Información general: aplicación de principios de Confianza cero a IaaS de Azure
Resumen: para aplicar principios de Confianza cero a los componentes y la infraestructura de IaaS de Azure, primero debe comprender la arquitectura de referencia común y los componentes de Azure Storage, máquinas virtuales y redes virtuales de concentrador y radio.
Este conjunto de artículos le ayudarán a aplicar los principios de confianza cero a las cargas de trabajo y IaaS de Microsoft Azure en función de un enfoque multidisciplinario para aplicar los principios de confianza cero. Confianza cero como estrategia de seguridad No es un producto o servicio, sino un enfoque para diseñar e implementar el siguiente conjunto de principios de seguridad:
- Comprobación explícita
- Uso del acceso con privilegios mínimos
- Asunción de que hay brechas
La implementación de la mentalidad de Confianza cero para "asumir infracciones, nunca confiar, comprobar siempre" requiere cambios en la infraestructura en la nube, en la estrategia de implementación y en la implementación per se.
En esta serie inicial de cinco artículos (incluida esta introducción), se muestra cómo aplicar el enfoque de Confianza cero a un escenario empresarial de TI común basado en los servicios de infraestructura. El trabajo se divide en unidades que se pueden configurar juntas de la siguiente manera:
- Almacenamiento de Azure
- Máquinas virtuales
- Redes virtuales de radio (VNet) para cargas de trabajo basadas en máquinas virtuales
- Redes virtuales de centro para admitir el acceso a muchas cargas de trabajo en Azure
Para más información, consulte Aplicación de principios de Confianza cero a Azure Virtual Desktop.
Nota:
En el futuro se agregarán artículos adicionales a esta serie, incluida la forma en que las organizaciones pueden aplicar un enfoque de Confianza cero a aplicaciones, redes, datos y DevOps Services basados en entornos empresariales de TI reales.
Importante
En esta guía de Confianza cero se describe cómo usar y configurar varias soluciones de seguridad y características disponibles en Azure para obtener una arquitectura de referencia. Otros recursos también proporcionan instrucciones de seguridad para estas soluciones y características, entre los que se incluyen:
Para describir cómo aplicar un enfoque de Confianza cero, esta guía tiene como destino un patrón común usado en producción por muchas organizaciones: una aplicación basada en máquinas virtuales hospedada en una red virtual (e aplicación IaaS). Este es un patrón común para las organizaciones que migran aplicaciones locales a Azure, lo que a veces se conoce como migrar mediante "lift-and-shift". La arquitectura de referencia incluye todos los componentes necesarios para admitir esta aplicación, incluidos los servicios de almacenamiento y una red virtual de concentrador.
La arquitectura de referencia refleja un patrón de implementación común en entornos de producción. No se basa en las zonas de aterrizaje a escala empresarial recomendadas en Cloud Adoption Framework (CAF), aunque muchos de los procedimientos recomendados de CAF se incluyen en la arquitectura de referencia, como el uso de una red virtual dedicada para hospedar componentes que permitan el acceso a la aplicación (red virtual de concentrador).
Si está interesado en obtener información sobre las instrucciones recomendadas en las zonas de aterrizaje de Azure de Cloud Adoption Framework, consulte estos recursos:
Arquitectura de referencia
En la ilustración siguiente se muestra la arquitectura de referencia para esta guía de Confianza cero.
Esta arquitectura contiene:
- Varios componentes y elementos de IaaS, incluidos distintos tipos de usuarios y consumidores de TI que acceden a la aplicación desde diferentes sitios. como Azure, Internet, en entornos locales y sucursales.
- Una aplicación común de tres niveles que contiene un nivel de front-end, una capa de aplicación y un nivel de datos. Todos los niveles se ejecutan en máquinas virtuales dentro de una red virtual denominada SPOKE. El acceso a la aplicación está protegido por otra red virtual denominada HUB que contiene servicios de seguridad adicionales.
- Algunos de los servicios PaaS más usados en Azure que admiten aplicaciones IaaS, incluido el control de acceso basado en roles (RBAC) y Microsoft Entra ID, que contribuyen al enfoque de seguridad de Confianza cero.
- Blobs de almacenamiento y archivos de almacenamiento que proporcionan almacenamiento de objetos para las aplicaciones y los archivos compartidos por los usuarios.
En esta serie de artículos, se describen las recomendaciones para implementar Confianza cero para la arquitectura de referencia al abordar cada una de estas partes más grandes hospedadas en Azure, como se muestra aquí.
En el diagrama se describen las áreas más grandes de la arquitectura que aborda cada artículo de esta serie:
Es importante tener en cuenta que la guía de esta serie de artículos son más específicas para este tipo de arquitectura que las que se proporcionan en las arquitecturas de Cloud Adoption Framework y de la zona de aterrizaje de Azure. Si ha aplicado las instrucciones de cualquiera de estos recursos, asegúrese de revisar también esta serie de artículos para obtener recomendaciones adicionales.
Descripción de los componentes de Azure
El diagrama de arquitectura de referencia proporciona una vista topológica del entorno. También es útil ver cómo se puede organizar lógicamente cada uno de los componentes en el entorno de Azure. En el diagrama siguiente se proporciona una manera de organizar las suscripciones y los grupos de recursos. Es posible que las suscripciones de Azure se organicen de forma diferente.
En este diagrama, la infraestructura de Azure se encuentra dentro de un inquilino de Entra ID. En la tabla siguiente se describen las distintas secciones que se muestran en el diagrama.
Suscripciones de Azure
Puede distribuir los recursos en más de una suscripción, donde cada suscripción puede contener roles diferentes, como la suscripción de red o la suscripción de seguridad. Esto se describe en la documentación de Cloud Adoption Framework y zona de aterrizaje de Azure a la que se hace referencia anteriormente. Las distintas suscripciones también pueden contener entornos diferentes, como entornos de producción, desarrollo y pruebas. Depende de cómo quiera separar el entorno y el número de recursos que tendrá en cada uno. Una o varias suscripciones se pueden administrar conjuntamente mediante un grupo de administración. Esto le ofrece la posibilidad de aplicar permisos con el control de acceso basado en roles (RBAC) y las directivas de Azure a un grupo de suscripciones en lugar de configurar cada suscripción individualmente.
Microsoft Defender for Cloud y Azure Monitor
Para cada suscripción de Azure, hay disponible un conjunto de soluciones de Azure Monitor y Defender for Cloud. Si administra estas suscripciones a través de un grupo de administración, podrá consolidarlas en un único portal para todas las funcionalidades de Azure Monitor y Defender for Cloud. Por ejemplo, la puntuación de seguridad, proporcionada por Defender for Cloud, se consolida para todas las suscripciones, mediante un grupo de administración como ámbito.
Grupo de recursos de almacenamiento (1)
La cuenta de almacenamiento está dentro de un grupo de recursos dedicado. Puede aislar cada cuenta de almacenamiento en un grupo de recursos diferente para un control de permisos más pormenorizado. Los servicios de almacenamiento de Azure se incluyen en una cuenta de almacenamiento dedicada. Puede tener una cuenta de almacenamiento para cada tipo de carga de trabajo de almacenamiento, por ejemplo, un almacenamiento de objetos (también denominado Blob Storage) y Azure Files. Esto proporciona un control de acceso más granular y puede mejorar el rendimiento.
Grupo de recursos de máquinas virtuales (2)
Las máquinas virtuales están dentro de un grupo de recursos. También puede tener cada tipo de máquina virtual para los niveles de carga de trabajo, como front-end, aplicación y datos en grupos de recursos diferentes para aislar aún más el control de acceso.
Grupos de recursos de red virtual de radio (3) y de centro (4) en suscripciones independientes
La red y otros recursos de cada una de las redes virtuales de la arquitectura de referencia están aisladas dentro de grupos de recursos dedicados para redes virtuales de radio y de centro. Esta organización funciona bien cuando las responsabilidades de estos residen en diferentes equipos. Otra opción es organizar estos componentes colocando todos los recursos de red en un grupo de recursos y recursos de seguridad en otro. Depende de cómo esté configurada la organización para administrar estos recursos.
Protección contra amenazas con Microsoft Defender for Cloud
Microsoft Defender for Cloud es una solución de detección y respuesta extendida (XDR) que recopila, correlaciona y analiza automáticamente los datos de señal, amenaza y alerta del entorno. Defender for Cloud está pensado para usarse junto con Microsoft Defender XDR a fin de proporcionar una mayor amplitud de protección correlacionada del entorno, como se muestra en el diagrama siguiente.
En el diagrama:
- Defender for Cloud está habilitado para un grupo de administración que incluye varias suscripciones de Azure.
- Microsoft Defender XDR está habilitado para aplicaciones y datos de Microsoft 365, aplicaciones SaaS integradas con Microsoft Entra ID y servidores locales de Active Directory Domain Services (AD DS).
Para obtener más información sobre cómo configurar grupos de administración y habilitar Defender for Cloud, consulte:
- Organización de suscripciones en grupos de administración y asignación de roles a usuarios
- Habilitar Microsoft Defender for Cloud en todas las suscripciones de un grupo de administración
Soluciones de seguridad de esta serie de artículos
Confianza cero implica aplicar varias materias de seguridad y protección de información conjuntamente. En esta serie de artículos, este enfoque de varias materias se aplica a cada una de las unidades de trabajo para los componentes de infraestructura de la siguiente manera:
Aplicación de principios de Confianza cero a Azure Storage
- Protección de datos en los tres modos: datos en reposo, datos en tránsito, y datos en uso.
- Verificación de usuarios y control de acceso a los datos de almacenamiento con privilegios mínimos
- Separación lógica o segregación de los datos críticos con controles de red
- Utilizar Defender para Storage para la detección y protección automatizadas de amenazas
Aplicación de principios de Confianza cero a máquinas virtuales en Azure
- Configuración del aislamiento lógico para máquinas virtuales
- Sacar provecho del control de acceso basado en roles (RBAC)
- Protección de componentes de arranque de máquina virtual
- Habilitación de las claves administradas por el cliente y cifrado doble
- Control de las aplicaciones instaladas en máquinas virtuales
- Configuración del acceso seguro
- Configuración del mantenimiento seguro de máquinas virtuales
- Habilitación de la protección y detección avanzada de amenazas
Aplicación de principios de Confianza cero a una red virtual de radio en Azure
- Sacar provecho de RBAC de Microsoft Entra o configurar roles personalizados para los recursos de red
- Aislar la infraestructura en su propio grupo de recursos
- Creación de un grupo de seguridad de red para cada subred
- Creación de grupos de seguridad de aplicaciones para cada rol de máquina virtual
- Protección del tráfico y los recursos dentro de la red virtual
- Acceso seguro a la red virtual y a la aplicación
- Habilitación de la protección y detección avanzada de amenazas
Aplicación de principios de Confianza cero a una red virtual de centro en Azure
- Protección con Azure Firewall Premium
- Implementación de Azure DDoS Protection Estándar
- Configuración de la ruta de puerta de enlace de red al servidor de seguridad
- Configuración de la protección contra amenazas
Entrenamiento recomendado para Confianza cero
A continuación se muestran los módulos de entrenamiento recomendados para Confianza cero.
Administración y gobernanza de Azure
| Cursos | Descripción de la administración y la gobernanza de Azure |
|---|---|
|
El entrenamiento sobre aspectos básicos de Microsoft Azure se compone de tres rutas de aprendizaje: Aspectos básicos de Microsoft Azure: Descripción de los conceptos de la nube, Descripción de la arquitectura y los servicios de Azure, y Descripción de la administración y gobernanza de Azure. Aspectos básicos de Microsoft Azure: La descripción de la administración y la gobernanza de Azure es la tercera ruta de aprendizaje en Aspectos básicos de Microsoft Azure. En esta ruta de aprendizaje se exploran los recursos de administración y gobernanza disponibles para ayudarle a administrar los recursos del entorno local y de la nube. Esta ruta de aprendizaje le ayuda a prepararse para el Examen AZ-900: Microsoft Azure Fundamentals. |
Configuración de Azure Policy
| Cursos | Configuración de Azure Policy |
|---|---|
|
Descubra cómo configurar Azure Policy para implementar los requisitos de cumplimiento. En este módulo aprenderá a: |
Administración de operaciones de seguridad
| Cursos | Administración de operaciones de seguridad |
|---|---|
|
Una vez que haya implementado y protegido su entorno de Azure, aprenda a supervisar, operar y mejorar continuamente la seguridad de las soluciones. Esta ruta de aprendizaje le ayuda a prepararse para el Examen AZ-500: Microsoft Azure Security Technologies. |
Configuración de la seguridad de almacenamiento
| Cursos | Configuración de la seguridad de almacenamiento |
|---|---|
|
Aprenda a configurar características comunes de seguridad de Azure Storage, como las firmas de acceso al almacenamiento. En este módulo aprenderá a: |
Configuración de Azure Firewall
| Cursos | Configuración de Azure Firewall |
|---|---|
|
Aprenderá a configurar Azure Firewall, incluidas las reglas de firewall. Tras finalizar este módulo, podrá: |
Para más entrenamiento sobre seguridad en Azure, consulte estos recursos en el catálogo de Microsoft:
Seguridad en Azure | Microsoft Learn
Pasos siguientes
Consulte estos artículos adicionales para aplicar principios de Confianza cero a Azure:
- Para IaaS de Azure:
- Azure Virtual Desktop
- Azure Virtual WAN
- Aplicaciones IaaS en Amazon Web Services
- Microsoft Sentinel y Microsoft Defender XDR
Ilustraciones técnicas
Este póster de una página proporciona una vista de un solo vistazo de los componentes de IaaS de Azure como referencia y arquitecturas lógicas, junto con los pasos para asegurarse de que estos componentes tienen los principios “nunca confiar, siempre verificar” del modelo de Confianza cero aplicados.
| Elemento | Guías de soluciones relacionadas |
|---|---|
 PDF | Visio Actualizado en marzo de 2024 |
Este póster muestra las arquitecturas lógicas y de referencia, y las configuraciones detalladas de los componentes independientes de Confianza cero para IaaS de Azure. Utilice las páginas de este póster para departamentos independientes o especialidades de TI o, con la versión de Microsoft Visio del archivo, personalice los diagramas de la infraestructura.
| Elemento | Guías de soluciones relacionadas |
|---|---|
 PDF | Visio Actualizado en marzo de 2024 |
Para obtener ilustraciones técnicas adicionales, haga clic aquí.
Referencias
Consulte los vínculos siguientes para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.
- Qué es Azure | Servicios en la nube de Microsoft
- Infraestructura como servicio (IaaS) de Azure
- Virtual Machines para Linux y Windows
- Introducción a Almacenamiento de Azure
- Azure Virtual Network
- Introducción a la seguridad de Azure
- Guía de implementación de Confianza cero
- Información general sobre Microsoft Cloud Security Benchmark
- Introducción a las bases de referencia de seguridad para Azure
- Creación de la primera capa de defensa con los servicios de seguridad de Azure
- Arquitecturas de referencia de ciberseguridad de Microsoft
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de