en el entorno de nube. |
Pasos siguientes
Comprenda la responsabilidad compartida en la nube.
Conozca las opciones de aislamiento en la nube de Azure contra usuarios malintencionados y no malintencionados.