Seguridad de confianza cero en Azure

Confianza cero es una estrategia de seguridad que supone una vulneración de seguridad y comprueba cada solicitud como si se origina en una red no controlada. En este artículo se explica cómo aplicar principios de confianza cero a los servicios y la infraestructura de Microsoft Azure.

Para obtener información completa sobre Confianza cero como modelo de seguridad y su aplicación en productos de Microsoft, consulte ¿Qué es Confianza cero?.

Principios de confianza cero para Azure

En la actualidad, las organizaciones necesitan un modelo de seguridad que se adapte eficazmente a la complejidad del entorno moderno, adopta los recursos móviles y protege a personas, dispositivos, aplicaciones y datos dondequiera que se encuentren.

El modelo de seguridad de Confianza cero se basa en tres principios rectores:

• Comprobar explícitamente : autentíquese y autorice siempre en función de todos los puntos de datos disponibles, incluida la identidad del usuario, la ubicación, el estado del dispositivo y el servicio o la carga de trabajo.
• Usar acceso de privilegios mínimos: limite el acceso de usuario con Just-In-Time y Just-Enough-Access (JIT/JEA), políticas adaptativas basadas en riesgos y protección de datos.
• Asumir vulneración: Minimice el radio de explosión y el acceso a segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

Aplicación de principios a cargas de trabajo de Azure

Al implementar Confianza cero en Azure, estos principios se traducen en patrones de arquitectura específicos:

Comprobar explícitamente significa que todas las solicitudes de acceso a los recursos de Azure deben autenticarse y autorizarse mediante el identificador de Entra de Microsoft, con directivas de acceso condicional que evalúan el riesgo en función de varias señales, como el usuario, el dispositivo, la ubicación y el contexto de la carga de trabajo.

El uso del acceso con privilegios mínimos requiere el uso del control de acceso basado en rol (RBAC) con permisos mínimos, acceso Just-In-Time (JIT) para operaciones administrativas e identidades administradas en lugar de almacenar credenciales.

Supongamos que la brecha impulsa la segmentación de red para limitar el movimiento lateral, el cifrado de los datos en reposo y en tránsito, la supervisión continua y la detección de amenazas, y las copias de seguridad inmutables para protegerse contra ataques destructivos.

Arquitectura de confianza cero en Azure

Un enfoque de confianza cero se extiende a lo largo de todo el patrimonio digital y actúa como filosofía de seguridad integrada y estrategia de un extremo a otro. Cuando se aplica a Azure, requiere un enfoque multidisciplinario que aborde sistemáticamente la infraestructura, las redes, la identidad y la protección de datos.

En esta ilustración, se proporciona una representación de los elementos principales que contribuyen a la Confianza cero.

En la ilustración:

• La aplicación de directivas de seguridad está en el centro de una arquitectura de confianza cero. Esto incluye la autenticación multifactor con acceso condicional que tiene en cuenta el riesgo de la cuenta de usuario, el estado del dispositivo y otros criterios y directivas que establezca.
• Las identidades, losdispositivos (también denominados puntos de conexión), los datos, las aplicaciones, la red y otros componentes de infraestructura están configurados con la seguridad adecuada. Las directivas configuradas para cada uno de estos componentes se coordinan con la estrategia general de confianza cero.
• La protección contra amenazas y la inteligencia supervisan el entorno, exponen los riesgos actuales y toman medidas automatizadas para corregir los ataques.

De un enfoque basado en el perímetro a Confianza cero

El enfoque tradicional del control de acceso para TI se ha basado en restringir el acceso a un perímetro de red corporativo. Este modelo restringe todos los recursos a una conexión de red de propiedad corporativa y se ha vuelto demasiado restrictivo para satisfacer las necesidades de una empresa dinámica.

En entornos de Azure, el cambio a Confianza cero es especialmente importante porque los recursos en la nube existen fuera de los perímetros de red tradicionales. Las organizaciones deben adoptar un enfoque de confianza cero para el control de acceso a medida que adoptan el trabajo remoto y usan la tecnología en la nube para transformar su modelo de negocio.

Los principios de confianza cero ayudan a establecer y mejorar continuamente las garantías de seguridad a la vez que mantienen la flexibilidad necesaria en entornos de nube modernos. La mayoría de los recorridos de confianza cero comienzan con el control de acceso y se centran en la identidad como el control preferido y principal. La tecnología de seguridad de red sigue siendo un elemento clave, pero no es el enfoque dominante en una estrategia de control de acceso completa.

Para más información sobre la transformación de Confianza Cero del control de acceso en Azure, consulte el control de acceso de Cloud Adoption Framework.

Implementación de confianza cero para la infraestructura de Azure

La aplicación de Confianza cero a Azure requiere un enfoque metódico que aborda diferentes capas de la infraestructura, desde elementos fundamentales hasta cargas de trabajo completas.

Componentes de infraestructura e IaaS de Azure

Zero Trust (Confianza Cero) para IaaS de Azure aborda la pila completa de infraestructura: servicios de almacenamiento con cifrado y controles de acceso, máquinas virtuales con cifrado de disco e inicio seguro, subredes con microsegmentación, redes centrales con servicios de seguridad centralizados e integración de PaaS a través de puntos de conexión privados. Para obtener instrucciones detalladas, consulte Aplicación de principios de confianza cero a la información general de IaaS de Azure.

Redes de Azure

La seguridad de red se centra en cuatro áreas clave: cifrado de todo el tráfico de red, segmentación mediante grupos de seguridad de red y Azure Firewall, visibilidad a través de la supervisión del tráfico y descontinuación de controles heredados basados en VPN en favor de los enfoques centrados en la identidad. Para obtener instrucciones detalladas, consulte Aplicación de principios de confianza cero a las redes de Azure.

Identidad como plano de control

La identidad es el plano de control principal de Confianza cero en Azure. El acceso condicional actúa como motor de directivas principal, evaluando las solicitudes de acceso en función de varias señales para conceder, limitar o bloquear el acceso. Para más información, consulte Acceso condicional para confianza cero e información general sobre la seguridad de administración de identidades de Azure.

Protección de datos y garantía de disponibilidad

La protección de datos en Azure requiere varias capas: cifrado en reposo y en tránsito, controles de acceso basados en identidades mediante identidades administradas y RBAC, y para cargas de trabajo altamente confidenciales, computación confidencial para proteger los datos durante el procesamiento. La resistencia contra ataques destructivos requiere bloqueos de recursos, copias de seguridad inmutables, replicación geográfica y protección de la propia infraestructura de recuperación. Para obtener instrucciones detalladas, consulte Protección de los recursos de Azure frente a ciberataques destructivos.

Detección y respuesta de amenazas

Confianza cero requiere supervisión continua con la suposición de que las amenazas ya pueden estar presentes. Microsoft Defender for Cloud proporciona administración unificada de seguridad y protección contra amenazas para los recursos de Azure, mientras que la integración con XDR de Microsoft Defender permite la detección correlacionada en todo el entorno. Para obtener información detallada, consulte Introducción a la detección de amenazas de Azure y Microsoft Sentinel y XDR de Microsoft Defender.

Responsabilidad compartida y seguridad de Azure

La seguridad en Azure es una responsabilidad compartida entre Microsoft y los clientes. Microsoft protege la infraestructura física y la plataforma de Azure, mientras que los clientes son responsables de la identidad, los datos y la seguridad de las aplicaciones, con la división variable por modelo de servicio (IaaS, PaaS, SaaS). La implementación de Confianza cero requiere coordinar los controles de nivel de plataforma con las opciones de configuración del cliente. Para más información, consulte Responsabilidad compartida en la nube.

Funcionalidades de seguridad de Azure

Aunque este artículo se centra en la aplicación conceptual de Confianza cero en Azure, es importante comprender la amplitud de las funcionalidades de seguridad disponibles. Azure proporciona servicios de seguridad completos en todas las capas de la infraestructura.

Para obtener información general sobre las funcionalidades de seguridad de Azure organizadas por área funcional, consulte Introducción a la seguridad de Azure. Para obtener una vista de la seguridad de Azure organizada por funcionalidades de protección, detección y respuesta, consulte Seguridad de un extremo a otro en Azure.

Hay instrucciones detalladas adicionales disponibles para dominios específicos:

• Identidad y acceso - Introducción a la seguridad de Administración de identidades de Azure
• - Introducción a la seguridad de red de Azure
• Protección de datos - Introducción al cifrado de Azure y seguridad de Azure Key Vault
• Seguridad de cálculo - Introducción a la seguridad de Azure Virtual Machines
• Seguridad de - la plataformaIntroducción a la seguridad de la plataforma Azure
• Detección de amenazas - Introducción a la detección de amenazas de Azure
• Administración y supervisión - Introducción a la administración y supervisión de seguridad de Azure

Desarrollo de aplicaciones y Confianza cero

Las aplicaciones implementadas en Azure deben autenticar y autorizar cada solicitud en lugar de confiar en la confianza implícita desde la ubicación de red. Entre los principios clave se incluyen el uso de Microsoft Entra ID para la comprobación de identidades, la solicitud de permisos mínimos, la protección de datos confidenciales y el uso de identidades administradas en lugar de credenciales almacenadas. Para obtener instrucciones completas, consulte Desarrollo con principios de confianza cero y Compilación de aplicaciones listas para confianza cero mediante la plataforma de identidad de Microsoft.

Pasos siguientes

Para implementar Confianza cero en el entorno de Azure, comience con estos recursos:

• Aplicación de principios de confianza cero a los servicios de Azure : comience aquí para obtener una vista completa de cómo aplicar confianza cero en distintos tipos de servicio de Azure.
• Aplicación de principios de confianza cero a la visión general de IaaS de Azure - guía detallada para cargas de trabajo de infraestructura
• Aplicación de principios de confianza cero a las redes de Azure : guía de implementación de seguridad de red
• Protección de los recursos de Azure frente a ciberataques destructivos : planeamiento de resistencia y recuperación
• ¿Qué es la confianza cero? - Guía completa de confianza cero en todos los productos de Microsoft

Para obtener recursos más extensos de Microsoft Zero Trust:

• Guía de implementación de Confianza cero : objetivos de implementación específicos del área tecnológica
• Marco de adopción de confianza cero : guía de implementación centrada en el resultado empresarial
• Confianza cero para Microsoft 365 : guía de carga de trabajo de SaaS y productividad