Geekly articles weekly

Libro de infraestructura de seguridad de Microsoft Azure

Este libro proporciona información general, consideraciones de diseño, escenarios de implementación, mejores prácticas, resultados de encuestas tecnológicas e instrucciones para ayudarlo a compilar una presentación completa sobre las capacidades de seguridad de Azure.

No se requiere conocimiento experto de Azure o PowerShell. También se supone que el lector tiene experiencia con tecnología de información de clase empresarial y un nivel suficiente de calificación para trabajar en un centro de datos.

Hoy publicamos parte del primer capítulo de este libro. Puede descargar la versión completa de forma gratuita aquí .


Tabla de contenidos


  • Seguridad en la nube - 1;
  • Protección de identidad en Azure - 19;
  • Seguridad de red de Azure: 53;
  • Seguridad de datos y almacenamiento - 85;
  • Protección de máquinas virtuales contra malware - 103;
  • Administración de claves en Azure con Key Vault - 119;
  • Seguridad de Internet de las cosas - 155;
  • Monitoreo de ambientes híbridos - 175;
  • Operación y gestión en la nube - 191;

Seguridad en la nube


Antes de comenzar a considerar el tema principal de este libro, a saber, la infraestructura de seguridad de Microsoft Azure, es importante comprender qué nivel de seguridad se puede proporcionar en la nube. Para descubrir por qué la plataforma en la nube de Azure es realmente confiable, debe tener en cuenta una serie de factores importantes que afectan la seguridad de las soluciones en la nube. La seguridad en la nube es el resultado de un esfuerzo de colaboración entre su empresa y su proveedor de servicios en la nube. Este capítulo trata los factores críticos que lo ayudarán a comprender las limitaciones, responsabilidades y capacidades de la tecnología en la nube para su posterior uso como plataforma confiable para su negocio.

Factores importantes que afectan la seguridad en la nube


Antes de embarcarse en una implementación a gran escala de los sistemas en la nube, es importante que el personal responsable de la organización comprenda cómo funciona la seguridad dentro del modelo en la nube. Esta comprensión debe desarrollarse antes de embarcarse en la planificación. Si los participantes no están familiarizados adecuadamente con las características de seguridad en la nube, entonces el éxito de todo el proyecto de implementación en la nube puede estar en riesgo.

Al planificar la implementación de tecnologías en la nube, es importante evaluar los siguientes aspectos de su seguridad:

  • Conformidad
  • Gestión de riesgos
  • Gestión de identidad y acceso
  • Seguridad de la operación
  • Protección de punto final
  • Protección de datos

Cada uno de estos aspectos necesita atención. La profundidad de estudio requerida de los problemas individuales depende de las características de su empresa: por ejemplo, las prioridades de una institución médica y una empresa manufacturera pueden variar mucho. En las siguientes secciones, examinaremos cada uno de estos aspectos con más detalle.

Conformidad


Cada organización tiene ciertos requisitos, y al pasar a la nube, es importante no violarlos. La fuente de estos requisitos pueden ser reglas internas o externas, por ejemplo, estándares de la industria que son obligatorios. Los proveedores de servicios en la nube deben estar preparados para ayudar a los clientes a cumplir con los requisitos para implementar la nube. En muchos casos, los clientes tienen que confiar en un proveedor de servicios en la nube para cumplir con los requisitos.

Para ayudar a los clientes a cumplir con los requisitos actuales, Microsoft utiliza las siguientes tres metodologías.

  • Contabilidad inicial de los requisitos requeridos.
    • Tecnología confiable
    • Inversiones en procesos de cumplimiento
    • Certificación de terceros
  • Asistencia a clientes con cumplimiento
    • Transparencia
    • Elección
    • Flexibilidad
  • Colaboración con empresas líderes en diversas industrias.
    • Desarrollo de normas
    • Colaboración con organismos legislativos y reguladores.

Se recomienda que trabaje estrechamente con su proveedor de servicios en la nube para analizar qué requisitos debe cumplir su organización y qué tan cerca los ofrece el proveedor de servicios en la nube. También es muy importante asegurarse de que el proveedor de servicios en la nube ya tenga experiencia en la implementación de los servicios en la nube más seguros y confiables que brinden la mayor confidencialidad y protección de los datos del cliente.
Leer más: para obtener más información sobre cómo Microsoft ayuda a los clientes a cumplir con los requisitos de cumplimiento, consulte este artículo .

Gestión de riesgos


Para la implementación exitosa de los sistemas en la nube, es muy importante que el cliente pueda confiar en el sistema de seguridad de la infraestructura del proveedor. El proveedor de servicios en la nube debe implementar y hacer cumplir estrictamente las políticas y programas de gestión de riesgos de seguridad de Internet. Al gestionar el riesgo en un entorno de nube, es importante tener en cuenta su nivel de dinamismo.

Microsoft ha proporcionado exitosamente a los clientes servicios en línea durante muchos años. Durante este tiempo, se han desarrollado procesos altamente eficientes que le permiten controlar estos nuevos riesgos. Como parte de la gestión de riesgos, un proveedor de servicios en la nube debe realizar las siguientes tareas:

  • Identificar vulnerabilidades ambientales y amenazas a la misma.
  • Análisis cuantitativo de riesgos.
  • Publique datos sobre riesgos en la nube.
  • Gestión de riesgos basada en el análisis de posibles consecuencias y su impacto en el negocio.
  • Verificación de la efectividad de posibles contramedidas y análisis de riesgos residuales.
  • Gestión continua de riesgos.

Es muy importante que los clientes colaboren activamente con los proveedores de servicios en la nube y les exijan garantizar la máxima transparencia de los procesos. En este caso, los clientes podrán analizar las medidas tomadas para contrarrestar los riesgos y evaluar cómo se corresponden con el nivel de confidencialidad de los datos y el grado de protección que se requiere para su organización.

Gestión de identidad y acceso


En el mundo actual, los usuarios a menudo tienen la oportunidad de trabajar en cualquier parte del mundo utilizando una amplia gama de dispositivos, mientras acceden a una amplia variedad de servicios en la nube. En tales circunstancias, la seguridad de las identidades de los usuarios se vuelve especialmente importante. Cuando se utilizan sistemas basados ​​en la nube, son precisamente las identidades las que se convierten en el límite entre "lo propio" y "lo ajeno". Las identidades son el plano de control de toda su infraestructura, ya sea local o en la nube. Las identidades se utilizan para controlar el acceso a cualquier servicio desde cualquier dispositivo y le permiten rastrear y analizar las características del uso de datos.

Para implementar tecnologías en la nube en las organizaciones, es necesario familiarizarse con las capacidades disponibles para administrar identidades y acceso, y también para comprender cómo estos métodos le permitirán interactuar con su infraestructura local existente. Al planificar la gestión de identidad y acceso, es importante tener en cuenta los siguientes factores:

  • Preparación de identidad
    • Los requisitos de preparación de identidad dependen del modelo de computación en la nube utilizado: software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).
    • Evalúe las posibilidades de automatizar de forma segura la preparación de identidades utilizando su infraestructura local existente.
  • Federación
    • Analice los métodos disponibles y las posibilidades de integrar estos métodos con su infraestructura local existente.
  • Inicio de sesión único (SSO)
    • Revise los requisitos de SSO de su organización y la posibilidad de integrar SSO con sus aplicaciones.
  • Gestión de perfiles
    • Revise las opciones de solución disponibles que ofrece su proveedor de servicios en la nube y su idoneidad para su organización.
  • Control de acceso
    • Evalúe las capacidades de control de acceso a datos que ofrece su proveedor de servicios en la nube.
    • Implemente el control de acceso basado en roles (RBAC).

Seguridad de la operación


Para las organizaciones que están haciendo la transición a la tecnología en la nube, es importante adaptar los procesos internos en consecuencia, incluidos el monitoreo de seguridad, la auditoría, la respuesta a incidentes y los exámenes forenses. La plataforma basada en la nube debería permitir a los administradores de TI monitorear el estado de los servicios en tiempo real para monitorear su salud y recuperarse rápidamente de una falla.

Debe asegurarse de que todos los servicios implementados sean monitoreados y mantenidos de acuerdo con un acuerdo de nivel de servicio (SLA) entre el proveedor de servicios en la nube y la organización del cliente. Otros factores que afectan la seguridad de la nube se enumeran a continuación.

  • Capacitación de empleados de la organización durante el proceso.
  • Implemente estándares y prácticas de la industria para operaciones, como NIST SP 800-531.
  • Administre la información de seguridad de acuerdo con los estándares de la industria, como NIST SP 800-612.
  • Utilice el análisis de amenazas proporcionado por el proveedor de servicios en la nube.
  • Actualización continua de controles y gestión de riesgos para aumentar la seguridad de las operaciones.

Protección de punto final


La seguridad de la infraestructura del proveedor de servicios en la nube no es el único factor que determina la seguridad en la nube. Más adelante en este capítulo consideraremos el concepto de responsabilidad distribuida. Uno de sus aspectos es que al implementar tecnologías en la nube, se requiere que una organización brinde seguridad de punto final. Cuando se introducen sistemas en la nube en la empresa, se recomienda aumentar la seguridad de los puntos finales, ya que después de tal transición abrirán con mayor frecuencia conexiones externas y accederán a más aplicaciones que pueden ser alojadas por otros proveedores de servicios en la nube.

El objetivo principal de los ataques son los usuarios, y es a través del uso de puntos finales que los usuarios generalmente reciben información. La computadora de trabajo de un usuario, su teléfono inteligente, cualquier otro dispositivo con el que pueda acceder a los recursos de la nube son puntos finales. Los atacantes saben que los usuarios son el eslabón más débil de la cadena de seguridad y están mejorando constantemente los métodos de ingeniería social (por ejemplo, correos electrónicos de phishing), cuya tarea es obligar al usuario a realizar una acción que comprometa el punto final. Cuando diseñe la seguridad de punto final como parte de una estrategia general de seguridad en la nube, le recomendamos que siga estas pautas.

  • Mantenga actualizado su software de punto final.
  • Habilite las actualizaciones automáticas de firmas en los puntos finales.
  • Monitoree el acceso a las fuentes de actualización de software.
  • Asegúrese de que los usuarios finales no tengan privilegios de administrador local.
  • Permita a los usuarios solo los privilegios mínimos que necesitan para trabajar y use la administración basada en roles.
  • Responda rápidamente a las notificaciones de los puntos finales.

Presta atención Asegurar el acceso privilegiado es un paso crítico para asegurar su negocio. Le recomendamos que lea el artículo sobre estaciones de trabajo de acceso privilegiado (PAW) en aka.ms/cyberpaw y aprenda más sobre la metodología de Microsoft para proteger los activos más valiosos.

Protección de datos


Desde una perspectiva de seguridad, el objetivo final al mover datos a la nube es proteger los datos donde sea que estén. El proceso de transferencia de datos consta de varias etapas. El paso está determinado por la ubicación de los datos en un punto particular en el tiempo. Vea el diagrama en la figura:



El diagrama muestra los siguientes pasos:

  1. Los datos se almacenan en el dispositivo del usuario. Los datos están en el punto final, que puede ser cualquier dispositivo. Es necesario asegurarse de que los datos almacenados en los dispositivos de los usuarios utilizados con fines comerciales (scripts BYOD), así como en los dispositivos de la empresa, deben estar encriptados.
  2. Los datos se transfieren desde el dispositivo del usuario a la nube. Los datos deben estar protegidos cuando salen del dispositivo del usuario. Hay muchas tecnologías disponibles para ayudar a proteger los datos, independientemente de su ubicación, como Azure Rights Management. El canal de datos debe estar encriptado. Deben aplicarse las tecnologías apropiadas, como TLS.
  3. Los datos se almacenan en el centro de datos del proveedor de servicios en la nube. Cuando los datos llegan a los servidores del proveedor de servicios en la nube, la infraestructura de almacenamiento debe proporcionar redundancia y protección. Asegúrese de averiguar exactamente cómo el proveedor de servicios en la nube implementa el cifrado de datos durante el almacenamiento, quién es responsable de la administración de claves y cómo se garantiza la redundancia de datos.
  4. Los datos se transfieren desde la nube al entorno local. En este caso, se aplican las recomendaciones dadas para la etapa 2. Es necesario proporcionar cifrado tanto del archivo como de la capa de transporte.
  5. Los datos se almacenan en un entorno local. Asegurar los datos en un entorno local es tarea del cliente. Una etapa crítica de su implementación es el cifrado de los datos almacenados en el centro de datos de la compañía. Su infraestructura debe proporcionar el nivel necesario de cifrado, redundancia de datos y gestión de claves.

Factores importantes que afectan la seguridad en la nube
Con la transición al uso de la tecnología en la nube, otros principios comienzan a aplicarse. Los servicios en la nube difieren de las máquinas virtuales y mainframes locales con tiempos de acceso compartido en una variedad de formas, que incluyen escalabilidad, velocidad y arquitectura. Por lo tanto, el enfoque hacia ellos debería ser diferente. Cuando trabaje con un proveedor de servicios en la nube (por ejemplo, cuando use Azure), se recomienda que considere los siguientes problemas.

Un servicio en la nube bien diseñado le permite poner en funcionamiento las máquinas o dejar de usarlas en unos minutos u horas. Muchos servicios de este tipo pueden hacer frente a cargas máximas, más de 10 veces más altas de lo normal y que funcionan durante el día. El desarrollo de software ahora es muy rápido, y los cambios de código semanales (e incluso diarios) se han convertido en la norma. Por lo tanto, las pruebas deben realizarse sobre la base de los servicios de trabajo, pero sin el uso de datos de trabajo confidenciales. Para cualquier organización que esté haciendo la transición al uso de tecnologías en la nube, es importante establecer una relación de confianza con el proveedor de servicios en la nube y utilizar todas las herramientas disponibles para determinar y cumplir mutuamente los requisitos mutuamente aceptados dentro de estas relaciones.

A veces les doy a mis amigos el siguiente ejemplo. Si en los años 90 necesitaba una docena de servidores para un nuevo proyecto, podría tomar de 4 a 6 meses elaborar planes, ordenarlos, entregarlos, colocarlos, conectarlos, configurarlos e implementarlos, y solo después de eso, el equipo podría comenzar a probar la versión funcional del servicio . Hoy, gracias a Azure, puedo hacer esto en 30 minutos, usando solo el teléfono.

Jim Molini
Gerente Senior de Programa, Seguridad C + E

División de responsabilidad


En un centro de datos tradicional, la propia empresa de TI es responsable de todos los aspectos de la infraestructura. Así es como han funcionado los entornos informáticos locales desde la llegada de las arquitecturas modernas de cliente-servidor (e incluso antes, en la era de los mainframes). Si la red, el almacenamiento o los sistemas informáticos no funcionaban como deberían, fue la empresa de TI la que tuvo que establecer la causa y solucionar el problema.

Con las unidades de seguridad, la situación era similar. El departamento de seguridad colaboró ​​con el departamento de TI, y juntos brindaron protección para los componentes de la infraestructura de TI. El departamento de seguridad de la compañía estableció los requisitos, los discutió con el departamento de TI y determinó las herramientas de administración que la infraestructura de TI y los operadores podrían implementar. Además, el departamento de seguridad estableció estándares y auditó regularmente la infraestructura para el cumplimiento de estos estándares.

Para los centros de datos ubicados fuera de los entornos locales, todo esto sigue siendo válido. Sin embargo, con la llegada de los entornos informáticos basados ​​en nubes públicas, los departamentos de TI y seguridad tienen un nuevo socio: un proveedor de servicios en la nube. Dicho proveedor tiene su propia infraestructura de TI y debe garantizar su cumplimiento con los requisitos de seguridad y capacidad de administración.

Esto significa que no solo necesita preparar y tener en cuenta sus propios requisitos de seguridad, sino también tener capacidades suficientes para monitorear la infraestructura de seguridad del proveedor de servicios en la nube y realizar un seguimiento de las operaciones en ella. Las capacidades necesarias para dicha supervisión dependen del modelo de seguridad en la nube que su empresa utiliza en la infraestructura del proveedor de servicios.

Computación en la nube


En esta sección, revisamos brevemente el tema de la computación en la nube para proceder de las ideas generales sobre lo que está relacionado con ellas y lo que no. Esta sección lo ayudará a comprender cómo funciona la seguridad en la nube, qué enfoques utilizados en los centros de datos conocidos se han mantenido válidos y cuáles han cambiado.

Definición de nube publicada por NIST


Durante algún tiempo no hubo una definición formal para el término "computación en la nube". Por supuesto, las personas con experiencia en la industria bajo la "nube" entendieron Internet. Para algunos, la esencia de la computación en la nube era precisamente la provisión de servicios a través de Internet.

Algunos analistas utilizaron el término informática de servicios públicos ("informática como servicio de servicios públicos"), centrándose así en el modelo de prestación de servicios. Dentro del modelo comunal, hay un cierto conjunto de oportunidades disponibles para todos. El pago se cobra de acuerdo con la cantidad de recursos utilizados. Es muy similar al consumo, por ejemplo, de electricidad y gas por parte de particulares.

Las autoridades y empresas de muchos países están utilizando actualmente la definición de computación en la nube publicada por NIST. Lo consideran el más confiable y útil. NIST es el Instituto Nacional de Estándares y Tecnología de EE. UU.

NIST ha publicado las "cinco características básicas" de la computación en la nube, además de definir modelos de servicios en la nube e implementaciones en la nube. Estas formulaciones tienen una comprensión muy avanzada de la naturaleza de la computación en la nube.

La figura muestra cinco características básicas, modelos de servicio en la nube y modelos de implementación en la nube.



Funciones de computación en la nube


NIST destaca las siguientes cinco características básicas de la computación en la nube:

  • Self catering disponible bajo petición. La capacidad de la plataforma en la nube para proporcionar a los consumidores del servicio en la nube los recursos necesarios sin ninguna interacción con ellos. Un ejemplo de la implementación de tal oportunidad: un consumidor llena un formulario web, indicando sus requisitos de recursos, y el proveedor de servicios en la nube selecciona los necesarios.
  • Amplio acceso a la red. La capacidad de acceder a los recursos de la nube desde prácticamente cualquier lugar del mundo desde cualquier dispositivo. Es importante tener en cuenta que las sólidas capacidades de acceso a la red son parte de la definición de computación en la nube, y proporcionar dicho acceso es un requisito previo importante para una implementación exitosa. Pero este párrafo no significa que el acceso siempre deba estar abierto a todos. A medida que lea este libro, aprenderá que los controles de acceso son una parte crítica de cualquier sistema en la nube.
  • Soporte para cambios rápidos.Esto significa que los consumidores de servicios en la nube pueden obtener rápidamente recursos en la nube según sea necesario, y luego devolverlos al grupo de recursos compartidos en la nube cuando esta necesidad desaparezca. Los servicios en la nube están diseñados para que los consumidores puedan recibir y devolver recursos rápidamente. Desde el punto de vista del cliente, la cantidad de recursos que se pueden obtener de la nube es prácticamente ilimitada. Si el consumidor del servicio en la nube cree que necesitará más recursos pronto, puede solicitarlos al proveedor para hacer frente a la próxima carga. Dicha elasticidad dinámica se basa en los recursos ilimitados desde el punto de vista del consumidor.
  • . (). , . , , . . ( .)
  • . , — , , , , ( ). , — , .


, NIST, . , . , .

:

  • (laaS). , . , , . , laaS , .
  • (PaaS). , « », . , ( , ) (, -), , . ( ) , .
  • (SaaS). « ». , . « » , . Microsoft Exchange Server ( ) Microsoft SharePoint ( ). .


NIST :

  • . , . — , . , . , — : . .
  • . - . — ( ). , , , NIST ( ). ( , — , , ).

    ? , - .
  • . . — , . — .

    , -, . - , — . — , VPN- WAN-.
  • . , . — , , .

Azure


, . Azure . Azure , Security Development Lifecycle (SDL), « ». Azure , .

Azure : , , , . 1-4 Azure.



— . , Azure. . , , Azure. , - .
. Azure (RBAC). RBAC : azure.microsoft.com/documentation/articles/role-based-access-control-configure.
, , Azure. Azure , . , , .

( , ). Azure — , . , Azure.

, , , Azure. , (, -), (ACL). , (NSG).

. Azure Active Directory 2, « Azure». 3, « Azure».

, Azure Azure. Microsoft. — , . — (SLA).


Puede descargar la versión completa del libro de forma gratuita y estudiarla en el siguiente enlace.

Descargar

Source: https://habr.com/ru/post/es423177/

More articles:


All Articles