Resumen
En este módulo hemos abarcado muchos aspectos con el fin de crear una lista de comprobación de seguridad de línea de base para los servicios de Azure de uso más frecuente. Vamos a hacer un resumen rápido de lo que hemos visto hasta ahora:
Active Microsoft Defender for Cloud, es gratis. Actualice la suscripción de Azure para activar Microsoft Defender for Cloud. Las características de seguridad mejoradas de Defender for Cloud le ayudan a:
- Buscar y corregir vulnerabilidades de seguridad
- Aplicar controles de acceso y de aplicación para bloquear actividad malintencionada
- Detectar amenazas mediante análisis e inteligencia
- Responder rápidamente cuando esté siendo atacado
Adopte los estándares de referencia del Centro para la seguridad de Internet (CIS). Aplique los estándares de comparación a los inquilinos existentes.
Use máquinas virtuales de CIS con las nuevas cargas de trabajo. Obtenga imágenes de máquinas virtuales protegidas por CIS en Azure Marketplace.
Almacene las claves y los secretos en Azure Key Vault (no en el código fuente). Azure Key Vault está diseñado para admitir cualquier tipo de secreto, como contraseñas, credenciales de base de datos, claves de API y certificados.
Instale un firewall de aplicaciones web. Un firewall de aplicaciones web (WAF) es una característica de Application Gateway que proporciona protección centralizada de las aplicaciones web contra vulnerabilidades de seguridad comunes. Algunos terceros también ofrecen WAF compatibles con Azure.
Aplique la comprobación multifactor para los usuarios, especialmente para las cuentas de administrador. La autenticación multifactor para los usuarios de Microsoft Entra ayuda a los administradores a proteger sus organizaciones y usuarios al exigir más de un método de autenticación.
Cifre los archivos de disco duro virtual. El cifrado ayuda a proteger el volumen de arranque y los volúmenes de datos en reposo en el almacenamiento, junto con las claves de cifrado y los secretos.
Conecte las máquinas virtuales y los dispositivos de Azure a otros dispositivos en red, colocándolos en redes virtuales de Azure. Las máquinas virtuales conectadas a una red virtual de Azure pueden conectarse a dispositivos que están en la misma red virtual, en distintas redes virtuales, en Internet o, incluso, en sus propias redes locales.
Prácticas de seguridad operativas sólidas que se deben implementar
Implemente estas fuertes prácticas de seguridad operativa todos los días:
Administre las actualizaciones de máquina virtual. Las máquinas virtuales de Azure, al igual que todas las máquinas virtuales locales, están diseñadas para que las administre el usuario. Azure no inserta actualizaciones de Windows en ellas. Asegúrese de que cuenta con procesos sólidos vigentes para operaciones importantes como la administración de revisiones y la copia de seguridad.
Habilite la administración de contraseñas. Use las directivas de seguridad adecuadas para impedir el uso abusivo.
Revise periódicamente el panel de protección de las cargas de trabajo. Obtenga una visión central del estado de seguridad de todos los recursos de Azure y realice acciones periódicas según las recomendaciones.
Información adicional
Para explorar los temas presentados en este módulo con más detalle, consulte CIS Microsoft Azure Foundations Security Benchmark.