Creación de la primera capa de defensa mediante Azure servicios de seguridad

Azure
Microsoft Entra ID

Ideas de soluciones

En este artículo se describe una idea de solución. El arquitecto de la nube puede usar esta guía para ayudar a visualizar los componentes principales de una implementación típica de esta arquitectura. Use este artículo como punto de partida para diseñar una solución bien diseñada que se adapte a los requisitos específicos de la carga de trabajo.

Este artículo es el segundo de una serie de cuatro que explica cómo diseñar una arquitectura de seguridad superpuesta mediante Microsoft soluciones de seguridad.

En el primer artículo se describe cómo mapear las amenazas de ransomware en todo un entorno empresarial híbrido utilizando el marco MITRE ATT&CK. En este artículo se muestra cómo los atacantes suelen obtener acceso inicial, escalar privilegios, mover lateralmente y, en última instancia, afectar a las identidades, la infraestructura, las aplicaciones y los datos.

Este segundo artículo se basa directamente en esa base y se centra en la primera capa de defensa: seguridad previa a la vulneración.

Arquitectura

Diagrama de los pilares de Confianza cero de Microsoft asociados a los controles de seguridad de Azure y a las técnicas de ATT&CK.

Descargar un archivo Visio de esta arquitectura.

Esta imagen incorpora conceptos y terminología de MITRE ATT&CK® Framework desarrollado por The MITRE Corporation. ATT&CK® es una marca registrada de The MITRE Corporation.

La capa de seguridad Azure que se muestra en este diagrama se alinea con la Azure Security Benchmark (ASB) v3, que define los controles de seguridad recomendados Microsoft en la identidad, las redes, el proceso, los datos y la gobernanza.

Actualmente, estos controles se implementan y supervisan principalmente a través de:

  • Azure Policy.
  • Microsoft Defender for Cloud.
  • Valores predeterminados de seguridad de la plataforma integrada.

El diagrama no incluye todos los servicios disponibles. En su lugar, incluye controles de alto impacto que suelen implementarse que mitigan directamente las rutas de ataque de ransomware.

Flujo de trabajo

El siguiente flujo de trabajo corresponde al diagrama anterior:

  1. Los servicios de seguridad de Azure contribuyen a la protección previa a las vulneraciones en cada uno de los siguientes pilares de Confianza cero: red, infraestructura y puntos de conexión, aplicaciones y datos, e identidad.
  2. Los servicios de red de la arquitectura incluyen grupos de seguridad de red (NSG), una puerta de enlace de VPN, Azure Firewall, Azure Application Gateway con Azure Web Application Firewall, un dispositivo virtual de red (NVA), Azure DDoS Network Protection, TLS/SSL, que proporcionan cifrado, Azure Private Link y puntos de conexión privados.
  3. Los servicios de infraestructura y punto de conexión de la arquitectura incluyen Azure Bastion, Microsoft Defender servicio antimalware, cifrado de disco, Azure Key Vault, Azure Virtual Desktop RDP Shortpath y conexión inversa de Virtual Desktop.
  4. Los servicios de aplicaciones y datos del diagrama incluyen Azure Front Door con Web Application Firewall, Azure API Management, pruebas de penetración, Azure Storage firmas de acceso compartido (SAS), puntos de conexión privados, un Azure Storage firewall, cifrado de Azure Storage, auditoría de SQL, evaluación de vulnerabilidades de SQL y cifrado de Azure SQL Database servicios.
  5. Los servicios de identidad de la arquitectura incluyen Azure control de acceso basado en rol (Azure RBAC), Microsoft Entra autenticación multifactor, Protección de Microsoft Entra ID, Microsoft Entra Privileged Identity Management (PIM) y Acceso condicional de Microsoft Entra.

Los números de la matriz ATT&CK corresponden a los números de técnica asignados por MITRE.

Componentes

  • Microsoft Entra ID es un servicio de administración de identidades y acceso. En esta arquitectura, gestiona identidades de usuario y acceso a recursos externos, como Microsoft 365 y el portal de Azure, así como a recursos internos, como aplicaciones en la red intranet corporativa.

  • Virtual Network es un servicio de red que proporciona una comunicación segura entre los recursos de Azure, Internet y las redes locales. En esta arquitectura, proporciona la infraestructura de red privada que admite conectividad segura y aislamiento para cargas de trabajo.

  • Azure Load Balancer es un servicio de equilibrio de carga de capa 4 de baja latencia para el tráfico UDP y TCP. Load Balancer es un servicio con redundancia de zona que puede controlar millones de flujos simultáneos. En esta arquitectura, garantiza una alta disponibilidad y escalabilidad mediante la distribución del tráfico entrante y saliente entre los recursos del virtual network.

  • Azure Virtual Machines es una oferta de infraestructura como servicio (IaaS) que proporciona recursos de proceso escalables. En esta arquitectura, las máquinas virtuales hospedan cargas de trabajo que requieren control directo sobre el sistema operativo y las configuraciones de seguridad.

  • Azure Kubernetes Service (AKS) es un servicio de orquestación de contenedores administrado que simplifica la implementación y administración de clústeres de Kubernetes. En esta arquitectura, AKS ejecuta aplicaciones en contenedores y proporciona características integradas para la seguridad, la gobernanza y la integración continua/entrega continua (CI/CD).

  • Virtual Desktop es un servicio de virtualización de aplicaciones y de escritorio que puede usar para crear escritorios remotos desde la nube. En esta arquitectura, proporciona acceso seguro a escritorios corporativos para usuarios remotos. La arquitectura usa características integradas como RDP Shortpath y conexión inversa.

  • El Web Apps característica de Azure App Service hospeda aplicaciones web, API REST y back-ends móviles. En esta arquitectura, Web Apps hospeda aplicaciones basadas en HTTP y proporciona características de seguridad como TLS y puntos de conexión privados. Puede desarrollar aplicaciones en el lenguaje que prefiera. Las aplicaciones se ejecutan y escalan en entornos basados en Windows y Linux.

  • Azure Storage es una solución de storage escalable y segura para varios tipos de datos, incluidos blobs, archivos, colas y tablas. En esta arquitectura, almacena datos de aplicación y sistema con cifrado en reposo y admite el acceso seguro a través de tokens de SAS y puntos de conexión privados.

  • SQL Database es un servicio de base de datos relacional administrado que automatiza la aplicación de revisiones, copias de seguridad y supervisión. En esta arquitectura, proporciona almacenamiento de datos seguro y compatible a través de características como el cifrado de datos transparente, la auditoría y las evaluaciones de vulnerabilidades.

  • Microsoft Fabric es una plataforma de análisis SaaS unificada que reúne la ingeniería de datos, el almacenamiento de datos, el análisis en tiempo real y la inteligencia empresarial. En esta arquitectura, puede utilizar Fabric para cargas de trabajo analíticas que necesitan espacios de trabajo gobernados, cifrado en reposo de OneLake, acceso basado en roles a nivel de elemento y registro centralizado de actividades, mientras los datos operativos siguen alojados en servicios como SQL Database.

  • El grupo de seguridad de red (NSG) es un servicio gratuito que se asocia a una interfaz de red o subred. Un Grupo de Seguridad de Red (NSG) le permite filtrar el tráfico de los protocolos TCP o UDP en las conexiones entrantes y salientes utilizando rangos de direcciones IP y puertos.

  • Azure VPN Gateway es una puerta de enlace de red privada virtual (VPN) que proporciona un túnel con protección IPSEC (IKE v1/v2).

  • Azure Firewall es una plataforma como servicio (PaaS) que proporciona protección en el nivel 4 y está conectada a toda una red virtual.

  • Application Gateway es un equilibrador de carga para el tráfico web que funciona en el nivel 7 y agrega Azure Web Application Firewall para proteger las aplicaciones que usan HTTP y HTTPS.

  • Network virtual appliance (NVA) es un servicio de seguridad virtual de Marketplace que se aprovisiona en máquinas virtuales en Azure.

  • Azure DDoS Protection implementa la protección contra DDoS en la red virtual para ayudarle a mitigar varios tipos de ataques DDoS.

  • Private Link permite crear una red privada para un servicio Azure que se expone inicialmente a Internet.

  • Azure Bastion proporciona funcionalidad de jump server. Puede usar este servicio para acceder a las máquinas virtuales a través del protocolo de escritorio remoto (RDP) o SSH sin exponerlas a Internet.

  • Microsoft Defender Antivirus en Windows proporciona servicios antimalware. Forma parte de Windows 10, Windows 11, Windows Server 2016 y Windows Server 2019.

  • Cifrado en el host es una mejora opcional de los discos administrados de Azure que proporciona cifrado de un extremo a otro para los datos de las máquinas virtuales, incluidos los discos temporales y las cachés de disco, en tamaños de máquina virtual compatibles. Los discos administrados de Azure se cifran en reposo de forma predeterminada mediante cifrado del lado del servidor (SSE).

  • Key Vault es un servicio para almacenar claves, secretos y certificados con FIPS 140-2 nivel 2 o 3.

  • Azure Front Door es una red de entrega de contenido (CDN). Combina varios puntos de presencia para ofrecer una mejor conexión para los usuarios que acceden al servicio. También agrega Azure Web Application Firewall.

  • API Management es un servicio que proporciona seguridad para las llamadas API y administra las API entre entornos.

  • Azure RBAC le ayuda a administrar el acceso a los servicios de Azure mediante permisos granulares basados en las credenciales de Microsoft Entra de los usuarios.

  • La autenticación multifactor de Microsoft Entra proporciona otros tipos de autenticación además de los nombres de usuario y las contraseñas.

  • Privileged Identity Management (PIM) le ayuda a proporcionar privilegios de superusuario temporalmente para Microsoft Entra ID (por ejemplo, Administrador de usuarios) y suscripciones de Azure (por ejemplo, Administrador de Access Control basado en roles o Key Vault Administrador).

  • El acceso condicional es un servicio de seguridad inteligente que usa directivas que se definen para varias condiciones para bloquear o conceder acceso de usuario.

Detalles del escenario

Los controles previos a la vulneración están diseñados para reducir la superficie expuesta a ataques, eliminar las configuraciones incorrectas comunes y bloquear a los atacantes antes de que comience una intrusión. Estos controles se alinean estrechamente con los principios de Microsoft Confianza cero. Confianza cero se basa en la filosofía de que ningún recurso es de confianza implícita y el acceso se comprueba continuamente.

El objetivo de este artículo es mostrar cómo combinar los servicios fundamentales de seguridad de Azure para interrumpir los puntos de entrada comunes del ransomware identificados en el mapa de amenazas del primer artículo de esta serie, Asignar amenazas a su entorno de TI.

Como se señaló en ese artículo, los ataques ransomware rara vez comienzan con vulnerabilidades de seguridad sofisticadas. En la mayoría de los incidentes del mundo real, los atacantes tienen éxito debido a:

  • Servicios expuestos.
  • Controles de identidad débiles.
  • Privilegios excesivos.
  • Redes planas.
  • Rutas de acceso de datos sin cifrar.

Los controles descritos en este artículo no son herramientas avanzadas de detección o respuesta. Más bien, constituyen el nivel básico de seguridad que hace que las campañas de ransomware resulten mucho más difíciles de llevar a cabo.

Cuando faltan estos controles o están mal configurados, los atacantes suelen tener éxito antes de que las herramientas de detección incluso tengan la oportunidad de enviar alertas.

Prueba comparativa de la seguridad de Azure

Cada control de seguridad de Azure Security Benchmark hace referencia a uno o varios servicios de seguridad específicos Azure. En la referencia de arquitectura de este artículo se muestran algunos de ellos. Los controles incluyen:

  • Seguridad de red.
  • Administración de identidades.
  • Acceso con privilegios.
  • Protección de datos.
  • Administración de activos.
  • Registro y detección de amenazas.
  • Respuesta a incidentes.
  • Administración de posturas y vulnerabilidades.
  • Seguridad de los puntos de conexión.
  • Copia de seguridad y recuperación.
  • Seguridad de DevOps.
  • Gobernanza y estrategia.

Para obtener más información sobre los controles de seguridad, vea Información general de los controles de seguridad de Azure (v3).

Posibles casos de uso

Este artículo organiza Azure servicios de seguridad por tipo de recurso para que pueda asignarlos directamente a técnicas de ransomware identificadas anteriormente, como:

  • Acceso inicial a través de servicios expuestos.
  • Robo de credenciales y ataques por fuerza bruta.
  • Movimiento lateral entre redes.
  • Acceso no autorizado a almacenes de datos.

El diagrama de arquitectura al principio de este artículo resalta cómo estos servicios protegen las identidades, las redes, el proceso, las aplicaciones y los datos antes de que un atacante establezca la persistencia.

Colaboradores

Microsoft mantiene este artículo. Los siguientes colaboradores escribieron este artículo.

Autor principal:

Otros colaboradores:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Este artículo se centra en la prevención de ataques antes de empezar aplicando controles de seguridad fundamentales Azure.

En el siguiente artículo de la serie se supone que algunos ataques seguirán teniendo éxito y se centran en:

  • Detección avanzada de amenazas.
  • Análisis de comportamiento.
  • Respuesta e investigación de incidentes.

Para obtener más información sobre esta arquitectura de referencia, consulte los otros artículos de esta serie: