Aplicación de principios de Confianza cero a máquinas virtuales en Azure
Resumen: para aplicar los principios de Confianza cero a las máquinas virtuales de Azure, debe configurar el aislamiento lógico con grupos de recursos dedicados, aprovechar el control de acceso basado en roles (RBAC), proteger los componentes de arranque de la máquina virtual, habilitar claves administradas por el cliente y el cifrado doble, controlar aplicaciones instaladas, configurar el acceso seguro y el mantenimiento de máquinas virtuales y habilitar la detección y protección avanzadas de amenazas.
En este artículo se proporcionan pasos para aplicar los principios de Confianza cero a las máquinas virtuales de Azure:
| Principio de Confianza cero | Definición | Forma de cumplimiento |
|---|---|---|
| Comprobación explícita | Autentique y autorice siempre en función de todos los puntos de datos disponibles. | Utilizar el acceso seguro. |
| Uso del acceso con privilegios mínimos | Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos. | Sacar provecho del control de acceso basado en roles (RBAC) y controle las aplicaciones que se ejecutan en máquinas virtuales. |
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. | Aislar las máquinas virtuales con grupos de recursos, proteja sus componentes, use el cifrado doble y habilite la detección y protección avanzadas de amenazas. |
Este artículo forma parte de una serie de artículos que muestran cómo aplicar los principios de Confianza cero en un entorno de Azure que incluye una red virtual de radio (VNet) que hospeda una carga de trabajo basada en máquinas virtuales. Para obtener información general, consulte Aplicación de principios de Confianza cero a la infraestructura de Azure.
Arquitectura lógica para máquinas virtuales
Los principios de Confianza cero de las máquinas virtuales se aplican a través de la arquitectura lógica, desde el nivel de inquilino y directorio hasta los datos y la capa de aplicación dentro de cada máquina virtual.
El siguiente diagrama muestra los componentes de la arquitectura lógica.
En este diagrama:
- A es un conjunto de máquinas virtuales aisladas dentro de un grupo de recursos dedicado que reside dentro de una suscripción de Azure.
- B es la arquitectura lógica de una sola máquina virtual con los siguientes componentes resaltados: aplicaciones, sistema operativo, discos, cargadores de arranque, kernel del sistema operativo, controladores y el componente Módulo de plataforma segura (TPM).
En este artículo se describen los pasos para aplicar los principios de Confianza cero en esta arquitectura lógica mediante estos pasos.
| Paso | Tarea | Principios de confianza cero aplicados |
|---|---|---|
| 1 | Configuración del aislamiento lógico mediante la implementación de máquinas virtuales en un grupo de recursos dedicado. | Dar por hecho que habrá intrusiones al sistema |
| 2 | Sacar provecho del control de acceso basado en roles (RBAC). | Comprobación explícita Uso del acceso con privilegios mínimos |
| 3 | Proteja los componentes de arranque de la máquina virtual, incluidos los cargadores de arranque, los kernels del sistema operativo y los controladores. Proteger de forma segura las claves, los certificados y los secretos en el módulo de plataforma segura (TPM). | Dar por hecho que habrá intrusiones al sistema |
| 4 | Habilitación de las claves administradas por el cliente y cifrado doble | Dar por hecho que habrá intrusiones al sistema |
| 5 | Control de las aplicaciones instaladas en máquinas virtuales. | Uso del acceso con privilegios mínimos |
| 6 | Configuración del acceso seguro (no se muestra en la figura de arquitectura lógica). | Comprobación explícita Utilizar el acceso con privilegios mínimos Dar por hecho que habrá intrusiones al sistema |
| 7 | Configuración del mantenimiento seguro de las máquinas virtuales (no se muestra en la figura de arquitectura lógica). | Dar por hecho que habrá intrusiones al sistema |
| 8 | Habilitación de la protección y detección avanzada de amenazas (no se muestra en la figura de arquitectura lógica). | Dar por hecho que habrá intrusiones al sistema |
Paso 1: Configuración del aislamiento lógico para máquinas virtuales
Comience por aislar las máquinas virtuales dentro de un grupo de recursos dedicado. Puede aislar máquinas virtuales en diferentes grupos de recursos en función de los requisitos de propósito, clasificación de datos y gobernanza, como la necesidad de controlar los permisos y la supervisión.
El uso de grupos de recursos dedicados permite establecer directivas y permisos que se aplican a todas las máquinas virtuales del grupo de recursos. Después, puede usar el control de acceso basado en rol (RBAC) para crear acceso con privilegios mínimos a los recursos de Azure contenidos en el grupo de recursos.
Para más información sobre crear y administrar grupos de recursos, consulte Administración de grupos de recursos de Azure mediante Azure Portal.
Asigne una máquina virtual a un grupo de recursos cuando cree por primera vez la máquina virtual, como se muestra aquí.
Paso 2: Sacar provecho del control de acceso basado en rol (RBAC)
Confianza cero requiere configurar el acceso con privilegios mínimos. Para ello, debe limitar el acceso de los usuarios con acceso Just-In-Time y Just-Enough (JIT/JEA) en función de su rol, carga de trabajo y clasificación de datos.
Los siguientes roles integrados se usan normalmente para el acceso a máquinas virtuales:
- Inicio de sesión de usuario de máquina virtual: ver las máquinas virtuales en el portal e iniciar sesión como usuario normal.
- Inicio de sesión de administrador de máquina virtual: ver las máquinas virtuales en el portal e iniciar sesión como administrador.
- Colaborador de la máquina virtual: crear y administrar máquinas virtuales, incluida la permite el restablecimiento de la contraseña del usuario raíz y los discos administrados. No concede acceso a la red virtual de administración (VNet) ni a la capacidad de asignar permisos a los recursos.
Para unir una máquina virtual a una red virtual, puede usar el permiso personalizado Microsoft.Network/virtualNetworks/subnets/join/action para crear un rol personalizado.
Cuando este rol personalizado se usa con la identidad administrada y la directiva de acceso condicional, puede usar el estado del dispositivo, la clasificación de datos, las anomalías, la ubicación y la identidad para forzar la autenticación multifactor y permitir el acceso pormenorizado en función de la confianza comprobada.
Para ampliar el territorio de control más allá del sistema y permitir que su inquilino de Microsoft Entra con Microsoft Intelligent Security Graph admita el acceso seguro, vaya a la hoja Administración de la máquina virtual y active la identidad administrada asignada por el sistema, como se muestra aquí.
Nota:
Esta característica solo está disponible para las distribuciones de Azure Virtual Desktop, Windows Server 2019, Windows 10 y Linux mediante el acceso basado en certificados.
Paso 3: Protección de los componentes de arranque de la máquina virtual
Siga estos pasos:
- Al crear la máquina virtual, asegúrese de configurar la seguridad de los componentes de arranque. La implementación mejorada de máquinas virtuales permite seleccionar el tipo de seguridad y usar arranque seguro y vTPM.
- Implemente máquinas virtuales de forma segura con cargadores de arranque comprobados, kernels del sistema operativo y controladores firmados por editores de confianza para establecer una "raíz". Si un publicador de confianza no firma la imagen, la máquina virtual no arrancará.
- Proteja de forma segura claves, certificados y secretos en las máquinas virtuales en un Módulo de plataforma segura (TPM).
- Obtenga información y confianza de la integridad de toda la cadena de arranque.
- Asegúrese de que las cargas de trabajo sean de confianza y comprobables. vTPM permite la atestación midiendo la cadena de arranque completa de la máquina virtual (UEFI, SO, sistema y controladores).
La implementación mejorada de máquinas virtuales permite seleccionar el tipo de seguridad y usar arranque seguro y vTPM cuando los crea, como se puede ver aquí.
Paso 3: Habilitación de las claves administradas por el cliente y cifrado doble
El uso de claves administradas por el cliente y el cifrado doble garantiza que, si se exporta un disco, no es legible ni puede funcionar. Al asegurarse de que las claves se mantienen de forma privada y los discos tienen cifrado doble, se protege frente a vulneraciones que intenten extraer información del disco.
Para obtener información sobre cómo configurar una clave de cifrado administrada por el cliente con Azure Key Vault, consulte Uso de Azure Portal para habilitar el cifrado del lado servidor con claves administradas por el cliente para discos administrados. Hay un costo adicional por usar Azure Key Vault.
Habilitación del cifrado del lado servidor de Azure Disk Storage para:
- Cifrado transparente compatible con FIPS 140-2 con cifrado AES 256.
- Ofrece más flexibilidad para administrar los controles.
- Hardware (HSM) o cifrado definido por software.
Habilite el cifrado del lado servidor en el host para el cifrado de un extremo a otro de los datos de la máquina virtual.
Después de completar estos procedimientos, use la clave de cifrado administrada por el cliente para cifrar los discos dentro de la máquina virtual.
Seleccione el tipo de cifrado en la hoja Discos para la configuración de la máquina virtual. Para Tipo de cifrado, seleccione Cifrado doble con claves administradas por el cliente y la plataforma, como se muestra aquí.
Paso 5: Control de las aplicaciones instaladas en máquinas virtuales.
Es importante controlar las aplicaciones instaladas en sus máquinas virtuales.
- Las extensiones del navegador (API) son difíciles de proteger, lo que puede provocar la entrega de direcciones URL malintencionadas.
- Las aplicaciones no autorizadas pueden no estar preparadas, ya que son objetos de TI sombreados (los equipos de TI no están preparados o no tienen conocimiento de que están instalados).
Puede usar la característica Aplicaciones de máquina virtual para controlar las aplicaciones instaladas en máquinas virtuales. Con esta característica, se seleccionan las aplicaciones de máquina virtual que se van a instalar. Esta característica usa Azure Compute Gallery para simplificar la administración de aplicaciones para máquinas virtuales. Cuando se usa junto con RBAC, puede asegurarse de que solo las aplicaciones de confianza estén disponibles para los usuarios.
Seleccione las aplicaciones de máquina virtual en la hoja Opciones avanzadas para la configuración de la máquina virtual, como se muestra aquí.
Paso 6: Configuración del acceso seguro
Para configurar el acceso seguro
- Configuración de la comunicación segura dentro del entorno de Azure entre componentes que acceden directamente a máquinas virtuales
- Configuración de la autenticación multifactor con acceso condicional
- Uso de estaciones de trabajo con privilegios de acceso (PAW)
En el diagrama:
- la autenticación multifactor con acceso condicional se configura en Microsoft Entra ID y en los portales relacionados.
- Las personas con el rol de administración usa estaciones de trabajo de acceso con privilegios (PAW) para acceder directamente a las máquinas virtuales.
Configuración de la comunicación segura en el entorno de Azure para máquinas virtuales
En primer lugar, asegúrese de que la comunicación entre los componentes del entorno de Azure sea segura.
En la arquitectura de referencia, Azure Bastion proporciona conexiones seguras a máquinas virtuales. Azure Bastion actúa como agente RDP/SSH y no interactúa con el protocolo RDP del sistema físico. Esto también le permite reducir el número de direcciones IP orientadas al público.
En el diagrama siguiente se muestran los componentes de las comunicaciones seguras para las máquinas virtuales.
Configuración de la autenticación multifactor con acceso condicional
En el Paso 2: Sacar provecho del control de acceso basado en roles, configuró la integración y la identidad administrada de Microsoft Entra. Esto le permite configurar autenticación multifactor de Azure para Azure Virtual Desktop o para servidores que ejecutan Windows Server 2019 o versiones posteriores. También puede iniciar sesión en una máquina virtual Linux con credenciales de Microsoft Entra. La ventaja adicional de esto es que la máquina que se conecta a la máquina virtual también debe registrarse en el inquilino de Microsoft Entra para poder conectarse.
Al configurar la autenticación multifactor con el acceso condicional y las directivas relacionadas, use el conjunto de directivas recomendado para Confianza cero como guía. Esto incluye directivas como punto de partida que no requieren la administración de dispositivos. Idealmente, los dispositivos que acceden a las máquinas virtuales se administran y puede implementar las directivas empresariales, cosa que se recomienda para Confianza cero. Para obtener más información, consulte Confianza cero directivas habituales de identidad y de acceso a dispositivos.
En el diagrama siguiente se muestran las directivas recomendadas para Confianza cero.
Recuerde que los nombres de usuario y las contraseñas pueden estar en peligro al 100 %. El uso de la autenticación multifactor reduce el riesgo de poner en peligro un 99,9 %. Esta opción requiere licencias de Microsoft Entra ID P1.
Nota:
También puede usar VPN que se usan para conectarse a máquinas virtuales en Azure. Sin embargo, debe asegurarse de utilizar métodos para comprobar explícitamente. La creación de un túnel que sea “de confianza” independientemente de cómo se use, puede ser más arriesgado que tener conexiones específicas altamente comprobadas.
No importa ninguna la cantidad de seguridad que tenga en las capas de red, transporte o aplicación si no procede de un origen seguro, comprobado y de confianza.
Uso de PAT
Utilice estaciones de trabajo de acceso con privilegios (PAW) para asegurarse de que los dispositivos que acceden a las máquinas virtuales están correctos. Las PAW se configuran específicamente para el acceso con privilegios para que las personas con el rol de Administración use un dispositivo que tenga:
- Controles de seguridad y directivas que restringen el acceso administrativo local.
- Herramientas de productividad para minimizar la superficie expuesta a ataques, solo lo que es absolutamente necesario para realizar tareas administrativas confidenciales.
Para obtener más información sobre las opciones de implementación, consulte Implementación de acceso con privilegios.
Paso 7: Configuración del mantenimiento seguro de máquinas virtuales
El mantenimiento seguro de las máquinas virtuales incluye:
- Utilización de antimalware
- Automatización de actualizaciones de máquinas virtuales
Utilización de antimalware en máquinas virtuales
El software antimalware ayuda a proteger las máquinas virtuales de archivos malintencionados, adware y otras amenazas.de importantes. Puede usar programas de proveedores, como Microsoft, Symantec, Trend Micro, McAfee y Kaspersky.
Microsoft Antimalware es un recurso sin costo adicional que proporciona funcionalidad de protección en tiempo real para ayudar a detectar, poner en cuarentena y eliminar software malintencionado, spyware y virus:
- Se ejecuta en segundo plano con la necesidad de interacción del usuario
- Crea alertas cuando se descarga, instala o ejecuta software no deseado o malintencionado.
- Ofrece configuración segura de forma predeterminada y supervisión antimalware
- Análisis programado
- Actualizaciones de firmas
- Actualizaciones de Antimalware Engine y Platform
- Protección activa
- Informes de ejemplos
- Exclusiones
- Recopilación de eventos antimalware
Automatización de actualizaciones de máquinas virtuales
La automatización de las actualizaciones de los sistemas garantiza que están protegidos frente a las vulnerabilidades de seguridad de software malicioso y con configuración errónea más recientes. Hay actualizaciones automáticas con ayuda en el proceso de comprobación de la plataforma de confianza.
Concéntrese en Mantenimiento y actualizaciones de máquinas virtuales de Azure para asegurarse de que los sistemas se protegen frente a la configuración poco segura:
- Update Management en Azure Automation puede ayudar a administrar el proceso de actualización. Con esta utilidad, puede comprobar el estado de actualización de los sistemas, administrar, programar y reiniciar servidores.
- El agente de máquina virtual de Azure se usa para administrar las máquinas virtuales y le ofrece la posibilidad de usar extensiones para la administración.
Los sistemas operativos compatibles con Update Management incluyen los siguientes:
- Cada máquina virtual de Windows: Update Management realiza un examen dos veces al día de cada máquina.
- Cada máquina vitual de Linux: Update Management realiza un examen cada hora.
Vea las instrucciones adicionales:
- Planeamiento de la implementación para actualizar VM Windows en Azure
- Utilización de Azure Private Link para conectar redes de forma segura a Azure Automation Garantiza que las máquinas virtuales se conecten de forma controlada y aislada, y no a través de Internet para actualizarse.
Paso 8: Habilitación de la protección y detección avanzada de amenazas
Microsoft Defender for Cloud proporciona protección contra amenazas para la infraestructura de Azure. Esta protección se extiende a las máquinas virtuales al aprovisionar Microsoft Defender para servidores, como se muestra en el diagrama siguiente.
En el diagrama:
- Como se describe en el artículo Introducción a la aplicación de principios de Confianza cero a IaaS de Azure, Defender for Cloud está habilitado en el nivel de una suscripción de Azure o en el nivel de un grupo de administración de Azure que incluye varias suscripciones de Azure.
- Además de habilitar Defender for Cloud, se aprovisiona Defender para servidores.
Advanced Threat Protection comprueba las actividades que se producen en máquinas virtuales se basan en la inteligencia sobre amenazas Microsoft. Busca configuraciones y actividades específicas que sugieren que podría haber una vulneración. Permite aplicar los principios de Confianza cero Comprobar explícitamente y Asumir vulneración.
Microsoft Defender para servidores incluye lo siguiente:
- Acceso a los datos de Microsoft Defender para punto de conexión relacionados con vulnerabilidades, software instalado y alertas de los puntos de conexión para detección y respuesta de puntos de conexión (EDR).
- Detector de evaluación de vulnerabilidades integrado de Defender para servidores
- Detecte las vulnerabilidades y configuraciones incorrectas en tiempo real con Microsoft Defender para punto de conexión sin necesidad de otros agentes ni exámenes periódicos.
- El detector integrado de Qualys para Azure y las máquinas híbridas de Defender for Cloud permite usar una herramienta líder en la identificación de vulnerabilidades en tiempo real sin necesidad de una licencia de Qualys.
- Implementación del acceso a máquinas virtuales Just-In-Time en Microsoft Defender for Cloud. Esto crea una regla de denegación explícita para RDP/SSH y le proporciona acceso JIT en el nivel de servidor cuando lo necesita y le permite limitar el período de acceso.
- La supervisión de la integridad de los archivos en Defender for Cloud permite hacer modificaciones en la supervisión de archivos y registros del sistema de operaciones, el software de aplicación y otros cambios que le permiten validar la integridad de los sistemas de archivos.
- Los controles de aplicaciones adaptables de Defender for Cloud proporcionan una solución automatizada para crear y definir la lista de permitidos para aplicaciones seguras conocidas y genera alertas de seguridad si se ejecuta una nueva aplicación que no sea la que se define como segura para su uso.
- La protección de red adaptable en Defender for Cloud usa algoritmos de aprendizaje automático que calculan el tráfico actual, la inteligencia contra amenazas, los indicadores de riesgo y las configuraciones de confianza conocidas para dar recomendaciones para proteger los grupos de seguridad de red.
Entrenamiento recomendado
Protección de los discos de las máquinas virtuales de Azure
| Cursos | Protección de los discos de las máquinas virtuales de Azure |
|---|---|
|
Aprenda a utilizar Azure Disk Encryption (ADE) para cifrar el sistema operativo y los discos de datos tanto en máquinas virtuales ya existentes como en máquinas virtuales nuevas. En este módulo aprenderá a: |
Para más entrenamiento sobre Azure, consulte todo el catálogo de Microsoft:
Examinar todo: Entrenamiento | Microsoft Learn
Implementación de la seguridad de host de máquina virtual en Azure
| Cursos | Implementación de la seguridad de host de máquina virtual en Azure |
|---|---|
|
En esta ruta de aprendizaje, aprenda a proteger y reforzar sus máquinas virtuales en Azure. |
Para más entrenamiento sobre máquinas virtuales en Azure, consulte estos recursos en el catálogo de Microsoft:
Máquinas virtuales en Azure | Microsoft Learn
Pasos siguientes
Consulte estos artículos adicionales para aplicar principios de Confianza cero a Azure:
- Información general sobre Azure IaaS
- Azure Virtual Desktop
- Azure Virtual WAN
- Aplicaciones IaaS en Amazon Web Services
- Microsoft Sentinel y Microsoft Defender XDR
Ilustraciones técnicas
Este póster de una página proporciona una vista de un solo vistazo de los componentes de IaaS de Azure como referencia y arquitecturas lógicas, junto con los pasos para asegurarse de que estos componentes tienen los principios “nunca confiar, siempre verificar” del modelo de Confianza cero aplicados.
| Elemento | Descripción |
|---|---|
 PDF | Visio Actualizado en marzo de 2024 |
Utilice esta ilustración junto con este artículo: Introducción a la aplicación de principios de Confianza cero a IaaS de Azure Guías de soluciones relacionadas |
Este póster muestra las arquitecturas lógicas y de referencia, y las configuraciones detalladas de los componentes independientes de Confianza cero para IaaS de Azure. Utilice las páginas de este póster para departamentos independientes o especialidades de TI o, con la versión de Microsoft Visio del archivo, personalice los diagramas de la infraestructura.
| Elemento | Descripción |
|---|---|
 PDF | Visio Actualizado en marzo de 2024 |
Use estos diagramas junto con los artículos que comienzan aquí: Introducción a la aplicación de principios de Confianza cero a IaaS de Azure Guías de soluciones relacionadas |
Para obtener ilustraciones técnicas adicionales, haga clic aquí.
Referencias
- Administración de grupos de recursos de Azure con Azure Portal
- Arranque seguro
- Introducción a vTPM
- Atestación
- Habilitación del cifrado del lado servidor de Azure Disk Storage
- Cifrado AES 256
- Azure Bastion
- Azure Multi-Factor Authentication para Azure Virtual Desktop
- Versiones de Windows Server 2019 o posteriores
- Inicio de sesión en una máquina virtual Linux con credenciales de Microsoft Entra
- Directivas de acceso de dispositivos e identidades de confianza cero
- Estaciones de trabajo de acceso con privilegios (PAW)
- Implementación de acceso con privilegios
- Microsoft antimalware
- Agente de máquina virtual
- Planeamiento de la implementación para actualizar VM Windows en Azure: escenarios de ejemplo de Azure
- Uso de Azure Private Link para conectar redes a Azure Automation de forma segura
- Microsoft Defender para servidores
- Microsoft Defender para punto de conexión
- Detector de evaluación de vulnerabilidades integrado de Defender
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de