Con esta entrada quiero iniciar una serie de artículos en los que explico los servicios de la nube de Microsoft Azure. Te resultarán muy útiles para iniciarte en el uso de esta plataforma o para preparar alguna de las certificaciones que ofrece Microsoft. En este caso, vamos a aprender cuáles son los servicios de seguridad principales que nos ofrece la plataforma de Azure.
Contenidos
Introducción a la Seguridad en Azure
La responsabilidad sobre la seguridad de nuestros sistemas en la nube es compartida entre el proveedor de servicios cloud y nosotros (como clientes).
En el caso de un modelo de infraestructura como servicio (IaaS), en el que se crean máquinas virtuales en Azure sigue siendo responsabilidad del cliente la seguridad del sistema operativo y del software que instalamos. Azure se encargará de la seguridad de las máquinas y redes virtuales.
Para el modelo de plataforma como servicio (PaaS), Azure se encargará de proporcionar los mecanismos de seguridad sobre el sistema operativo y parte del software básico.
Por último, en un modelo de software como servicio (SaaS) Azure se hará cargo de la seguridad del software.
En los tres casos que he descrito, el cliente será responsable de mantener la seguridad sobre el gobierno de los datos, las conexiones y los accesos de los usuarios.
Servicios de Seguridad en Azure
Existen dos conceptos clave que debemos tener en cuenta para analizar la seguridad en Azure:
- La autorización especifica qué acceso tiene un usuario a determinados datos o servicios
- La autenticación es el mecanismo por el cual un usuario se identifica frente al sistema y se verifica su entidad de seguridad.
Servicios de Seguridad Generales
Azure Security Center es un servicio de monitorización que proporciona protección contra amenazas en todos nuestros servicios de Azure. Nos proporciona recomendaciones de seguridad basadas en nuestra infraestructura e investiga las amenazas. También aplica las políticas de seguridad que tenemos configuradas a los servicios nuevos que desplegamos. Está disponible en una modalidad gratuita, activada por defecto y en una modalidad estándar, que agrega capacidades avanzadas de detección de amenazas.
La pieza fundamental del manejo de identidades en Azure es el Azure Active Directory (AAD). Este servicio permite realizar la autenticación y dar acceso a usuarios a servicios de Azure de una manera centralizada. Además, permite usar la autenticación multi-factor, con la que es posible usar un elemento adicional para validar el acceso. AAD también proporciona capacidades de inicio de sesión único (SSO), por el que los usuarios pueden acceder a varios servicios con una sola contraseña.
Para garantizar la protección de las claves de cifrado de nuestros sistemas, podemos usar Azure Key Vault. Este servicio almacena las claves secretas de las aplicaciones en una ubicación centralizada con control de acceso. Puede almacenar secretos, claves y certificados. Key vault también puede gestionar las claves de cifrado de nuestras cuentas de almacenamiento y lagos de datos.
Seguridad de Red
Para proteger nuestros sistemas en Azure a nivel de red debemos adoptar una estrategia de seguridad por capas.
Azure Firewall es un servicio que nos permite crear y aplicar políticas de seguridad sobre aplicaciones y servicios de red. Se basa en su dirección IP. Tiene alta disponibilidad y es escalable. También usa Azure Monitor para gestionar sus logs.
Azure Distributed Denial of Service (protección DDoS) es un servicio que protege contra los ataques de tipo DDoS. Actúa sobre recursos expuestos a internet filtrando el tráfico no deseado. Tiene una capa básica que monitoriza el tráfico y que se habilita automáticamente en Azure. Existe una capa adicional llamada estándar que añade capacidades de mitigación adicionales. Estos servicios no requieren modificaciones en nuestras aplicaciones.
Los Network Security Groups (NSG) nos permite filtrar el tráfico de red desde y hacia los recursos de Azure usando redes virtuales. Para ello, se pueden configurar reglas de entrada y salida con prioridades indicando direcciones IP, puertos y protocolos.
Los Application Security Groups (ASG) permiten agrupar servidores para reutilizar políticas de seguridad en nuestras aplicaciones. Reduce la complejidad de tratar múltiples direcciones IPs y conjuntos de reglas.
Todos estos elementos se pueden combinar para minimizar el impacto de los incidentes en nuestra infraestructura de red. Tanto en nuestro perímetro público como en la capa de red con reglas de seguridad. Como buena práctica debemos limitar siempre los accesos, denegar por defecto el tráfico innecesario y usar modalidades de tráfico seguras entre infraestructura cloud y on premises.
Políticas de Seguridad
El servicio Azure Policy permite definir las políticas de la organización sobre los recursos de Azure. Permiten limitar, por ejemplo, los tipos de servicios y máquinas virtuales que se pueden usar en una suscripción. También permite implementar iniciativas, que agrupan múltiples políticas para tener una visión global y revisar su cumplimiento.
El control de acceso basado en roles (RBAC) permite dar acceso a usuarios basándose en la definición de roles. Este aspecto viene integrado en la suscripción y no tiene coste adicional. Podemos generar un rol con determinados permisos y asignarlo a usuarios. Debemos segregar las tareas en varios roles para solamente dar a los usuarios los mínimos permisos necesarios.
También podemos implementar bloqueos de recursos (resource blocks), que los protegen de acciones accidentales como de borrado o modificación. Pueden ser de tipo CanNotDelete y ReadOnly.
Siguientes Pasos y Formación
Puedes echar un vistazo a mis cursos preferidos para preparar las certificaciones de seguridad de Microsoft Azure y aprender sobre la seguridad de esta plataforma cloud:
Soluciones de Gestión y Seguridad de Azure
Este curso ofrecido por Microsoft en la plataforma Coursera te preparará para múltiples certificaciones de Azure. Te enseñará a usar herramientas de gestión y de seguridad con buenas prácticas.
AZ-500 Certificación del examen de seguridad de Microsoft Azure
Si quieres prepararte la certificación de Azure AZ-500 este es tu curso. Repasa todos los conceptos de seguridad en Azure que necesitarás par aprobar el examen, además de incluir preguntas de prueba.
Certificación Microsoft AZ-500: Tecnologías de seguridad de Azure
Curso muy completo y recomendado para la certificación AZ-500. Te preparará con 11 horas de vídeo para que domines todos los servicios de seguridad en Azure.
Si eres de libros, aquí tienes una buena referencia:
Sigue aprendiendo sobre Microsoft Azure con estos artículos relacionados:
- Conceptos básicos de la nube
- Servicios de Big Data y Bases de Datos en Azure
- Servicios de Red en Azure
- Big Data con HDInsight
Preguntas Frecuentes Seguridad en Azure – FAQ
¿Cuál es la diferencia entre Azure Security Center y Azure Sentinel?
Azure Sentinel se encarga de detectar, evaluar y diagnosticar el nivel de seguridad en Azure. Azure Sentinel es un sistema SIEM que agrega los eventos e información de seguridad de muchos orígenes diferentes para detectar amenazas en tiempo real. Tienen algunas características comunes pero su propósito es diferente.
¿Se puede conectar Azure AD con un Active Directory local?
El servicio Azure AD Connect permite sincronizar las identidades locales en un Active Directory con nuestro Azure AD de la nube.
A continuación, el vídeo-resumen. ¡No te lo pierdas!