Información general: Aplicación de principios de Confianza cero a las redes de Azure

Esta serie de artículos le ayudarán a aplicar los principios de Confianza cero a la infraestructura de red en Microsoft Azure basándose en un enfoque multidisciplinar. Confianza cero como estrategia de seguridad No es un producto o servicio, sino un enfoque para diseñar e implementar el siguiente conjunto de principios de seguridad:

• Comprobación explícita
• Uso del acceso con privilegios mínimos
• Asunción de que hay brechas

La implementación de la mentalidad de Confianza cero para "asumir infracciones, nunca confiar, comprobar siempre" requiere cambios en la infraestructura de red en la nube, en la estrategia de implementación y en la implementación per se.

En los artículos siguientes se muestra cómo aplicar el enfoque de Confianza cero a las redes para los servicios de infraestructura de Azure implementados habitualmente:

• Cifrado
• Segmentación
• Obtención de visibilidad del tráfico de red
• Interrupción del uso de la tecnología de seguridad de red heredada

Importante

En esta guía de Confianza cero se describe cómo usar y configurar varias soluciones de seguridad y características disponibles en Azure para obtener una arquitectura de referencia. Otros recursos también proporcionan instrucciones de seguridad para estas soluciones y características, entre los que se incluyen:

• Microsoft Cloud Security Benchmark
• Línea base de seguridad de Microsoft Cloud

Para describir cómo aplicar un enfoque de Confianza cero, esta guía tiene como destino un patrón común usado en producción por muchas organizaciones: una aplicación basada en máquinas virtuales hospedada en una red virtual (e aplicación IaaS). Este es un patrón común para las organizaciones que migran aplicaciones locales a Azure, lo que a veces se conoce como migrar mediante "lift-and-shift".

Protección contra amenazas con Microsoft Defender for Cloud

En el caso del principio de Confianza cero ante posibles vulneraciones de seguridad de las redes de Azure, Microsoft Defender for Cloud es una solución de detección y respuesta extendida (XDR) que recopila, correlaciona y analiza automáticamente los datos de señal, amenaza y alerta de todo el entorno. Defender for Cloud está pensado para usarse junto con Microsoft Defender XDR a fin de proporcionar una mayor amplitud de protección correlacionada del entorno, como se muestra en el diagrama siguiente.

En el diagrama:

• Defender for Cloud está habilitado para un grupo de administración que incluye varias suscripciones de Azure.
• Microsoft Defender XDR está habilitado para aplicaciones y datos de Microsoft 365, aplicaciones SaaS integradas con Microsoft Entra ID y servidores locales de Active Directory Domain Services (AD DS).

Para obtener más información sobre cómo configurar grupos de administración y habilitar Defender for Cloud, consulte:

• Organización de suscripciones en grupos de administración y asignación de roles a usuarios
• Habilitar Microsoft Defender for Cloud en todas las suscripciones de un grupo de administración

Recursos adicionales

Consulte estos artículos adicionales para aplicar principios de Confianza cero a Azure IaaS:

• Para IaaS de Azure:
  • Almacenamiento de Azure
  • Máquinas virtuales
  • Redes virtuales de radio
  • Redes virtuales del centro
  • Redes virtuales de radio con servicios PaaS de Azure
• Azure Virtual Desktop
• Azure Virtual WAN
• Aplicaciones IaaS en Amazon Web Services
• Microsoft Sentinel y Microsoft Defender XDR