Descripción de defensa en profundidad

  • 4 minutos

El objetivo de la defensa en profundidad es proteger la información y evitar que personas no autorizadas a acceder puedan sustraerla.

Una estrategia de defensa en profundidad usa una serie de mecanismos para ralentizar el avance de un ataque dirigido a adquirir acceso no autorizado a los datos.

Capas de defensa en profundidad

Puede visualizar la defensa en profundidad como un conjunto de capas, con los datos que se van a proteger en el centro y todas las demás capas en funcionamiento para proteger esa capa de datos central.

A diagram the defense in depth layers. From the center: data, application, compute, network, perimeter, identity & access, physical security.

Cada capa proporciona protección de modo que, si se produce una brecha en una capa, ya existe otra en funcionamiento para evitar una mayor exposición. Este enfoque elimina la dependencia de cualquier capa de protección única. Ralentiza un ataque y proporciona información de alertas sobre la que pueden actuar los equipos de seguridad, ya sea de forma automática o manual.

Aquí tiene una breve descripción del rol de cada capa:

  • La capa de seguridad física es la primera línea de defensa para proteger el hardware informático del centro de datos.
  • La capa de identidad y acceso controla el acceso a la infraestructura y al control de cambios.
  • La capa perimetral usa protección frente a ataques de denegación de servicio distribuido (DDoS) para filtrar los ataques a gran escala antes de que puedan causar una denegación de servicio para los usuarios.
  • La capa de red limita la comunicación entre los recursos a través de controles de acceso y segmentación.
  • La capa de proceso protege el acceso a las máquinas virtuales.
  • La capa de aplicación ayuda a garantizar que las aplicaciones sean seguras y estén libres de vulnerabilidades de seguridad.
  • La capa de datos controla el acceso a los datos empresariales y de clientes que es necesario proteger.

Estas capas proporcionan una guía para ayudarle a tomar decisiones de configuración de seguridad en todas las capas de las aplicaciones.

Azure proporciona herramientas y características de seguridad en todas las capas del concepto de defensa en profundidad. Veamos cada capa con más detalle:

Seguridad física

La protección física del acceso a los edificios y el control del acceso al hardware de proceso del centro de datos son la primera línea de defensa.

La intención de la seguridad física es proporcionar medidas de seguridad físicas contra el acceso a los recursos. Estas medidas garantizan que no se puedan omitir otras capas y se controle apropiadamente la pérdida o el robo. Microsoft usa varios mecanismos de seguridad físicos en sus centros de datos de la nube.

Identidad y acceso

La capa de identidad y acceso consiste en garantizar que las identidades están protegidas, que solo se otorga el acceso necesario y que se registran los cambios y los eventos de inicio de sesión.

En esta capa, es importante que realice lo siguiente:

  • Controle el acceso a la infraestructura y al control de cambios.
  • Use el inicio de sesión único (SSO)y la autenticación multifactor.
  • Audite los eventos y los cambios.

Perímetro

El perímetro de la red protege frente a ataques basados en red contra los recursos. Identificar estos ataques, eliminar sus repercusiones y recibir alertas sobre ellos cuando suceden son formas importantes de proteger la red.

En esta capa, es importante que realice lo siguiente:

  • Use protección contra DDoS para filtrar los ataques a gran escala antes de que puedan afectar a la disponibilidad de un sistema para los usuarios.
  • Use firewalls perimetrales para identificar los ataques malintencionados contra la red y alertar sobre ellos.

Red

En esta capa, el enfoque está en limitar la conectividad de la red en todos los recursos para permitir solo la necesaria. Al limitar esta comunicación, se reduce el riesgo de que se propaguen los ataques a otros sistemas de la red.

En esta capa, es importante que realice lo siguiente:

  • Limite la comunicación entre los recursos.
  • Deniegue de forma predeterminada.
  • Restrinja el acceso entrante de Internet y limite el saliente cuando sea apropiado.
  • Implemente conectividad segura a las redes locales.

Compute

El software malintencionado, los sistemas sin revisiones aplicadas y los sistemas protegidos inadecuadamente abren el entorno a los ataques. El enfoque en esta capa es asegurarse de que sus recursos de proceso estén seguros y de que cuenta con los controles adecuados para minimizar los problemas de seguridad.

En esta capa, es importante que realice lo siguiente:

  • Proteja el acceso a las máquinas virtuales.
  • Implemente la protección del punto de conexión de los dispositivos y mantenga los sistemas revisados y actualizados.

Application

La integración de la seguridad en el ciclo de vida de desarrollo de aplicaciones ayuda a reducir el número de vulnerabilidades en el código. Todos los equipos de desarrollo deberían asegurarse de que sus aplicaciones son seguras de forma predeterminada.

En esta capa, es importante que realice lo siguiente:

  • Garantice que las aplicaciones son seguras y están libres de vulnerabilidades.
  • Almacene los secretos de aplicación confidenciales en un medio de almacenamiento seguro.
  • Convierta la seguridad en un requisito de diseño en todo el desarrollo de aplicaciones.

data

Los que almacenan y controlan el acceso a los datos son responsables de asegurarse de que están protegidos correctamente. A menudo, los requisitos legales dictan los controles y procesos que deben cumplirse para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.

En casi todos los casos, los atacantes intentan conseguir datos:

  • Almacenados en una base de datos.
  • Almacenados en discos en máquinas virtuales.
  • Almacenados en aplicaciones de software como servicio (SaaS), como Office 365.
  • Administrados mediante el almacenamiento en la nube.