Procedimientos recomendados de seguridad operativa de Azure

  • Artículo

En este artículo se proporciona un conjunto de procedimientos recomendados operativos para proteger los datos, aplicaciones y otros recursos en Azure.

Los procedimientos recomendados se basan en un consenso de opinión y son válidos para las funcionalidades y conjuntos de características actuales de la plataforma Azure. Como las opiniones y las tecnologías cambian con el tiempo, este artículo se actualiza de forma periódica para reflejar dichos cambios.

Definición e implementación de procedimientos de seguridad operativa exhaustivos

Por seguridad operativa de Azure, se entienden los servicios, los controles y las características disponibles para los usuarios para proteger sus datos, aplicaciones y otros recursos en Azure. La seguridad operativa de Azure se basa en un marco que incorpora el conocimiento adquirido a través de diversas funcionalidades exclusivas de Microsoft, incluido el ciclo de vida de desarrollo de seguridad (SDL), el programa Microsoft Security Response Center y un conocimiento en profundidad del panorama de amenazas de ciberseguridad.

Aplicación de la comprobación multifactor para usuarios

Se recomienda exigir la verificación en dos pasos a todos los usuarios. Esto incluye a los administradores y otras personas de su organización, ya que el hecho de que su cuenta esté en peligro puede tener un impacto significativo (por ejemplo, los directores financieros).

Existen varias opciones para exigir la verificación en dos pasos. La mejor opción para usted depende de sus objetivos, la edición de Microsoft Entra que ejecuta y su programa de licencias. Consulte Exigencia de verificación en dos pasos para un usuario para determinar la mejor opción para usted. Puede encontrar más información sobre licencias y precios en las páginas de precios de Microsoft Entra ID y la autenticación multifactor de Microsoft Entra.

A continuación, se indican las opciones y ventajas para habilitar la verificación en dos pasos:

Opción 1: habilitar la autenticación multifactor para todos los usuarios y métodos de inicio de sesión con los valores predeterminados de seguridad de Microsoft Entra. Ventaja: Esta opción le permite aplicar de forma rápida y sencilla la autenticación multifactor para todos los usuarios de su entorno con una directiva estricta para:

  • Desafiar a cuentas administrativas y mecanismos de inicio de sesión administrativo;
  • Solicitar el desafío de MFA a través de Microsoft Authenticator para todos los usuarios;
  • Restringir los protocolos de autenticación heredados.

Este método está disponible para todos los niveles de licencia, pero no se puede mezclar con las directivas de acceso condicional existentes. Puede encontrar más información en los Valores predeterminados de seguridad de Microsoft Entra.

Opción 2: habilitar la autenticación multifactor mediante el cambio de estado de usuario.
Ventaja: este es el método tradicional para exigir la verificación en dos pasos. Funciona tanto con la autenticación multifactor de Microsoft Entra en la nube como con Servidor Microsoft Azure Multi-Factor Authentication. El uso de este método requiere que los usuarios realicen la verificación en dos pasos cada vez que inicien sesión, e invalida las directivas de acceso condicional.

Para determinar dónde debe habilitarse la autenticación multifactor, consulte ¿Qué versión de la autenticación multifactor de Microsoft Entra es adecuada para mi organización?

Opción 3: habilitar la autenticación multifactor mediante una directiva de acceso condicional. Ventaja: esta opción permite solicitar la verificación en dos pasos en condiciones específicas mediante el uso del acceso condicional. Las condiciones específicas pueden ser el inicio de sesión del usuario desde distintas ubicaciones, dispositivos no confiables o aplicaciones que considere de riesgo. Definir condiciones específicas donde exija la verificación en dos pasos le permite evitar pedirla constantemente a los usuarios, lo cual puede ser una experiencia desagradable para el usuario.

Esta es la forma más flexible de habilitar la verificación en dos pasos para los usuarios. La habilitación de la directiva de acceso condicional solo funciona con la autenticación multifactor de Microsoft Entra en la nube y es una característica premium de Microsoft Entra ID. Puede encontrar más información sobre este método en Implementación de la autenticación multifactor de Microsoft Entra en la nube.

Opción 4: habilitar la autenticación multifactor con directivas de acceso condicional mediante la evaluación de directivas de acceso condicional basadas en riesgos.
Ventaja: esta opción le permite:

  • Detecte posibles vulnerabilidades que afectan a las identidades de la organización.
  • Configure respuestas automatizadas a acciones sospechosas detectadas que están relacionadas con las identidades de la organización.
  • Investigar incidentes sospechosos y tomar las medidas adecuadas para resolverlos.

Este método utiliza la evaluación de riesgos de Microsoft Entra ID Protection para determinar si se requiere la verificación en dos pasos en función de los riesgos del usuario y el inicio de sesión para todas las aplicaciones en la nube. Este método requiere licencias de Microsoft Entra ID P2. Puede encontrar más información sobre este método en Microsoft Entra ID Protection.

Nota:

La opción 2, en la que se habilita la autenticación multifactor al cambiar el estado del usuario, invalida las directivas de acceso condicional. Dado que las opciones de 3 y 4 usan directivas de acceso condicional, no puede usar la opción 2 con ellas.

Las organizaciones que no agregan capas de protección de la identidad adicionales, como la verificación en dos pasos, son más susceptibles a ataques de robo de credenciales. Un ataque de robo de credenciales puede poner en peligro la seguridad de los datos.

Administración y supervisión de contraseñas de usuario

En la tabla siguiente se enumeran varios procedimientos recomendados relacionados con la administración de contraseñas de usuario:

Procedimiento recomendado: Asegúrese de que tiene el nivel adecuado de protección de contraseñas en la nube.
Detalle: siga las instrucciones de la Guía para contraseñas de Microsoft, dirigida a los usuarios de las plataformas de identidad de Microsoft (Microsoft Entra ID, Active Directory y cuenta de Microsoft).

Procedimiento recomendado: Supervise acciones sospechosas relacionadas con las cuentas de usuario.
Detalle: supervise los usuarios en riesgo y los inicios de sesión en riesgo mediante los informes de seguridad de Microsoft Entra.

Procedimiento recomendado: Detectar y corregir de forma automática las contraseñas de alto riesgo.
Detalle: Microsoft Entra ID Protection es una característica de la edición Microsoft Entra ID P2 que le permite:

  • Detectar posibles vulnerabilidades que afectan a las identidades de la organización
  • Configurar respuestas automatizadas a acciones sospechosas detectadas que están relacionadas con las identidades de la organización
  • Investigar incidentes sospechosos y tomar las medidas adecuadas para resolverlos

Recepción de notificaciones de incidentes de Microsoft

Asegúrese de que el equipo de operaciones de seguridad recibe notificaciones de incidentes de Azure de Microsoft. Una notificación de incidentes permite al equipo de seguridad saber que hay recursos de Azure en peligro, para que puedan responder rápidamente y corregir posibles riesgos de seguridad.

En el portal de inscripción de Azure, puede asegurarse de que la información de contacto del administrador incluye detalles que notifican operaciones de seguridad. La información de los contactos es una dirección de correo electrónico y un número de teléfono.

Organización de las suscripciones de Azure en grupos de administración

Si su organización tiene varias suscripciones, podría necesitar una manera de administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma eficaz. Los grupos de administración de Azure proporcionan un nivel de ámbito por encima de las suscripciones. Las suscripciones se organizan en contenedores llamados grupos de administración y las condiciones de gobernanza se aplican a los grupos de administración. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración.

Puede crear una estructura flexible de grupos de administración y suscripciones en un directorio. A cada directorio se le asigna un único grupo de administración de nivel superior denominado grupo de administración raíz. Este grupo de administración raíz está integrado en la jerarquía de manera que contiene todos los grupos de administración y suscripciones. Este grupo de administración raíz permite que las directivas globales y las asignaciones de roles de Azure se apliquen en el nivel de directorio.

Estos son algunos procedimientos recomendados para el uso de grupos de administración:

Procedimiento recomendado: Asegúrese de que las suscripciones nuevas aplican los elementos de gobernanza, como directivas y permisos, a medida que se agregan.
Detalles: Use el grupo de administración raíz para asignar elementos de seguridad de toda la empresa que se apliquen a todos los recursos de Azure. Las directivas y los permisos son ejemplos de elementos.

Procedimiento recomendado: Alinee los niveles superiores de los grupos de administración con la estrategia de segmentación para proporcionar un punto de control y directivas coherentes dentro de cada segmento.
Detalles: Cree un único grupo de administración para cada segmento del grupo de administración raíz. No cree otros grupos de administración en el directorio raíz.

Procedimiento recomendado: Limite la profundidad del grupo de administración para evitar la confusión que imposibilita las operaciones y la seguridad.
Detalles: Limite la jerarquía a tres niveles, incluido el nivel raíz.

Procedimiento recomendado: Seleccione cuidadosamente qué elementos se aplican a toda la empresa con el grupo de administración raíz.
Detalles: Asegúrese de que la necesidad de aplicar los elementos del grupo de administración raíz en todos los recursos sea evidente y de que su impacto sea bajo.

Entre los candidatos adecuados destacan los siguientes:

  • Requisitos normativos que tengan un impacto empresarial claro (por ejemplo, restricciones relacionadas con la soberanía de datos)
  • Requisitos con un posible efecto negativo casi nulo en las operaciones, como directivas con efecto de auditoría o asignaciones de permisos Azure RBAC que se hayan revisado con cuidado

Procedimiento recomendado: Planifique y pruebe con atención todos los cambios en toda la empresa en el grupo de administración raíz antes de aplicarlos (directiva, modelo de Azure RBAC, etc.).
Detalles: Los cambios en el grupo de administración raíz pueden afectar a todos los recursos en Azure. Aunque proporcionan una manera eficaz de garantizar la coherencia en toda la empresa, los errores o un uso incorrecto pueden afectar negativamente a las operaciones de producción. Pruebe todos los cambios en el grupo de administración raíz en un laboratorio de pruebas o piloto de producción.

Optimización de la creación de entornos con Blueprints

El servicio Azure Blueprints permite a los arquitectos de nube y grupos de TI central definir un conjunto repetible de recursos de Azure que implementa y cumple los estándares, patrones y requisitos de la organización. Azure Blueprints permite a los equipos de desarrollo aprovisionar y crear rápidamente entornos con un conjunto de componentes integrados, con la confianza de que se crean de acuerdo a la normativa de la organización.

Supervisar servicios de almacenamiento para detectar cambios inesperados de comportamiento

Diagnosticar y solucionar problemas en una aplicación distribuida hospedada en un entorno de nube puede ser más complicado que en los entornos tradicionales. Las aplicaciones se pueden implementar en una infraestructura PaaS o IaaS, en una ubicación local, en un dispositivo móvil o en varios de estos entornos combinados. El tráfico de red de la aplicación puede atravesar redes públicas y privadas, y la aplicación podría usar varias tecnologías de almacenamiento.

Debe supervisar continuamente los servicios de almacenamiento que usa la aplicación para detectar cualquier cambio inesperado de comportamiento (por ejemplo, tiempos de respuesta más lentos). Use los registros para recopilar datos más detallados y analizar un problema en profundidad. La información de diagnóstico obtenida de la supervisión y los registros le ayuda a determinar la causa raíz del problema detectado por la aplicación. Luego puede solucionar el problema y determinar los pasos adecuados para remediarlo.

Azure Storage Analytics registra y proporciona datos de métricas de una cuenta de Azure Storage. Se recomienda usar estos datos para hacer un seguimiento de solicitudes, analizar tendencias de uso y diagnosticar problemas con la cuenta de almacenamiento.

Prevención de las amenazas, detección y respuesta

Microsoft Defender for Cloud ayuda a evitar amenazas y a detectarlas y responder a ellas proporcionando más visibilidad y control sobre la seguridad de sus recursos de Azure. Proporciona administración de directivas y supervisión de seguridad integradas en las suscripciones de Azure, ayuda a detectar las amenazas que podrían pasar desapercibidas y funciona con distintas soluciones de seguridad.

El nivel Gratis de Defender for Cloud ofrece seguridad limitada para los recursos de Azure, así como recursos habilitados para Arc fuera de Azure. Las características de seguridad mejoradas amplían estas funcionalidades para incluir la administración de amenazas y vulnerabilidades, así como informes de cumplimiento normativo. Los planes de Defender for Cloud ayudan a encontrar y corregir vulnerabilidades de seguridad, aplicar controles de acceso y de aplicación para bloquear actividades malintencionadas, detectar amenazas mediante análisis e inteligencia, y responder rápidamente en caso de ataque. Puede probar Defender for Cloud Estándar sin costo alguno durante los primeros 30 días. Se recomienda habilitar características de seguridad mejoradas en las suscripciones de Azure en Defender for Cloud.

Use Defender for Cloud para obtener una vista central del estado de seguridad de todos los recursos de sus propios centros de datos, Azure y otras nubes. Compruebe que los controles de seguridad adecuados se han implementado y configurado correctamente, e identifique de un vistazo cualquier recurso que demande atención.

Defender for Cloud también se integra con Microsoft Defender para punto de conexión, que proporciona funcionalidades completas de detección y respuesta de puntos de conexión (EDR). Con la integración de Microsoft Defender para punto de conexión, puede detectar anomalías y detectar vulnerabilidades. También puede detectar y responder a ataques avanzados en los puntos de conexión de servidor supervisados por Defender for Cloud.

Casi todas las organizaciones empresariales tienen un sistema de administración de eventos e información de seguridad (SIEM) para facilitar la identificación de las amenazas emergentes mediante la consolidación de la información de registro de distintos dispositivos de recopilación de señales. Después, un sistema de análisis de datos analiza los registros para ayudar a identificar lo que es "interesante" del ruido que es inevitable en todas las soluciones de análisis y recopilación de registros.

Microsoft Sentinel es una solución de administración de eventos e información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) que es escalable y nativa de la nube. Microsoft Sentinel ofrece análisis de seguridad inteligentes e inteligencia frente a amenazas a través de la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta automatizada antes las amenazas.

Estos son algunos procedimientos recomendados para evitar, detectar y responder a las amenazas:

Procedimiento recomendado: Aumente la velocidad y escalabilidad de la solución SIEM mediante SIEM basado en la nube.
Detalles: investigue las características y funciones de Microsoft Sentinel y compárelas con las que use actualmente en el entorno local. Considere la posibilidad de adoptar Microsoft Sentinel si cumple los requisitos de SIEM de la organización.

Procedimiento recomendado: Identifique las vulnerabilidades de seguridad más graves para poder clasificar por orden de prioridad la investigación.
Detalles: revise la puntuación segura de Azure para ver las recomendaciones resultantes de las iniciativas y directivas de Azure integradas en Microsoft Defender for Cloud. Estas recomendaciones ayudan a abordar los riesgos más graves como actualizaciones de seguridad, protección de puntos de conexión, cifrado, configuraciones de seguridad, ausencia de WAF, máquinas virtuales conectadas a Internet y muchos más.

La puntuación segura, que se basa en controles del Centro de seguridad de Internet (CIS), permite realizar pruebas comparativas de la seguridad de Azure de la organización sobre orígenes externos. La validación externa ayuda a validar y enriquecer la estrategia de seguridad del equipo.

Procedimiento recomendado: Supervise la posición de seguridad de equipos, redes, almacenamiento y servicios de datos y aplicaciones para detectar y clasificar por orden de prioridad los posibles problemas de seguridad.
Detalles: siga las recomendaciones de seguridad de Defender for Cloud, empezando con los elementos de mayor prioridad.

Procedimiento recomendado: integre las alertas de Defender for Cloud en la solución de administración de eventos e información de seguridad (SIEM).
Detalles: La mayoría de las organizaciones con una solución SIEM la usan como un centro de enrutamiento para las alertas de seguridad que requieren la respuesta de un analista. Los eventos procesados generados por Defender for Cloud se publican en el Registro de actividad de Azure, uno de los registros disponibles a través de Azure Monitor. Azure Monitor ofrece una canalización consolidada para el enrutamiento de cualquiera de los datos supervisados en una herramienta SIEM. Consulte Transmisión de alertas a una solución de administración de servicios de TI, SIEM o SOAR para obtener instrucciones. Si usa Microsoft Sentinel, consulte Conexión de Microsoft Defender for Cloud.

Procedimiento recomendado: Integre los registros de Azure con la solución SIEM.
Detalles: Use Azure Monitor para recopilar y exportar datos. Este procedimiento es fundamental para habilitar la investigación de incidentes de seguridad, y la retención de registro en línea es limitada. Si usa Microsoft Sentinel, vea Conexión de orígenes de datos.

Procedimiento recomendado: Acelere los procesos de investigación y búsqueda, y reduzca los falsos positivos mediante la integración de funciones de detección y respuesta (EDR) de puntos de conexión en la investigación del ataque.
Detalles: habilite la integración de Microsoft Defender para punto de conexión mediante la directiva de seguridad de Defender for Cloud. Considere la posibilidad de usar Microsoft Sentinel para la búsqueda de amenazas y la respuesta a los incidentes.

Supervisión de redes de un extremo a otro basada en escenarios

Los clientes crean una red de un extremo a otro en Azure mediante la combinación de recursos de red como una red virtual, ExpressRoute, Application Gateway y equilibradores de carga. Se puede supervisar cada uno de los recursos de la red.

Azure Network Watcher es un servicio regional. Use sus herramientas de diagnóstico y visualización para supervisar y diagnosticar problemas en un nivel de escenario de red en, hacia y desde Azure.

A continuación se ofrecen procedimientos recomendados para la supervisión de redes y se indican las herramientas disponibles.

Procedimiento recomendado: Automatización de la supervisión de la red remota con captura de paquetes.
Detalles: supervise y diagnostique problemas de red sin iniciar sesión en las máquinas virtuales mediante Network Watcher. Desencadene la captura de paquetes estableciendo alertas y obtenga acceso a información de rendimiento en tiempo real en el ámbito de paquete. Cuando vea un problema, podrá investigar en detalle para mejorar los diagnósticos.

Procedimiento recomendado: Extraer conclusiones sobre el tráfico de la red mediante registros de flujo.
Detalles: conozca al detalle los patrones de tráfico de red mediante los registros de flujo del grupo de seguridad de red. La información de los registros de flujo le ayuda a recopilar datos para el cumplimiento, la auditoría y la supervisión del perfil de seguridad de red.

Procedimiento recomendado: diagnóstico de problemas de conectividad VPN.
Detalles: use Network Watcher para diagnosticar los problemas más comunes de conexión y VPN Gateway. No solo puede identificar el problema, sino también usar registros detallados para investigar más.

Implementación segura mediante herramientas de DevOps comprobadas

Use los siguientes procedimientos recomendados de DevOps para garantizar que la empresa y los equipos sean productivos y eficientes.

Procedimiento recomendado: automatizar la compilación e implementación de servicios.
Detalles: Infraestructura como código es un conjunto de técnicas y procedimientos que ayudan a los profesionales de TI a eliminar la carga que supone la compilación y administración cotidianas de una infraestructura modular. Permite a los profesionales de TI compilar y mantener sus entornos de servidores modernos de forma similar a como los desarrolladores de software compilan y mantienen el código de las aplicaciones.

Puede usar Azure Resource Manager para aprovisionar las aplicaciones mediante una plantilla declarativa. En una plantilla, puede implementar varios servicios junto con sus dependencias. Use la misma plantilla para implementar la aplicación de forma repetida durante cada fase de su ciclo de vida.

Procedimiento recomendado: compilar e implementar automáticamente en aplicaciones web o servicios en la nube de Azure.
Detalle: puede configurar Azure DevOps Projects para que se compile e implemente de forma automática en aplicaciones web de Azure o en servicios en la nube. Azure DevOps implementa automáticamente los archivos binarios después de realizar una compilación en Azure tras cada comprobación de código. El proceso de compilación del paquete es equivalente al comando Package de Visual Studio y los pasos de publicación son equivalentes al comando Publish de Visual Studio.

Procedimiento recomendado: Automatice la administración de versiones.
Detalles: Azure Pipelines es una solución para automatizar la implementación en varias fases y la administración del proceso de publicación. Cree canalizaciones de implementación continua y administrada con el fin de que el lanzamiento sea rápido, sencillo y frecuente. Con Azure Pipelines, puede automatizar el proceso de publicación y tener flujos de trabajo de aprobación predefinidos. Realice la implementación de forma local y en la nube, amplíela y personalícela según sea necesario.

Procedimiento recomendado: Compruebe el rendimiento de su aplicación antes de iniciarla o de implementar actualizaciones en la producción.
Detalles: Ejecute pruebas de carga basadas en la nube para:

  • Detectar problemas de rendimiento en la aplicación.
  • Mejorar la calidad de implementación.
  • Asegurarse de que la aplicación siempre está disponible.
  • Asegurarse de que la aplicación puede controlar el tráfico de la siguiente campaña de marketing o el siguiente lanzamiento.

Apache JMeter es una conocida herramienta gratuita de código abierto que cuenta con el respaldo de una sólida comunidad.

Procedimiento recomendado: supervisar el rendimiento de las aplicaciones.
Detalles: Azure Application Insights es un servicio de Application Performance Management (APM) extensible para desarrolladores web en varias plataformas. Use Application Insights para supervisar la aplicación web en vivo. Se detectan automáticamente las anomalías de rendimiento. Incluye herramientas de análisis que le ayudan a diagnosticar problemas y a comprender lo que hacen realmente los usuarios con la aplicación. Está diseñado para ayudarle a mejorar continuamente el rendimiento y la facilidad de uso.

Mitigar y proteger frente a DDoS

La denegación de servicio distribuido (DDoS) es un tipo de ataque que intenta agotar los recursos de la aplicación. El objetivo es afectar a la disponibilidad de la aplicación y a su capacidad para administrar solicitudes legítimas. Estos ataques son cada vez más sofisticados y tienen un mayor tamaño e impacto. Pueden ir dirigidos a cualquier punto de conexión que sea públicamente accesible a través de Internet.

Diseñar y compilar para la resistencia frente a DDoS requiere planear y diseñar para una serie de modos de error. Estos son los procedimientos recomendados para compilar servicios resistentes a DDoS en Azure.

Procedimiento recomendado: Asegúrese de que la seguridad es prioritaria durante todo el ciclo de vida de una aplicación, desde su diseño e implementación hasta la implementación y las operaciones. Las aplicaciones pueden tener errores que permiten que un volumen relativamente bajo de solicitudes usen muchos recursos y produzcan una interrupción del servicio.
Detalles: Para proteger un servicio que se ejecuta en Microsoft Azure, debe conocer bien la arquitectura de su aplicación y centrarse en los cinco pilares de la calidad del software. Debe conocer los volúmenes de tráfico típicos, el modelo de conectividad entre la aplicación y otras aplicaciones, y los puntos de conexión del servicio expuestos a la red pública de Internet.

Es de vital importancia garantizar que una aplicación sea lo suficientemente resistente para tratar con un ataque de denegación de servicio dirigido a la propia aplicación. La seguridad y la privacidad están integradas en la plataforma Azure, comenzando por el ciclo de vida del desarrollo de la seguridad (SDL). El SDL aborda la seguridad en cada fase de desarrollo y se asegura de que Azure se actualice continuamente para que sea aún más seguro.

Procedimiento recomendado: Debe diseñar sus aplicaciones de modo que se puedan escalar horizontalmente para satisfacer la demanda de una carga mayor, específicamente en caso de un ataque de DDoS. Si la aplicación depende de una única instancia de un servicio, crea un único punto de error. El aprovisionamiento de varias instancias hace que el sistema sea más resistente y más escalable.
Detalles: Para Azure App Service, seleccione un Plan de App Service que ofrezca varias instancias.

Para Azure Cloud Services, configure cada uno de los roles para utilizar varias instancias.

En el caso de Azure Virtual Machines, asegúrese de que la arquitectura de las máquinas virtuales incluya más de una máquina virtual y de que cada una de ellas se incluya en un conjunto de disponibilidad. Se recomienda usar conjuntos de escalado de máquinas virtuales para contar con funcionalidades de escalado automático.

Procedimiento recomendado: Disponer en niveles la defensa de la seguridad en una aplicación reduce las probabilidades de éxito de un ataque. Implemente diseños seguros para las aplicaciones con las funcionalidades integradas de la plataforma Azure.
Detalles: el riesgo de ataque aumenta con el tamaño (área expuesta) de la aplicación. Puede reducir el área expuesta mediante una lista de aprobación para cerrar el espacio de direcciones IP expuesto y los puertos de escucha que no sean necesarios en los equilibradores de carga (Azure Load Balancer y Azure Application Gateway).

Los grupos de seguridad de red constituyen otra manera de reducir el área expuesta a ataques. Puede usar etiquetas de servicio y grupos de seguridad de la aplicación para minimizar la complejidad de la creación de reglas de seguridad y configurar la seguridad de la red como una extensión natural de la estructura de una aplicación.

Debe implementar los servicios de Azure en una red virtual siempre que sea posible. Este procedimiento permite que los recursos del servicio se comuniquen mediante direcciones IP privadas. De forma predeterminada, el tráfico de los servicios Azure desde una red virtual usa direcciones IP públicas como direcciones IP de origen.

Con los puntos de conexión de servicio, el tráfico del servicio cambia para usar direcciones privadas de red virtual como direcciones IP de origen al acceder al servicio de Azure desde una red virtual.

Con frecuencia vemos ataques a los recursos locales de un cliente, además de a los recursos en Azure. Si conecta un entorno local a Azure, minimice la exposición de los recursos locales a la red pública de Internet.

Azure tiene dos ofertas de servicio de DDoS que proporcionan protección frente a ataques de red:

  • La protección básica se integra en Azure de forma predeterminada sin costo adicional. El tamaño y la capacidad de la red de implementación global de Azure proporciona una defensa contra los ataques al nivel de red más comunes mediante la supervisión constante del tráfico y la mitigación en tiempo real. La protección básica no requiere ningún cambio de configuración ni de aplicación y ayuda a proteger todos los servicios de Azure, incluidos servicios PaaS como Azure DNS.
  • La protección estándar proporciona funcionalidades avanzadas de mitigación de DDoS frente a ataques de red. Se ajusta automáticamente para proteger los recursos específicos de Azure. La protección se puede habilitar fácilmente durante la creación de redes virtuales. También puede realizarse después de la creación y no requiere ningún cambio de aplicación o recurso.

Habilitación de Azure Policy

Azure Policy es un servicio de Azure que se usa para crear, asignar y administrar directivas. Estas directivas aplican reglas y efectos a los recursos, con el fin de que estos sigan siendo compatibles con los estándares corporativos y los acuerdos de nivel de servicio. Azure Policy satisface esta necesidad mediante la evaluación de los recursos que incumplen las directivas asignadas.

Habilite Azure Policy para supervisar y aplicar la directiva escrita de la organización. Esto garantizará el cumplimiento de los requisitos de seguridad normativos o de la empresa mediante la administración centralizada de las directivas de seguridad en todas las cargas de trabajo en la nube híbrida. Más información sobre cómo crear y administrar directivas para aplicar el cumplimiento. Vea Estructura de definición de Azure Policy para obtener información general de los elementos de una directiva.

Estos son algunos procedimientos recomendados de seguridad que se pueden seguir tras la adopción de Azure Policy:

Procedimiento recomendado: La directiva admite varios tipos de efectos. Puede leer sobre ellos en Estructura de definición de Azure Policy. Las operaciones empresariales se pueden ver afectadas negativamente por los efectos deny (denegar) y remediate (corregir), por lo que debe comenzar con el efecto audit (auditar) para limitar el riesgo de impacto negativo de la directiva.
Detalles: Inicie las implementaciones de directiva en modo audit y, después, avance a deny o remediate. Pruebe y revise los resultados del efecto audit antes de pasar a deny o remediate.

Para más información, vea Creación y administración de directivas para aplicar el cumplimiento.

Procedimiento recomendado: Identifique los roles responsables de supervisar las infracciones de directivas y garantizar que la acción correctora adecuada se realiza de forma rápida.
Detalles: El rol asignado debe supervisar el cumplimiento normativo a través de Azure Portal o la línea de comandos.

Procedimiento recomendado: Azure Policy es una representación técnica de las directivas escritas de una organización. Para reducir la confusión y aumentar la coherencia, asigne todas las definiciones de Azure Policy a las directivas de la organización.
Detalles: Para asignar documentos en la documentación de una organización o en la propia definición de Azure Policy, agregue una referencia a la directiva de la organización en la descripción de la definición de la directiva o de la definición de la iniciativa.

Supervisión de informes de riesgo de Microsoft Entra

La mayoría de las infracciones de seguridad tienen lugar cuando los atacantes obtienen acceso a un entorno mediante el robo de identidad de un usuario. Descubrir las identidades en peligro no es tarea fácil. Microsoft Entra ID emplea algoritmos y heurística de aprendizaje automático adaptable para detectar acciones sospechosas que están relacionadas con las cuentas de usuario. Cada acción sospechosa detectada se almacena en un registro llamado detección de riesgos. Las detecciones de riesgo se registran en los informes de seguridad de Microsoft Entra. Para más información, vea el informe de seguridad de usuarios en riesgo y el informe de seguridad de inicios de sesión en riesgo.

Pasos siguientes

Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad de Azure y los servicios de Microsoft relacionados: