Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A medida que considera y evalúa los servicios en la nube pública, es fundamental comprender el modelo de responsabilidad compartida y qué tareas de seguridad controla el proveedor de nube y qué tareas maneja usted. Las responsabilidades de la carga de trabajo varían en función de si la carga de trabajo se hospeda en software como servicio (SaaS), plataforma como servicio (PaaS), infraestructura como servicio (IaaS) o en un centro de datos local:
- IaaS (infraestructura como servicio): administra máquinas virtuales, sistemas operativos y aplicaciones. Entre los ejemplos se incluyen Azure Virtual Machines, Azure Disk Storage y redes virtuales.
- PaaS (plataforma como servicio): se implementan aplicaciones sin administrar máquinas virtuales ni sistemas operativos. Algunos ejemplos son Azure App Service, Azure Functions, Azure SQL Database y Azure Storage.
- SaaS (software como servicio): se usan aplicaciones listas para usar. Entre los ejemplos se incluyen Microsoft 365, Dynamics 365 y otras aplicaciones en la nube.
Muchas soluciones de Azure usan una combinación de modelos de servicio. Para obtener instrucciones más detalladas sobre cómo elegir servicios de proceso, consulte Elección de un servicio de proceso de Azure.
División de responsabilidad
En un centro de datos local, usted es el propietario de toda la pila. A medida que se mueve a la nube, algunas responsabilidades se transfieren a Microsoft. En el diagrama siguiente se muestran las áreas de responsabilidad entre usted y Microsoft, según el tipo de implementación de la pila.
Para todos los tipos de implementación en la nube, posee sus datos e identidades. Es responsable de proteger la seguridad de los datos e identidades, los recursos locales y los componentes en la nube que controla. Los componentes en la nube que controla varían según el tipo de servicio.
Matriz de responsabilidades
En la tabla siguiente se detalla la división de responsabilidades entre usted y Microsoft para cada área de la pila:
| Área de responsabilidad | Local | IaaS | PaaS (Plataforma como Servicio) | SaaS |
|---|---|---|---|---|
| Datos del cliente | Cliente | Cliente | Cliente | Cliente |
| Opciones y configuración | Cliente | Cliente | Cliente | Cliente |
| Identidades y usuarios | Cliente | Cliente | Cliente | Cliente |
| Dispositivos cliente | Cliente | Cliente | Cliente | Shared |
| APLICACIONES | Cliente | Cliente | Shared | Shared |
| Controles de red | Cliente | Cliente | Shared | Microsoft |
| Sistema operativo | Cliente | Cliente | Microsoft | Microsoft |
| Anfitriones físicos | Cliente | Microsoft | Microsoft | Microsoft |
| Red física | Cliente | Microsoft | Microsoft | Microsoft |
| Centro de datos físico | Cliente | Microsoft | Microsoft | Microsoft |
Responsabilidades que siempre conserva
Independientemente del tipo de implementación, siempre se conservan las siguientes responsabilidades:
- Datos : es responsable de los datos, incluida la clasificación de datos, la protección de datos, las decisiones de cifrado y el cumplimiento de los requisitos de gobernanza de datos.
- Puntos de conexión : es responsable de proteger los dispositivos cliente y los puntos de conexión que acceden a los servicios en la nube, incluidos los dispositivos móviles, los portátiles y los escritorios.
- Cuentas : es responsable de administrar cuentas de usuario, incluida la creación, administración y eliminación del acceso de usuario.
- Administración de acceso : es responsable de implementar y administrar controles de acceso, incluido el control de acceso basado en rol (RBAC), la autenticación multifactor y las directivas de acceso condicional.
Responsabilidades compartidas explicadas
Algunas responsabilidades se comparten entre usted y Microsoft, con la división que varía según el modelo de servicio:
- Aplicaciones : en IaaS, es totalmente responsable de las aplicaciones implementadas. En PaaS y SaaS, Microsoft administra partes de la pila de aplicaciones, pero es responsable de la configuración de la aplicación, la seguridad del código y los controles de acceso.
- Controles de red : en IaaS, configurará toda la seguridad de red, incluidos los firewalls y la segmentación de red. En PaaS, Microsoft proporciona seguridad de red de línea base, pero configura controles de red de nivel de aplicación. En SaaS, Microsoft administra la seguridad de red.
- Dispositivos cliente. En escenarios SaaS, Microsoft puede proporcionar algunas funcionalidades de administración de dispositivos, pero usted es responsable de la protección y el cumplimiento de puntos finales.
Responsabilidades de Microsoft
Microsoft es responsable de la infraestructura en la nube subyacente, que incluye:
- Seguridad física : protección de los centros de datos, incluidas las instalaciones, los controles de acceso físico y los controles de entorno.
- Red física : administración de la infraestructura de red, incluidos enrutadores, conmutadores y cables dentro de los centros de datos.
- Hosts físicos : administración y mantenimiento de los servidores físicos que hospedan servicios en la nube.
- Hipervisor : administración de la capa de virtualización que habilita máquinas virtuales en IaaS y PaaS.
- Servicios de plataforma : en PaaS y SaaS, Microsoft administra sistemas operativos, entornos en tiempo de ejecución y middleware.
Responsabilidad compartida de IA
Al usar servicios de IA, el modelo de responsabilidad compartida presenta consideraciones únicas más allá de IaaS, PaaS y SaaS tradicionales. Microsoft es responsable de proteger la infraestructura de inteligencia artificial, el hospedaje de modelos y las medidas de seguridad de nivel de plataforma. Sin embargo, los clientes siguen siendo responsables de cómo se aplica la inteligencia artificial dentro de su entorno, lo que incluye proteger los datos confidenciales, administrar la seguridad rápida, mitigar los riesgos de inyección rápida y garantizar el cumplimiento de los requisitos normativos y de la organización.
Dado que las responsabilidades difieren significativamente para las cargas de trabajo de IA, debe revisar el modelo de responsabilidad compartida de IA para obtener instrucciones detalladas sobre roles, procedimientos recomendados y administración de riesgos.
Ventajas de seguridad en la nube
La nube ofrece ventajas significativas para resolver desafíos de seguridad de la información de larga duración. En un entorno local, es probable que las organizaciones tengan responsabilidades y recursos limitados disponibles para invertir en seguridad, lo que crea un entorno en el que los atacantes pueden aprovechar vulnerabilidades en todas las capas.
Entre los ejemplos comunes de responsabilidades no satisfechas en entornos locales tradicionales se incluyen:
- Aplicación de revisiones retrasadas: las actualizaciones de seguridad no se aplican rápidamente debido al personal de TI limitado o a la interrupción del sistema, lo que deja expuestas las vulnerabilidades conocidas.
- Seguridad física inadecuada: las salas del servidor pueden carecer de controles de acceso adecuados, supervisión ambiental o vigilancia debido a restricciones presupuestarias.
- Supervisión de red incompleta : es posible que las organizaciones no tengan herramientas ni experiencia para detectar intrusiones, supervisar anomalías del tráfico o responder a amenazas en tiempo real.
- Hardware obsoleto : es posible que la infraestructura obsoleta ya no reciba actualizaciones de seguridad de los proveedores, lo que crea brechas de seguridad permanentes.
- Copia de seguridad insuficiente y recuperación ante desastres : las copias de seguridad pueden ser poco frecuentes, no probadas o almacenadas en el sitio, dejando los datos vulnerables a ransomware o desastres físicos.
En el diagrama siguiente se muestra un enfoque tradicional en el que muchas responsabilidades de seguridad no se cumplen debido a recursos limitados. En el enfoque habilitado para la nube, puede cambiar las responsabilidades de seguridad diarias al proveedor de nube y reasignar los recursos.
En el enfoque habilitado para la nube, también puede aplicar funcionalidades de seguridad basadas en la nube para mejorar la eficacia y usar la inteligencia en la nube para mejorar el tiempo de detección y respuesta de amenazas. Con la transferencia de responsabilidades al proveedor de nube, las organizaciones pueden obtener más cobertura de seguridad, lo que les permite reasignar recursos de seguridad y presupuestos a otras prioridades empresariales.
Paso siguiente
Obtenga más información sobre la responsabilidad compartida y las estrategias para mejorar la posición de seguridad en la información general de Well-Architected Framework sobre el pilar de seguridad.