Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los procedimientos recomendados de seguridad para máquinas virtuales y sistemas operativos.
Los procedimientos recomendados se basan en un consenso de opinión y son válidos para las funcionalidades y conjuntos de características actuales de la plataforma Azure. Puesto que las opiniones y las tecnologías pueden cambiar con el tiempo, este artículo se actualizará para reflejar dichos cambios.
En la mayoría de los escenarios de IaaS (infraestructura como servicio), las máquinas virtuales de Azure son la principal carga de trabajo de las organizaciones que usan la informática en la nube. This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. En estos escenarios, siga las consideraciones generales de seguridad de IaaS y aplique los procedimientos recomendados de seguridad a todas las máquinas virtuales.
Protección de máquinas virtuales mediante la autenticación y el control de acceso
El primer paso para proteger la máquina virtual es garantizar que solo los usuarios autorizados puedan configurar nuevas máquinas virtuales y obtener acceso a ellas.
Note
Para mejorar la seguridad de las máquinas virtuales Linux en Azure, puede integrarlas con la autenticación de Microsoft Entra. Cuando se usa la autenticación de Microsoft Entra para máquinas virtuales Linux, se administran y se aplican de manera centralizada las directivas que permiten o deniegan el acceso a las máquinas virtuales.
Best practice: Control VM access. Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Apply these policies to resources, such as resource groups. Las máquinas virtuales que pertenecen a un grupo de recursos heredan sus directivas.
Si su organización tiene varias suscripciones, podría necesitar una manera de administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma eficaz. Los grupos de administración de Azure proporcionan un nivel de ámbito por encima de las suscripciones. Las suscripciones se organizan en grupos de administración (contenedores) y aplican sus condiciones de gobernanza a dichos grupos. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo. Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga.
Best practice: Reduce variability in your setup and deployment of VMs. Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.
Best practice: Secure privileged access. Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:
- Colaborador de la máquina virtual: Puede administrar máquinas virtuales, pero no la cuenta de almacenamiento o la red virtual a la que están conectadas.
- Colaborador de la máquina virtual clásica: Puede administrar máquinas virtuales creadas con el modelo de implementación clásica, pero no la cuenta de almacenamiento ni la red virtual a la que están conectadas.
- Security Admin: In Defender for Cloud only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
- Usuario de DevTest Labs: puede ver todo el contenido, así como conectar, iniciar, reiniciar y apagar las máquinas virtuales.
Los administradores y coadministradores de la suscripción pueden cambiar esta configuración, convirtiéndose en administradores de todas las máquinas virtuales de una suscripción. Asegúrese de que confía en todos los administradores y coadministradores de la suscripción para iniciar sesión en cualquiera de las máquinas.
Note
Se recomienda consolidar las máquinas virtuales con el mismo ciclo de vida en el mismo grupo de recursos. Mediante los grupos de recursos, puede implementar, supervisar y acumular los costos para sus recursos.
Las organizaciones que controlan el acceso a la máquina virtual y la configuración mejoran la seguridad general de la máquina virtual.
Utiliza conjuntos de escalado para máquinas virtuales para lograr alta disponibilidad
Si la máquina virtual ejecuta aplicaciones críticas que necesitan tener alta disponibilidad, se recomienda encarecidamente usar conjuntos de escalado de máquinas virtuales.
Virtual Machine Scale Sets le permite crear y administrar un grupo de máquinas virtuales con equilibrio de carga. El número de instancias de máquina virtual puede aumentar o disminuir automáticamente según la demanda, o de acuerdo a una programación definida. Los conjuntos de escalado proporcionan una alta disponibilidad a las aplicaciones y le permiten administrar, configurar y actualizar de forma centralizada muchas máquinas virtuales. No hay ningún costo asociado con el conjunto de escalado propiamente dicho, solo se paga por cada instancia de máquina virtual que cree.
Las máquinas virtuales de un conjunto de escalado también se pueden implementar en varias zonas de disponibilidad, en una sola o en regiones.
Protección frente a malware
Debe instalar la protección antimalware para ayudar a identificar y eliminar virus, spyware y otro software malintencionado. You can install Microsoft Antimalware or a Microsoft partner's endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).
Microsoft Antimalware incluye características como la protección en tiempo real, los análisis programados, la corrección de malware, las actualizaciones de firmas, las actualizaciones del motor, los ejemplos de informes y la colección de eventos de exclusión. En entornos hospedados por separado del entorno de producción, puede usar una extensión de antimalware para ayudar a proteger las máquinas virtuales y los servicios en la nube.
Puede integrar soluciones de asociados y Microsoft Antimalware con Microsoft Defender para la nube para facilitar la implementación y las detecciones integradas (alertas e incidentes).
Best practice: Install an antimalware solution to protect against malware.
Detail: Install a Microsoft partner solution or Microsoft Antimalware
Best practice: Integrate your antimalware solution with Defender for Cloud to monitor the status of your protection.
Detail: Manage endpoint protection issues with Defender for Cloud
Administrar las actualizaciones de la máquina virtual
Las máquinas virtuales de Azure, al igual que todas las máquinas virtuales locales, están diseñadas para que las administre el usuario. Azure no inserta las actualizaciones de Windows en ellas. Debe administrar las actualizaciones de la máquina virtual.
Best practice: Keep your VMs current.
Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Puede evaluar rápidamente el estado de las actualizaciones disponibles en todos los equipos agente y administrar el proceso de instalación de las actualizaciones necesarias para los servidores.
Los equipos administrados por Update Management usan las siguientes configuraciones para evaluar e implementar actualizaciones:
- Microsoft Monitoring Agent (MMA) para Windows o Linux
- Extensión DSC (configuración de estado deseado) de PowerShell para Linux
- Hybrid Runbook Worker de Automation
- Microsoft Update o Windows Server Update Services (WSUS) para equipos Windows
Si usa Windows Update, deje habilitada la configuración automática de Windows Update.
Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Detail: Check for and install all Windows updates as a first step of every deployment. Es especialmente importante aplicar esta medida al implementar imágenes que proceden de usted o de su propia biblioteca. Aunque las imágenes de Azure Marketplace se actualizan automáticamente de forma predeterminada, puede producirse un intervalo de tiempo (hasta unas cuantas semanas) después de una versión pública.
Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. El uso de una plantilla le ofrece una máquina virtual segura y revisada cuando la necesite.
Best practice: Rapidly apply security updates to VMs.
Detail: Enable Microsoft Defender for Cloud (Free tier or Standard tier) to identify missing security updates and apply them.
Best practice: Install the latest security updates.
Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Si las máquinas virtuales de Azure hospedan aplicaciones o servicios que deben estar accesibles desde Internet, esté atento a la aplicación de revisiones. Aplique revisiones no solo del sistema operativo. Las vulnerabilidades de aplicaciones de asociados a las que no se han aplicado revisiones también pueden provocar problemas que podrían haberse evitado si hubiera una buena administración de revisiones vigente.
Best practice: Deploy and test a backup solution.
Detail: A backup needs to be handled the same way that you handle any other operation. al menos en los sistemas que formen parte del entorno de producción que se extiende a la nube.
Los sistemas de prueba y desarrollo deben seguir estrategias de copia de seguridad que proporcionen funcionalidades de restauración que sean similares a las que los usuarios están acostumbrado en función de su experiencia en entornos locales. Las cargas de trabajo de producción movidas a Azure deben integrarse con las soluciones de copia de seguridad existentes cuando sea posible. Or, you can use Azure Backup to help address your backup requirements.
Las organizaciones que no aplican directivas de actualización de software están más expuestas a amenazas que aprovechan las vulnerabilidades conocidas, previamente fijas. Para cumplir con las normativas del sector, las empresas tienen que demostrar que son diligentes y que usan los controles adecuados para mejorar la seguridad de sus cargas de trabajo ubicadas en la nube.
Los procedimientos recomendados de actualización de software para los centros de datos tradicionales e IaaS de Azure tienen muchas similitudes. Recomendamos evaluar las directivas de actualización de software actuales que se incluirán en las máquinas virtuales ubicadas en Azure.
Administrar la posición de seguridad de la máquina virtual
Las ciberamenazas están en evolución. Para proteger las máquinas virtuales hace falta una funcionalidad de supervisión que pueda detectar rápidamente las amenazas, evitar el acceso no autorizado a los recursos, desencadenar alertas y reducir los falsos positivos.
To monitor the security posture of your Windows and Linux VMs, use Microsoft Defender for Cloud. En Defender para la nube, proteja las máquinas virtuales aprovechando las ventajas de las funcionalidades siguientes:
- Aplicar la configuración de seguridad del sistema operativo con las reglas de configuración recomendadas.
- Identificar y descargar las actualizaciones críticas y de seguridad del sistema que puedan faltar.
- Implementar recomendaciones de protección antimalware del punto de conexión.
- Validar el cifrado del disco.
- Evaluar y corregir las vulnerabilidades.
- Detect threats.
Defender para la nube puede supervisar activamente si hay posibles amenazas, que se mostrarán en alertas de seguridad. Las amenazas correlacionadas se agregan en una única vista denominada incidente de seguridad.
Defender para la nube almacena datos en los registros de Azure Monitor. Los registros de Azure Monitor proporcionan un lenguaje de consulta y un motor de análisis que ofrece información sobre el funcionamiento de las aplicaciones y los recursos. Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Esta funcionalidad compartida le ayuda a formarse una imagen completa de su entorno.
Las organizaciones que no aplican una seguridad sólida a sus máquinas virtuales no están informadas de posibles intentos de eludir los controles de seguridad llevados a cabo por usuarios no autorizados.
Supervisar el rendimiento de la máquina virtual
El abuso de los recursos puede ser un problema cuando los procesos de las máquinas virtuales consumen más recursos de los que deberían. Los problemas de rendimiento con una máquina virtual pueden provocar la interrupción del servicio, lo que infringe el principio de seguridad de disponibilidad. Esto es especialmente importante en el caso de las máquinas virtuales que hospedan IIS u otros servidores web, ya que el uso elevado de la CPU o la memoria podría indicar un ataque de denegación de servicio (DoS). Por esta razón, resulta imprescindible supervisar el acceso a las máquinas virtuales no solo de forma reactiva (aunque haya un problema), sino también de forma preventiva, usando como base de referencia un rendimiento medido durante el funcionamiento normal.
We recommend that you use Azure Monitor to gain visibility into your resource’s health. Características de Azure Monitor:
- Archivos de registro de diagnóstico del recurso: supervisa los recursos de la máquina virtual e identifica posibles problemas que podrían poner en peligro la disponibilidad y rendimiento.
- Extensión de Azure Diagnostics: proporciona funcionalidades de supervisión y diagnóstico en máquinas virtuales Windows. Para habilitar estas funcionalidades, incluya la extensión como parte de la plantilla de Azure Resource Manager.
Las organizaciones que no supervisan el rendimiento de la máquina virtual no pueden determinar si ciertos cambios en los patrones de rendimiento son normales o anómalos. Una máquina virtual que consume más recursos de lo habitual podría indicar un ataque procedente de un recurso externo o un proceso en peligro que se está ejecutando en la máquina virtual.
Cifrado de los archivos de disco duro virtual
Se recomienda cifrar los discos duros virtuales (VHD) para ayudar a proteger el volumen de arranque y los volúmenes de datos en reposo en el almacenamiento, junto con las claves de cifrado y los secretos.
Azure Disk Encryption para máquinas virtuales Linux y Azure Disk Encryption para máquinas virtuales Windows le ayuda a cifrar los discos de máquina virtual IaaS Linux y Windows. Azure Disk Encryption uses the industry-standard DM-Crypt feature of Linux and the BitLocker feature of Windows to provide volume encryption for the OS and the data disks. La solución se integra con Azure Key Vault para ayudarle a controlar y administrar los secretos y las claves de cifrado de discos en su suscripción de Key Vault. La solución también garantiza que todos los datos de los discos de máquinas virtuales se cifran en reposo en Azure Storage.
Estos son algunos procedimientos recomendados para usar Azure Disk Encryption:
Best practice: Enable encryption on VMs.
Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. La administración de claves de cifrado en el almacén de claves requiere la autenticación de Microsoft Entra. Cree una aplicación de Microsoft Entra para este fin. Para la autenticación, se puede usar la autenticación basada en secretos de cliente o la autenticación de Microsoft Entra basada en certificados de cliente.
Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. Agregue una KEK al almacén de claves.
Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. También puede importar una KEK en el módulo de seguridad de hardware (HSM) de administración de claves local. Para más información, consulte la documentación de Key Vault. Cuando se especifica una clave de cifrado de claves, Azure Disk Encryption usa esa clave para encapsular los secretos de cifrado antes de escribirlos en Key Vault. El mantenimiento de una copia de custodia de esta clave en un HSM de administración de claves local ofrece una protección adicional contra la eliminación accidental de claves.
Best practice: Take a snapshot and/or backup before disks are encrypted. Las copias de seguridad proporcionan una opción de recuperación si se produce un error inesperado durante el cifrado.
Detail: VMs with managed disks require a backup before encryption occurs. After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. For more information about how to back up and restore encrypted VMs, see the Azure Backup article.
Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Detail: Create and use a key vault that is in the same region as the VM to be encrypted.
Cuando se aplica Azure Disk Encryption, puede atender las siguientes necesidades empresariales:
- Las máquinas virtuales IaaS se protegen en reposo a través de la tecnología de cifrado estándar del sector para cumplir los requisitos de seguridad y cumplimiento de la organización.
- Las máquinas virtuales IaaS se inician bajo directivas y claves controladas por el cliente, y puede auditar su uso en el almacén de claves.
Restringir la conectividad directa a Internet
Supervise y restrinja la conectividad directa a Internet de las máquinas virtuales. Los atacantes analizan constantemente los intervalos de IP de la nube pública en busca de puertos de administración abiertos e intentan realizar ataques "sencillos", como contraseñas comunes y vulnerabilidades conocidas sin revisiones. En esta tabla se enumeran los procedimientos recomendados para que sea más fácil protegerse frente a estos ataques:
Best practice: Prevent inadvertent exposure to network routing and security.
Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.
Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Detail: Use Microsoft Defender for Cloud. Defender para la nube le recomendará que restrinja el acceso mediante puntos de conexión accesibles desde Internet si alguno de los grupos de seguridad de red tiene una o varias reglas de entrada que permiten el acceso desde “cualquier” dirección IP de origen. Defender for Cloud will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.
Best practice: Restrict management ports (RDP, SSH).
Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Cuando el acceso a Just-In-Time está habilitado, Defender para la nube bloquea el tráfico entrante a las VM de Azure mediante la creación de una regla de grupo de seguridad de red. Se deben seleccionar los puertos de la máquina virtual para la que se bloqueará el tráfico entrante. Estos puertos los controla la solución Just-In-Time.
Next steps
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.
En los siguientes recursos se ofrece más información general sobre la seguridad de Azure y los servicios de Microsoft relacionados:
- Blog del equipo de seguridad de Azure: ofrece información actualizada sobre lo último en seguridad de Azure
- Microsoft Security Response Center: aquí podrá notificar vulnerabilidades de seguridad de Microsoft, incluidos problemas con Azure, o también mediante correo electrónico a secure@microsoft.com.