Lista de comprobación de seguridad operativa de Azure

La implementación de una aplicación en la nube en Azure es un proceso rápido, sencillo y rentable. Antes de implementar una aplicación, resulta útil tener una lista de comprobación. Una lista de comprobación puede ayudarle a evaluar la aplicación con respecto a una lista de acciones de seguridad esenciales y recomendadas.

Introducción

Azure ofrece un conjunto de servicios de infraestructura que puede usar para implementar las aplicaciones. Con seguridad operativa de Azure, se hace referencia a los servicios, los controles y las características disponibles para los usuarios para proteger sus datos, aplicaciones y otros recursos en Microsoft Azure.

Para conseguir el máximo beneficio de la plataforma en la nube, recomendamos usar los servicios de Azure y seguir la lista de comprobación. Las organizaciones que invierten tiempo y recursos en evaluar la disponibilidad operativa de sus aplicaciones antes del inicio tienen una tasa de satisfacción mucho más elevada que las que no. Al realizar este trabajo, las listas de comprobación pueden ser un mecanismo valioso para garantizar que las aplicaciones se evalúan de forma coherente y holística.

Lista de comprobación

Esta lista de comprobación se ha creado para ayudar a las empresas a pensar en distintas consideraciones de la seguridad operativa a medida que se implementan aplicaciones empresariales sofisticadas en Azure. También puede utilizarse para ayudarle a crear una estrategia segura de operación y migración a nube para la organización.

Categoría de la lista de comprobación	Descripción
Roles de seguridad y controles de acceso	Utilice el control de acceso basado en rol de Azure (Azure RBAC) para proporcionar un usuario específico que usar para asignar permisos a los usuarios, grupos y aplicaciones en un ámbito determinado.
Protección y almacenamiento de datos	Utilice la seguridad en el plano de la administración para proteger su cuenta de almacenamiento mediante el control de acceso basado en rol de Azure (Azure RBAC). Seguridad en el plano de los datos para garantizar el acceso a los datos con firmas de acceso compartido (SAS) y directivas de acceso almacenadas. Utilice el cifrado de nivel de trasporte: mediante HTTPS y el cifrado que usa SMB (protocolos del bloque de mensajes del servidor) 3.0 para recursos compartidos de archivos de Azure. Utilice el cifrado de cliente para proteger los datos que envía a cuentas de almacenamiento cuando precisa un control único de las claves de cifrado. Use Storage Service Encryption (SSE) para cifrar automáticamente los datos en Azure Storage, y Azure Disk Encryption para máquinas virtuales de Linux y Azure Disk Encryption para máquinas virtuales de Windows para cifrar los archivos de disco de la máquina virtual para el sistema operativo y los discos de datos. Use Azure Storage Analytics para supervisar el tipo de autorización; como con Blob Storage, que puede ver si los usuarios han usado una firma de acceso compartido o claves de cuenta de almacenamiento. Use Uso compartido de recursos entre orígenes (CORS) para acceder a los recursos de almacenamiento desde diferentes dominios.
Directivas de seguridad y Recomendaciones	Use Microsoft Defender for Cloud para implementar soluciones de punto de conexión. Agregue un firewall de aplicaciones web (WAF) para proteger las aplicaciones web. Use Azure Firewall para aumentar las protecciones de seguridad. Aplique los detalles de contacto de seguridad de la suscripción de Azure. El Centro de respuestas de seguridad de Microsoft (MSRC) se pondrá en contacto con usted en caso de que descubra que una entidad ilegal o no autorizada ha accedido a los datos de sus clientes.
Administración de identidades y acceso	Sincronice el directorio local con el directorio en la nube mediante Microsoft Entra ID. Usar el Inicio de sesión único para permitir a los usuarios tener acceso a sus aplicaciones SaaS basándose en sus cuentas profesionales de Azure AD. Utilice la Actividad de registro de restablecimiento de contraseñas para supervisar los usuarios que se registran. Habilite Multi-factor authentication (MFA) para los usuarios. Los desarrolladores tienen que usar capacidades de identidad seguras como Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft. Supervise activamente las actividades sospechosas mediante informes de anomalías de Microsoft Entra ID P1 o P2 y la funcionalidad Microsoft Entra ID Protection.
Supervisión continuada de la seguridad	Utilice la solución Malware Assessment de registros de Azure Monitor para informar del estado de la protección antimalware en su infraestructura. Use Update Management para determinar la exposición general a posibles problemas de seguridad y la importancia de estas actualizaciones para su entorno. El centro de administración de Microsoft Entra proporciona visibilidad sobre la integridad y la seguridad del directorio de la organización.
Funcionalidades de detección de Microsoft Defender for Cloud	Use la administración de la posición de seguridad en la nube (CSPM) para obtener instrucciones de protección que le ayuden a mejorar la seguridad de forma eficaz. Use alertas para recibir notificaciones cuando se identifiquen amenazas en el entorno local, híbrido o en la nube. Use directivas de seguridad, iniciativas y recomendaciones para mejorar la posición de seguridad.

Conclusión

Muchas organizaciones han implementado y puesto en funcionamiento correctamente sus aplicaciones en la nube en Azure. Las listas de comprobación proporcionadas destacan algunas listas de comprobación que son fundamentales y le ayudan a mejorar la probabilidad de implementaciones correctas y operaciones sin frustraciones. Recomendamos fehacientemente estas consideraciones operativas y estratégicas para las implementaciones de aplicaciones nuevas y existentes en Azure.

Pasos siguientes

Para más información sobre seguridad en Azure, vea los artículos siguientes:

• Responsabilidad compartida en la nube
• Seguridad integral en Azure
• Protección contra ransomware en Azure