Aplicación de principios de Confianza cero a Azure Storage
Resumen: para aplicar los principios de confianza cero a Azure Storage, debe proteger los datos (en reposo, en tránsito y en uso); comprobar los usuarios y controlar el acceso; separar o segregar los datos críticos con controles de red; y usar Defender para Storage para la detección y protección automatizadas de amenazas.
En este artículo se detallan los pasos para aplicar los principios de Confianza cero a Azure Storage:
| Principio de Confianza cero | Definición | Forma de cumplimiento |
|---|---|---|
| Comprobación explícita | Autentique y autorice siempre en función de todos los puntos de datos disponibles. | Comprobación de las credenciales de usuario y el acceso. |
| Uso del acceso con privilegios mínimos | Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos. | Control de acceso a los datos de almacenamiento con privilegios mínimos. |
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. | Protección de los datos en reposo, en tránsito y en uso. Separación de los datos críticos con controles de red. Utilizar Defender para Storage para la detección y protección automatizadas de amenazas. |
Este artículo forma parte de una serie de artículos que muestran cómo aplicar los principios de Confianza cero en un entorno de Azure que incluye servicios de Azure Storage para admitir una carga de trabajo de IaaS. Para obtener información general, consulte Aplicación de principios de Confianza cero a la infraestructura de Azure.
Arquitectura de almacenamiento en Azure
Puede aplicar Confianza cero principios para Azure Storage en toda la arquitectura, desde el nivel de inquilino y directorio hasta el contenedor de almacenamiento en la capa de datos.
En el diagrama siguiente se muestran los componentes de la arquitectura lógica.
En el diagrama:
- La cuenta de almacenamiento de la arquitectura de referencia está contenida en un grupo de recursos dedicado. Puede aislar cada cuenta de almacenamiento en un grupo de recursos diferente para controles de acceso basados en roles (RBAC) más granulares. Puede asignar permisos de RBAC para administrar la cuenta de almacenamiento en el nivel de grupo de recursos o grupo de recursos y auditarlos con el registro y las herramientas de Microsoft Entra ID, como Privileged Identity Management (PIM). Si ejecuta varias aplicaciones o cargas de trabajo con varias cuentas de almacenamiento correspondientes en una suscripción de Azure, es importante limitar los permisos de RBAC de cada cuenta de almacenamiento a sus propietarios, custodios de datos, controladores, etc.
- Los servicios de almacenamiento de Azure para este diagrama se encuentran dentro de una cuenta de almacenamiento dedicada. Puede tener una cuenta de almacenamiento para cada tipo de carga de trabajo de almacenamiento.
- Para obtener una visión más amplia de la arquitectura de referencia, consulte Introducción a la aplicación de principios de Confianza cero a IaaS de Azure.
El diagrama no incluye colas ni tablas de Azure. Utilice la misma guía de este artículo para proteger estos recursos.
¿Cuál es el contenido de este artículo?
En este artículo se describen los pasos para aplicar los principios de Confianza cero en la arquitectura de referencia.
| Paso | Tarea | Principios de Confianza cero aplicados |
|---|---|---|
| 1 | Protección de datos en los tres modos: datos en reposo, datos en tránsito, datos en uso. | Dar por hecho que habrá intrusiones al sistema |
| 2 | Verificación de usuarios y control de acceso a los datos de almacenamiento con privilegios mínimos. | Comprobación explícita Uso del acceso con privilegios mínimos |
| 3 | Separación lógica o segregación de los datos críticos con controles de red. | Dar por hecho que habrá intrusiones al sistema |
| 4 | Utilizar Defender para Storage para la detección y protección automatizadas de amenazas. | Dar por hecho que habrá intrusiones al sistema |
Paso 1: Protección de datos en los tres modos: datos en reposo, datos en tránsito, datos en uso.
La mayoría de las opciones se configuran para proteger los datos en reposo, en tránsito y en uso, al crear la cuenta de almacenamiento. Utilice las siguientes recomendaciones para asegurarse de configurar estas protecciones. Considere también la posibilidad de habilitar Microsoft Defender for Cloud para evaluar automáticamente las cuentas de almacenamiento según el punto de referencia de seguridad de Microsoft Cloud que describe una línea base de seguridad para cada servicio de Azure.
Para obtener más información sobre estos controles de seguridad de almacenamiento, consulte aquí.
Utilización del cifrado de datos en tránsito
Mantenga los datos protegidos al habilitar la seguridad de nivel de transporte entre Azure y el cliente. Use siempre HTTPS para proteger la comunicación a través de Internet. Cuando llame a las API de REST para acceder a objetos de cuentas de almacenamiento, puede aplicar HTTPS al exigir transferencia segura requerida para la cuenta de almacenamiento. Se rechaza cualquier solicitud que se origine en una conexión no segura.
Esta configuración está habilitada de manera predeterminada al implementar una nueva cuenta de Azure Storage (segura de manera predeterminada).
Considere la posibilidad de aplicar una directiva para denegar la implementación de conexiones no seguras para Azure Storage (segura por diseño).
Esta configuración también requiere SMB 3.0 con cifrado.
Impedir el acceso de lectura público anónimo
De manera predeterminada, se prohíbe el acceso a blobs públicos, pero un usuario con los permisos adecuados puede configurar un recurso accesible. Para evitar infracciones de datos del acceso anónimo, debe especificar quién tiene acceso a los datos. Evitar esto en el nivel de cuenta de almacenamiento impide que un usuario habilite este acceso en el nivel de contenedor o blob.
Para más información, consulte el artículo en el que se explica cómo impedir el acceso de lectura público anónimo a contenedores y blobs.
Evitar autorización de clave compartida
Esta configuración obliga a la cuenta de almacenamiento a rechazar todas las solicitudes realizadas con una clave compartida y requerir la autorización de Microsoft Entra en su lugar. Microsoft Entra ID es una elección más segura, ya que puede usar mecanismos de acceso basados en riesgos para proteger el acceso a los niveles de datos. Para obtener más información, consulte Impedir la autorización con clave compartida para una cuenta de Azure Storage.
Puede configurar la protección de datos para los tres modos desde las opciones de configuración de una cuenta de almacenamiento, como se muestra aquí.
Esta configuración no se puede cambiar una vez creada la cuenta de almacenamiento.
Aplicación de una versión mínima necesaria de Seguridad de la capa de transporte (TLS)
La versión más alta que admite Azure Storage actualmente es TLS 1.2. Imponer la obligación de usar una versión mínima de TLS rechaza las solicitudes de los clientes que usan versiones anteriores. Para obtener más información, consulte Aplicación de una versión mínima necesaria de TLS para las solicitudes a una cuenta de almacenamiento.
Definición del ámbito de las operaciones de copia
Defina el ámbito de las operaciones de copia para restringir las operaciones de copia solo a las de las cuentas de almacenamiento de origen que se encuentran en el mismo inquilino de Microsoft Entra o que tengan vínculo privado a la misma red virtual (VNet) que la cuenta de almacenamiento de destino.
Limite las operaciones de copia a cuentas de almacenamiento de origen con puntos de conexión privados es la opción más restrictiva y requiere que la cuenta de almacenamiento de origen tenga habilitados puntos de conexión privados.
Configure un ámbito para las operaciones de copia desde las opciones de configuración de una cuenta de almacenamiento, como se muestra aquí.
Descripción del cifrado en reposo en Azure
Todos los datos escritos en Azure Storage se cifran automáticamente mediante Storage Service Encryption (SSE) con un cifrado Estándar de cifrado avanzado (AES) de 256 bits. SSE cifra automáticamente los datos cuando se escriben en Azure Storage. Cuando se leen datos de Azure Storage, este descifra los datos antes de devolverlos. Este proceso no supone ningún cargo adicional ni afecta al rendimiento. El uso de claves administradas por el cliente (CMK) proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía.
Puede habilitar CMK desde la hoja Cifrado al crear una cuenta de almacenamiento, como se muestra aquí.
También puede habilitar el cifrado de infraestructura, que proporciona cifrado doble en los niveles de servicio e infraestructura. Esta configuración no se puede cambiar una vez creada la cuenta de almacenamiento.
Nota:
Para usar una clave administrada por el cliente para el cifrado de la cuenta de almacenamiento, debe habilitarla durante la creación de la cuenta y debe tener un almacén de claves con la identidad administrada y la clave con los permisos adecuados ya aprovisionados. Opcionalmente, puede habilitar el cifrado AES de 256 bits en el nivel de infraestructura de Azure Storage.
Paso 2: Verificación de usuarios y control de acceso a los datos de almacenamiento con privilegios mínimos
En primer lugar, use Microsoft Entra ID para controlar el acceso a las cuentas de almacenamiento. La utilización del control de acceso basado en rol con cuentas de almacenamiento permite definir de forma granular la función de trabajo basada en el acceso mediante OAuth 2.0. Puede alinear el acceso pormenorizados a la directiva de acceso condicional.
Es importante tener en cuenta que los roles de las cuentas de almacenamiento deben asignarse en el nivel de administración o de datos. Por lo tanto, si usa Microsoft Entra ID como método de autenticación y autorización, a un usuario se le debe asignar la combinación adecuada de roles para darle la menor cantidad de privilegios necesarios para completar su función de trabajo.
Para obtener una lista de roles de cuenta de almacenamiento para obtener acceso pormenorizados, consulte Roles integrados de Azure para Storage. Las asignaciones de RBAC se realizan a través de la opción Access Control en la cuenta de almacenamiento y se pueden asignar en varios ámbitos.
Puede configurar el control de acceso desde la configuración de Access Control (IAM) de una cuenta de almacenamiento, como se muestra aquí.
Puede comprobar los niveles de acceso de usuarios, grupos, entidades de servicio o identidades administradas y agregar una asignación de roles.
Otra manera de proporcionar permisos enlazados a tiempo es mediante firmas de acceso compartido (SAS). Los procedimientos recomendados al usar SAS en un nivel alto son los siguientes:
- Use siempre HTTPS. Si ha implementado las directivas de Azure sugeridas para zonas de aterrizaje de Azure, se auditará la transferencia segura a través de HTTPS.
- Tener un plan de revocación.
- Configuración de directivas de expiración de SAS.
- Validación de permisos.
- Use una SAS de delegación de usuarios siempre que sea posible. Esta SAS está firmada con las credenciales de Microsoft Entra.
Paso 3: Separación lógica o segregación de los datos críticos con controles de red
En este paso, usará los controles recomendados para proteger las conexiones de red hacia y desde los servicios de Azure Storage.
En el diagrama siguiente se resaltan las conexiones de red a los servicios de Azure Storage en la arquitectura de referencia.
| Tarea | Descripción |
|---|---|
| Evite el acceso público, cree la segmentación de red con el punto de conexión privado y vínculo privado. | El punto de conexión privado permite conectarse a los servicios con el uso de una sola dirección IP privada en la red virtual mediante Azure Private Link. |
| Usar Azure Private Link | Use Azure Private Link para acceder a Azure Storage a través de un punto de conexión privado en la red virtual. Use el flujo de trabajo de aprobación para aprobar o solicitar manualmente de forma automática, según corresponda. |
| Impedir el acceso público a los orígenes de datos mediante puntos de conexión de servicio | Puede realizar la segmentación de red mediante puntos de conexión de servicio habilitando direcciones IP privadas en una red virtual para llegar a un punto de conexión sin usar direcciones IP públicas. |
Los puntos de conexión privados se configuran desde la configuración de redes de una cuenta de almacenamiento, como se muestra aquí.
Paso 4: Utilizar Defender para Storage para la detección y protección automatizadas de amenazas
Microsoft Defender para Storage proporciona el nivel adicional de inteligencia que detecta intentos poco habituales y potencialmente peligrosos vulnerar sus servicios. Microsoft Defender para Storage está integrado en Microsoft Defender for Cloud.
Defender for Storage detecta alertas anómalas de patrón de acceso, como:
- Acceso desde ubicaciones inusuales
- Anomalía de aplicación
- Acceso anónimo
- Alertas de extracción o carga anómalas
- Filtración de datos
- Eliminación inesperada
- Carga de paquetes de Azure Cloud Services
- Alertas de actividades de almacenamiento sospechosas
- Cambio en el permiso de acceso
- Inspección de acceso
- Exploración de datos
Para más información sobre la protección contra amenazas en toda la arquitectura de referencia, consulte Introducción a la aplicación de principios de Confianza cero a IaaS de Azure.
Una vez habilitado, Defender for Storage le notifica las alertas de seguridad y las recomendaciones para mejorar la posición de seguridad de las cuentas de almacenamiento de Azure.
Esta es una alerta de seguridad de ejemplo para una cuenta de almacenamiento con una descripción de las medidas de alerta y prevención resaltadas.
Entrenamiento recomendado
Configuración de la seguridad de almacenamiento
| Cursos | Configuración de la seguridad de almacenamiento |
|---|---|
|
Aprenda a configurar características comunes de seguridad de Azure Storage, como las firmas de acceso al almacenamiento. En este módulo aprenderá a: |
Para más entrenamiento sobre seguridad en Azure, consulte estos recursos en el catálogo de Microsoft:
Seguridad en Azure | Microsoft Learn
Pasos siguientes
Consulte estos artículos adicionales para aplicar principios de Confianza cero a Azure:
- Información general sobre Azure IaaS
- Azure Virtual Desktop
- Azure Virtual WAN
- Aplicaciones IaaS en Amazon Web Services
- Microsoft Sentinel y Microsoft Defender XDR
Ilustraciones técnicas
Este póster de una página proporciona una vista de un solo vistazo de los componentes de IaaS de Azure como referencia y arquitecturas lógicas, junto con los pasos para asegurarse de que estos componentes tienen los principios “nunca confiar, siempre verificar” del modelo de Confianza cero aplicados.
| Elemento | Descripción |
|---|---|
 PDF | Visio Actualizado en marzo de 2024 |
Utilice esta ilustración junto con este artículo: Introducción a la aplicación de principios de Confianza cero a IaaS de Azure Guías de soluciones relacionadas |
Este póster muestra las arquitecturas lógicas y de referencia, y las configuraciones detalladas de los componentes independientes de Confianza cero para IaaS de Azure. Utilice las páginas de este póster para departamentos independientes o especialidades de TI o, con la versión de Microsoft Visio del archivo, personalice los diagramas de la infraestructura.
| Elemento | Descripción |
|---|---|
 PDF | Visio Actualizado en marzo de 2024 |
Use estos diagramas junto con los artículos que comienzan aquí: Introducción a la aplicación de principios de Confianza cero a IaaS de Azure Guías de soluciones relacionadas |
Para obtener ilustraciones técnicas adicionales, haga clic aquí.
Referencias
Consulte los vínculos siguientes para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.
- Transferencias seguras para las cuentas de Azure Storage
- Impedir el acceso de lectura público anónimo a contenedores y blobs
- Impedir la autorización con clave compartida para una cuenta de Azure Storage
- Seguridad de red para cuentas de almacenamiento
- Puntos de conexión privados y vínculos privados para cuentas de almacenamiento
- Storage Service Encryption (SSE)
- Control de acceso basado en rol de Azure para StorSimple
- Copia de seguridad de blobs de Azure
- Procedimientos recomendados al usar SAS
- Revisión de puntos de conexión privados
- Revisión de puntos de conexión de servicio
- Microsoft Defender para Storage
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de