Mejores prácticas de seguridad de Microsoft Azure para 2021
Debido a que existe una variedad tan amplia de servicios de Azure, no existe una “receta” de seguridad única que garantice que haya optimizado su postura de seguridad. Sin embargo, a medida que desglose los diferentes aspectos de Azure en categorías más específicas, descubrirá prácticas recomendadas prácticas que puede implementar. Veamos esas categorías y las prácticas recomendadas de seguridad de Azure resultantes.
Pero primero, los prerrequisitos: el modelo de responsabilidad compartida y el principio del privilegio mínimo
Antes de profundizar en las mejores prácticas de seguridad específicas de Azure, asegúrese de comprender el paradigma de seguridad básico de la plataforma: el modelo de responsabilidad compartida de Azure.
En resumen, el modelo de responsabilidad compartida significa que Microsoft es responsable de la seguridad de la nube, mientras que usted es responsable de la seguridad en la nube. El punto de demarcación entre los dos varía según el tipo de producto específico. Por ejemplo, con una aplicación SaaS, Microsoft es responsable de la seguridad del sistema operativo. Sin embargo, con un producto de infraestructura como servicio (IaaS), usted es responsable de la seguridad del sistema operativo. Es imprescindible comprender dónde se encuentra esa línea divisoria para su infraestructura de Azure.
Además, en todos los casos, debe seguir el principio de privilegio mínimo. Si bien la forma de implementar el principio de privilegio mínimo variará dependiendo de sus cargas de trabajo y aplicaciones, la idea sigue siendo la misma: otorgar a los usuarios, dispositivos, aplicaciones y servicios solo el acceso que necesitan y nada más. Por ejemplo, con una base de datos de Azure, en lugar de otorgar a todos acceso de lectura a toda la base de datos, puede y debe usar seguridad a nivel de fila para restringir el acceso a las filas de la base de datos.
Lista de verificación de prácticas recomendadas de seguridad de Azure
Con los requisitos previos fuera del camino, vamos a sumergirnos en la lista de verificación. Analizaremos aspectos individuales de Azure y brindaremos elementos procesables específicos que su equipo puede auditar.
cifrado y seguridad de datos
Las violaciones de datos son una de las mayores amenazas para su postura de seguridad. Por lo tanto, es imprescindible lograr el cifrado y la seguridad de los datos correctos. Esta lista de comprobación le ayudará a asegurarse de que está en el camino correcto y se aplica a cualquier área de Azure que consuma, transmita o almacene datos confidenciales.
- Identifique toda la información confidencial. Desde una perspectiva de operaciones y cumplimiento, debe identificar todos los datos confidenciales transmitidos o almacenados en su infraestructura. Hacerlo le permitirá decidir adecuadamente cómo lograr la seguridad y el cumplimiento adecuados.
- Cifre los datos en reposo. Este es el de seguridad de datos 101. Utilice protocolos de cifrado modernos y métodos seguros de almacenamiento de datos para todos los datos en reposo.
- Cifrar los datos en tránsito. Al igual que el cifrado de datos en reposo es imprescindible, también lo es el cifrado de datos en tránsito. Incluso si los datos no están atravesando Internet, encriptelo.
- Cuente con un plan de respaldo y recuperación ante desastres (DR). En caso de que sea víctima de ransomware u otro malware, las copias de seguridad y un plan de recuperación ante desastres pueden marcar una gran diferencia. Un plan sólido de respaldo y recuperación ante desastres es imprescindible para la seguridad de Azure.
- Utilice una solución de administración de claves. Soluciones como Azure Key Vault le permiten administrar de forma segura sus claves, secretos y certificados.
- Endurezca sus estaciones de trabajo de administración. Acceder a datos confidenciales desde una estación de trabajo insegura es un riesgo importante. Asegúrese de que solo las estaciones de trabajo reforzados puedan acceder y administrar los sistemas que almacenan datos confidenciales.
- Utilice la protección de la información de Azure. Azure Information Protection facilita lograr una visibilidad total de sus datos confidenciales, implementar controles y colaborar de forma segura. Su uso puede hacer que sus esfuerzos generales de seguridad de datos sean más fáciles y efectivos.
Almacenamiento y seguridad de bases de datos
Asegurar sus bases de datos es un elemento crítico de su postura general de seguridad. Además, en muchos casos es imprescindible desde una perspectiva de cumplimiento. Aquí es donde debería comenzar con la seguridad de la base de datos en Azure.
- Restrinja el acceso a la base de datos y al almacenamiento de información. Utilice firewall y controles de acceso para limitar el nivel de acceso que tienen los usuarios, dispositivos y servicios a sus bases de datos y blobs de almacenamiento.
- Aproveche la auditoría. Active la auditoría para sus bases de datos de Azure. Hacerlo le permite obtener visibilidad de todos los cambios en la base de datos.
- Configure la detección de amenazas para Azure SQL. Si usa Azure SQL, activar la detección de amenazas le ayuda a identificar problemas de seguridad más rápidamente y a limitar el tiempo de permanencia.
- Establezca alertas de registro en Azure Monitor. No es suficiente simplemente registrar eventos. Asegúrese de estar alertando sobre eventos relacionados con la seguridad en Azure Monitor para poder solucionar los problemas rápidamente (y automáticamente cuando sea posible).
- Habilite Azure Defender para sus cuentas de almacenamiento. Azure Defender le proporciona protección y seguridad para sus cuentas de almacenamiento de Azure.
- Utilice borrados suaves. Las eliminaciones suaves le ayudan a garantizar que los datos sigan siendo recuperables (durante 14 días) en caso de que un actor malintencionado (o error de usuario) lleve a que los datos que desea conservar (se eliminen).
- Utilice firmas de acceso compartido (SAS). SAS le permite implementar controles de acceso granulares y límites de tiempo en el acceso de los clientes a los datos.
Cargas de trabajo y protección de máquinas virtuales
Esta sección de nuestra lista de verificación de prácticas recomendadas de seguridad de Azure trata sobre la máquina virtual y otras cargas de trabajo. Existen algunas otras prácticas recomendadas que le ayudarán a proteger sus recursos en Azure:
- Aplicar autenticación de múltiples factores (MFA) y contraseñas complejas. MFA puede ayudar a limitar la amenaza de credenciales comprometidas. Las contraseñas complejas ayudan a reducir la eficacia de los ataques de contraseña de fuerza bruta.
- Utilice el acceso virtual a la máquina justo a tiempo (JIT). El acceso JIT funciona con NSG y el firewall de Azure y le ayuda a incorporar controles de acceso basados en roles (RBAC) y enlaces de tiempo en el acceso a la máquina virtual.
- Disponer de un proceso de parche. Si no está parcheando sus cargas de trabajo, todos sus otros esfuerzos pueden ser en vano. Una única vulnerabilidad sin parches puede provocar una infracción. Un proceso de parcheo para mantener actualizados sus sistemas operativos y su aplicación le ayuda a mitigar este riesgo.
- Bloquee los puertos administrativos. A menos que sea absolutamente necesario, restrinja el acceso a SSH, RDP, WinRM y otros puertos administrativos.
- Utilice el firewall de Azure y los grupos de seguridad de red (NGS) para limitar el acceso a las cargas de trabajo. De acuerdo con el principio de privilegio mínimo, utilice NSG y el firewall de Azure para restringir el acceso a las cargas de trabajo.
Seguridad de Red en la Nube
La seguridad de la red es un aspecto importante para mantener seguras sus cargas de trabajo de Azure. Estas son las mejores prácticas de seguridad de Azure que debe tener en cuenta para su nube roja:
- Cifrar los datos en tránsito. Como mencionamos en la sección de cifrado y seguridad de datos: el cifrado de datos en tránsito (y en reposo) es imprescindible. Aproveche los protocolos de cifrado modernos para todo el tráfico de la red.
- Implemente la confianza cero. De forma predeterminada, las políticas de red deben denegar el acceso a menos que exista una regla de permiso explícita.
- Limite los puertos abiertos y los terminales con acceso a Internet. A menos que haya una razón comercial bien definida para que un puerto esté abierto o que la carga de trabajo esté orientada a Internet, no permita que suceda.
- Supervisar el acceso al dispositivo. Monitorear el acceso a sus cargas de trabajo y dispositivos (por ejemplo, usando SIEM o Azure Monitor) lo ayuda a detectar amenazas de manera proactiva.
- Segmenta tu rojo. La segmentación lógica de la red puede ayudar a mejorar la visibilidad, hacer que sus redes sean más fáciles de administrar y limitar el movimiento de este a oeste en caso de una infracción.
Cumplimiento
Mantener el cumplimiento es uno de los aspectos más importantes de la seguridad en la nube de Azure. Aquí están nuestras recomendaciones para ayudarle a hacer precisamente eso.
- Defina sus objetivos de cumplimiento. ¿Qué datos y cargas de trabajo están dentro del alcance desde una perspectiva de cumplimiento? Qué normas y regulaciones (p. ej. PCI-DSS, ISO 27001, HIPAA) son relevantes para su organización? Es imprescindible responder claramente a esas preguntas y definir sus objetivos de cumplimiento.
- Utilice el Panel de cumplimiento normativo de Azure Security Center y Azure Security Benchmark. El panel de cumplimiento en Azure Security Center puede ayudarlo a identificar qué tan cerca está de lograr el cumplimiento según una amplia gama de estándares. Azure Security Benchmark proporciona recomendaciones que puede seguir para acercarse al cumplimiento total. El uso de estas herramientas le ayuda a simplificar el cumplimiento en la nube.
Mejora de la seguridad de Azure con el enfoque de seguridad unificada en la nube de Check Point
Como puede ver, se necesita mucho para lograr la seguridad en la nube de Azure. Para ayudar a las empresas a agilizar el proceso e implementar las mejores prácticas de seguridad en la nube a escala, desarrollamos el enfoque unificado de seguridad en la nube de Check Point. Basado en los principios de ese enfoque unificado, Check Point CloudGuard es la herramienta ideal para ayudarle a implementar estas mejores prácticas de seguridad en la nube.
Para obtener más información sobre la seguridad de Azure y cómo Check Point puede ayudarle, descargue el documento técnico gratuito Cómo lograr la nube con confianza en la era de las amenazas avanzadas, donde aprenderá:
- Cómo proteger entornos de múltiples nubes a escala
- Cómo mejorar la visibilidad de la nube
- Cómo mantener el cumplimiento en diferentes implementaciones
Alternativamente, si desea evaluar su postura actual de seguridad en la nube, regístrese para una revisión de seguridad gratuita. Después de la verificación, recibirá un informe completo que detalla elementos como la cantidad de infecciones de malware, amenazas a terminales y dispositivos inteligentes, ataques de bots e intentos de intrusión, uso de aplicaciones de alto riesgo y pérdida de datos confidenciales.