La nube ha redefinido la forma en que las empresas administran la seguridad, exigiendo más vigilancia e implementaciones de seguridad multicapa, ya sea que se trate de aplicaciones nacidas en la nube o migrando cargas de trabajo desde las instalaciones.
Como uno de los proveedores líderes de servicios en la nube, Microsoft Azure tiene una gran cantidad de servicios y herramientas para ayudarlo a enfrentar estos nuevos desafíos. Aun así, la seguridad en la nube es una responsabilidad compartida. Aunque el proveedor de servicios en la nube elimina algunos factores como la seguridad física de los activos, SO (en el caso de los servicios PaaS) o la pila de aplicaciones (en el caso de SaaS), la seguridad de los datos, el terminal y la cuenta y la gestión del acceso siguen siendo responsabilidad del cliente.
La plataforma Azure ofrece una serie de servicios que se pueden clasificar ampliamente en modelos de entrega de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). Admite múltiples sistemas operativos, pilas de aplicaciones, las plataformas de base de datos más populares y soluciones de alojamiento de contenedores. Independientemente de si su aplicación está creada con .NET, PHP, Python, Node.JS, Java, MySQL, SQL, MariaDB, Docker, Kubernetes , puede encontrar un hogar en Azure.
Al migrar una aplicación del centro de datos completamente administrado por usted a Azure, dependerá en gran medida de la plataforma para proteger estas cargas de trabajo. Por lo tanto, el modelo de responsabilidad compartida para la seguridad se vuelve muy relevante aquí para la demarcación de roles y responsabilidades.
Microsoft posee la infraestructura física de la plataforma Azure y maneja su seguridad, cubriendo varios aspectos como el centro de datos físico, control de acceso, capacitación de seguridad obligatoria para el personal, verificación de antecedentes, etc. Pero a medida que implementa cargas de trabajo en la plataforma Azure, se debe tener en cuenta una división de responsabilidades (entre usted y su proveedor), como se resume a continuación:
Como se muestra en la imagen anterior, los proveedores de la nube se encargan de algunas responsabilidades de seguridad, incluidas las del centro de datos físico, la red y el host. Pero, dependiendo de si está utilizando un modelo IaaS, PaaS o SaaS, debe abordar la pila de aplicaciones SO y los requisitos de seguridad adicionales de la capa de red.
Los requisitos de seguridad de cada organización son únicos y necesitarían amplias personalizaciones para garantizar la seguridad de cada carga de trabajo específica. Los vectores de amenazas avanzados en la nube exigen un enfoque de seguridad de confianza cero, donde no se confía en nada de forma predeterminada y todo está verificado. Este enfoque proactivo de la seguridad en la nube ayuda a reducir la superficie de ataque y limitar los daños en caso de un ataque.
La seguridad debe implementarse en cada capa de su pila de aplicaciones, desde la informática, el almacenamiento y las redes hasta los controles específicos de la aplicación y la gestión de identidades y accesos. La visibilidad del estado de seguridad de su entorno también es importante, ya que cualquier actividad maliciosa debe detectarse en tiempo real para una protección óptima.
Azure permite la seguridad de las cargas de trabajo a través de múltiples herramientas y servicios configurables que puede aprovechar para satisfacer las distintas demandas de seguridad y mejorar su postura de seguridad en la nube. También puede usar soluciones de seguridad de socios donde sea aplicable para aumentar aún más esta postura.
Security Center es la solución de administración de seguridad centralizada de Azure que lo ayuda a adaptar sus controles de seguridad a un panorama de amenazas cambiante y proteger proactivamente su organización contra múltiples tipos de ataques. Los servicios de Azure se incorporan automáticamente a Security Center y se monitorean según líneas base de seguridad definidas. Se pueden usar políticas predeterminadas y personalizadas para monitorear el estado de su suscripción de Azure y los recursos incluidos. Basado en la evaluación continua de sus entornos de Azure, Security Center proporciona recomendaciones prácticas que se pueden utilizar para abordar de forma proactiva el intervalo de seguridad.
Azure Security Center también ofrece protección integral contra amenazas y utiliza análisis de la cadena de muerte cibernética para brindarle visibilidad de extremo a extremo del vector de ataque. Además, puede utilizar Microsoft Defender para terminal para proteger sus servidores de Azure. Proporciona sensores avanzados de detección de infracciones que se adaptan rápidamente a las amenazas en evolución a través del poder del big data y el análisis y proporciona inteligencia superior sobre amenazas para proteger sus cargas de trabajo.
Además, la capacidad de incorporación automatizada para servidores Windows y la visibilidad de panel único facilitan la vida de los equipos de seguridad en la nube al reducir los gastos operativos. Azure Security Center se integra con soluciones como Azure Policy, Azure Monitor Logs y Azure nube App Security, así como para una seguridad profunda.
Las amenazas en la nube no son lo mismo que las locales. La nube necesita soluciones nacidas en la nube para garantizar la higiene de la seguridad y que se estén implementando las mejores prácticas de seguridad. La gestión de la postura de seguridad en la nube de Azure le ayuda con esto, permitiéndole administrar de forma proactiva sus cargas de trabajo de seguridad en Azure.
La opción “puntuación segura” en el Centro de seguridad ayuda a cuantificar la postura de seguridad de sus entornos mediante múltiples controles de seguridad prediseñados contra los cuales se evalúan los entornos. Si alguno de estos controles no se implementa o si hay alguna configuración incorrecta, el Centro de Seguridad ofrece recomendaciones prescriptivas para mejorar su puntaje. Mientras tanto, la puntuación de cumplimiento normativo evalúa las cargas de trabajo según estándares como PCI DSS, HIPAA, el propio CIS de Azure y NIST, lo que le ayuda a evaluar su estado de cumplimiento oficial.
Security Center habilita CSPM al proporcionar una vista panorámica de la vulnerabilidad y generar alertas sobre posibles ataques. Cada alerta está etiquetada con un nivel de gravedad para que pueda priorizar las actividades de mitigación. Junto con las cargas de trabajo nativas de la nube, los servicios de IoT y los servicios de datos, Security Center puede proteger las máquinas Windows y Linux en todos los entornos contra amenazas, reduciendo así la superficie de ataque.
Con la expansión de las aplicaciones en la nube, se ha vuelto cada vez más difícil monitorear todas sus aplicaciones y garantizar transacciones de datos seguras. Azure ayuda a abordar esta preocupación a través de una solución de agente de seguridad en la nube llamada Microsoft nube App Security.
Esta herramienta protege contra la TI en la sombra al ayudarlo a detectar los servicios en la nube que utiliza su organización e identificar los riesgos asociados con ellos. Las políticas integradas del servicio le permiten automatizar la implementación de controles de seguridad para aplicaciones en la nube; además, puede sancionar o anular la sanción de aplicaciones a través de la funcionalidad del catálogo de aplicaciones en la nube, que cubre más de 16 000 aplicaciones y las califica según más de 80 factores de riesgo para que usted Puede tomar una decisión informada sobre el tipo de aplicaciones que desea permitir en su organización.
nube App Security además proporciona visibilidad de su aplicación y su estado de seguridad y controla cómo viajan los datos entre ellas. También puede detectar comportamientos inusuales para identificar aplicaciones comprometidas y activar la corrección automática para reducir el riesgo. Puede evaluar más a fondo su aplicación para determinar el cumplimiento normativo y restringir el movimiento de datos a aplicaciones que no cumplan, y también protege cualquier dato regulado en sus aplicaciones del acceso no autorizado.
La integración nativa con otras soluciones de seguridad de Microsoft proporciona inteligencia sobre amenazas incomparable y análisis en profundidad para defender su aplicación de diferentes tipos de ataques en la nube.
Azure Security Center ofrece evaluación y base de seguridad de entornos de alojamiento de contenedores como AKS, así como máquinas virtuales que ejecutan Docker, para identificar posibles configuraciones erróneas y lagunas de seguridad. El endurecimiento de los entornos Docker se habilita mediante la supervisión de los puntos de referencia de CIS con recomendaciones consolidadas en Security Center. Del mismo modo, el monitoreo y la detección avanzada de amenazas están disponibles para los nodos y clústeres AKS. También puede habilitar el complemento de política de Azure para clústeres de Kubernetes para monitorear las solicitudes de servidores API de Kubernetes en comparación con las mejores prácticas definidas antes de atenderlas.
Mientras tanto, Azure Defender protege los nodos y clústeres de AKS contra vulnerabilidades e infiltración en tiempo de ejecución al detectar actividades sospechosas como detección de shell web, solicitudes de conexión de IP sospechosas, aprovisionamiento de contenedores privilegiados, etc. Azure Defender también incluye una integración de Qualys para escanear imágenes extraídas o enviadas. al Registro de contenedores de Azure. Cualquier hallazgo se clasifica y muestra en el Centro de seguridad, lo que le permite diferenciar entre imágenes saludables y no saludables.
Los NSG actúan como la primera línea de defensa de la red para cargas de trabajo conectadas a redes virtuales de Azure. Filtra el tráfico entrante y saliente a través de cinco reglas de tuple usando origen, puerto de origen, destino, puerto de destino y protocolo. Estos grupos se pueden asociar con subredes o tarjetas NIC de la máquina virtual y vienen con algunas reglas predeterminadas para permitir la comunicación entre redes y el acceso a Internet. Además, los grupos de seguridad de red le permiten lograr un control detallado sobre el tráfico de este a oeste y de norte a sur y ayudan a segregar la comunicación de los componentes de su aplicación.
Azure VNet es el componente básico de las redes en Azure y ayuda con la microsegmentación de cargas de trabajo, lo que permite la comunicación segura de cargas de trabajo conectadas con otros recursos de Azure, recursos locales e Internet. Los recursos en una VNet de Azure no pueden comunicarse con recursos en una VNet diferente de forma predeterminada, a menos que estén conectados explícitamente a través de opciones como emparejamiento, VPN, vínculo privado, etc. Se puede agregar otra capa de seguridad habilitando NSG en subredes dentro de la VNet. Además, puede utilizar la configuración del tráfico dentro de la VNet creando tablas de enrutamiento personalizadas, por ejemplo, si desea que todo el tráfico se enrute a través de un dispositivo virtual de red para la inspección de paquetes.
Azure VPN le permite conectarse de forma segura a los recursos de Azure desde el centro de datos rojo local a través de una conexión de sitio a sitio o desde máquinas individuales mediante una conexión de punto a sitio. El tráfico a Azure pasa por Internet, pero a través de un túnel cifrado y seguro mediante SSTP, OpenVPN o IPSec. Si bien la conexión VPN funciona bien en escenarios de sucursales, para una conectividad segura respaldada por SLA de Azure, los clientes pueden optar por ExpressRoute, que es una conexión dedicada desde su centro de datos local a la nube de Azure.
Azure aplicación puerta de enlace es un equilibrador de carga que opera en la capa de aplicación (OSI Layer 7) y redirige el tráfico a recursos en el grupo de backend en función de los atributos HTTP. Cuenta con un firewall de aplicaciones web (WAF) que ayuda a proteger su aplicación de ataques comunes, como ataques de inyección SQL, secuencias de comandos entre sitios, división de solicitudes HTTP, inclusión remota de archivos, etc. Viene con un conjunto predefinido de reglas de seguridad, pero también proporciona la flexibilidad para definir sus propias reglas. El servicio se basa en el conjunto de reglas principales de OWASP ModSecurity y es capaz de actualizarse automáticamente para proteger su aplicación de vulnerabilidades nuevas y en evolución.
En un mundo impulsado por la nube, la identidad se ha convertido en el nuevo perímetro de seguridad. Azure proporciona control de acceso basado en roles (RBAC) habilitado por Azure Active Directory (AD) para controlar el acceso a la aplicación hospedada. Se recomienda seguir el principio de privilegio mínimo (PoLP) para que los usuarios solo tengan el acceso mínimo requerido para su trabajo. Esta autorización se decide por el rol asignado al usuario, que puede ser uno de los roles integrados o un rol personalizado definido por el administrador.
Puede reforzar aún más la IAM a través de opciones como acceso justo a tiempo (JIT) para máquinas virtuales, firma de acceso compartido para almacenamiento, autenticación de múltiples factores, etc. También es importante registrar y realizar un seguimiento de la actividad de los usuarios a través de registros de auditoría de Azure AD y registros de actividad de Azure para identificar identidades comprometidas y usuarios deshonestos.
Si bien las herramientas y servicios nativos suelen proporcionar un buen punto de partida, también necesita herramientas con capacidades avanzadas para proteger su aplicación de los actores de amenazas en evolución en la nube. Las siguientes capacidades adicionales son esenciales para garantizar una seguridad integral en la nube:
CloudGuard puede ayudarle con todo lo anterior, ya que viene prediseñado con estas funciones. Se integra perfectamente con sus herramientas nativas de Azure y aumenta la seguridad de sus datos y cargas de trabajo alojadas en Azure.
Lea más sobre cómo CloudGuard puede ayudarle a alcanzar sus objetivos de seguridad en la nube hoy.