Geekly articles weekly

Protección de datos en la nube: una guía para desarrolladores

La plataforma Azure ha sido diseñada para proporcionar seguridad y cumplir con todos los requisitos del desarrollador. Aprenda a utilizar los servicios integrados para almacenar de forma segura los datos de las aplicaciones, de modo que solo los servicios autorizados y los clientes accedan a estos datos.



Introduccion


La seguridad es uno de los aspectos más importantes de cualquier arquitectura. La protección de los datos comerciales y de los clientes es crítica. La fuga de datos puede arruinar la reputación de la compañía y causar daños financieros significativos. En este módulo, discutiremos los problemas básicos de seguridad de la arquitectura al desarrollar un entorno en la nube.

Al explorar el desarrollo de soluciones en la nube para las cuales la seguridad es una prioridad, veremos cómo un usuario ficticio de Azure usa estos principios en la práctica.

Lamna Healthcare es un proveedor nacional de atención médica. Su departamento de TI recientemente comenzó a trasladar la mayoría de sus sistemas de TI a Azure. La organización utiliza sus propias aplicaciones, aplicaciones de código abierto y aplicaciones estándar con diversas arquitecturas y plataformas tecnológicas. Aprenderemos lo que hay que hacer para transferir sistemas y datos a la nube sin comprometer la seguridad.

Nota

Aunque los conceptos discutidos en este módulo no son exhaustivos, incluyen algunos conceptos importantes relacionados con la creación de soluciones en la nube. Microsoft publica una amplia gama de plantillas, guías y ejemplos para desarrollar aplicaciones en la plataforma Azure. Se recomienda encarecidamente que revise el contenido en Azure Architecture Center antes de planificar y diseñar su arquitectura.

Objetivos de aprendizaje


En este módulo aprenderá a realizar las siguientes tareas:

  • Aprenda a utilizar la protección de profundidad para mantener segura su arquitectura.
  • Aprenda a proteger las identidades.
  • Descubra qué tecnologías están disponibles para proteger su infraestructura de Azure.
  • Descubra cómo y dónde usar el cifrado para proteger sus datos.
  • Aprenda a proteger arquitecturas de nivel de red.
  • Aprenda a utilizar las pautas de seguridad de la aplicación para integrar medidas de seguridad en su aplicación.

Protección de profundidad


No existe una cura para todas las amenazas y una solución para todos los problemas. Supongamos que Lamna Healthcare ha perdido de vista la seguridad. Quedó claro que esta área debería centrarse. Los empleados de Lamna no saben por dónde empezar y si es posible comprar una solución para garantizar un entorno seguro. Están seguros de que necesitan un enfoque holístico, pero no son conscientes de lo que es. Aquí, discutiremos en detalle los conceptos clave de protección de profundidad, identificaremos tecnologías y enfoques de seguridad clave para respaldar la estrategia de defensa de profundidad, y hablaremos sobre cómo usar estos conceptos en el desarrollo de su arquitectura de servicio de Azure.

Enfoque de seguridad en capas


La defensa profunda es una estrategia que utiliza una serie de mecanismos para frenar un ataque destinado a obtener acceso no autorizado a la información. Cada nivel proporciona protección, por lo que si un atacante supera un nivel, el siguiente nivel evitará una mayor penetración. Microsoft está adoptando un enfoque escalonado de seguridad tanto en los centros de datos físicos como en los servicios de Azure. El propósito de la protección en profundidad es garantizar la seguridad de la información y evitar el robo de datos por parte de personas que no tienen permiso para acceder a ella. Los principios generales que se utilizan para determinar el estado de seguridad son confidencialidad, integridad y disponibilidad, comúnmente conocida como CIA (confidencialidad, integridad, disponibilidad).

  • La confidencialidad es el principio de los privilegios mínimos. El acceso a la información está disponible solo para personas a las que se les otorga permiso explícitamente. Esta información incluye protección con contraseña de usuario, certificados de acceso remoto y contenido de mensajes de correo electrónico.
  • Integridad : prevención de cambios no autorizados en datos inactivos o transmitidos. El enfoque general utilizado en la transferencia de datos es que se crea una huella digital única para el remitente utilizando un algoritmo hash unidireccional. El hash se envía al destinatario junto con los datos. El hash de datos se recalcula y el destinatario lo compara con el original para que los datos no se pierdan y no hayan sufrido cambios durante la transferencia.
  • Disponibilidad : garantizar que los servicios estén disponibles para los usuarios autorizados. Los ataques de denegación de servicio son la causa más común de pérdida de accesibilidad del usuario. Además, en caso de desastres naturales, los sistemas están diseñados para evitar un solo punto de falla e implementar múltiples instancias de la aplicación en ubicaciones geográficamente remotas.

Niveles de seguridad


La protección de profundidad se puede representar como varios anillos concéntricos, en cuyo centro se encuentran los datos. Cada anillo agrega una capa adicional de seguridad alrededor de los datos. Este enfoque elimina la dependencia de un nivel de protección, ralentiza el ataque y proporciona alertas con datos de telemetría para que pueda tomar medidas, de forma manual o automática. Veamos cada uno de los niveles.



Datos


Casi siempre, los atacantes buscan datos:

  • que se almacenan en la base de datos;
  • que se almacenan en disco en máquinas virtuales;
  • que se almacenan en una aplicación SaaS como Office 365;
  • que se almacenan en el almacenamiento en la nube.

Los responsables del almacenamiento de datos y el control de acceso deben proporcionar una protección adecuada. Los requisitos reglamentarios a menudo requieren controles y procedimientos específicos para garantizar la confidencialidad, integridad y accesibilidad de los datos.

Aplicaciones


  • Asegúrese de que las aplicaciones estén protegidas y libres de vulnerabilidades.
  • Mantenga secretos confidenciales de aplicaciones en medios seguros
  • Haga que la seguridad sea un requisito para todas las aplicaciones.

Al integrar la seguridad en el ciclo de vida de desarrollo de la aplicación, puede reducir la cantidad de vulnerabilidades en el código. Anime a todos los equipos de desarrollo a garantizar la seguridad de las aplicaciones de forma predeterminada. Los requisitos de seguridad deben ser inmutables.

Servicios de computación


  • Proteger el acceso a las máquinas virtuales.
  • Implemente protección de punto final y aplique todas las correcciones de manera oportuna

Los programas maliciosos, la falta de parches y la protección inadecuada de los sistemas hacen que su entorno sea vulnerable a los ataques. Este nivel está diseñado para garantizar la seguridad de sus recursos informáticos, y tiene los controles adecuados para minimizar las preocupaciones de seguridad.

Red


  • Limite las interacciones entre los recursos mediante la segmentación y los controles de acceso.
  • Establecer prohibición predeterminada
  • Limite el tráfico de Internet entrante y saliente cuando sea posible
  • Conéctese de forma segura a redes locales

El objetivo de este nivel es limitar las conexiones de red en los recursos y usar solo las conexiones más necesarias. Separe los recursos y use controles de nivel de red para restringir la comunicación solo entre los componentes requeridos. Al limitar el intercambio de datos, reduce los riesgos de moverse por las computadoras de su red.

Perímetro


  • Utilice la protección de denegación de servicio distribuida (DDoS) para filtrar ataques a gran escala antes de que den lugar a la denegación de servicio para los usuarios finales
  • Use firewalls perimetrales para detectar alertas de red y recibir alertas

A lo largo del perímetro de la red, se necesita protección contra ataques de red a los recursos. Identificar tales ataques, eliminar su impacto y alertarlos son elementos importantes de la seguridad de la red.

Políticas y acceso


  • Gestionar el acceso a la infraestructura, gestionar el cambio.
  • Utilice el inicio de sesión único y la autenticación multifactor
  • Verificar eventos y cambios

El nivel de políticas y acceso tiene como objetivo garantizar la seguridad de las identidades, controlar la provisión de acceso solo a las personas que lo necesitan, así como registrar los cambios.

Seguridad fisica


  • Garantizar la seguridad física de los edificios y controlar el acceso a los equipos informáticos en un centro de datos es la primera línea de defensa.

La seguridad física incluye medidas para limitar el acceso físico a los recursos. Asegura que los atacantes no superen el resto de los niveles y protege los datos contra pérdidas y robos.

Cada capa puede llevar a cabo una o varias tareas de acuerdo con el modelo de confidencialidad, integridad y acceso.



Responsabilidad compartida


Los entornos informáticos se están moviendo de los centros de datos administrados por el cliente a los centros de datos basados ​​en la nube, y la responsabilidad está cambiando junto con ellos. La seguridad es ahora una responsabilidad compartida de los proveedores y clientes de servicios en la nube.



Mejora continua


La imagen de las amenazas está cambiando en tiempo real y a gran escala, por lo que la arquitectura de seguridad nunca es perfecta. Microsoft y nuestros clientes necesitan la capacidad de responder a estas amenazas de manera inteligente, rápida y al día.

Azure Security Center proporciona a los clientes capacidades de administración de seguridad unificadas y protección avanzada contra amenazas para reconocer y responder a eventos de seguridad en el entorno local y en Azure. A su vez, los clientes de Azure deben revisar y desarrollar constantemente su arquitectura de seguridad.

Protección de profundidad en Lamna Healthcare


Lamna Healthcare ha estado implementando activamente la protección de profundidad en todos los departamentos de TI. Dado que la organización es responsable de grandes volúmenes de datos médicos confidenciales, entiende que un enfoque integrado será la mejor opción.

Para proteger los datos corporativos, se ha creado un grupo de trabajo virtual en la empresa, compuesto por representantes de cada departamento de TI y departamento de seguridad. La tarea del grupo es familiarizar a los ingenieros y arquitectos con las vulnerabilidades y los métodos para su eliminación, así como proporcionar soporte de información para trabajar con proyectos en la organización.

Naturalmente, este trabajo nunca se hará hasta el final. Por lo tanto, para mantener el nivel de protección requerido, la compañía planea revisar periódicamente las políticas, los procedimientos, los aspectos técnicos y la arquitectura en una búsqueda constante de formas de mejorar la seguridad.

Resumen


Examinamos qué defensa de profundidad es, qué niveles tiene y cuál es la tarea de cada nivel. Dicha estrategia de seguridad en la arquitectura garantiza un enfoque integrado para proteger todo el entorno, en lugar de un solo nivel o tecnología.

Partes adicionales


Para completar esta capacitación gratuita, siga el enlace . Allí encontrarás estas partes:

  • Introduccion
  • Protección de profundidad
  • Gestión de la identidad
  • Protección de la infraestructura
  • Cifrado
  • Seguridad de red
  • Resumen
  • Cinco características de seguridad clave a tener en cuenta antes de la implementación.
  • Administre secretos en aplicaciones de servidor con Azure Key Vault
  • Asegurar los recursos de Azure con acceso condicional

Source: https://habr.com/ru/post/es428447/

More articles:


All Articles