Protección de los recursos de Azure frente a ciberataques destructivos

En este artículo se proporcionan pasos para aplicar los principios de Confianza cero con el fin de proteger los recursos de Microsoft Azure frente a ciberataques destructivos de las siguientes maneras:

Principio de Confianza cero	Definición
Comprobación explícita	Autentique y autorice siempre en función de todos los puntos de datos disponibles.
Uso del acceso con privilegios mínimos	Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos.
Dar por hecho que habrá intrusiones al sistema	Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. Mejore las defensas con bloqueos de recursos, copias de seguridad y recuperación ante desastres para máquinas virtuales, protección de datos y servicios de disponibilidad de datos y protección de la infraestructura de recuperación, servicios basados en configuración y herramientas de DevOps. Para la detección de amenazas, use Microsoft Sentinel y la detección avanzada de varias fases y prepare los planes de respuesta a incidentes para los recursos de Azure.

En este artículo se incluyen instrucciones sobre cómo:

• Proteger los recursos de Microsoft Azure frente a ciberataques destructivos.
• Detectar ciberataques cuando se produzcan.
• Cómo responder a ellos.

Este artículo está destinado a los implementadores técnicos para cubrir el escenario empresarial de Confianza cero Implementación de la infraestructura de prevención y recuperación de infracciones de seguridad.

Arquitectura de referencia

En la ilustración siguiente se muestra la arquitectura de referencia de esta guía de Confianza cero con agrupaciones para cada categoría de protección.

Este entorno de Azure incluye lo siguiente:

Componente	Descripción
Un	Máquinas virtuales y sus archivos
B	Servicios de datos y sus datos
C	Infraestructura de recuperación, incluidos archivos y plantillas y scripts de automatización
D	Servicios basados en la configuración
E	Automatización de la plataforma y herramientas de DevOps (no se muestran)

Las tareas para proteger cada tipo de recurso se describen en detalle en el paso 1 de este artículo.

¿Cuál es el contenido de este artículo?

En este artículo se describen los pasos para aplicar los principios de Confianza cero en la arquitectura de referencia.

Paso	Tarea
1	Configurar la protección frente a ciberataques.
2	Configurar la detección de ciberataques.
3	Preparar los planes de respuesta a incidentes.

Paso 1: Configuración de la protección frente a ciberataques

Dentro del trabajo de migración, muchas organizaciones implementan soluciones de copia de seguridad y recuperación ante desastres para sus máquinas virtuales de Azure. Por ejemplo, puede usar soluciones nativas de Azure u optar por usar sus propias soluciones de terceros para su ecosistema de nube.

Aunque es importante proteger las máquinas virtuales y sus aplicaciones y datos, también es fundamental ampliar el ámbito de protección más allá de las máquinas virtuales. En esta sección se proporciona un desglose de las consideraciones y recomendaciones sobre cómo proteger diferentes tipos de recursos en Azure frente a un ciberataque destructivo.

Además de las consideraciones específicas del servicio, debe considerar la posibilidad de usar bloqueos de recursos para evitar la eliminación de servicios mediante la protección de su plano de administración. También puede usar bloqueos de recursos para representar recursos de solo lectura. Los bloqueos de recursos funcionan con acceso controlado para reducir la posibilidad de que los recursos de Azure se destruyan en un ciberataque al evitar su modificación o destrucción.

Para evitar que los bloqueos de recursos generen resultados inesperados, antes de aplicarlos, revise las consideraciones. De esta forma, se asegura de que se aplican a los recursos adecuados de una manera que todavía les permita funcionar. Por ejemplo, bloquear una red virtual (VNet) en lugar de un grupo de recursos completo puede impedir que el bloqueo sea demasiado restrictivo en otros recursos del grupo de recursos. Debido a estas consideraciones, debe dar prioridad al bloqueo de los recursos que, si se modifican o eliminan, provocarían la mayor interrupción.

Los bloqueos también pueden tener algunas implicaciones para los objetivos de tiempo de recuperación de las cargas de trabajo que se conmutan por error. El plan de recuperación ante desastres debe tener en cuenta los bloqueos y usted debe tener un procedimiento probado para la eliminación de bloqueos de forma controlada. Deberá entrenar a los administradores y al personal de SecOps en cómo administrar bloqueos como parte de las operaciones diarias y los escenarios de emergencia.

El acceso de los administradores para eliminar los bloqueos debe ser restringido y gestionado mediante acceso JIT, como el que ofrece Microsoft Entra Privileged Identity Management. El acceso a los bloqueos de cambio en los recursos se controla con el ámbito Microsoft.Authorization/locks/* y no se debe conceder como parte del acceso permanente.

A Protección de máquinas virtuales

En el caso de las cargas de trabajo basadas en máquinas virtuales, incluidos los conjuntos de escalado y los clústeres de Kubernetes, debe planear dos capas de protección además del uso de bloqueos de recursos en el plano de administración.

En primer lugar, debe planear la copia de seguridad de los datos de las máquinas virtuales para poder restaurar los datos perdidos en caso de ataque, lo que incluye Azure Kubernetes Service (AKS). También debe proteger los propios datos de copia de seguridad frente a ataques mediante controles de eliminación temporal. Para obtener información sobre cómo configurar copias de seguridad, consulte:

• Creación y configuración de un almacén de Recovery Services
• Copia de seguridad de una máquina virtual en Azure
• Tutorial: Configuración de la copia de seguridad de un clúster de Azure Kubernetes Service
• Copia de seguridad y recuperación para AKS
• Plan de copia de seguridad y restauración para protegerse contra el ransomware
• Eliminación temporal de Azure Backup

En segundo lugar, debe planear la posibilidad de restaurar un servidor en una nueva ubicación en caso de ataque de la infraestructura subyacente de la región. Para obtener información sobre cómo configurar la replicación en máquinas virtuales, consulte Configuración de la recuperación ante desastres para máquinas virtuales de Azure. Esto incluye la configuración de aplicaciones y valores de los recursos usados durante la conmutación por error.

Importante

Al usar Azure Site Recovery para máquinas virtuales que forman parte de un conjunto de escalado de máquinas virtuales, puede replicar el estado de la máquina virtual. Sin embargo, los dispositivos replicados no admitirán el escalado.

Para algunas cargas de trabajo basadas en máquinas virtuales, como los clústeres de Kubernetes, el estado real de los servidores no se puede replicar mediante Azure Site Recovery. Es posible que necesite otras soluciones, como la configuración activo/pasivo.

B. Protección de los servicios de datos

Los servicios de datos son una colección informal de servicios que contienen datos esenciales para las operaciones, pero el propio recurso no es tan importante. Por ejemplo, hay poca diferencia entre dos cuentas de almacenamiento configuradas de la misma manera y que hospedan los mismos datos.

Los servicios de datos son diferentes de las máquinas virtuales, que pueden tener configuraciones del sistema operativo independientes de las aplicaciones que se ejecutan y de la configuración del plano de administración. Como resultado, estos servicios:

• A menudo contienen sus propias herramientas de conmutación por error, como la posibilidad de que una cuenta de almacenamiento se replique en otra región como parte de los niveles de almacenamiento con redundancia geográfica (GRS).
• Estudie sus propias circunstancias para proteger los datos de los ataques y hacer que estén disponibles de nuevo en caso de producirse.

En la tabla siguiente se proporcionan referencias de disponibilidad y protección de datos para los servicios usados habitualmente. Sin embargo, debe investigar la documentación del producto de cada servicio para comprender las opciones disponibles.

Service	Protección de los datos	Disponibilidad de datos
Azure Files	Copia de seguridad de recursos compartidos de archivos de Azure Evitar la eliminación accidental de recursos compartidos de archivos de Azure	Habilitación de la eliminación temporal en recursos compartidos de archivos de Azure
Azure Blob Storage	Habilitación de la restauración a un momento dado en datos de blob Almacenamiento inmutable de los datos críticos para la empresa en Azure Blob Storage	Introducción a la protección de datos para blobs de Azure Habilitación y administración de la eliminación temporal para contenedores Habilitación de la eliminación temporal para blobs
Azure SQL Database	Copias de seguridad automatizadas en Azure SQL Database	Replicación geográfica activa Grupos de conmutación por error de Azure SQL Database
Instancias administradas de SQL	Copias de seguridad automatizadas en Azure SQL Managed Instance	Grupos de conmutación por error de Azure SQL Managed Instance
SQL en máquinas virtuales de Azure	Copia de seguridad y restauración de SQL Server en VM de Azure	Instancias de clúster de conmutación por error con SQL Server en Azure Virtual Machines
Almacenes de claves	Copia de seguridad y restauración de Azure Key Vault	Habilitación de la eliminación temporal y la protección de purga para los almacenes de claves Redundancia y disponibilidad de Azure Key Vault

Advertencia

No se admiten algunos escenarios de recuperación de cuentas de almacenamiento. Para más información, consulte Recuperación de almacenamiento no compatible.

C. Protección de la infraestructura de recuperación

Además de proteger los recursos de las cargas de trabajo, también debe proteger los recursos que se usan para restaurar la funcionalidad después de una interrupción, como la documentación de procedimientos de recuperación y las plantillas y scripts de configuración. Si los atacantes pueden atacar e interrumpir la infraestructura de recuperación, todo el entorno puede verse comprometido, lo que puede provocar retrasos sustanciales a la hora de recuperarse del ataque y dejar a su organización vulnerable a escenarios de ransomware.

En el caso de los datos protegidos por Azure Backup, el uso de la eliminación temporal de copias de seguridad de Azure permite recuperar datos de copia de seguridad incluso si se eliminan. Además, la eliminación temporal mejorada impone la asignación de eliminación temporal y permite definir un período de retención.

Para mejorar aún más la seguridad, implemente la autorización multiusuario (MUA) para operaciones críticas, lo que requiere que dos o más usuarios aprueben operaciones críticas antes de que se ejecuten. Esta opción agrega una capa de seguridad adicional al garantizar que ningún usuario y, por tanto, ningún atacante con una sola cuenta de usuario, pueda poner en peligro la integridad de la copia de seguridad. Habilite y configure MUA para salvaguardar las directivas de copia de seguridad contra los cambios y las eliminaciones no autorizados.

Puede proteger Azure Site Recovery con bloqueos de recursos y acceso JEA/JIT para evitar el acceso y la detección no autorizados cuando los recursos están en riesgo.

Al replicar máquinas virtuales con Azure Site Recovery que se han cifrado con Azure Disk Encryption (ADE) o claves administradas por el cliente (CMK), asegúrese de que las claves de cifrado se almacenan en Azure Key Vault para la región de destino. El almacenamiento de las claves en la región de destino facilita el acceso completo a las claves después de la conmutación por error y mantiene la continuidad de la seguridad de los datos. Para proteger Azure Key Vault frente a ciberataques destructivos, habilite características de protección contra amenazas avanzadas, como la eliminación temporal y la protección de purga.

Para obtener instrucciones de replicación paso a paso para máquinas virtuales cifradas, consulte lo siguiente:

• Replicación de máquinas virtuales protegidas con ADE
• Replicación de máquinas virtuales con discos CMK

D. Protección de servicios basados en la configuración

Los servicios basados en la configuración son servicios de Azure que no tienen datos aparte de su configuración en el plano de administración. Estos recursos suelen basarse en la infraestructura y son servicios fundamentales que admiten cargas de trabajo. Entre los ejemplos se incluyen redes virtuales, equilibradores de carga, puertas de enlace de red y puertas de enlace de aplicaciones.

Dado que estos servicios no tienen estado, no hay datos operativos que proteger. La mejor opción para proteger estos servicios es tener plantillas de implementación de infraestructura como código (IaC), como Bicep, que pueden restaurar el estado de estos servicios después de un ataque destructivo. También puede usar scripts para implementaciones, pero las implementaciones de IaC funcionan mejor para restaurar la funcionalidad en un entorno existente en el que solo se ven afectados algunos servicios.

Siempre que se pueda implementar un recurso configurado del mismo modo, los servicios pueden seguir funcionando. En lugar de intentar realizar copias de seguridad y mantener copias de estos recursos, puede usar la implementación mediante programación para recuperarse de un ataque.

Para más información sobre el uso de IaC, consulte Recomendaciones para usar la infraestructura como código.

E. Protección de la automatización de la plataforma y herramientas de DevOps

Si usa implementaciones mediante programación u otros tipos de automatización, también es necesario proteger la automatización de la plataforma y los recursos de herramientas de DevOps. Para obtener ejemplos para proteger la infraestructura de implementación, consulte Protección de canalizaciones de CI/CD de DevOps y Recomendaciones para proteger un ciclo de vida de desarrollo.

Sin embargo, también debe planear la protección del propio código, que varía en función de las herramientas de control de código fuente que use. Por ejemplo, GitHub tiene instrucciones para hacer una copia de seguridad de un repositorio para los repositorios de código fuente.

También debe revisar los servicios específicos para determinar cómo proteger mejor el código fuente y las canalizaciones frente a ataques y destrucción.

En el caso de componentes, como los agentes de compilación hospedados en máquinas virtuales, puede usar el plan de protección adecuado basado en máquinas virtuales para asegurarse de que los agentes estén disponibles cuando sea necesario.

Paso 2: Configuración de la detección de ciberataques

Para la detección de ataques en la infraestructura de Azure, comience con Microsoft Defender for Cloud, una plataforma de protección de aplicaciones nativa de nube (CNAPP) compuesta por prácticas y medidas de seguridad que están diseñadas para proteger las aplicaciones basadas en la nube de diversas amenazas y vulnerabilidades de seguridad.

Defender for Cloud, junto con planes adicionales para componentes de Azure, recopila señales de componentes de Azure y proporciona protecciones específicas para servidores, contenedores, almacenamiento, bases de datos y otras cargas de trabajo.

En el diagrama siguiente se muestra el flujo de información de eventos de seguridad de los servicios de Azure a través de Defender for Cloud y Microsoft Sentinel.

En la ilustración:

• Los servicios de Azure envían señales a Microsoft Defender for Cloud.
• Microsoft Defender for Cloud, con planes adicionales, como Defender para servidores, analiza las señales de detección de amenazas mejorada y envía datos de administración de eventos e información de seguridad (SIEM) a Microsoft Sentinel.
• Microsoft Sentinel usa los datos de SIEM para la detección, la investigación, la respuesta y la búsqueda proactiva de ciberataques.

Una vez que haya protegido mejor los recursos de Azure con las recomendaciones del paso 1 de este artículo, necesita un plan para detectar ciberataques destructivos mediante Microsoft Sentinel. Un punto de partida es usar la detección avanzada de ataques de varias fases de Microsoft Sentinel. Esto le permite crear detecciones para escenarios específicos, como la destrucción de datos, la denegación de servicio, la actividad administrativa malintencionada y muchos más.

Como parte de la preparación de las cargas de trabajo para la respuesta, debe:

• Identificar cómo determinará si un recurso está siendo atacado.
• Determinar cómo puede capturar y generar un incidente como resultado.

Paso 3: Preparación de los planes de respuesta a incidentes

Debe tener planes de respuesta a incidentes bien definidos y listos para implementar en caso de ciberataques destructivos, antes de que ocurran los incidentes. Durante un incidente, no tendrá tiempo para determinar cómo frustrar los ataques en curso o restaurar los datos y servicios dañados.

Las aplicaciones y los servicios compartidos de Azure deben tener planes de respuesta y recuperación que incluyan cuadernos de estrategias para restaurar máquinas virtuales, servicios de datos, servicios de configuración y servicios de automatización/DevOps. Cada aplicación o área de servicio debe tener sus definiciones y dependencias bien definidas.

Los cuadernos de estrategias deben tener estas características:

• Incluya los procesos para los siguientes escenarios:

  • Conmutación por error de máquinas virtuales de Azure a una región secundaria
  • Restauración de datos de máquinas virtuales de Azure en Azure Portal
  • Restauración de archivos en una máquina virtual de Azure
  • Recuperación de datos y puntos de recuperación eliminados temporalmente mediante la eliminación temporal mejorada en Azure Backup
  • Restauración del estado de los clústeres de Kubernetes después de un desastre
  • recuperar una cuenta de almacenamiento eliminada
  • Recuperación de una clave eliminada temporalmente
  • Recuperación de secretos, claves y certificados eliminados temporalmente de un almacén de claves
  • Guía de recuperación ante desastres de Azure SQL Database

• Incluya el proceso de restauración de cualquier otro recurso que componga este servicio.

• Debe probarse periódicamente como parte de los procesos de mantenimiento de SecOps.

Recomendado para el entrenamiento

• Implementación de Privileged Identity Management
• Diseño de una solución para las copias de seguridad y la recuperación ante desastres
• Mejora de la posición de seguridad en la nube con Microsoft Defender for Cloud
• Creación de detecciones y realización de investigaciones con Microsoft Sentinel

Pasos siguientes

Continúe con la implementación de su infraestructura de prevención y recuperación de infracciones de seguridad.

Referencias

Consulte estos vínculos para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.

• Bloqueos de recursos
• Microsoft Entra Privileged Identity Management (PIM)
• Eliminación temporal de copias de seguridad de Azure
• Autorización multiusuario (MUA)
• Bicep
• Microsoft Defender for Cloud
• Microsoft Sentinel