Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure proporciona servicios y tecnologías de seguridad completos en todas las capas de las implementaciones en la nube. En este artículo se presentan las principales funcionalidades de seguridad organizadas por dominio, con vínculos a artículos de información general detallados para obtener más información.
Para conocer procedimientos recomendados de seguridad específicos e instrucciones de implementación detalladas, consulte los artículos de información general específicos del dominio vinculados a lo largo de este documento.
Administración de identidades y acceso
| Servicio | Descripción |
|---|---|
| Microsoft Entra ID | Servicio de administración de identidades y acceso basado en la nube que admite el inicio de sesión único (SSO), la autenticación multifactor (MFA), el acceso condicional y la autenticación sin contraseña. |
| Control de acceso basado en rol (RBAC) de Azure | Administración de acceso detallada con roles integrados y personalizados, asignables en el grupo de administración, la suscripción, el grupo de recursos o el ámbito de recursos. |
| Microsoft Entra Privileged Identity Management | Acceso con privilegios Just-In-Time a roles de Azure y Microsoft Entra con flujos de trabajo de aprobación, revisiones de acceso e historial de auditoría. |
| Revisiones de acceso de Microsoft Entra | Revisiones programadas de pertenencias a grupos, acceso a aplicaciones y asignaciones de roles con recomendaciones y correcciones automatizadas. |
| Proxy de aplicación de Microsoft Entra | Proteja el acceso remoto a aplicaciones web locales sin VPN mediante la autenticación de Microsoft Entra y el acceso condicional. |
| Microsoft Entra Connect/Cloud Sync | Sincronización de identidad híbrida entre Active Directory local y el identificador de Microsoft Entra para la administración unificada de identidades. |
Para conocer las funcionalidades detalladas de seguridad de identidad y los procedimientos recomendados, consulte Introducción a la seguridad de administración de identidades de Azure.
Seguridad de red
| Servicio | Descripción |
|---|---|
| Azure Virtual Network | Red privada aislada con subredes, tablas de rutas y configuración de DNS. Base para toda la seguridad de red de Azure. |
| Grupos de seguridad de red (NSG) | Filtrado de paquetes con estado utilizando reglas de 5 tuplas, etiquetas de servicio y grupos de seguridad de aplicaciones para un control de acceso más detallado. |
| Azure Firewall | Firewall con estado nativo de la nube con alta disponibilidad integrada. La SKU estándar ofrece filtrado L3-L7; la SKU Premium agrega la inspección de IDPS y TLS. |
| Firewall de aplicaciones web (WAF) | Protección centralizada contra vulnerabilidades principales de OWASP, inyección de código SQL, scripting entre sitios y ataques de bot. |
| Azure DDoS Protection | Supervisión del tráfico siempre activa con optimización adaptable, mitigación en tiempo real y análisis de ataques para ataques volumétricos y de protocolo. |
| Azure Private Link | Conectividad privada a los servicios PaaS de Azure a través de un punto de conexión privado en la red virtual, lo que elimina la exposición pública a Internet. |
| Puntos de conexión de servicio de red virtual | Conectividad directa a los servicios de Azure a través de la red troncal de Azure, lo que restringe solo el acceso a las redes virtuales. |
| Acerca de VPN Gateway | Conectividad entre locales cifradas mediante túneles VPN IPsec/IKE para conexiones de sitio a sitio y de punto a sitio. |
| Azure ExpressRoute | Conexión WAN privada dedicada a los servicios en la nube de Microsoft, evitando la red pública de Internet para mejorar la seguridad y la fiabilidad. |
| Puerta de enlace de aplicaciones de Azure | Equilibrador de carga de nivel 7 con terminación TLS, afinidad de sesión basada en cookies, enrutamiento basado en direcciones URL e WAF integrado. |
| Azure Front Door | Equilibrador de carga HTTP global con aceleración perimetral, WAF integrado, protección contra DDoS de nivel de plataforma y orígenes de back-end de Private Link. |
| Azure Network Watcher | Supervisión de red, diagnóstico y análisis de seguridad, incluyendo registros de flujo del grupo de seguridad de red, captura de paquetes y solución de problemas de conexión. |
Para obtener instrucciones de seguridad de red completas y procedimientos recomendados, consulte Introducción a la seguridad de red de Azure.
Cifrado de datos
| Servicio | Descripción |
|---|---|
| Cifrado del servicio Azure Storage para datos en reposo (versión preliminar) | Cifrado automático AES 256 para todos los datos en reposo en Azure Blob Storage, Azure Files, Queue Storage y Table Storage. |
| Cifrado de datos transparente (TDE) de Azure SQL Database | Cifrado en tiempo real de bases de datos, copias de seguridad y registros de transacciones en reposo. Habilitado de forma predeterminada con soporte técnico para claves administradas por el cliente. |
| Always Encrypted | Cifrado del lado cliente para Azure SQL Database, lo que garantiza que los datos permanecen cifrados a lo largo de su ciclo de vida, incluso de los administradores de bases de datos. |
| Azure Disk Encryption | Cifrado para discos de datos y sistema operativo mediante claves administradas por la plataforma, claves administradas por el cliente o cifrado doble con ambos. |
| Cifrado de Azure Cosmos DB | Cifrado automático en reposo mediante claves administradas por el servicio con compatibilidad opcional con claves administradas por el cliente (CMK). |
| Cifrado de Azure Data Lake | Cifrado transparente en reposo habilitado de forma predeterminada con opciones para claves administradas por Microsoft o administradas por el cliente. |
| Cifrado TLS en tránsito | Seguridad de la capa de transporte (TLS 1.2+) para todas las comunicaciones de servicio de Azure con confidencialidad directa perfecta (PFS). |
| Cifrado de vínculo de datos de MACsec | Cifrado de punto a punto mediante IEEE 802.1AE para todo el tráfico de Azure entre centros de datos. |
Para más información sobre las opciones de cifrado y los procedimientos recomendados, consulte Introducción al cifrado de Azure.
Administración de claves y secretos
| Servicio | Descripción |
|---|---|
| Azure Key Vault | Proteja el almacenamiento para claves, secretos y certificados con validación fiPS 140-2 nivel 1 (nivel estándar) o FIPS 140-3 nivel 3 (nivel Premium con HSM). |
| HSM administrado por Azure Key Vault | Servicio de un solo usuario, servicio HSM validado de nivel 3 FIPS 140-3 que ofrece control total del cliente con soporte para claves confidenciales. Se integra con los servicios PaaS de Azure. |
| Azure Cloud HSM | Clúster HSM validado de nivel 3 de FIPS 140-3 totalmente administrado que admite PKCS#11, descarga SSL/TLS y escenarios de migración locales. Solo IaaS. |
| Azure Payment HSM | HSM de un solo arrendatario, validado según FIPS 140-2 Nivel 3, compatible con PCI HSM v3, para operaciones de procesamiento de pagos. |
Para obtener opciones completas de administración de claves, consulte Administración de claves en Azure.
Detección y respuesta de amenazas
| Servicio | Descripción |
|---|---|
| Microsoft Defender for Cloud | Seguridad unificada en la nube con administración de posturas (CSPM), protección de cargas de trabajo (CWP) y detección de amenazas avanzada en azure, AWS, GCP y entornos híbridos. Integrado con el portal de Microsoft Defender. |
| Microsoft Sentinel | Solución SIEM y SOAR nativas de la nube con aprendizaje automático, análisis de comportamiento de usuarios y entidades (UEBA), integración de inteligencia sobre amenazas y cuadernos de estrategias automatizados. |
| Microsoft Entra ID Protection | Protección de identidades basada en riesgos detecta comportamientos anómalos de inicio de sesión y cuentas en peligro mediante el aprendizaje automático. |
| Aplicaciones de Microsoft Defender for Cloud | Agente de seguridad de acceso a la nube (CASB) que proporciona visibilidad, control de datos y protección contra amenazas para aplicaciones en la nube, incluida la detección de TI en sombras. |
| Microsoft Antimalware para Azure | Protección en tiempo real, examen programado y corrección automática de malware para Azure Cloud Services y Virtual Machines. |
Para obtener información completa sobre las funcionalidades de detección de amenazas y los procedimientos recomendados, consulte Protección contra amenazas de Azure.
Integridad de la plataforma
| Servicio | Descripción |
|---|---|
| Seguridad del firmware | Protección de la cadena de suministro y la comprobación de la integridad del firmware para el hardware de Azure desde la fabricación a través de la implementación. |
| Arranque seguro UEFI | Garantiza que solo los sistemas operativos y controladores firmados puedan arrancar, protegiendo contra malware de nivel de firmware. |
| Integridad del código de la plataforma | Directivas de integridad de código que validan todo el código antes de la ejecución en la infraestructura de Azure. |
| Arranque medido y atestación de host | Comprobación criptográfica de la secuencia de arranque para asegurarse de que los hosts están en un estado seguro y confiable. |
| Project Cerberus | Raíz de confianza del hardware que proporciona la verificación de identidad e integridad de la plataforma. |
| Seguridad del hipervisor | Hipervisor protegido con aislamiento seguro entre máquinas virtuales y el entorno de host. |
Para obtener información detallada sobre la arquitectura de seguridad de la plataforma, consulte Introducción a la integridad y seguridad de la plataforma de Azure.
Seguridad de la máquina virtual
| Servicio | Descripción |
|---|---|
| Lanzamiento seguro | Valor predeterminado para las máquinas virtuales gen2 con el arranque seguro, vTPM y la supervisión de integridad de arranque que protegen contra kits de arranque, rootkits y malware de nivel de kernel. |
| Azure confidential computing (Computación confidencial de Azure) | Entornos de ejecución de confianza basados en hardware (TEE) usando AMD SEV-SNP o Intel TDX para la protección de datos mientras están en uso. |
| Máquinas virtuales (VMs) confidenciales | Cifrado de memoria completa de la máquina virtual con aislamiento reforzado por hardware del hipervisor y del código de gestión del anfitrión. |
| Microsoft Defender para servidores | Detección de amenazas con la integración de Microsoft Defender for Endpoint, la evaluación de vulnerabilidades, el acceso a máquinas virtuales JIT y la supervisión de la integridad de los archivos. |
| Acceso a máquinas virtuales Just-In-Time (JIT) | Reduce la superficie expuesta a ataques bloqueando el tráfico entrante y habilitando el acceso limitado a los puertos de administración a petición. |
| Controles de aplicaciones adaptables | Listado de aplicaciones permitidas basado en aprendizaje automático para controlar qué aplicaciones se pueden ejecutar en sus máquinas virtuales. |
| Azure Backup | Copias de seguridad independientes y aisladas con protección contra ransomware, eliminación temporal y administración del almacén de Recovery Services. |
| Azure Site Recovery | Orquestación de la recuperación ante desastres para la replicación, la conmutación por error y la restauración en Azure o en un sitio secundario. |
Para obtener información completa sobre las características y las instrucciones de seguridad de las máquinas virtuales, consulte Introducción a la seguridad de Azure Virtual Machines.
Seguridad del contenedor
| Servicio | Descripción |
|---|---|
| Microsoft Defender para contenedores | Protección en tiempo de ejecución, evaluación de vulnerabilidades y detección de amenazas de Kubernetes en AKS, EKS, GKE y clústeres locales. |
| Azure Container Registry | Registro de contenedor administrado con análisis de vulnerabilidades, confianza de contenido (firma de imágenes), replicación geográfica y puntos de conexión privados. |
| Seguridad de Azure Kubernetes Service (AKS) | Kubernetes administrado con integración de Microsoft Entra, Azure RBAC, políticas de red, seguridad de pods y gestión de secretos. |
| Contenedores confidenciales en ACI | Protección TEE basada en hardware mediante AMD SEV-SNP con directivas de ejecución verificables y atestación remota. |
| Implementación controlada de Kubernetes | Control de admisión que evita la implementación de imágenes de contenedor que incumplen las reglas de seguridad en modo de auditoría o de denegación. |
| Examen de imágenes de contenedor | Evaluación de vulnerabilidades sin agente para imágenes de contenedores en registros y contenedores en tiempo de ejecución en clústeres de AKS. |
Para obtener instrucciones completas de seguridad de contenedores, consulte Seguridad de contenedores en Microsoft Defender for Cloud.
Seguridad de bases de datos
| Servicio | Descripción |
|---|---|
| Seguridad de Azure SQL Database | Seguridad completa con aislamiento de red, autenticación de Microsoft Entra, cifrado de TDE, Always Encrypted y auditoría. |
| Microsoft Defender para SQL | Advanced Threat Protection detecta la inyección de CÓDIGO SQL, los ataques por fuerza bruta, las actividades anómalas y las vulnerabilidades de seguridad. |
| Evaluación de vulnerabilidades de SQL | Detecta, realiza un seguimiento y ayuda a corregir las vulnerabilidades de la base de datos con recomendaciones de seguridad accionables. |
| Seguridad de nivel de fila (RLS) | Restringe el acceso a filas en función de la identidad del usuario, el rol o el contexto de ejecución para el control de acceso a datos específico. |
| Enmascaramiento de datos dinámicos | Enmascara los datos confidenciales a los usuarios sin privilegios sin cambiar los datos subyacentes, lo que reduce el riesgo de exposición. |
| Libro de contabilidad de Azure SQL Database | Capacidades de evidencia de manipulación con registros de transacciones inmutables para comprobar la integridad de los datos y asegurar el cumplimiento. |
| Seguridad de Azure Cosmos DB | Cifrado en reposo y en tránsito, aislamiento de red, RBAC y registro de auditoría para cargas de trabajo NoSQL y multimodelo. |
Para obtener una lista de comprobación completa de seguridad de la base de datos, consulte Lista de comprobación de seguridad de base de datos de Azure.
Seguridad de DevOps
| Servicio | Descripción |
|---|---|
| Microsoft Defender para DevOps | Seguridad unificada de DevOps que conecta Azure DevOps y GitHub con análisis de código, análisis de infraestructura como código (IaC) y detección de secretos. |
| Integración de Advanced Security en GitHub | Seguimiento de vulnerabilidades de código a la nube con priorización del contexto en tiempo de ejecución y corrección automática de Copilot impulsada por IA. |
| Escaneo de contenedores en la tubería | Análisis de vulnerabilidades de contenedores basado en CLI durante los flujos de trabajo de CI/CD con retroalimentación en tiempo real antes del envío al registro. |
| Examen de vulnerabilidades de dependencia | Detección impulsada por Trivy de vulnerabilidades en sistemas operativos y librerías en repositorios de GitHub y Azure DevOps. |
Para conocer los procedimientos recomendados de seguridad de DevOps, consulte Seguridad de DevOps en Defender for Cloud.
Supervisión y gobernanza
| Servicio | Descripción |
|---|---|
| Azure Monitor | Supervisión completa con métricas, registros, espacios de trabajo de Log Analytics, Application Insights, alertas y cuadernos. |
| Azure Policy | Servicio de gobernanza que aplica estándares de la organización con definiciones de directivas, iniciativas, informes de cumplimiento y corrección automática. |
| Cumplimiento normativo de Microsoft Defender for Cloud | Evaluaciones de cumplimiento integradas y personalizadas alineadas con la prueba comparativa de seguridad en la nube de Microsoft, ISO 27001, NIST, PCI DSS y otros estándares. |
| Registro de actividad de Azure | Registro de auditoría de nivel de suscripción que registra operaciones administrativas, eventos de estado del servicio y cambios de recursos con retención de 90 días. |
| Administrador de actualizaciones de Azure | Administración unificada de parches para máquinas virtuales Windows y Linux en Azure, entornos locales y multinube con parches programados y aplicación de parches en caliente. |
| Azure Resource Graph | Consulta rápida en varias suscripciones para identificar recursos con configuraciones o posturas de seguridad específicas a gran escala. |
| Microsoft Cost Management | Supervisión de costos, presupuestos y detección de anomalías para identificar implementaciones de recursos no autorizadas que pueden indicar incidentes de seguridad. |
Para conocer las funcionalidades de administración de seguridad detalladas y los procedimientos recomendados, consulte Introducción a la administración y supervisión de seguridad de Azure.
Copia de seguridad y recuperación ante desastres
| Servicio | Descripción |
|---|---|
| Azure Backup | Copias de seguridad independientes y aisladas con inversión de capital cero, protección contra ransomware, eliminación suave y restauración entre diferentes regiones. |
| Azure Site Recovery | Orquestación de continuidad empresarial y recuperación ante desastres (BCDR) para la replicación, la conmutación por error y la recuperación en Azure o en un sitio secundario. |
Para obtener instrucciones completas de copia de seguridad, consulte la documentación de Azure Backup.
Seguridad de implementación de PaaS
Para obtener instrucciones sobre cómo proteger las implementaciones de plataforma como servicio, incluidos App Service, Azure Functions y servicios de contenedor, consulte Protección de implementaciones de PaaS.
Pasos siguientes
- Seguridad de un extremo a otro en Azure : introducción completa a las funcionalidades y la arquitectura de seguridad de Azure
- Procedimientos recomendados y patrones de seguridad de Azure : recopilación de procedimientos recomendados de seguridad para varios escenarios
- Prueba comparativa de seguridad en la nube de Microsoft : guía de seguridad completa para los servicios de Azure
- Responsabilidad compartida en la nube : descripción de las responsabilidades de seguridad compartidas entre usted y Microsoft