Compartir a través de


Aplicación de principios de Confianza cero a Azure Storage

Nota:

Próxima transmisión en directo Únete al equipo de Azure FastTrack, ya que tratan este artículo. 23 de octubre de 2024 | 10:00 - 11:00 (UTC-07:00) Hora del Pacífico (EE. UU. y Canadá). Regístrese aquí.

Resumen: para aplicar los principios de confianza cero a Azure Storage, debe proteger los datos (en reposo, en tránsito y en uso); comprobar los usuarios y controlar el acceso; separar o segregar los datos críticos con controles de red; y usar Defender para Storage para la detección y protección automatizadas de amenazas.

En este artículo se detallan los pasos para aplicar los principios de Confianza cero a Azure Storage:

Principio de Confianza cero Definición Forma de cumplimiento
Comprobación explícita Autentique y autorice siempre en función de todos los puntos de datos disponibles. Comprobación de las credenciales de usuario y el acceso.
Uso del acceso con privilegios mínimos Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos. Control de acceso a los datos de almacenamiento con privilegios mínimos.
Dar por hecho que habrá intrusiones al sistema Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. Protección de los datos en reposo, en tránsito y en uso. Separación de los datos críticos con controles de red. Utilizar Defender para Storage para la detección y protección automatizadas de amenazas.

Este artículo forma parte de una serie de artículos que muestran cómo aplicar los principios de Confianza cero en un entorno de Azure que incluye servicios de Azure Storage para admitir una carga de trabajo de IaaS. Para obtener información general, consulte Aplicación de principios de Confianza cero a la infraestructura de Azure.

Arquitectura de almacenamiento en Azure

Puede aplicar Confianza cero principios para Azure Storage en toda la arquitectura, desde el nivel de inquilino y directorio hasta el contenedor de almacenamiento en la capa de datos.

En el diagrama siguiente se muestran los componentes de la arquitectura lógica.

Diagrama de la arquitectura lógica para aplicar la Confianza cero a Azure Storage, que muestra las suscripciones, los grupos de recursos y las cuentas de almacenamiento dentro de un inquilino de Microsoft Entra ID.

En el diagrama:

  • La cuenta de almacenamiento de la arquitectura de referencia está contenida en un grupo de recursos dedicado. Puede aislar cada cuenta de almacenamiento en un grupo de recursos diferente para controles de acceso basados en roles (RBAC) más granulares. Puede asignar permisos de RBAC para administrar la cuenta de almacenamiento en el nivel de grupo de recursos o grupo de recursos y auditarlos con el registro y las herramientas de Microsoft Entra ID, como Privileged Identity Management (PIM). Si ejecuta varias aplicaciones o cargas de trabajo con varias cuentas de almacenamiento correspondientes en una suscripción de Azure, es importante limitar los permisos de RBAC de cada cuenta de almacenamiento a sus propietarios, custodios de datos, controladores, etc.
  • Los servicios de almacenamiento de Azure para este diagrama se encuentran dentro de una cuenta de almacenamiento dedicada. Puede tener una cuenta de almacenamiento para cada tipo de carga de trabajo de almacenamiento.
  • Para obtener una visión más amplia de la arquitectura de referencia, consulte Introducción a la aplicación de principios de Confianza cero a IaaS de Azure.

El diagrama no incluye colas ni tablas de Azure. Utilice la misma guía de este artículo para proteger estos recursos.

¿Cuál es el contenido de este artículo?

En este artículo se describen los pasos para aplicar los principios de Confianza cero en la arquitectura de referencia.

Paso Tarea Principios de Confianza cero aplicados
1 Protección de datos en los tres modos: datos en reposo, datos en tránsito, datos en uso. Dar por hecho que habrá intrusiones al sistema
2 Verificación de usuarios y control de acceso a los datos de almacenamiento con privilegios mínimos. Comprobación explícita
Uso del acceso con privilegios mínimos
3 Separación lógica o segregación de los datos críticos con controles de red. Dar por hecho que habrá intrusiones al sistema
4 Utilizar Defender para Storage para la detección y protección automatizadas de amenazas. Dar por hecho que habrá intrusiones al sistema

Paso 1: Protección de datos en los tres modos: datos en reposo, datos en tránsito, datos en uso.

La mayoría de las opciones se configuran para proteger los datos en reposo, en tránsito y en uso, al crear la cuenta de almacenamiento. Utilice las siguientes recomendaciones para asegurarse de configurar estas protecciones. Considere también la posibilidad de habilitar Microsoft Defender for Cloud para evaluar automáticamente las cuentas de almacenamiento según el punto de referencia de seguridad de Microsoft Cloud que describe una línea base de seguridad para cada servicio de Azure.

Para obtener más información sobre estos controles de seguridad de almacenamiento, consulte aquí.

Utilización del cifrado de datos en tránsito

Mantenga los datos protegidos al habilitar la seguridad de nivel de transporte entre Azure y el cliente. Use siempre HTTPS para proteger la comunicación a través de Internet. Cuando llame a las API de REST para acceder a objetos de cuentas de almacenamiento, puede aplicar HTTPS al exigir transferencia segura requerida para la cuenta de almacenamiento. Se rechaza cualquier solicitud que se origine en una conexión no segura.

Esta configuración está habilitada de manera predeterminada al implementar una nueva cuenta de Azure Storage (segura de manera predeterminada).

Considere la posibilidad de aplicar una directiva para denegar la implementación de conexiones no seguras para Azure Storage (segura por diseño).

Esta configuración también requiere SMB 3.0 con cifrado.

Impedir el acceso de lectura público anónimo

De manera predeterminada, se prohíbe el acceso a blobs públicos, pero un usuario con los permisos adecuados puede configurar un recurso accesible. Para evitar infracciones de datos del acceso anónimo, debe especificar quién tiene acceso a los datos. Evitar esto en el nivel de cuenta de almacenamiento impide que un usuario habilite este acceso en el nivel de contenedor o blob.

Para más información, consulte el artículo en el que se explica cómo impedir el acceso de lectura público anónimo a contenedores y blobs.

Evitar autorización de clave compartida

Esta configuración obliga a la cuenta de almacenamiento a rechazar todas las solicitudes realizadas con una clave compartida y requerir la autorización de Microsoft Entra en su lugar. Microsoft Entra ID es una elección más segura, ya que puede usar mecanismos de acceso basados en riesgos para proteger el acceso a los niveles de datos. Para obtener más información, consulte Impedir la autorización con clave compartida para una cuenta de Azure Storage.

Puede configurar la protección de datos para los tres modos desde las opciones de configuración de una cuenta de almacenamiento, como se muestra aquí.

Captura de pantalla de la configuración de la protección de datos para los tres modos de una cuenta de almacenamiento.

Esta configuración no se puede cambiar una vez creada la cuenta de almacenamiento.

Aplicación de una versión mínima necesaria de Seguridad de la capa de transporte (TLS)

La versión más alta que admite Azure Storage actualmente es TLS 1.2. Imponer la obligación de usar una versión mínima de TLS rechaza las solicitudes de los clientes que usan versiones anteriores. Para obtener más información, consulte Aplicación de una versión mínima necesaria de TLS para las solicitudes a una cuenta de almacenamiento.

Definición del ámbito de las operaciones de copia

Defina el ámbito de las operaciones de copia para restringir las operaciones de copia solo a las de las cuentas de almacenamiento de origen que se encuentran en el mismo inquilino de Microsoft Entra o que tengan vínculo privado a la misma red virtual (VNet) que la cuenta de almacenamiento de destino.

Limite las operaciones de copia a cuentas de almacenamiento de origen con puntos de conexión privados es la opción más restrictiva y requiere que la cuenta de almacenamiento de origen tenga habilitados puntos de conexión privados.

Configure un ámbito para las operaciones de copia desde las opciones de configuración de una cuenta de almacenamiento, como se muestra aquí.

Captura de pantalla de la definición del ámbito de las operaciones de copia para una cuenta de almacenamiento.

Descripción del cifrado en reposo en Azure

Todos los datos escritos en Azure Storage se cifran automáticamente mediante Storage Service Encryption (SSE) con un cifrado Estándar de cifrado avanzado (AES) de 256 bits. SSE cifra automáticamente los datos cuando se escriben en Azure Storage. Cuando se leen datos de Azure Storage, este descifra los datos antes de devolverlos. Este proceso no supone ningún cargo adicional ni afecta al rendimiento. El uso de claves administradas por el cliente (CMK) proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía.

Puede habilitar CMK desde la hoja Cifrado al crear una cuenta de almacenamiento, como se muestra aquí.

Captura de pantalla de la habilitación de CMK para una cuenta de almacenamiento.

También puede habilitar el cifrado de infraestructura, que proporciona cifrado doble en los niveles de servicio e infraestructura. Esta configuración no se puede cambiar una vez creada la cuenta de almacenamiento.

Nota:

Para usar una clave administrada por el cliente para el cifrado de la cuenta de almacenamiento, debe habilitarla durante la creación de la cuenta y debe tener un almacén de claves con la identidad administrada y la clave con los permisos adecuados ya aprovisionados. Opcionalmente, puede habilitar el cifrado AES de 256 bits en el nivel de infraestructura de Azure Storage.

Paso 2: Verificación de usuarios y control de acceso a los datos de almacenamiento con privilegios mínimos

En primer lugar, use Microsoft Entra ID para controlar el acceso a las cuentas de almacenamiento. La utilización del control de acceso basado en rol con cuentas de almacenamiento permite definir de forma granular la función de trabajo basada en el acceso mediante OAuth 2.0. Puede alinear el acceso pormenorizados a la directiva de acceso condicional.

Es importante tener en cuenta que los roles de las cuentas de almacenamiento deben asignarse en el nivel de administración o de datos. Por lo tanto, si usa Microsoft Entra ID como método de autenticación y autorización, a un usuario se le debe asignar la combinación adecuada de roles para darle la menor cantidad de privilegios necesarios para completar su función de trabajo.

Para obtener una lista de roles de cuenta de almacenamiento para obtener acceso pormenorizados, consulte Roles integrados de Azure para Storage. Las asignaciones de RBAC se realizan a través de la opción Access Control en la cuenta de almacenamiento y se pueden asignar en varios ámbitos.

Puede configurar el control de acceso desde la configuración de Access Control (IAM) de una cuenta de almacenamiento, como se muestra aquí.

Captura de pantalla de la configuración del control de acceso para una cuenta de almacenamiento.

Puede comprobar los niveles de acceso de usuarios, grupos, entidades de servicio o identidades administradas y agregar una asignación de roles.

Otra manera de proporcionar permisos enlazados a tiempo es mediante firmas de acceso compartido (SAS). Los procedimientos recomendados al usar SAS en un nivel alto son los siguientes:

  • Use siempre HTTPS. Si ha implementado las directivas de Azure sugeridas para zonas de aterrizaje de Azure, se auditará la transferencia segura a través de HTTPS.
  • Tener un plan de revocación.
  • Configuración de directivas de expiración de SAS.
  • Validación de permisos.
  • Use una SAS de delegación de usuarios siempre que sea posible. Esta SAS está firmada con las credenciales de Microsoft Entra ID.

Paso 3: Separación lógica o segregación de los datos críticos con controles de red

En este paso, usará los controles recomendados para proteger las conexiones de red hacia y desde los servicios de Azure Storage.

En el diagrama siguiente se resaltan las conexiones de red a los servicios de Azure Storage en la arquitectura de referencia.

Diagrama de la arquitectura de referencia para aplicar la Confianza cero a Azure Storage, que resalta las conexiones de red a los servicios de Azure Storage dentro de la arquitectura de referencia de IaaS de Azure.

Tarea Descripción
Evite el acceso público, cree la segmentación de red con el punto de conexión privado y vínculo privado. El punto de conexión privado permite conectarse a los servicios con el uso de una sola dirección IP privada en la red virtual mediante Azure Private Link.
  • La habilitación de puntos de conexión privados permite a la plataforma Azure validar las conexiones de red y permitir solo la conexión con acceso explícito al recurso private-link para obtener acceso a los recursos posteriores.
  • Necesitará un punto de conexión privado independiente para cada servicio de la cuenta de Azure Storage.
  • Usar Azure Private Link Use Azure Private Link para acceder a Azure Storage a través de un punto de conexión privado en la red virtual. Use el flujo de trabajo de aprobación para aprobar o solicitar manualmente de forma automática, según corresponda.
    Impedir el acceso público a los orígenes de datos mediante puntos de conexión de servicio Puede realizar la segmentación de red mediante puntos de conexión de servicio habilitando direcciones IP privadas en una red virtual para llegar a un punto de conexión sin usar direcciones IP públicas.

    Los puntos de conexión privados se configuran desde la configuración de redes de una cuenta de almacenamiento, como se muestra aquí.

    Captura de pantalla de la configuración de un punto de conexión privado para una cuenta de almacenamiento.

    Paso 4: Utilizar Defender para Storage para la detección y protección automatizadas de amenazas

    Microsoft Defender para Storage proporciona el nivel adicional de inteligencia que detecta intentos poco habituales y potencialmente peligrosos vulnerar sus servicios. Microsoft Defender para Storage está integrado en Microsoft Defender for Cloud.

    Defender for Storage detecta alertas anómalas de patrón de acceso, como:

    • Acceso desde ubicaciones inusuales
    • Anomalía de aplicación
    • Acceso anónimo
    • Alertas de extracción o carga anómalas
    • Filtración de datos
    • Eliminación inesperada
    • Carga de paquetes de Azure Cloud Services
    • Alertas de actividades de almacenamiento sospechosas
    • Cambio en el permiso de acceso
    • Inspección de acceso
    • Exploración de datos

    Para más información sobre la protección contra amenazas en toda la arquitectura de referencia, consulte Introducción a la aplicación de principios de Confianza cero a IaaS de Azure.

    Una vez habilitado, Defender for Storage le notifica las alertas de seguridad y las recomendaciones para mejorar la posición de seguridad de las cuentas de almacenamiento de Azure.

    Esta es una alerta de seguridad de ejemplo para una cuenta de almacenamiento con una descripción de las medidas de alerta y prevención resaltadas.

    Captura de pantalla de una alerta de seguridad de ejemplo para una cuenta de almacenamiento.

    Ilustraciones técnicas

    Estas ilustraciones son réplicas de las ilustraciones de referencia de estos artículos. Descargue y personalice estos para su propia organización y clientes. Reemplace el logotipo de Contoso por el suyo propio.

    Elemento Descripción
    imagen en miniatura 1Descargar Visio
    Actualizado en octubre de 2024
    Aplicación de principios de Confianza cero a IaaS de Azure
    Use estas ilustraciones con estos artículos:
    - Información general
    - Almacenamiento de Azure
    - Máquinas virtuales
    - Redes virtuales de radio de Azure
    - Redes virtuales del centro de Azure
    imagen en miniatura 2Descargar Visio
    Actualizado en octubre de 2024
    Aplicación de principios de Confianza cero a IaaS de Azure: póster de una página
    Información general de una página del proceso para aplicar los principios de Confianza cero a entornos de IaaS de Azure.

    Para obtener ilustraciones técnicas adicionales, consulte Confianza cero ilustraciones para arquitectos e implementadores de TI.

    Configuración de la seguridad de almacenamiento

    Cursos Configuración de la seguridad de almacenamiento
    Aprenda a configurar características comunes de seguridad de Azure Storage, como las firmas de acceso al almacenamiento.
    En este módulo aprenderá a:
  • Configurar una firma de acceso compartido (SAS), incluido el identificador uniforme de recursos (URI) y los parámetros de SAS
  • Configurar el cifrado de Azure Storage
  • Implementar claves administradas por el cliente.
  • Recomendar oportunidades para mejorar la seguridad del almacenamiento
  • Para más entrenamiento sobre seguridad en Azure, consulte estos recursos en el catálogo de Microsoft:
    Seguridad en Azure | Microsoft Learn

    Pasos siguientes

    Consulte estos artículos adicionales para aplicar principios de Confianza cero a Azure:

    Referencias

    Consulte los vínculos siguientes para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.