Directivas y herramientas de seguridad
En la narrativa de Tailwind Traders, el cliente eligió un enfoque de "inicio pequeño" para las zonas de aterrizaje de Azure. Esto significa que su implementación actual no incluye todos los controles de seguridad sugeridos. Idealmente, el cliente habría empezado con el acelerador de zonas de aterrizaje de Azure, que ya habría instalado muchas de las siguientes herramientas.
En esta unidad se describen los controles que se van a agregar al entorno de este cliente para acercarse a la arquitectura conceptual de las zonas de aterrizaje de Azure y preparar los requisitos de seguridad de la organización.
Hay varias herramientas y controles disponibles para ayudarle a lograr rápidamente una línea base de seguridad:
- Microsoft Defender for Cloud: proporciona las herramientas necesarias para proteger los recursos, realizar un seguimiento de su posición de seguridad, protegerse frente a ciberataques y simplificar la administración de la seguridad.
- Microsoft Entra ID: El servicio de administración de identidades y acceso predeterminado. Microsoft Entra ID proporciona una puntuación de seguridad de la identidad para ayudarle a evaluar la posición de seguridad de identidad en relación con las recomendaciones de Microsoft.
- Microsoft Sentinel: un conjunto de Administración de eventos e información de seguridad nativo para la nube que proporciona análisis de seguridad inteligente para toda la empresa con tecnología de IA.
- Plan de protección estándar de denegación de servicio distribuido (DDoS) de Azure (opcional): proporciona características de mitigación de DDoS mejoradas para defenderse frente a ataques DDoS.
- Azure Firewall un servicio de seguridad de firewall de red inteligente y nativo de la nube que le proporciona la mejor protección contra amenazas para las cargas de trabajo en la nube que se ejecutan en Azure.
- Web Application Firewall: un servicio nativo en la nube que protege las aplicaciones web frente a técnicas comunes de pirateo web, como SQL vulnerabilidades de seguridad e inyección de código, como el scripting entre sitios.
- Privileged Identity Management (PIM): Un servicio de Microsoft Entra ID que le permite administrar, controlar y supervisar el acceso a recursos importantes de su organización.
- Microsoft Intune: un servicio basado en la nube que se centra en la administración de dispositivos móviles y la administración de aplicaciones móviles.
En las secciones siguientes se muestra cómo Tailwind Traders puede lograr una línea base de seguridad en la práctica.
Implementación de línea base para el control de acceso
El CISO quiere lograr los siguientes objetivos de la narrativa del cliente:
- Permitir que las personas realicen sus trabajos de forma segura desde cualquier lugar
- Minimizar el daño empresarial de un incidente de seguridad importante
Si estos objetivos se alinean con su organización, o si tiene otros controladores para aumentar los controles de acceso, tenga en cuenta las siguientes tareas en la línea base de seguridad:
- Implementación de Microsoft Entra ID para habilitar credenciales seguras
- Agregar Intune para la seguridad del dispositivo
- Agregar PIM para cuentas con privilegios para acercarse a un mundo de Confianza cero
- Implementar la segmentación de red de sonido mediante un modelo en estrella tipo hub-and-spoke con controles de cristal y controles de firewall entre las zonas de aterrizaje de la aplicación
- Agregar Defender for Cloud y Azure Policy para supervisar el cumplimiento de estos requisitos
Implementación de línea base para el cumplimiento
El CISO quiere lograr el siguiente objetivo de la narrativa del cliente:
- Cumplir de forma proactiva los requisitos normativos y de cumplimiento
Si este objetivo se alinea con su organización, o si tiene otros controladores para aumentar los controles de acceso, tenga en cuenta la siguiente tarea en la línea base de seguridad:
- Agregar PIM para cuentas con privilegios para acercarse a un mundo de Confianza cero
Implementación de línea base para identificar y proteger datos empresariales confidenciales
El CISO quiere lograr los siguientes objetivos de la narrativa del cliente:
- Identificar y proteger los datos empresariales confidenciales
- Modernizar rápidamente el programa de seguridad existente
Si estos objetivos se alinean con su organización, o si tiene otros controladores para aumentar los controles de acceso, tenga en cuenta las siguientes tareas en la línea base de seguridad:
- Agregar Defender for Cloud para obtener visibilidad centralizada, integrada y control sobre una superficie digital de expansión y comprender qué exposiciones existen
- Agregar Microsoft Sentinel para automatizar los procesos que se pueden repetir para liberar tiempo de actividad para el equipo de seguridad
Una vez que se hayan implementado las herramientas adecuadas, asegúrese de que tiene buenas directivas para aplicar el uso adecuado de esas herramientas. Varias directivas se aplican a las zonas de aterrizaje conectadas a la empresa y en línea:
- Aplicar el acceso seguro, como HTTPS, a las cuentas de almacenamiento: configure la cuenta de almacenamiento para que acepte solicitudes de conexiones seguras solo si establece la propiedad Se requiere transferencia segura para la cuenta de almacenamiento. Cuando se requiere una transferencia segura, se rechazan todas las solicitudes que se originan en una conexión no segura.
- Aplicar una auditoría en Azure SQL Database: realice un seguimiento de los eventos de la base de datos y escríbalos en un registro de auditoría en su cuenta de almacenamiento de Azure, área de trabajo de Log Analytics o centro de eventos.
- Aplicar cifrado para Azure SQL Database: el cifrado de datos transparente ayuda a proteger SQL Database, Azure SQL Managed Instance y Azure Synapse Analytics frente a la amenaza de actividades malintencionadas sin conexión, ya que cifra los datos en reposo.
- Impedir el reenvío IP: el reenvío IP permite que una interfaz de red conectada a una máquina virtual reciba tráfico no destinado a ninguna de las direcciones IP asignadas a ninguna de las configuraciones IP de la interfaz de red. También puede enviar tráfico de red con una dirección IP de origen diferente de la asignada a una de las configuraciones de IP de la interfaz de red. La configuración debe habilitarse para cada interfaz de red asociada a la máquina virtual que recibe el tráfico que la máquina virtual debe reenviar.
- Asegurarse de que las subredes están asociadas a grupos de seguridad de red (NSG): use un grupo de seguridad de red de Azure para filtrar el tráfico de red hacia y desde los recursos de Azure en una red virtual de Azure. Un NSG contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante (o el tráfico de red saliente) de varios tipos de recursos de Azure. Para cada regla, puede especificar un origen y destino, un puerto y un protocolo.