Protección de la infraestructura de Microsoft Online Services

Microsoft Online Services son algunos de los servicios en la nube empresariales y de consumidor más grandes del mundo y continúan creciendo rápidamente en su base de clientes, productos y características. Los clientes recurren a Microsoft no solo por sus ofertas de nube de clase mundial, sino también para ayudar a proteger su información más confidencial frente al panorama de ciberamenazas en constante evolución. Es la prioridad principal de Microsoft mantener la seguridad de los datos de los clientes y mantener la confianza del cliente.

La protección de un sistema de esta escala y complejidad no es posible si la seguridad es una estrategia posterior, solo es eficaz si la seguridad se integra durante el proceso de diseño inicial. Requiere un sistema de detección de amenazas sólido con respuestas rápidas tanto de sistemas automatizados como de ingenieros altamente cualificados. La evaluación y validación continuas de estos sistemas es esencial para garantizar que las configuraciones seguras permanezcan intactas y que se identifiquen vulnerabilidades desconocidas anteriormente.

Principios básicos de seguridad

Siete principios de seguridad sientan las bases de nuestro marco de protección de Microsoft Online Services frente a amenazas, la detección y respuesta a cualquier amenaza, la evaluación continua de la posición de seguridad y la mejora de los servicios en función de los resultados de esas evaluaciones.

  • Privacidad de los datos: los clientes poseen sus datos y Microsoft es el custodio. Microsoft Online Services está diseñado para funcionar sin que los ingenieros accedan a los datos del cliente, a menos que el cliente lo solicite explícitamente.
  • Asumir la vulneración: el personal y los servicios se tratan como si el compromiso es una posibilidad real.
  • Privilegios mínimos: el acceso y los permisos a los recursos se limitan solo a lo necesario para realizar las tareas necesarias.
  • Límites de vulneración: las identidades y la infraestructura de un límite están aisladas de los recursos de otros límites. El peligro de un límite no debería dar lugar a un riesgo de otro.
  • Seguridad integrada de Service Fabric: las prioridades y requisitos de seguridad se integran en el diseño de nuevas características y funcionalidades, lo que garantiza que una posición de seguridad fuerte se escala con cada servicio.
  • Automatizado y automático: Microsoft se centra en el desarrollo de productos duraderos y arquitecturas que pueden aplicar de forma inteligente y automática la seguridad del servicio, al tiempo que ofrece a los ingenieros de Microsoft la capacidad de administrar de forma segura las respuestas a las amenazas de seguridad a escala.
  • Seguridad adaptable: las funcionalidades de seguridad de Microsoft se adaptan a los modelos de aprendizaje automático, las pruebas de penetración rutinarias y las evaluaciones automatizadas y las mejoran.

Protección

Control de acceso

De forma predeterminada, el personal responsable de desarrollar y mantener Microsoft Online Services tiene acceso permanente cero (ZSA) a la infraestructura del servicio. Aunque Microsoft se esfuerza por contratar solo a los mejores ingenieros y se requieren rigurosas comprobaciones de antecedentes, Microsoft no asume que son de confianza de forma predeterminada en los servicios operativos. Además, cuando se aprueba a los ingenieros para el acceso con privilegios, solo se les concede acceso durante un tiempo limitado para realizar solo las acciones necesarias para un ámbito específico de la infraestructura de servicio. Microsoft hace referencia a estas directivas como Just-In-Time (JIT) y Just-Enough-Access (JEA) que se implementan a través de un sistema denominado Caja de seguridad.

Para adquirir privilegios elevados, los ingenieros de Microsoft envían una solicitud para la tarea específica y especifican el período de tiempo para realizarla. Una vez aprobada, Lockbox genera una cuenta JIT especializada con la capacidad de realizar solo la tarea solicitada. Las acciones suelen adoptar la forma de flujos de trabajo automatizados que realizan de forma segura cualquier solución de problemas o recuperación necesaria. En raras ocasiones, cuando se necesita acceso directo a la infraestructura, se requieren estaciones de trabajo de Administración seguras (SAW) estrictamente supervisadas.

Los usuarios no autorizados y las cuentas en peligro son una posibilidad real en cualquier organización y nuestro sistema de control de acceso está diseñado para protegerse contra estas amenazas.

Para obtener más información sobre el control de acceso, consulte Información general sobre la administración de identidades y acceso.

Cifrado

Aunque los controles de acceso proporcionan un rol vital en la defensa de los servicios de Microsoft Online Services, el cifrado se usa a lo largo del ciclo de vida de los datos para proteger aún más la confidencialidad y la privacidad de los clientes de Microsoft.

Los datos en tránsito entre máquinas cliente, servidores de Microsoft Online Services y servidores que no son de Microsoft se cifran mediante TLS 1.2. Revisamos periódicamente los cifrados y protocolos en uso, agregando protocolos mejorados cuando están disponibles y quitando los más débiles según sea necesario.

El contenido del cliente en reposo en servidores de Microsoft se cifra en el nivel de volumen mediante BitLocker. El cifrado de nivel de aplicación también se puede aplicar mediante claves administradas por Microsoft o el cliente. El acceso a las claves administradas por Microsoft solo es posible cuando está autorizado y aprobado a través del proceso JIT y JEA.

Para obtener más información sobre el cifrado, consulte Introducción a la administración de claves y cifrado.

Aislamiento de red

En consonancia con el principio de privilegios mínimos, Microsoft restringe la comunicación entre diferentes partes de la infraestructura de servicio a solo lo necesario para funcionar. De forma predeterminada, se deniega todo el tráfico de red, ya que solo se permite la comunicación definida explícitamente. Esta restricción establece límites de infracción en toda la infraestructura. Los equipos que quieran agregar nuevas rutas de acceso de red para dar cabida a una nueva característica a su servicio deben tener la solicitud evaluada y aprobada antes de que se pueda abrir.

Para obtener más información sobre el aislamiento de red, consulte Controles de aislamiento de Microsoft 365 y Controles de aislamiento de Azure.

Detección & respuesta

Supervisión de seguridad

La supervisión de seguridad a gran escala de Microsoft solo es posible mediante la generación de alertas de alta precisión mediante soluciones automatizadas basadas en la nube. Los registros de auditoría de cada servicio y datos de telemetría recopilados de toda la infraestructura principal se envían a una solución de procesamiento y alertas centralizada de propiedad casi en tiempo real.

Las amenazas detectadas se corrigen mediante acciones desencadenadas automáticamente siempre que sea posible. Cuando las soluciones automatizadas no son correctas o no pueden resolver el problema, los ingenieros de Microsoft de guardia toman medidas inmediatamente para mitigar la amenaza.

Para obtener más información sobre la supervisión de seguridad, consulte Introducción a la supervisión de seguridad.

Evaluación

Evaluaciones automatizadas

Independientemente de cómo se diseñe un sistema, la posición de seguridad puede degradarse debido a un desfase de configuración intencionado e involuntario con el tiempo. Las herramientas automatizadas evalúan constantemente los sistemas de Microsoft Online Services que buscan servicios no revisados y mal configurados. Esta evaluación se conoce a menudo como revisión, antivirus, vulnerabilidad y examen de configuración (PAVC).

Nuestra arquitectura también se valida con frecuencia, identificando instancias como puertos abiertos sin usar y cuentas con acceso administrativo permanente. Los servicios que se desplazan desde un estado deseado predefinido se vuelven a alinear automáticamente.

Para obtener más información sobre la administración de vulnerabilidades, consulte Introducción a la administración de vulnerabilidades.

Simulación de ataques y pruebas de penetración

La prioridad principal de Microsoft es evitar que los ataques se infiltre en las defensas. Microsoft Online Services tiene equipos dedicados de expertos en seguridad que realizan constantemente ataques simulados para identificar vulnerabilidades desconocidas anteriormente y proporcionar un flujo constante de datos enriquecidos para mejorar las capacidades de supervisión de seguridad. Estos ataques simulados toman la forma de ataques a pequeña escala automatizados frecuentes y profundizaciones controladas por expertos. A partir de estas actividades, Microsoft evalúa la capacidad de detectar, responder y expulsar a los atacantes.

Para obtener más información sobre las pruebas de penetración, consulte Simulación de ataques en Microsoft 365.

Recursos

Entre bastidores: protección de la infraestructura que impulsa el servicio Microsoft 365