Resumen

Completado

En este módulo, ha aprendido a planear e implementar medidas de seguridad avanzadas para los recursos de proceso de Azure para protegerse contra vulnerabilidades y amenazas de seguridad en constante evolución.

Aprendizajes clave

Ha explorado estrategias de seguridad completas en varios servicios de proceso de Azure:

Protección del acceso remoto

• Azure Bastion proporciona acceso RDP/SSH seguro sin exponer máquinas virtuales a la red pública de Internet, con cuatro niveles de SKU:
  • SKU del desarrollador: opción rentable para escenarios de desarrollo y pruebas (dos conexiones simultáneas)
  • SKU básica: acceso remoto seguro estándar (sin soporte de cliente nativo)
  • SKU estándar: características mejoradas, incluida la compatibilidad con el cliente nativo y vínculos que se pueden compartir
  • SKU Premium: funcionalidades avanzadas, como la grabación de sesiones, la implementación solo privada y la compatibilidad con puertos personalizados
• El acceso a máquinas virtuales Just-In-Time (JIT) reduce las superficies expuestas a ataques al proporcionar acceso limitado a las máquinas virtuales

Seguridad de Azure Kubernetes Service (AKS)

• La identidad de carga de trabajo con la federación de OIDC proporciona autenticación segura a los recursos de Azure (reemplaza la identidad administrada por pods en desuso)
• El aislamiento de red a través de directivas de red controla la comunicación entre pods
• Los estándares de seguridad de Pod imponen directivas de seguridad a nivel de Pod
• AKS Automatic ofrece una configuración de clúster simplificada y lista para producción.
• Azure Linux 3 debe usarse ya que el soporte para Azure Linux 2.0 finaliza el 30 de noviembre de 2025

Seguridad y supervisión de contenedores

• Microsoft Defender para contenedores proporciona protección contra amenazas completa en cinco dominios principales:
  • Administración de la posición de seguridad en la nube
  • Evaluación de vulnerabilidades con tecnología de Administración de vulnerabilidades de Microsoft Defender (MDVM)
  • Detección de amenazas en tiempo de ejecución
  • Fortalecimiento del entorno de Kubernetes
  • Protección de la cadena de suministro de software
• Container Insights (una característica de Azure Monitor) proporciona supervisión del rendimiento y el estado de las cargas de trabajo de contenedor.
• La implementación controlada (GA) impide que pasen a producción las imágenes vulnerables.
• El análisis de contenedores en tiempo de ejecución (GA) proporciona una evaluación continua de vulnerabilidades.

Seguridad del Registro de Contenedores

• Azure Container Registry (ACR) admite siete roles RBAC integrados para el control de acceso pormenorizado
• Los métodos de autenticación incluyen identidades de Microsoft Entra, permisos con ámbito de repositorio y cuentas de administrador
• La integración con microsoft Entra ID permite la administración centralizada de identidades

Protección de los datos

• Azure Disk Encryption (ADE) usa BitLocker (Windows) y dm-crypt (Linux) para cifrar discos de máquina virtual
• El cifrado en el host proporciona cifrado de un extremo a otro para los datos de máquina virtual
• El cifrado de disco confidencial protege las cargas de trabajo confidenciales con seguridad basada en hardware
• Azure Key Vault actúa como administración centralizada de claves y certificados
• El cifrado de sobres con jerarquía DEK/KEK proporciona protección de datos superpuesta

Seguridad de API

• La línea base de seguridad de Azure API Management se alinea con Microsoft Cloud Security Benchmark (versión preliminar v2 disponible)
• La integración de red virtual permite configuraciones de red internas o externas
• Los puntos de conexión privados proporcionan acceso seguro sin exposición pública
• La integración de Microsoft Entra ID habilita la autenticación de OAuth 2.0 para las API
• Las identidades administradas simplifican el acceso seguro a recursos de Azure, como Key Vault.

Procedimientos recomendados aplicados

A lo largo de este módulo, ha aprendido a aplicar los procedimientos recomendados de seguridad:

• Use la identidad de cargas de trabajo en lugar de la identidad administrada por pods obsoleta para la autenticación de AKS.
• Habilitación de la autenticación de Microsoft Entra ID a través de métodos de autenticación local siempre que sea posible
• Implementación del acceso con privilegios mínimos mediante Azure RBAC para el control de permisos pormenorizado
• Uso de identidades administradas para evitar almacenar credenciales en código o configuración
• Habilitación del cifrado en reposo y cifrado en tránsito para todos los datos confidenciales
• Implementación de puntos de conexión privados para mantener el tráfico fuera de la red pública de Internet
• Supervisión con Microsoft Defender para contenedores y Container Insights para obtener visibilidad completa
• Aplicación de directivas de red para aplicar la microsegmentación en clústeres de AKS
• Almacenamiento de secretos y claves en Azure Key Vault en lugar de en el código de la aplicación
• Uso de Azure Policy para aplicar configuraciones de seguridad entre recursos

Pasos siguientes

Para seguir consolidando su experiencia en seguridad de Azure:

• Exploración de Microsoft Defender for Cloud para la administración unificada de seguridad
• Revisión de las líneas base de seguridad de Azure para obtener instrucciones específicas del servicio
• Implementación de controles de Microsoft Cloud Security Benchmark en su entorno
• Más información sobre la computación confidencial de Azure para proteger los datos en uso
• Configuración de Azure Policy para aplicar los estándares de seguridad de la organización