Protección de la infraestructura de Microsoft Online Services
Microsoft Online Services se encuentra entre los servicios en la nube empresariales y de consumidor más grandes que se ofrecen en todo el mundo y siguen creciendo rápidamente en su base de clientes, productos y características. Los clientes recurren a Microsoft no solo por sus ofertas de nube de clase mundial, sino porque confían en nosotros para proteger su información más confidencial del panorama de ciberamenazas en constante evolución. Es la prioridad principal de Microsoft mantener seguros los datos de los clientes y nuestra infraestructura si queremos mantener la confianza del cliente.
La protección de un sistema de esta escala y complejidad no es posible si la seguridad es una estrategia posterior, solo es eficaz si la seguridad se integra durante el proceso de diseño inicial. Requiere un sistema de detección de amenazas sólido con respuestas rápidas tanto de sistemas automatizados como de ingenieros altamente cualificados. La evaluación y validación continuas de estos sistemas es esencial para garantizar que las configuraciones seguras permanezcan intactas y que se identifiquen vulnerabilidades desconocidas anteriormente.
Principios básicos de seguridad
Los siguientes principios sientan las bases de nuestro marco de protección de Microsoft Online Services frente a amenazas, la detección y respuesta a cualquier amenaza, la evaluación continua de la posición de seguridad y la mejora de los servicios en función de los resultados de esas evaluaciones.
- Privacidad de los datos: los clientes poseen sus datos y Microsoft es el custodio. Microsoft Online Services está diseñado para funcionar sin que los ingenieros accedan a los datos del cliente, a menos que el cliente lo solicite explícitamente.
- Asumir la vulneración: el personal y los servicios se tratan como si el compromiso es una posibilidad real.
- Privilegios mínimos: el acceso y los permisos a los recursos se limitan solo a lo necesario para realizar las tareas necesarias.
- Límites de vulneración: las identidades y la infraestructura de un límite están aisladas de los recursos de otros límites. El peligro de un límite no debería dar lugar a un riesgo de otro.
- Seguridad integrada de Service Fabric: las prioridades y requisitos de seguridad se integran en el diseño de nuevas características y funcionalidades, lo que garantiza que una posición de seguridad fuerte se escala con cada servicio.
- Automatizado y automático: Microsoft se centra en el desarrollo de productos duraderos y arquitecturas que pueden aplicar de forma inteligente y automática la seguridad del servicio, al tiempo que ofrece a los ingenieros de Microsoft la capacidad de administrar de forma segura las respuestas a las amenazas de seguridad a escala.
- Seguridad adaptable: las funcionalidades de seguridad de Microsoft se adaptan a los modelos de aprendizaje automático, las pruebas de penetración rutinarias y las evaluaciones automatizadas y las mejoran.
Protección
Control de acceso
De forma predeterminada, el personal responsable de desarrollar y mantener Microsoft Online Services tiene acceso permanente cero (ZSA) a la infraestructura del servicio. Aunque Microsoft se esfuerza por contratar solo a los mejores ingenieros y se requieren rigurosas comprobaciones de antecedentes, Microsoft no asume que son de confianza de forma predeterminada en los servicios operativos. Además, cuando se aprueba a los ingenieros para el acceso con privilegios, solo se les concede acceso durante un tiempo limitado para realizar solo las acciones necesarias para un ámbito específico de la infraestructura de servicio. Microsoft hace referencia a estas directivas como Just-In-Time (JIT) y Just-Enough-Access (JEA).
Los usuarios no autorizados y las cuentas en peligro son una posibilidad real en cualquier organización y nuestros sistemas de control de acceso están diseñados para protegerse frente a estas amenazas.
Para obtener más información sobre el control de acceso, consulte Información general sobre la administración de identidades y acceso.
Cifrado
Aunque los controles de acceso proporcionan un rol vital en la defensa de los servicios de Microsoft Online Services, el cifrado se usa a lo largo del ciclo de vida de los datos para proteger aún más la confidencialidad y la privacidad de los clientes de Microsoft.
Los datos en tránsito entre máquinas cliente, servidores de Microsoft Online Services y servidores que no son de Microsoft se cifran mediante TLS 1.2. Revisamos periódicamente los cifrados y protocolos en uso, agregando protocolos mejorados cuando están disponibles y quitando los más débiles según sea necesario.
El contenido del cliente en reposo en servidores de Microsoft se cifra en el nivel de volumen mediante BitLocker. El cifrado de nivel de aplicación también se puede aplicar mediante claves administradas por Microsoft o el cliente. El acceso a las claves administradas por Microsoft solo es posible cuando está autorizado y aprobado a través del proceso JIT y JEA.
Para obtener más información sobre el cifrado, consulte Introducción a la administración de claves y cifrado.
Aislamiento de red
En consonancia con el principio de privilegios mínimos, Microsoft restringe la comunicación entre diferentes partes de la infraestructura de servicio a solo lo necesario para funcionar. De forma predeterminada, se deniega todo el tráfico de red, ya que solo es necesario permitir la comunicación definida explícitamente con una operación legítima. Esta restricción establece límites de infracción en toda la infraestructura. Los equipos que quieran agregar nuevas rutas de acceso de red para dar cabida a una nueva característica a su servicio deben tener la solicitud evaluada y aprobada antes de que se pueda abrir.
Para obtener más información sobre el aislamiento de red, consulte Controles de aislamiento de Microsoft 365 y Controles de aislamiento de Azure.
Detección & respuesta
Supervisión de seguridad
La supervisión de seguridad a gran escala de Microsoft solo es posible mediante la generación de alertas de alta precisión mediante soluciones automatizadas basadas en la nube. Los registros de auditoría de cada servicio y datos de telemetría recopilados de toda la infraestructura principal se envían a una solución de procesamiento y alertas centralizada de propiedad casi en tiempo real.
Las amenazas detectadas se corrigen mediante acciones desencadenadas automáticamente siempre que sea posible. Cuando las soluciones automatizadas no son correctas o no pueden resolver el problema, los ingenieros de Microsoft de guardia toman medidas inmediatamente para mitigar la amenaza.
Para obtener más información sobre la supervisión de seguridad, consulte Información general sobre el registro de auditoría y la supervisión.
Evaluación
Evaluaciones automatizadas
Independientemente de cómo se diseñe un sistema, la posición de seguridad puede degradarse debido a un desfase de configuración intencionado e involuntario con el tiempo. Las herramientas automatizadas evalúan constantemente los sistemas de Microsoft Online Services para identificar las revisiones, configuraciones incorrectas y vulnerabilidades de aplicación conocidas que faltan.
Nuestra arquitectura también se valida con frecuencia, identificando instancias como puertos abiertos sin usar y cuentas con acceso administrativo permanente. Los servicios que se desplazan desde un estado deseado predefinido se vuelven a alinear automáticamente.
Para obtener más información sobre la administración de vulnerabilidades, consulte Introducción a la administración de vulnerabilidades.
Simulación de ataques y pruebas de penetración
La prioridad principal de Microsoft es evitar que los ataques se infiltre en nuestras defensas. Microsoft Online Services tiene equipos dedicados de expertos en seguridad que realizan constantemente ataques simulados para identificar vulnerabilidades desconocidas anteriormente y proporcionar un flujo constante de datos enriquecidos para mejorar las capacidades de supervisión de seguridad. Estos ataques simulados toman la forma de ataques a pequeña escala automatizados frecuentes y profundizaciones controladas por expertos. A partir de estas actividades, Microsoft evalúa la capacidad de detectar, responder y expulsar a los atacantes.
Para obtener más información sobre las pruebas de penetración, consulte Simulación de ataques en Microsoft 365.
Recursos
Entre bastidores: protección de la infraestructura que impulsa el servicio Microsoft 365
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de