Contents

Documentación sobre aspectos básicos

Información general
Introducción a la seguridad de Azure
Responsabilidad compartida en la nube
Protección de cargas de trabajo en Azure
Funcionalidades técnicas de seguridad
Controles de seguridad integrados
Plataforma e infraestructura de Azure
Seguridad de la infraestructura
Seguridad física
Disponibilidad
Componentes y límites
Arquitectura de red
Red de producción
SQL Database
Operaciones
Supervisión
Integridad
Protección de datos
Aislamiento en la nube de Azure
Administración de identidades
Introducción a la seguridad
Procedimientos recomendados
Lista de comprobación de seguridad
Seleccionar inicio de sesión sin contraseña
Elección de la autenticación de Azure AD
Seguridad de las redes
Introducción a la seguridad
Procedimientos recomendados
Protección contra DDOS
Arquitectura de red híbrida segura
Seguridad de IaaS
Microsoft Antimalware
Introducción a la seguridad de las máquinas virtuales
Procedimientos recomendados: cargas de trabajo de IaaS
Imágenes de Azure Marketplace
Seguridad, cifrado y almacenamiento de datos
Seguridad y cifrado de datos
Cifrado de discos
Procedimientos recomendados
Cifrado de datos en reposo
Azure Disk Encryption para máquinas virtuales
Seguridad de bases de datos
Información general
Procedimientos recomendados
Lista de comprobación de seguridad
Guía de seguridad de Storage
Caja de seguridad del cliente
Application
PaaS
Azure App Service para PaaS
Azure Storage para PaaS
Procedimientos recomendados de base de datos para PaaS
Seguridad de Azure Service Fabric
Supervisión, auditoría y operaciones
Protección contra amenazas avanzada
Registro y auditoría de Azure
Administración y supervisión de seguridad
Seguridad operativa
Información general
Procedimientos recomendados
Lista de comprobación de seguridad
Recursos
Servicios de seguridad de Azure
Notas del producto de seguridad
Procedimientos recomendados
Consultoría de ciberseguridad
Registro de una incidencia de soporte técnico de un evento de
seguridad
Pruebas de penetración
 Introducción a la seguridad de Azure
23/03/2020 • 62 minutes to read • Edit Online

Información general
Sabemos que la seguridad tiene la máxima prioridad en la nube y conocemos la
importancia que tiene que buscar información exacta y a tiempo sobre la
seguridad de Azure. Una de las mejores razones para usar Azure en sus
aplicaciones y servicios es poder aprovechar su amplia gama de funcionalidades
y herramientas de seguridad. Estas herramientas y funcionalidades permiten
crear soluciones seguras en la plataforma Azure segura. Microsoft Azure
proporciona confidencialidad, integridad y disponibilidad para los datos del
cliente, al mismo tiempo que hace posible una responsabilidad transparente.

En este artículo se proporciona una visión completa de la seguridad disponible

con Azure.

Plataforma Azure
Azure es una plataforma de servicios en la nube pública que admite una amplia
selección de sistemas operativos, lenguajes de programación, plataformas,
herramientas, bases de datos y dispositivos. Puede ejecutar contenedores de
Linux con integración de Docker, compilar aplicaciones con JavaScript, Python,
.NET, PHP, Java, [Link] y crear back-ends para dispositivos iOS, Android y
Windows.

Los servicios en la nube pública de Azure admiten las mismas tecnologías en las
que ya confían millones de desarrolladores y profesionales de TI. Al crear en
un proveedor de servicios en la nube pública o al migrar recursos de TI a uno,
confía en las capacidades de la organización para proteger sus aplicaciones y
datos con los servicios y los controles que facilitan para administrar la
seguridad de sus recursos en la nube.

La infraestructura de Azure está diseñada desde la instalación hasta las

aplicaciones para hospedar millones de clientes simultáneamente, y proporciona
una base de confianza en la que las empresas pueden satisfacer sus requisitos
de seguridad.

Además, Azure ofrece una amplia gama de opciones de seguridad configurables,

así como la capacidad de controlarlas, por lo que puede personalizar la
seguridad para satisfacer los requisitos exclusivos de las implementaciones de
su organización. Este documento explica cómo las funcionalidades de seguridad
de Azure pueden ayudarle a cumplir estos requisitos.

NOTE
El objetivo principal de este documento se centra en los controles orientados al cliente que
puede usar para personalizar y aumentar la seguridad de sus aplicaciones y servicios.

Para información sobre cómo Microsoft protege la plataforma de Azure, consulte Seguridad de la
infraestructura de Azure.
Resumen de las funcionalidades de seguridad de
Azure
Características para proteger la plataforma Azure
Las características siguientes son funcionalidades que puede examinar para
tener la garantía de que la plataforma Azure se administra de forma segura. Se
han proporcionado vínculos para que vea con más detalle cómo Microsoft aborda
las cuestiones de confianza del cliente en cuatro áreas: plataforma segura,
privacidad y controles, cumplimiento normativo y transparencia.

PLATAFORMA SEGURA PRIVACIDAD Y CONTROLES CUMPLIMIENTO NORMATIVO TRANSPARENCIA

Ciclo de desarrollo de Administración Centro de confianza Cómo Microsoft protege

seguridad, auditorías constante de los datos los datos de clientes
internas en servicios de Azure

Entrenamiento de Control en la Centro de controles Cómo Microsoft

seguridad obligatorio, ubicación de los datos comunes administra la
comprobación de ubicación de datos en
antecedentes los servicios de Azure

Pruebas de Proporcionar acceso a Lista de comprobación Personas de Microsoft

penetración, detección datos en sus propios de diligencia debida que pueden acceder a
de intrusiones, DDoS, términos para Cloud Services sus datos y bajo qué
auditorías y registro términos

Centro de datos de Respuesta a las Cumplimiento por Cómo Microsoft protege

vanguardia, seguridad autoridades judiciales servicio, ubicación y los datos de clientes
física, red segura sector en servicios de Azure

Respuesta a incidentes Rigurosos estándares Revisión de la

de seguridad, de privacidad certificación para
responsabilidad servicios de Azure,
compartida centro de
transparencia

Características para proteger los datos y las aplicaciones

Según el modelo de servicio en la nube, hay diferencias de en quién recae la
responsabilidad de administrar la seguridad de la aplicación o el servicio.
Existen funcionalidades en la plataforma Azure para ayudarle a satisfacer estas
responsabilidades mediante características integradas y soluciones de asociados
que se pueden implementar en una suscripción de Azure.

Las funcionalidades integradas se organizan en seis áreas funcionales:

Operaciones, Aplicaciones, Almacenamiento, Redes, Proceso e Identidades. Se
proporcionan detalles adicionales sobre las características y funcionalidades
disponibles en la plataforma Azure para estas seis áreas de forma resumida.

Operaciones
En esta sección se proporciona información adicional acerca de características
fundamentales para las operaciones de seguridad y un resumen de estas
funcionalidades.

Panel Security and Audit

La solución Security and Audit ofrece una vista completa de la situación de
seguridad de TI de su organización con consultas de búsqueda integradas para
problemas importantes que requieren su atención. El panel de Security and Audit
es la pantalla principal para todo lo relacionado con la seguridad en los
registros de Azure Monitor. Proporciona información de alto nivel sobre el
estado de seguridad de los equipos. También incluye la capacidad de ver todos
los eventos de las últimas 24 horas, 7 días o cualquier otro intervalo
personalizado.

Además, puede configurar Security & Compliance para llevar a cabo

automáticamente acciones específicas cuando se detecte un evento concreto.

Azure Resource Manager

Azure Resource Manager permite trabajar con los recursos de la solución como
grupo. Todos los recursos de la solución se pueden implementar, actualizar o
eliminar en una sola operación coordinada. Use una plantilla de Azure Resource
Manager para la implementación; esta puede funcionar en distintos entornos,
como producción, pruebas y ensayo. Administrador de recursos proporciona
funciones de seguridad, auditoría y etiquetado que le ayudan a administrar los
recursos después de la implementación.

Las implementaciones basadas en plantillas de Azure Resource Manager ayudan a

mejorar la seguridad de las soluciones implementadas en Azure porque incluyen
una configuración de control de seguridad estándar y pueden integrarse en
implementaciones basadas en plantillas estandarizadas. Esto reduce el riesgo de
que se produzcan errores de configuración de seguridad, posibles durante las
implementaciones manuales.

Application Insights
Application Insights es un servicio de Application Performance Management (APM)
extensible para desarrolladores web. Con Application Insights, puede supervisar
sus aplicaciones web en directo y detectar automáticamente anomalías de
rendimiento. Incluye herramientas de análisis eficaces que le ayudan a
diagnosticar problemas y comprender lo que hacen realmente los usuarios con la
aplicación. Supervisa la aplicación durante todo el tiempo que se ejecute,
tanto durante las pruebas como después de haberla publicado o implementado.

Application Insights crea gráficos y tablas que muestran, por ejemplo, en qué
horas del día se obtiene la mayoría de los usuarios, la capacidad de respuesta
de la aplicación y lo bien que la atienden los servicios externos de los que
depende.

Si hay bloqueos, errores o problemas de rendimiento, puede buscar en los datos

de la telemetría para diagnosticar la causa. Además, el servicio le envía
mensajes de correo electrónico si se produce cualquier cambio en la
disponibilidad y el rendimiento de la aplicación. Por tanto, Application
Insights se convierte en una valiosa herramienta de seguridad porque ayuda con
la disponibilidad, parte de la tríada de seguridad formada también por la
confidencialidad y la integridad.

Azure Monitor
Azure Monitor ofrece funciones de visualización, consulta, enrutamiento,
alertas, escalado automático y automatización de los datos tanto de la
infraestructura de Azure (registro de actividad) como de cada recurso
individual de Azure (registros de diagnóstico). Puede usar Azure Monitor para
que le alerte sobre eventos relacionados con la seguridad que se generen en
registros de Azure.

Registros de Azure Monitor

Registros de Azure Monitor: ofrece una solución de administración de TI tanto
para infraestructura local como para la basada en la nube de terceros (como
AWS), además de recursos de Azure. Los datos de Azure Monitor se pueden enrutar
directamente a los registros de Azure Monitor para poder ver los registros y
las métricas de todo el entorno en un único lugar.

Los registros de Azure Monitor pueden ser una herramienta útil en el análisis
forense y otros análisis de seguridad, ya que permiten buscar rápidamente entre
grandes cantidades de entradas relacionadas con la seguridad siguiendo un
enfoque de consulta flexible. Además, los registros de proxy y firewall locales
se pueden exportar a Azure y poner a disposición para su análisis con registros
de Azure Monitor.

Azure Advisor
Azure Advisor es un consultor personalizado en la nube que le ayudará a
optimizar las implementaciones de Azure. Analiza la telemetría de uso y
configuración de los recursos y, posteriormente, recomienda soluciones que
ayudan a mejorar el rendimiento, la seguridad y la alta disponibilidad de los
recursos, al mismo tiempo que busca oportunidades para reducir el gasto general
en Azure. Azure Advisor proporciona recomendaciones de seguridad, que pueden
mejorar de forma notable la posición general de seguridad para las soluciones
que se implementan en Azure. Estas recomendaciones se extraen del análisis de
seguridad realizado por Azure Security Center.

Azure Security Center

Security Center ayuda a evitar amenazas y a detectarlas y responder a ellas con
más visibilidad y control sobre la seguridad de los recursos de Azure.
Proporciona administración de directivas y supervisión de la seguridad
integrada en las suscripciones de Azure, ayuda a detectar las amenazas que
podrían pasar desapercibidas y funciona con un amplio ecosistema de soluciones
de seguridad.

Además, Security Center le ayuda con las operaciones de seguridad, al

proporcionarle un único panel donde aparecen alertas y recomendaciones sobre
las que puede actuar de inmediato. A menudo, puede corregir problemas con solo
hacer clic dentro de la consola de Security Center.

APLICACIONES
En esta sección se proporciona información adicional acerca de características
fundamentales para la seguridad de las aplicaciones y un resumen de estas
funcionalidades.

Examen de vulnerabilidades para aplicaciones web

Una de las maneras más fáciles de empezar a probar si existen puntos
vulnerables en su aplicación de App Service consiste en usar la integración con
Tinfoil Security para realizar un examen con un solo clic del nivel de
vulnerabilidad de su aplicación. Puede ver los resultados de la prueba en un
informe fácil de entender, y aprender a corregir cada vulnerabilidad con
instrucciones detalladas.

Pruebas de penetración
Si prefiere realizar sus propias pruebas de penetración o desea usar otro
conjunto de aplicaciones de análisis u otro proveedor, debe seguir el proceso
de aprobación de pruebas de penetración de Azure y obtener aprobación previa
para realizar las pruebas de penetración deseadas.

Firewall de aplicaciones web

El firewall de aplicaciones web (WAF) de Azure Application Gateway protege las
aplicaciones web ante ataques web habituales, como inyección de código SQL,
ataques de scripts entre sitios y secuestros de sesiones. Viene preconfigurado
con protección frente a las amenazas identificadas por el Proyecto abierto de
seguridad de aplicaciones web (OWASP) como las 10 vulnerabilidades más comunes.

Autenticación y autorización en Azure App Service

La autenticación/autorización de App Service es una característica que
proporciona una forma para que la aplicación lleve a cabo el inicio de sesión
de usuarios sin necesidad de cambiar el código en el back-end de aplicación.
Ofrece una forma fácil de proteger su aplicación y trabajar con datos por
usuario.

Arquitectura de seguridad por niveles

Como los entornos de App Service proporcionan un entorno en tiempo de ejecución
aislado que está implementado en una instancia de Azure Virtual Network, los
desarrolladores pueden crear una arquitectura de seguridad por niveles que
proporcione diferentes niveles de acceso a la red para cada capa de aplicación.
Un objetivo común es ocultar los back-ends de API al acceso general desde
Internet y permitir que solo las aplicaciones web ascendentes puedan llamar a
las API. Los grupos de seguridad de red (NSG) pueden usarse en subredes de
Azure Virtual Network que contengan entornos de App Service para restringir el
acceso público a aplicaciones API.

Diagnóstico del servidor web y diagnóstico de aplicaciones

Aplicaciones web de App Service ofrece la funcionalidad de diagnóstico para
registrar información del servidor web y de la aplicación web. De forma lógica,
estos diagnósticos se dividen en diagnósticos del servidor web y diagnóstico de
aplicaciones. El servidor web incluye dos avances importantes para el
diagnóstico y la solución de problemas de sitios y aplicaciones.

La primera característica nueva es la información de estado en tiempo real

sobre grupos de aplicaciones, procesos de trabajo, sitios, dominios de
aplicación y solicitudes en ejecución. La segunda ventaja nueva son los eventos
de seguimiento detallados que siguen una solicitud a lo largo del proceso
completo de solicitud y respuesta.

Para habilitar la recopilación de estos eventos de seguimiento, se puede

configurar IIS 7 para que capture automáticamente registros de seguimiento
completos, en formato XML, para cualquier solicitud determinada en función del
tiempo transcurrido o de códigos de respuesta de error.

Diagnósticos del servidor web

Puede habilitar o deshabilitar los siguientes tipos de registros:

Registro de errores detallado: registra información detallada de errores

 para códigos de estado HTTP que indican un problema (código de estado 400 o
superior). Puede contener información que puede ayudar a determinar por qué
el servidor ha devuelto el código de error.

Seguimiento de solicitudes con error: registra información detallada acerca

de solicitudes con error, incluido un seguimiento de los componentes de IIS
usados para procesar la solicitud y el tiempo dedicado a cada componente.
Esto puede resultar útil si trata de aumentar el rendimiento del sitio o de
aislar lo que causa la devolución de un error HTTP específico.

Registro del servidor web: registra información sobre todas las

transacciones HTTP con el formato de archivo de registro extendido de W3C.
Este informe resulta útil para determinar las métricas totales del sitio,
como el número de solicitudes tramitadas o cuántas solicitudes proceden de
una dirección IP específica.

Diagnósticos de aplicaciones

El diagnóstico de aplicaciones le permite capturar información generada por una

aplicación web. Las aplicaciones de [Link] pueden usar la clase
[Link] para registrar información en el registro de
diagnóstico de la aplicación. En Diagnóstico de aplicaciones, hay dos tipos
principales de eventos, los relacionados con el rendimiento de las aplicaciones
y los relacionados con los errores de las aplicaciones. Los errores se pueden
subdividir en problemas de conectividad, seguridad y funcionamiento. Los
problemas de funcionamiento normalmente guardan relación con un problema con el
código de la aplicación.

En Diagnóstico de aplicaciones, puede ver los eventos agrupados de las

siguientes maneras:

Todos (muestra todos los eventos)

Errores de aplicación (muestra eventos de excepción)
Rendimiento (muestra eventos de rendimiento)

Storage
En esta sección se proporciona información adicional acerca de características
fundamentales para la seguridad del almacenamiento de Azure y un resumen de
estas funcionalidades.

Control de acceso basado en rol (RBAC)

Puede proteger su cuenta de almacenamiento con el control de acceso basado en
rol (RBAC). En organizaciones que quieren aplicar directivas de seguridad para
el acceso a los datos, es imprescindible restringir el acceso en función de los
principios de seguridad necesidad de saber y mínimo privilegio. Estos derechos
de acceso se conceden al asignar el rol RBAC adecuado a grupos y aplicaciones
de un determinado ámbito. Puede aprovechar los roles integrados de RBAC, tales
como el de colaborador de la cuenta de almacenamiento, para asignar privilegios
a los usuarios. El acceso a las claves de almacenamiento para una cuenta de
almacenamiento mediante el modelo de Azure Resource Manager puede controlarse
con el control de acceso basado en rol (RBAC).

Firma de acceso compartido

Una firma de acceso compartido (SAS) ofrece acceso delegado a los recursos en
la cuenta de almacenamiento. Esto significa que puede conceder a un cliente
permisos limitados para objetos en su cuenta de almacenamiento durante un
período específico y con un conjunto determinado de permisos sin tener que
compartir las claves de acceso a las cuentas.

Cifrado en tránsito
Cifrado en tránsito es un mecanismo para proteger datos cuando se transmiten a
través de redes. Con Azure Storage, puede proteger los datos mediante:

Cifrado de nivel de transporte, como HTTPS para transferir datos a Azure

Storage o desde este servicio.

Cifrado en el cable, como el cifrado SMB 3.0 para recursos compartidos de

Azure File.

Cifrado en el cliente, para cifrar los datos antes de transferirlos al

almacenamiento y descifrarlos una vez transferidos desde el almacenamiento.

Cifrado en reposo
Para muchas organizaciones, el cifrado de los datos en reposo es un paso
obligatorio en lo que respecta a la privacidad de los datos, el cumplimiento y
la soberanía de los datos. Hay tres características de seguridad del
almacenamiento de Azure que proporcionan cifrado de datos "en reposo":

Cifrado del servicio de almacenamiento permite solicitar que el servicio de

almacenamiento cifre automáticamente los datos al escribirlos en Azure
Storage.

Cifrado de cliente también proporciona la característica de cifrado en

reposo.

Azure Disk Encryption permite cifrar los discos de datos y del sistema
operativo usados por una máquina virtual de IaaS.

Storage Analytics
Azure Storage Analytics realiza el registro y proporciona datos de métricas
para una cuenta de almacenamiento. Puede usar estos datos para hacer un
seguimiento de solicitudes, analizar tendencias de uso y diagnosticar problemas
con la cuenta de almacenamiento. Storage Analytics registra información
detallada sobre las solicitudes correctas y erróneas realizadas a un servicio
de almacenamiento. Esta información se puede utilizar para supervisar
solicitudes concretas y para diagnosticar problemas con un servicio de
almacenamiento. Las solicitudes se registran en función de la mejor opción. Se
registran los siguientes tipos de solicitudes autenticadas:

Solicitudes correctas

Solicitudes erróneas, incluyendo errores de tiempo de espera, de

limitación, de red, de autorización, etc

Solicitudes que utilizan una firma de acceso compartido (SAS), incluyendo

las solicitudes correctas y las erróneas

Solicitudes de datos de análisis

Habilitación de clientes basados en explorador mediante CORS

El uso compartido de recursos entre orígenes (CORS) es un mecanismo que permite
que los dominios se concedan permisos entre sí para acceder a los recursos de
los demás. El agente de usuario envía encabezados adicionales para asegurarse
de que el código JavaScript que se carga desde un determinado dominio tenga
permiso para acceder a recursos ubicados en otro dominio. Después, el último
dominio responde con encabezados adicionales para permitir o denegar al dominio
original el acceso a sus recursos.

Los servicios de almacenamiento de Azure ahora admiten CORS, así que, una vez
establecidas las reglas de CORS para el servicio, una solicitud autenticada
correctamente realizada en el servicio desde un dominio diferente se evalúa
para determinar si se permite según las reglas que ha especificado.

Redes
En esta sección se proporciona información adicional acerca de características
fundamentales para la seguridad de red de Azure y un resumen de estas
funcionalidades.

Controles de nivel de red

El control de acceso de red es el acto de limitar la conectividad entre
subredes o dispositivos específicos y constituye el núcleo de la seguridad de
red. El objetivo es garantizar que las máquinas virtuales y los servicios sean
accesibles solo para los usuarios y dispositivos pertinentes.

Grupos de seguridad de red

Un grupo de seguridad de red (NSG) es un firewall de filtrado de paquetes

básico con estado que le permite controlar el acceso basado en una 5-tupla. Los
NSG no proporcionan inspección de nivel de aplicación ni controles de acceso
autenticados. Se pueden usar para controlar el tráfico que se mueve entre
subredes dentro de una instancia de Azure Virtual Network y el tráfico entre
una instancia de Azure Virtual Network e Internet.

Control de ruta y tunelización forzada

La posibilidad de controlar el comportamiento de enrutamiento en Azure Virtual

Network es una funcionalidad crítica del control de acceso y la seguridad de
red. Por ejemplo, si desea asegurarse de que todo el tráfico que entre en su
instancia de Azure Virtual Network y salga de ella pase por ese dispositivo de
seguridad virtual, debe ser capaz de controlar y personalizar el comportamiento
de enrutamiento. Para ello, puede configurar rutas definidas por el usuario en
Azure.

Las rutas definidas por el usuario le permiten personalizar rutas de acceso

entrantes y salientes para el tráfico que entra y sale de máquinas virtuales
individuales o subredes para garantizar la ruta más segura posible.
tunelización forzada es un mecanismo que puede usar para tener la seguridad de
que no se permite que sus servicios inicien una conexión con dispositivos en
Internet.

Esto es diferente a poder aceptar conexiones entrantes y luego responder a

ellas. En este caso, los servidores front-end web tienen que responder a
solicitudes de los hosts de Internet, así que se permite la entrada en estos
servidores web del tráfico cuyo origen es Internet y dichos servidores pueden
responder.

La tunelización forzada normalmente se usa para forzar que el tráfico saliente

hacia Internet atraviese firewalls y servidores proxy de seguridad locales.

Dispositivos de seguridad de red virtual

Aunque los grupos de seguridad de red, las rutas definidas por el usuario y la
tunelización forzada proporcionan un nivel de seguridad en las capas de red y
transporte del modelo OSI, habrá ocasiones en las que desee habilitar la
seguridad en niveles más altos de la pila. Puede acceder a estas
características mejoradas de seguridad de red mediante una solución de
dispositivo de seguridad de red de asociados de Azure. Para encontrar las
soluciones de seguridad de red de asociados más actuales de Azure, visite Azure
Marketplace y busque "seguridad" y "seguridad de la red".

Azure Virtual Network

Una red virtual de Azure (VNet) es una representación de su propia red en la
nube. Es un aislamiento lógico del tejido de red de Azure dedicado a su
suscripción. Puede controlar por completo los bloques de direcciones IP, la
configuración DNS, las directivas de seguridad y las tablas de rutas dentro de
esta red. Puede segmentar la red virtual en subredes y colocar máquinas
virtuales de IaaS de Azure o servicios en la nube (instancias de rol de PaaS)
en instancias de Azure Virtual Network.

Además, puede conectar la red virtual a su red local mediante una de las
opciones de conectividad disponibles en Azure. En esencia, puede ampliar su red
en Azure, con control total sobre bloques de direcciones IP con la ventaja de
la escala empresarial que ofrece Azure.

Las redes de Azure admiten diversos escenarios de acceso remoto seguro. Algunos
son:

Conexión de estaciones de trabajo individuales a una instancia de Azure

Virtual Network

Conexión de la red local a una instancia de Azure Virtual Network con una
VPN

Conexión de la red local a una instancia de Azure Virtual Network con un

vínculo WAN dedicado

Conexión de instancias de Azure Virtual Network entre sí

VPN Gateway
Para enviar tráfico de red entre su instancia de Azure Virtual Network y el
sitio local, es preciso que cree una puerta de enlace de VPN para la instancia
de Azure Virtual Network. Una puerta de enlace de VPN es un tipo de puerta de
enlace de red virtual que envía tráfico cifrado a través de una conexión
pública. También puede utilizar puertas de enlace de VPN para enviar tráfico
entre instancias de Azure Virtual Network a través del tejido de red de Azure.

ExpressRoute
Microsoft Azure ExpressRoute es un vínculo WAN dedicado que le permite extender
sus redes locales a Microsoft Cloud a través de una conexión privada y dedicada
que facilita un proveedor de conectividad.
Con ExpressRoute, se pueden establecer conexiones con servicios en la nube de
Microsoft, como Microsoft Azure, Office 365 y CRM Online. La conectividad puede
ser desde una red de conectividad universal (IP VPN), una red Ethernet de punto
a punto, o una conexión cruzada virtual a través de un proveedor de
conectividad en una instalación de ubicación compartida.

Las conexiones ExpressRoute no pasan por Internet y, por tanto, se pueden

considerar más seguras que las soluciones basadas en VPN. Esto permite a las
conexiones de ExpressRoute ofrecer más confiabilidad, más velocidad, menor
latencia y mayor seguridad que las conexiones normales a través de Internet.

Application Gateway
Microsoft Azure Application Gateway cuenta con un controlador de entrega de
aplicaciones (ADC) que se ofrece como servicio y que proporciona varias
funcionalidades de equilibrio de carga de nivel 7 para la aplicación.

Le permite optimizar la productividad de las granjas de servidores web

traspasando la carga de la terminación SSL con mayor actividad de la CPU a
Application Gateway (lo que también se conoce como "descarga SSL" o "puente
SSL"). Además, dispone de otras funcionalidades de enrutamiento de nivel 7,
como la distribución round robin del tráfico entrante, la afinidad de sesiones
basada en cookies, el enrutamiento basado en rutas de acceso URL y la capacidad
de hospedar varios sitios web tras una única instancia de Application Gateway.
Azure Application Gateway es un equilibrador de carga de nivel 7.

Proporciona conmutación por error, solicitudes HTTP de enrutamiento de

rendimiento entre distintos servidores, independientemente de que se encuentren
en la nube o en una implementación local.

La aplicación proporciona numerosas características de controlador de entrega

de aplicaciones (ADC), entre las que se incluyen el equilibrio de carga HTTP,
la afinidad de sesiones basada en cookies, la descarga SSL (Capa de sockets
seguros), los sondeos personalizados sobre el estado y la compatibilidad con
sitios múltiples.

Firewall de aplicaciones web

El firewall de aplicaciones web (WAF) es una característica de Azure
Application Gateway diseñada para proteger las aplicaciones web que utilizan la
puerta de enlace de aplicaciones para funciones estándar de Application
Delivery Control (ADC). El firewall de aplicaciones web ofrece protección
contra las diez vulnerabilidades web más comunes identificadas por OWASP.

Protección contra la inyección de código SQL

Protección contra ataques web comunes, como inyección de comandos,

contrabando de solicitudes HTTP, división de respuestas HTTP y ataque
remoto de inclusión de archivos

Protección contra infracciones del protocolo HTTP

Protección contra anomalías del protocolo HTTP, como la falta de agentes de

usuario de host y encabezados de aceptación

Prevención contra bots, rastreadores y escáneres

Detección de errores de configuración comunes en aplicaciones (es decir,

Apache, IIS, etc.)

Disponer de un firewall de aplicaciones web centralizado que ofrezca protección

contra los ataques web facilita enormemente la administración de la seguridad y
proporciona mayor protección a la aplicación contra amenazas de intrusiones.
Las soluciones de WAF también pueden reaccionar más rápido ante una amenaza de
la seguridad aplicando revisiones que aborden una vulnerabilidad conocida en
una ubicación central en lugar de proteger cada una de las aplicaciones web por
separado. Las puertas de enlace de aplicaciones existentes pueden transformarse
rápidamente en puertas de enlace con un firewall de aplicaciones web.

Traffic Manager
Microsoft Azure Traffic Manager permite controlar la distribución del tráfico
de los usuarios para puntos de conexión de servicio en distintos centros de
datos. Entre los puntos de conexión de servicio compatibles con Traffic
Manager, se incluyen máquinas virtuales de Azure, Web Apps y servicios en la
nube. También puede utilizar el Administrador de tráfico con puntos de conexión
externos, que no forman parte de Azure. Traffic Manager usa el sistema de
nombres de dominio (DNS) para dirigir las solicitudes del cliente al punto de
conexión más adecuado en función de un método de enrutamiento del tráfico y el
estado de los puntos de conexión.

Traffic Manager proporciona una serie de métodos de enrutamiento del tráfico

para satisfacer las necesidades de distintas aplicaciones, la supervisión del
estado de los puntos de conexión y la conmutación automática por error. Traffic
Manager es resistente a errores, incluidos los que afecten a toda una región de
Azure.

Azure Load Balancer

Azure Load Balancer proporciona una alta disponibilidad y un elevado
rendimiento de red a las aplicaciones. Se trata de un equilibrador de carga de
nivel 4 (TCP y UDP) que distribuye el tráfico entrante entre las instancias de
servicio correctas de los servicios que se definen en un conjunto de carga
equilibrada. Azure Load Balancer puede configurarse para lo siguiente:

Equilibrar la carga del tráfico entrante de Internet entre las máquinas

virtuales. Esta configuración se conoce como " equilibrio de carga con
conexión a Internet".

Equilibrar la carga del tráfico entre máquinas virtuales de una red

virtual, entre máquinas virtuales de servicios en la nube o entre equipos
locales y máquinas virtuales de una red virtual entre entornos locales.
Esta configuración se conoce como " equilibrio de carga interno".

Reenvío de tráfico externo a una máquina virtual determinada

DNS interno
Puede administrar la lista de servidores DNS usados en una red virtual en el
Portal de administración o en el archivo de configuración de red. Un cliente
puede agregar hasta 12 servidores DNS para cada red virtual. Al especificar
servidores DNS, es importante comprobar que se enumeren los servidores DNS del
cliente en el orden correcto para el entorno del cliente. Las listas de
servidores DNS no funcionan con Round Robin. Se utilizan en el orden en que se
especifican. Si se puede acceder al primer servidor DNS de la lista, el cliente
usa ese servidor DNS con independencia de si el servidor DNS funciona
correctamente o no. Para cambiar el orden del servidor DNS para la red virtual
del cliente, quite los servidores DNS de la lista y agréguelos en el orden en
que el cliente desee. DNS es compatible con el aspecto de disponibilidad, parte
de la tríada de seguridad formada también por la confidencialidad y la
integridad.

Azure DNS
El sistema de nombres de dominio, o DNS, es responsable de traducir (o
resolver) el nombre del sitio web o del servicio en su dirección IP. Azure DNS
es un servicio de hospedaje para dominios DNS que permite resolver nombres
mediante la infraestructura de Microsoft Azure. Al hospedar dominios en Azure,
puede administrar los registros DNS con las mismas credenciales, API,
herramientas y facturación que con los demás servicios de Azure. DNS es
compatible con el aspecto de disponibilidad, parte de la tríada de seguridad
formada también por la confidencialidad y la integridad.

Grupos de seguridad de red de registros de Azure Monitor

Puede habilitar las siguientes categorías de registro de diagnóstico para los
NSG:

Evento: contiene entradas para las que se aplican reglas de NSG a las
máquinas virtuales y a los roles de instancia en función de la dirección
MAC. El estado de estas reglas se recopila cada 60 segundos.

Contador de regla: contiene entradas para el número de veces que se aplica

cada regla NSG para denegar o permitir el tráfico.

Security Center
Azure Security Center analiza continuamente el estado de seguridad de los
recursos de Azure para los procedimientos recomendados de seguridad de red.
Cuando Security Center identifica posibles vulnerabilidades de seguridad, crea
recomendaciones que lo guiarán por el proceso de configuración de los controles
necesarios para reforzar y proteger sus recursos.

Proceso
En esta sección se proporciona información adicional acerca de características
fundamentales para esta área y un resumen de estas funcionalidades.

Antimalware y antivirus
Con IaaS de Azure, puede usar software antimalware de proveedores de seguridad
como Microsoft, Symantec, Trend Micro, McAfee y Kaspersky, para proteger las
máquinas virtuales de archivos malintencionados, adware y otras amenazas.
Microsoft Antimalware para Azure Cloud Services y Virtual Machines es una
funcionalidad de protección que permite identificar y eliminar virus, spyware y
otro software malintencionado. Microsoft Antimalware activa alertas
configurables cuando software no deseado o malintencionado intenta instalarse o
ejecutarse en los sistemas de Azure. Microsoft Antimalware también puede
implementarse mediante Azure Security Center.

Módulo de seguridad de hardware

La autenticación y el cifrado no mejoran la seguridad a menos que las propias
claves estén protegidas. Puede simplificar la administración y la seguridad de
claves y secretos críticos guardándolos en Azure Key Vault. Key Vault permite
guardar claves en módulos de seguridad de hardware (HSM) que tienen la
certificación FIPS 140-2 nivel 2. Sus claves de cifrado de SQL Server para
copias de seguridad o cifrado de datos transparente se pueden almacenar en Key
Vault con otras claves y secretos de sus aplicaciones. Los permisos y el acceso
a estos elementos protegidos se administran con Azure Active Directory.

Copia de seguridad de máquina virtual

Azure Backup es una solución que protege los datos de su aplicación sin
necesidad de realizar ninguna inversión y afrontando unos costos operativos
mínimos. Los errores de una aplicación pueden dañar los datos, y los errores
humanos pueden crear errores en las aplicaciones que conlleven problemas de
seguridad. Con Azure Backup, las máquinas virtuales que ejecutan Windows y
Linux están protegidas.

Azure Site Recovery

Una parte importante de la estrategia de continuidad empresarial/recuperación
ante desastres (BCDR) de su organización es averiguar cómo mantener las
aplicaciones y cargas de trabajo corporativas en funcionamiento cuando se
produzcan interrupciones planeadas e imprevistas. Azure Site Recovery ayuda a
coordinar la replicación, la conmutación por error y la recuperación de
aplicaciones y cargas de trabajo para que estén disponibles desde una ubicación
secundaria si la ubicación principal deja de funcionar.

TDE de máquina virtual de SQL

El cifrado de datos transparente (TDE) y cifrado de nivel de columna (CLE) son
características de cifrado de SQL Server. Esta forma de cifrado requiere que
los clientes administren y almacenen las claves criptográficas que se usan para
el cifrado.

El servicio Azure Key Vault (AKV) está diseñado para mejorar la seguridad y la
administración de estas claves en una ubicación segura y con gran
disponibilidad. El Conector de SQL Server permite que SQL Server use estas
claves desde Azure Key Vault.

Si ejecuta SQL Server con máquinas locales, hay una serie de pasos que puede
seguir para acceder a Azure Key Vault desde la máquina de SQL Server local.
Pero para SQL Server en las máquinas virtuales de Azure, puede ahorrar tiempo
si usa la característica Integración de Azure Key Vault. Con algunos cmdlets de
Azure PowerShell para habilitar esta característica, puede automatizar la
configuración necesaria para que una máquina virtual de SQL tenga acceso a su
Almacén de claves.

Cifrado de discos de máquinas virtuales

Azure Disk Encryption es una nueva funcionalidad que permite cifrar los discos
de las máquinas virtuales de IaaS Windows y Linux. Usa la característica
BitLocker estándar del sector de Windows y la característica DM-Crypt de Linux
para ofrecer cifrado de volumen para el sistema operativo y los discos de
datos. La solución se integra con Azure Key Vault para ayudarle a controlar y
administrar los secretos y las claves de cifrado de discos en su suscripción de
Key Vault. La solución también garantiza que todos los datos de los discos de
máquinas virtuales se cifran en reposo en Azure Storage.

Redes virtuales
Las máquinas virtuales necesita conectividad de red. Para satisfacer este
requisito, es necesario que Azure Virtual Machines esté conectado a una
instancia de Azure Virtual Network. Azure Virtual Network es una construcción
lógica creada encima del tejido de red físico de Azure. Cada instancia de Azure
Virtual Network lógica está aislada de todas las demás instancias de Azure
Virtual Network. Este aislamiento contribuye a garantizar que otros clientes de
Microsoft Azure no puedan acceder al tráfico de red de sus implementaciones.
Actualizaciones de revisiones
Las actualizaciones de revisiones proporcionan la base para encontrar y
corregir posibles problemas y simplificar el proceso de administración de
actualizaciones de software al reducir el número de actualizaciones de software
que debe implementar en su empresa y aumentar la capacidad de supervisar el
cumplimiento.

Informes y administración de directivas de seguridad

Security Center ayuda a evitar amenazas y a detectarlas y responder a ellas, y
proporciona una mayor visibilidad y control sobre la seguridad de sus recursos
de Azure. Proporciona administración de directivas y supervisión de la
seguridad integradas en las suscripciones de Azure, ayuda a detectar amenazas
que podrían pasar desapercibidas y funciona con un amplio ecosistema de
soluciones de seguridad.

Administración de identidades y acceso

La protección de los sistemas, las aplicaciones y los datos comienza por los
controles de acceso basado en identidad. Las características de administración
de identidades y acceso que están integradas en los servicios y productos de
Microsoft para empresas ayudan a proteger su información personal y profesional
ante el acceso no autorizado al mismo tiempo que se pone a disposición de los
usuarios legítimos cuando y donde la necesiten.

Protección de la identidad
Microsoft utiliza varias tecnologías y procedimientos recomendados de seguridad
en sus productos y servicios para administrar las identidades y el acceso.

Multi-Factor Authentication requiere que los usuarios utilicen varios

métodos para el acceso, tanto localmente como en la nube. Proporciona
autenticación sólida con una variedad de sencillas opciones de
verificación, a la vez que admite usuarios mediante un proceso de inicio de
sesión simple.

Microsoft Authenticator ofrece una experiencia de Multi-Factor

Authentication fácil de usar que funciona tanto con Microsoft Azure Active
Directory como con cuentas de Microsoft e incluye compatibilidad con
ponibles y aprobaciones basadas en huellas digitales.

La aplicación de directivas de contraseña aumenta la seguridad de las

contraseñas tradicionales al imponer requisitos de longitud y complejidad,
la rotación periódica obligatoria y el bloqueo de cuenta después de
intentos de autenticación incorrectos.

La autenticación basada en tokens habilita la autenticación a través de

Azure Active Directory.

El control de acceso basado en rol (RBAC) permite conceder acceso en

función del rol asignado al usuario, lo que hace más fácil proporcionar a
los usuarios únicamente la cantidad de acceso que necesitan para realizar
sus tareas. Puede personalizar RBAC según el modelo de negocio de su
organización y su tolerancia al riesgo.

La administración de identidades integrada (identidad híbrida) le permite

mantener el control del acceso de los usuarios en centros de datos internos
 y plataformas en la nube, al crear una única identidad de usuario para la
autenticación y autorización en todos los recursos.

Protección de aplicaciones y datos

Azure Active Directory, una solución en la nube de administración integral de
identidades y acceso, ayuda a proteger el acceso a los datos en aplicaciones
locales y en la nube, además de simplificar la administración de usuarios y
grupos. Combina servicios de directorio centrales, gobernanza avanzada de
identidades, seguridad y administración del acceso a aplicaciones; además,
facilita a los desarrolladores la integración en sus aplicaciones de la
administración de identidades basada en directivas. Para mejorar su instancia
de Azure Active Directory, puede agregar funcionalidades de pago con las
ediciones Azure Active Directory Basic, Premium P1 y Premium P2.

AZURE ACTIVE
DIRECTORY JOIN,
SOLO
CARACTERÍSTICAS CARACTERÍSTICAS CARACTERÍSTICAS CARACTERÍSTICAS
CARACTERÍSTICAS DE LA EDICIÓN DE LA EDICIÓN DE LA EDICIÓN RELACIONADAS CON
COMUNES/GRATUITAS BASIC PREMIUM P1 PREMIUM P2 WINDOWS 10

Objetos de Aprovisionamiento Autoservicio de Identity Unir un

directorio, y administración administración de Protection, dispositivo a
administración de del acceso grupos y Privileged Azure AD, SSO de
usuarios y grupos basados en grupo, aplicaciones, Identity escritorio,
(agregar, autoservicio de autoservicio de Management Microsoft
actualizar y restablecimiento incorporación de Passport para
eliminar), de contraseña aplicaciones o Azure AD,
aprovisionamiento para usuarios de grupos dinámicos, recuperación de
basado en el la nube, autoservicio de BitLocker de
usuario, registro personalización restablecimiento administrador,
de dispositivos, de marca de la de contraseña, inscripción
inicio de sesión compañía cambio o automática de
único (SSO), (personalización desbloqueo con MDM, autoservicio
autoservicio de de las páginas de escritura de recuperación
cambio de inicio de sesión diferida local, de BitLocker,
contraseña para y del panel de Multi-Factor administradores
usuarios de la acceso), proxy de Authentication locales
nube, conexión aplicación, (en la nube y adicionales para
(motor de Acuerdo de Nivel local [Servidor dispositivos
sincronización de Servicio del MFA]), CAL de MIM Windows 10 a
que extiende los 99,9 % + servidor MIM, través de la
directorios Cloud App unión a Azure AD
locales a Azure Discovery,
Active Directory) Connect Health,
, informes de Sustitución
seguridad y uso automática de la
contraseña para
cuentas de grupo

Cloud App Discovery es una característica Premium de Azure Active Directory

que permite identificar aplicaciones en la nube usadas por los empleados de
su organización.

Azure Active Directory Identity Protection es un servicio de seguridad que

usa las funcionalidades de detección de anomalías de Azure Active Directory
para proporcionar una vista consolidada de detecciones de riesgo y
vulnerabilidades potenciales que podrían afectar a las identidades de su
organización.

Azure Active Directory Domain Services permite unir máquinas virtuales de

 Azure a un dominio sin necesidad de implementar controladores de dominio.
Los usuarios inician sesión en estas máquinas virtuales usando sus
credenciales corporativas de Active Directory y pueden acceder a los
recursos sin problemas.

Azure Active Directory B2C es un servicio de administración de identidades

global y de alta disponibilidad para aplicaciones orientadas al consumidor
que pueden utilizar hasta cientos de millones de identidades e integrarse
en plataformas web y móviles. Los clientes pueden iniciar sesión en todas
las aplicaciones mediante experiencias personalizables que usan cuentas de
redes sociales existentes o pueden crear credenciales independientes.

Colaboración B2B de Azure Active Directory es una solución segura de

integración de asociados que admite relaciones entre empresas al permitir
que los asociados accedan a las aplicaciones corporativas y a los datos de
forma selectiva mediante sus identidades autoadministradas.

Azure Active Directory Join permite extender las funcionalidades de nube a

dispositivos Windows 10 para la administración centralizada. Permite que
los usuarios se conecten a la nube corporativa o de la organización a
través de Azure Active Directory y simplifica el acceso a aplicaciones y
recursos.

La característica Proxy de la aplicación de Azure Active Directory

proporciona inicio de sesión único (SSO) y acceso remoto seguro para
aplicaciones web hospedadas de forma local.

Pasos siguientes
Comprenda la responsabilidad compartida en la nube.

Aprenda cómo Azure Security Center le ayuda a evitar amenazas y a

detectarlas y responder a ellas, gracias a la mayor visibilidad y control
sobre la seguridad de todos sus recursos de Azure.
 Responsabilidad compartida en la nube
23/03/2020 • 3 minutes to read • Edit Online

A medida que considera y evalúa los servicios en la nube pública, es

fundamental que comprenda el modelo de responsabilidad compartida y qué tareas
de seguridad administra el proveedor de servicios en la nube y cuáles
administra usted. Las responsabilidades de la carga de trabajo varían en
función de si la carga de trabajo está hospedada en una implementación de
software como servicio (SaaS), plataforma como servicio (PaaS),
infraestructura como servicio (IaaS) o bien en un centro de datos local.

División de responsabilidad
En un centro de datos local, usted es el propietario de toda la pila. A medida
que se traslada a la nube, algunas responsabilidades se transfieren a
Microsoft. En el diagrama siguiente se muestran las áreas de responsabilidad
entre usted y Microsoft, según el tipo de implementación de la pila.

Para todos los tipos de implementación de nube, es propietario de los datos y

las identidades. Asimismo, es responsable de proteger la seguridad de los
datos y las identidades, los recursos locales y los componentes en la nube que
controla (que varía según el tipo de servicio).

Con independencia del tipo de implementación, siempre conserva las siguientes

responsabilidades:

Datos
Puntos de conexión
Cuenta
administración de acceso

Ventajas de seguridad en la nube

La nube ofrece importantes ventajas para solucionar los desafíos de seguridad
de la información de larga duración. En un entorno local, las organizaciones
probablemente tengan responsabilidades inadecuadas y recursos limitados
disponibles para invertir en seguridad, de tal manera que se crea un entorno
donde los atacantes pueden aprovechar vulnerabilidades a todos los niveles.

En el diagrama siguiente se muestra un enfoque tradicional, en el que no se

pueden satisfacer muchas responsabilidades de seguridad debido a los limitados
recursos. En el enfoque habilitado para la nube, puede trasladar las
responsabilidades de seguridad del día a día a su proveedor de servicios en la
nube y reasignar sus recursos.

En el enfoque habilitado para la nube, también puede aprovechar las

funcionalidades de seguridad basadas en la nube para conseguir mayor eficacia
y usar la inteligencia en la nube para mejorar la detección de amenazas y el
tiempo de respuesta. Con la transferencia de responsabilidades al proveedor de
nube, las organizaciones pueden obtener más cobertura de seguridad, lo que les
permite reasignar recursos de seguridad y presupuestos a otras prioridades
empresariales.

Pasos siguientes
Para más información sobre la división de la responsabilidad entre usted y
Microsoft en una implementación SaaS, PaaS e IaaS, consulte Shared
responsibilities for cloud computing (Responsabilidades compartidas de la
informática en la nube).
 Funcionalidades técnicas de seguridad
de Azure
23/03/2020 • 65 minutes to read • Edit Online

Este artículo sirve de introducción a los servicios de seguridad de Azure que

ayudan a proteger los datos, recursos y aplicaciones en la nube, así como a
satisfacer las necesidades de seguridad de su negocio.

Plataforma Azure
Microsoft Azure es una plataforma en la nube compuesta de servicios de
infraestructura y aplicaciones, con servicios de datos y análisis avanzado
integrados, y herramientas y servicios para desarrolladores, que se hospeda
dentro de los centros de datos de la nube pública de Microsoft. Los clientes
pueden usar Azure para muchos tipos de capacidades y escenarios, que van desde
procesos, redes y almacenamiento básicos a servicios móviles y de aplicaciones
web, o a escenarios completamente en la nube como Internet de las cosas, que se
pueden usar con tecnologías de código abierto e implementarse en nubes híbridas
u hospedarse en el centro de datos de un cliente. Azure proporciona tecnología
de nube como bloques de creación para ayudar a las empresas a ahorrar costos,
innovar con rapidez y a administrar los sistemas de forma proactiva. Al crear o
migrar recursos de TI a un proveedor de nube, confía en las capacidades de la
organización para proteger las aplicaciones y los datos con los servicios y los
controles que facilitan para administrar la seguridad de sus recursos en la
nube.

Microsoft Azure es el único proveedor de informática en la nube que ofrece una

plataforma de aplicaciones seguras y coherente y una infraestructura como
servicio para que los equipos trabajen según sus diferentes habilidades en la
nube y niveles de complejidad del proyecto, con servicios de datos y análisis
integrados que descubran inteligencia de datos en cualquier parte, a través de
plataformas de Microsoft o de terceros, abra marcos y herramientas,
proporcionando alternativas para la integración en la nube con aplicaciones
locales así como la implementación de servicios en la nube de Azure en centros
de datos locales. Como parte de Microsoft Trusted Cloud, los clientes confían
en Azure a la hora de conseguir una seguridad, confiabilidad, cumplimiento y
privacidad líderes en el mercado, así como en la enorme red de usuarios,
asociados y procesos existentes para ayudar a las organizaciones en la nube.

Con Microsoft Azure, puede:

Acelerar la innovación con la nube.

Impulsar aplicaciones y decisiones empresariales con información.

Compilar con libertad e implementar en cualquier parte.

Proteger su negocio.

Funcionalidades técnicas de seguridad para cumplir

con su responsabilidad
Microsoft Azure proporciona servicios que pueden ayudarle a satisfacer las
necesidades de seguridad, privacidad y cumplimiento. La imagen siguiente nos
ayuda a explicarle los diversos servicios de Azure disponibles para que pueda
crear una infraestructura de aplicaciones segura y compatible con los
estándares del sector.

Administración y control de identidades y del

acceso de usuarios
Azure le ayuda a proteger información empresarial y personal permitiéndole
administrar las identidades y credenciales del usuario y controlar los accesos.

Azure Active Directory

Las soluciones de administración de identidades y acceso de Microsoft ayudan al
departamento de TI a proteger el acceso a las aplicaciones y los recursos en el
centro de datos corporativo y en la nube, para lo que se habilitan más niveles
de validación, tales como las directivas de autenticación multifactor y de
acceso condicional. La supervisión de actividades sospechosas mediante
auditorías, alertas e informes de seguridad avanzados contribuye a minimizar
los posibles problemas de seguridad. Azure Active Directory Premium proporciona
un inicio de sesión único para miles de aplicaciones en la nube y acceso a
aplicaciones web que se ejecutan de forma local.

Entre las ventajas en materia de seguridad de Azure Active Directory (Azure AD)
se incluye la capacidad de:

Crear y administrar una identidad única para cada usuario en toda la

empresa híbrida, lo que mantiene los usuarios, grupos y dispositivos
sincronizados.

Proporcionar un acceso de inicio de sesión único a las aplicaciones,

incluidas miles de aplicaciones SaaS preintegradas.

Habilitar la seguridad del acceso de las aplicaciones mediante la

aplicación de Multi-Factor Authentication basado en reglas para las
aplicaciones locales y en la nube.

Proporcionar un acceso remoto seguro a las aplicaciones web locales a

 través del proxy de la aplicación de Azure AD.

El portal de Azure Active Directory está disponible como parte de Azure Portal.
En este panel, puede obtener una visión general del estado de su organización y
administrar fácilmente el directorio, los usuarios o el acceso a las
aplicaciones.

Las siguientes son las principales funcionalidades de administración de

identidades de Azure:

Inicio de sesión único

Multi-Factor Authentication

Supervisión de seguridad, alertas e informes basados en aprendizaje

automático

Administración de identidades y acceso de consumidores

Registro de dispositivos

Privileged Identity Management

Protección de identidad

Inicio de sesión único

Inicio de sesión único (SSO) significa poder tener acceso a todas las
aplicaciones y los recursos que necesita para hacer negocios, iniciando sesión
una sola vez con una única cuenta de usuario. Una vez que ha iniciado sesión,
puede tener acceso a todas las aplicaciones que necesite sin tener que
autenticarse (por ejemplo, escribiendo una contraseña) una segunda vez.

Muchas organizaciones confían en el modelo de software como servicio (SaaS),

como Office 365, Box y Salesforce para la productividad del usuario final.
Tradicionalmente, el personal de TI tenía que crear y actualizar
individualmente cuentas de usuario en cada aplicación SaaS y los usuarios
tenían que recordar una contraseña para cada aplicación SaaS.

Azure AD extiende Active Directory local a la nube, permitiendo a los usuarios

usar su cuenta profesional principal no solo para iniciar sesión en sus
dispositivos unidos a dominios y recursos de la empresa, sino también en todas
las aplicaciones web y SaaS necesarias para su trabajo.

Los usuarios no solo no tienen que administrar varios conjuntos de nombres de

usuario y contraseñas, sino que es posible aprovisionar o cancelar el
aprovisionamiento del acceso a las aplicaciones automáticamente en función de
los grupos de la organización y de su estado de empleado. Azure AD introduce
controles de seguridad y de gobernanza del acceso que permiten administrar de
forma centralizada el acceso de los usuarios a través de aplicaciones SaaS.

Multi-Factor Authentication

Azure Multi-factor Authentication (MFA) es un método de autenticación que

requiere el uso de más de un método de verificación, y agrega un segundo nivel
de seguridad crítico a las transacciones e inicios de sesión del usuario. MFA
ayuda a proteger el acceso a los datos y las aplicaciones, al tiempo que
satisface la demanda de los usuarios de un proceso de inicio de sesión simple.
Proporciona autenticación sólida mediante una gran variedad de opciones de
verificación, como llamadas telefónicas, mensajes de texto, notificaciones de
aplicaciones móviles, códigos de verificación y tokens OAuth de terceros.

Supervisión de seguridad, alertas e informes basados en aprendizaje automático

La supervisión y las alertas de seguridad, así como los informes basados en el

aprendizaje automático que identifican patrones de acceso incoherentes, puede
ayudarle a proteger su negocio. Puede usar los informes de acceso y uso de
Active Directory de Azure para proporcionar visibilidad sobre la integridad y
la seguridad del directorio de su organización. Con esta información, un
administrador de directorios puede determinar mejor dónde puede haber posibles
riesgos de seguridad de modo que pueda planear adecuadamente la mitigación de
estos riesgos.

En Azure Portal o a través del portal de Azure Active Directory, los informes
se clasifican de la manera siguiente:

Informes de anomalías: contienen eventos de inicio de sesión que se

consideran anómalos. Nuestro objetivo es que sea consciente de dicha
actividad y que pueda tomar una decisión sobre si un evento es sospechoso.

Informes de aplicaciones integradas: ofrecen información sobre cómo se usan

las aplicaciones en la nube en la organización. Azure Active Directory
ofrece integración con miles de aplicaciones en la nube.

Informes de errores: indican errores que se pueden producir al aprovisionar

cuentas a aplicaciones externas.

Informes específicos del usuario: muestran los datos de actividad de

dispositivo o de inicio de sesión de un usuario concreto.

Registros de actividad: contienen un registro de todos los eventos

auditados en las últimas 24 horas, los últimos 7 días o los últimos 30
días, así como los cambios en la actividad del grupo y la actividad de
registro y de restablecimiento de contraseña.

Administración de identidades y acceso de consumidores

Azure Active Directory B2C es un servicio de administración de identidades
global y de alta disponibilidad para aplicaciones orientadas al consumidor que
se puede utilizar con cientos de millones de identidades. Se puede integrar en
plataformas móviles y web. Los consumidores pueden iniciar sesión en todas sus
aplicaciones con una experiencia totalmente personalizable, usando sus cuentas
de las redes sociales o mediante credenciales nuevas.

En el pasado, los desarrolladores de aplicaciones que deseaban registrar e

iniciar la sesión de los consumidores en sus aplicaciones tenían que escribir
su propio código. Y usaban bases de datos o sistemas locales para almacenar
nombres de usuario y contraseñas. Azure Active Directory B2C ofrece a su
organización una manera mejor de integrar la administración de identidades de
consumidor en las aplicaciones gracias a la ayuda de una plataforma segura
basada en estándares y un amplio conjunto de directivas extensibles.

El uso de Azure Active Directory B2C permite a los consumidores registrarse en

las aplicaciones con sus cuentas de redes sociales existentes (Facebook,
Google, Amazon, LinkedIn) o creando nuevas credenciales (dirección de correo
electrónico y contraseña o nombre de usuario y contraseña).

Registro de dispositivos

El Registro de dispositivos de Azure AD es la base de los escenarios de acceso

condicional basado en dispositivos. Cuando se registra un dispositivo, el
Registro de dispositivos de Azure AD le proporciona una identidad que se
utiliza para autenticar el dispositivo cuando el usuario inicia sesión. El
dispositivo autenticado y los atributos del dispositivo pueden utilizarse para
aplicar directivas de acceso condicional a las aplicaciones que se hospedan en
la nube y en el entorno local.

Cuando se combina con una solución de administración de dispositivos móviles

(MDM) como Intune, los atributos del dispositivo en Azure Active Directory se
actualizan con información adicional sobre este. Esto le permite crear reglas
de acceso condicional que obligan a que el acceso desde dispositivos cumpla con
las normas de seguridad y cumplimiento.

Privileged Identity Management

Privileged Identity Management de Azure Active Directory (AD) le permite

administrar, controlar y supervisar las identidades con privilegios y el acceso
a los recursos en Azure AD y en otros servicios en línea de Microsoft, como
Office 365 o Microsoft Intune.

A veces, los usuarios necesitan llevar a cabo operaciones con privilegios en

recursos de Azure u Office 365 o en otras aplicaciones SaaS. Esto significa a
menudo que las organizaciones tienen que concederles acceso con privilegios
permanentes en Azure AD. Esto representa un riesgo de seguridad creciente para
los recursos hospedados en la nube porque las organizaciones no pueden
supervisar suficientemente qué hacen esos usuarios con sus privilegios
administrativos. Además, si se pone en peligro una cuenta de usuario que tiene
acceso con privilegios, esta situación podría afectar a su seguridad en la nube
global. Administración de identidades con privilegios de Azure AD le ayuda a
resolver este riesgo.

Azure AD Privileged Identity Management le permite:

Ver qué usuarios son administradores de Azure AD

 Habilitar el acceso administrativo a petición y "justo a tiempo" en
servicios de Microsoft Online Services, como Office 365 e Intune

Obtener informes sobre el historial de acceso de administrador y sobre los

cambios en las asignaciones de administrador

Obtener alertas sobre el acceso a un rol con privilegios

Protección de identidad

Azure AD Identity Protection es un servicio de seguridad que proporciona una

vista consolidada de detecciones de riesgo y posibles vulnerabilidades que
afectan a las identidades de su organización. Identity Protection usa las
funcionalidades de detección de anomalías existentes de Azure Active Directory
(disponibles mediante informes de actividad anómala de Azure AD) e introduce
nuevos tipos de detección de riesgo que pueden detectar anomalías en tiempo
real.

Protección del acceso a los recursos

El control de acceso de Azure se inicia desde una perspectiva de facturación.
El propietario de una cuenta de Azure, a la que se accede desde el Centro de
cuentas de Azure, es el administrador de cuenta (AA). Las suscripciones son un
contenedor para la facturación, pero también sirven de límite de seguridad:
cada suscripción tiene un administrador de servicios (SA) que puede agregar,
quitar y modificar recursos de Azure en esa suscripción mediante Azure Portal.
El administrador de servicios predeterminado de una suscripción nueva es el
administrador de cuenta, pero este puede cambiar el administrador de servicios
en el Centro de cuentas de Azure.

Las suscripciones también tienen una asociación con un directorio. El

directorio define un conjunto de usuarios. Pueden ser usuarios de una cuenta
profesional o educativa que crearon el directorio, o bien pueden ser usuarios
externos (es decir, Cuentas Microsoft). Las suscripciones son accesibles por un
subconjunto de esos usuarios del directorio que se han asignado como
administrador de servicios (SA) o coadministrador (CA); la única excepción es
que, por razones heredadas, las Cuentas de Microsoft (antes Windows Live ID)
pueden asignarse como SA o CA sin estar presentes en el directorio.

Las empresas de seguridad deben centrarse en conceder a los empleados los

permisos exactos que necesiten. Un número elevado de permisos puede provocar
que la cuenta esté expuesta a los atacantes. Si se conceden muy pocos, los
empleados no podrán realizar su trabajo de manera eficaz. Gracias al control de
acceso basado en roles (RBAC) de Azure, podrá abordar este problema, ya que es
posible realizar una administración avanzada del acceso para Azure.

También podrá repartir las tareas entre el equipo y conceder a los usuarios
únicamente el nivel de acceso que necesitan para realizar su trabajo. En lugar
de proporcionar a todos los empleados permisos no restringidos en los recursos
o la suscripción de Azure, puede permitir solo determinadas acciones. Por
ejemplo, utilice RBAC para dejar que un empleado administre máquinas virtuales
en una suscripción, y que otro pueda administrar bases de datos SQL en la misma
suscripción.

Seguridad y cifrado de datos

Uno de los elementos clave para la protección de datos en la nube consiste en
tener en cuenta los posibles estados en que se pueden producir datos y qué
controles hay disponibles para ese estado. Como parte de los procedimientos
recomendados de cifrado y seguridad de datos en Azure, se ofrecen
recomendaciones relacionadas con los estados de datos siguientes.

En reposo: Esto incluye información sobre todos los objetos de

almacenamiento, los contenedores y los tipos que existen de forma estática
en medios físicos, ya sean discos magnéticos u ópticos.

En tránsito: Se considera que los datos están en movimiento cuando se

transfieren entre componentes, ubicaciones o programas. Por ejemplo, a
través de la red o un bus de servicio (desde una ubicación local hacia la
nube, y viceversa, incluidas las conexiones híbridas como ExpressRoute) o
durante el proceso de entrada y salida.

Cifrado en reposo
Para conseguir el cifrado en reposo, haga las acciones siguientes:

Se debe admitir al menos uno de los modelos de cifrado recomendados que se

detalla en la siguiente tabla para cifrar los datos.

MODELOS DE CIFRADO

Cifrado de servidor Cifrado de servidor Cifrado de servidor Cifrado de cliente

Cifrado del lado del Cifrado del lado del Cifrado del lado del
servidor mediante servidor mediante servidor mediante
claves administradas claves administradas claves locales
del servicio por el cliente en administradas por el
Azure Key Vault cliente

• Los proveedores de • Los proveedores de • Los proveedores de • Los servicios de

recursos de Azure recursos de Azure recursos de Azure Azure no pueden ver
realizan las realizan las realizan las los datos descifrados
operaciones de cifrado operaciones de cifrado operaciones de cifrado • Los clientes
y descifrado y descifrado y descifrado almacenan las claves
• Microsoft administra • El cliente controla • El cliente controla en ubicaciones locales
las claves las claves mediante las claves de forma (o en otras
• Funcionalidad de Azure Key Vault local ubicaciones
nube completa • Funcionalidad de • Funcionalidad de protegidas). Las
nube completa nube completa claves no están
disponibles para los
servicios de Azure
• Funcionalidad de
nube reducida

Habilitación del cifrado de datos en reposo

Identificación de todas las ubicaciones de los almacenes de datos

El objetivo del cifrado en reposo consiste en cifrar todos los datos. Si lo

hace, elimina la posibilidad de que se pierdan datos importantes o todas las
ubicaciones persistentes. Muestre todos los datos almacenados por la
aplicación.

NOTE
No solo los datos de la aplicación o la información de identificación personal, sino todos los
datos relacionados con la aplicación, incluidos los metadatos de la cuenta (asignaciones de
suscripción, información contractual, información de identificación personal).

Considere el tipo de almacenes que está empleando para almacenar los datos. Por
ejemplo:

Almacenamiento externo (por ejemplo, SQL Azure, Document DB, HDInsights,

Data Lake, etc.)

Almacenamiento temporal (cualquier caché local que incluye datos de

inquilino)

Caché en memoria (se puede poner en el archivo de paginación).

Aprovechamiento de la compatibilidad ya existente con el cifrado en reposo de

Azure
En cada almacén que use, aproveche la compatibilidad ya existente con el
cifrado en reposo.

Azure Storage: Consulte Azure Storage Service Encryption para datos en

reposo

SQL Azure: Consulte Cifrado de datos transparente (TDE), SQL Always

Encrypted

Almacenamiento en máquina virtual y disco local (Azure Disk Encryption)

Para el almacenamiento en máquina virtual y disco local use Azure Disk

Encryption allí donde sea compatible:

IaaS

Los servicios con máquinas virtuales de IaaS (Windows o Linux) deben usar Azure
Disk Encryption para cifrar los volúmenes que contienen los datos del cliente.

PaaS v2

Los servicios que se ejecutan en PaaS v2 mediante Service Fabric pueden usar
Azure Disk Encryption para el conjunto de escalado de máquinas virtuales [VMSS]
para cifrar sus máquinas virtuales de PaaS v2.

PaaS v1

Actualmente, no se admite Azure Disk Encryption en PaaS v1. Por tanto, deberá
usar el cifrado de nivel de aplicación para cifrar los datos persistentes en
reposo. Esto incluye, aunque sin limitarse a ellos, los datos de la aplicación,
los archivos temporales, los registros y volcados de memoria.

La mayoría de los servicios debe intentar aprovechar el cifrado de un proveedor

de recursos de almacenamiento. Algunos servicios tienen que realizar un cifrado
explícito, por ejemplo, todo material de clave (certificados, clave raíz o
maestra) se debe almacenar en Key Vault.

Si se admite el cifrado del lado del servicio con claves administradas por el
cliente, es necesario que exista una manera en la que este nos haga llegar la
clave. La manera admitida y recomendada de hacerlo es mediante la integración
con Azure Key Vault (AKV). En este caso, los clientes pueden agregar y
administrar sus claves en Azure Key Vault. Un cliente puede obtener información
sobre cómo usar AKV en Introducción a Key Vault.

Para la integración con Azure Key Vault, debe agregar un código para solicitar
una clave de AKV cuando sea necesaria para el descifrado.

Consulte Azure Key Vault – Step by Step (Azure Key Vault: Información
detallada) para más información sobre cómo integrar con AKV.
Si se admiten claves administradas por el cliente, debe proporcionar una
experiencia de usuario para que el cliente especifique qué instancia de Key
Vault (o URI de Key Vault) se utilizará.

Cuando el cifrado en reposo incluye el cifrado de host, datos de

infraestructura y de inquilinos, la pérdida de las claves debida a un error del
sistema o actividad malintencionada podría dar lugar a la pérdida de todos los
datos cifrados. Por lo tanto, es fundamental que el servicio de cifrado en
reposo tenga una potente solución de recuperación ante desastres que sea
resistente a errores del sistema o actividades malintencionadas.

Los servicios que implementan el cifrado en reposo aún se muestran vulnerables

a las claves de cifrado o a los datos que se dejan sin cifrar en la unidad del
host (por ejemplo, en el archivo de paginación del sistema operativo del host).
Por tanto, tales servicios deben asegurarse de que todo el volumen del host
destinado a estos está cifrado. Para facilitar este proceso, el equipo de
Compute ha habilitado la implementación del cifrado del host, que usa BitLocker
NKP y extensiones al servicio y agente de DCM para cifrar el volumen del host.

La mayoría de los servicios se implementa en máquinas virtuales estándar de

Azure. Estos servicios deben realizar el cifrado del host automáticamente
cuando Compute lo habilite. Para aquellos servicios que se ejecutan en
clústeres administrados de Compute, el cifrado del host se habilita de forma
automática cuando se implementa Windows Server 2016.

Cifrado en tránsito
Proteger los datos en tránsito debe ser una parte esencial de su estrategia de
protección de datos. Puesto que los datos se desplazan entre muchas
ubicaciones, la recomendación general es utilizar siempre los protocolos
SSL/TLS para intercambiar datos entre diferentes ubicaciones. En algunas
circunstancias, podría aislar todo el canal de comunicación entre su
infraestructura local y la nube mediante una red privada virtual (VPN).

Para los datos que se desplazan entre la infraestructura local y Azure, debe
plantearse usar medidas de seguridad apropiadas, como HTTPS o VPN.

Para las organizaciones que necesitan proteger el acceso a Azure desde varias
estaciones de trabajo locales, use una VPN de sitio a sitio de Azure.

Si la organización necesita proteger el acceso a Azure desde una estación de

trabajo local, use una VPN de punto a sitio.

Los conjuntos de datos más grandes se pueden mover por medio de un vínculo WAN
dedicado de alta velocidad como ExpressRoute. Si decide usar ExpressRoute,
también puede cifrar los datos en el nivel de aplicación mediante SSL/TLS u
otros protocolos para una mayor protección.

Si interactúa con Azure Storage a través de Azure Portal, todas las

transacciones se realizan a través de HTTPS. También se puede usar la API REST
de almacenamiento a través de HTTPS para interactuar con Azure Storage y Azure
SQL Database.

Las organizaciones que no protegen los datos en tránsito son más susceptibles a
los ataques del tipo "Man in the middle", a la interceptación y al secuestro de
sesión. Estos ataques pueden ser el primer paso para obtener acceso a datos
confidenciales.
Para más información sobre la opción de VPN de Azure, lea el artículo
Planeamiento y diseño de VPN Gateway.

Aplicación del cifrado de datos a nivel de archivos

Azure RMS usa directivas de autorización, identidad y cifrado para ayudar a
proteger los archivos y el correo electrónico. Azure RMS funciona en varios
dispositivos (teléfonos, tabletas y PC) y los protege tanto dentro como fuera
de su organización. Esta funcionalidad es posible porque Azure RMS agrega una
capa de protección que acompaña a los datos, incluso cuando salen de los
límites de su organización.

Cuando usa Azure RMS para proteger los archivos, usa criptografía estándar del
sector que es totalmente compatible con FIPS 140-2. Cuando aprovecha Azure RMS
para proteger los datos, tiene la garantía de que la protección permanece con
el archivo, incluso si se copia en almacenamiento que no esté bajo el control
de TI, como un servicio de almacenamiento en la nube. Lo mismo ocurre con los
archivos compartidos por correo electrónico: se protege el archivo adjunto al
mensaje de correo electrónico y se incluyen instrucciones para abrirlo. Durante
el planeamiento para adoptar Azure RMS, se recomienda lo siguiente:

Instale la aplicación RMS sharing. Esta aplicación se integra con las

aplicaciones de Office con la instalación de un complemento de Office con
el que los usuarios pueden proteger los archivos directamente y de forma
sencilla.

Configure las aplicaciones y los servicios para que admitan Azure RMS.

Cree plantillas personalizadas que reflejen sus requisitos empresariales.

Por ejemplo: una plantilla para los datos más delicados que se deba aplicar
a todos los correos electrónicos de mayor confidencialidad.

Las organizaciones con puntos débiles en la clasificación de datos y la

protección de archivos pueden ser más susceptibles a la fuga de datos. Sin una
protección adecuada de los archivos, las organizaciones no pueden obtener
perspectivas empresariales, supervisar el abuso ni evitar el acceso malicioso a
archivos.

NOTE
Puede obtener más información sobre Azure RMS en el artículo Requisitos de Azure Information
Protection.

Protección de la aplicación
Aunque Azure se encarga de proteger la infraestructura y la plataforma en las
que se ejecuta su aplicación, es responsabilidad suya proteger su propia
aplicación. Es decir, debe desarrollar, implementar y administrar el código y
el contenido de la aplicación de forma segura. De lo contrario, el código o el
contenido de la aplicación pueden seguir siendo vulnerables frente a amenazas.

Firewall de aplicaciones web

Firewall de aplicaciones web (WAF) es una característica de Application Gateway
que proporciona a las aplicaciones una protección centralizada contra
vulnerabilidades de seguridad comunes.
Firewall de aplicaciones web se basa en las reglas contenidas en OWASP Core
Rule Set 3.0 o 2.2.9. Las aplicaciones web son cada vez más los objetivos de
ataques malintencionados que aprovechan vulnerabilidades comunes conocidas,
como ataques por inyección de código SQL o ataques de scripts de sitios, por
nombrar unos pocos. Impedir tales ataques en el código de aplicación puede ser
un verdadero desafío y requerir tareas rigurosas de mantenimiento, aplicación
de revisiones y supervisión en varias capas de la topología de aplicación. Un
firewall de aplicaciones web centralizado facilita enormemente la
administración de la seguridad y proporciona mayor protección a los
administradores de la aplicación frente a amenazas o intrusiones. Las
soluciones de WAF también pueden reaccionar más rápido ante una amenaza de la
seguridad aplicando revisiones que aborden una vulnerabilidad conocida en una
ubicación central en lugar de proteger cada una de las aplicaciones web por
separado. Las puertas de enlace de aplicaciones existentes pueden transformarse
rápidamente en puertas de enlace con un firewall de aplicaciones web
habilitado.

Entre las vulnerabilidades web más habituales frente a las que protege el
firewall de aplicaciones web se incluyen:

Protección contra la inyección de código SQL

Protección contra scripts entre sitios

Protección contra ataques web comunes, como inyección de comandos,

contrabando de solicitudes HTTP, división de respuestas HTTP y ataque
remoto de inclusión de archivos

Protección contra infracciones del protocolo HTTP

Protección contra anomalías del protocolo HTTP, como la falta de agentes de

usuario de host y encabezados de aceptación

Prevención contra bots, rastreadores y escáneres

Detección de errores de configuración comunes en aplicaciones (es decir,

Apache, IIS, etc.)

NOTE
Para una lista más detallada de las reglas y los mecanismos de protección, consulte el
siguiente apartado sobre conjuntos de reglas principales:

Azure dispone también de varias características fáciles de usar que contribuyen

a proteger el tráfico entrante y saliente de la aplicación. Azure ayuda a los
clientes a proteger el código de su aplicación con funcionalidad externa para
detectar vulnerabilidades en la aplicación web.

Configurar la autenticación de Azure Active Directory en la aplicación

Proteger el tráfico a la aplicación mediante la habilitación de Seguridad

de la capa de transporte (TLS/SSL) - HTTPS

Forzar todo el tráfico entrante a través de la conexión HTTPS

Habilitar Seguridad de transporte estricto (HSTS)

Restringir el acceso a la aplicación mediante la dirección IP del cliente

 Restringir el acceso a la aplicación según el comportamiento del cliente:
frecuencia de solicitud y simultaneidad

Examinar el código de la aplicación web en búsqueda de vulnerabilidades

mediante Tinfoil Security Scanning

Configurar la autenticación mutua de TLS para requerir certificados de

cliente para conectarse a la aplicación web

Configurar un certificado de cliente para usarlo desde la aplicación para

conectarse de forma segura a recursos externos

Quitar encabezados de servidor estándar para evitar que las herramientas

creen huellas digitales en la aplicación

Conectar de forma segura la aplicación con los recursos de una red privada
mediante VPN de punto a sitio

Conectar de forma segura la aplicación con los recursos de una red privada
mediante conexiones híbridas

Azure App Service usa la misma solución antimalware que usan Azure Cloud
Services y Virtual Machines. Para obtener más información al respecto, consulte
nuestra documentación sobre antimalware

Protección de la red
Microsoft Azure incluye una sólida infraestructura de red que respalda sus
requisitos de conectividad de aplicaciones y servicios. Es posible la
conectividad de red entre recursos ubicados en Azure, entre recursos locales y
hospedados en Azure y entre Internet y Azure.

La infraestructura de red de Azure le permite conectar de forma segura los

recursos de Azure entre sí por medio de redes virtuales. Una red virtual es una
representación de su propia red en la nube. Una red virtual es un aislamiento
lógico de la red de nube de Azure dedicada a su suscripción. Puede conectar
redes virtuales a las redes locales.

Si necesita un control de acceso de nivel de red básico (basado en la dirección

IP y los protocolos TCP o UDP), puede usar grupos de seguridad de red. Un grupo
de seguridad de red (NSG) es un firewall de filtrado de paquetes básico con
estado que le permite controlar el acceso basado en una 5-tupla.

Las redes de Azure ofrecen la posibilidad de personalizar el comportamiento de

enrutamiento del tráfico de red en Azure Virtual Network. Para ello, puede
configurar rutas definidas por el usuario en Azure.

tunelización forzada es un mecanismo que puede usar para tener la seguridad de

que no se permite que sus servicios inicien una conexión con dispositivos en
Internet.

Azure es compatible con la conectividad de vínculo WAN dedicado a su red local

y a una instancia de Azure Virtual Network con ExpressRoute. El vínculo entre
Azure y su sitio utiliza una conexión dedicada que no va por la red pública de
Internet. Si su aplicación de Azure se va a ejecutar en varios centros de
datos, puede utilizar Azure Traffic Manager para enrutar las solicitudes de los
usuarios de forma inteligente entre instancias de la aplicación. También puede
enrutar tráfico a servicios que no se ejecuten en Azure si se puede obtener
acceso a ellos desde Internet.

Seguridad de máquina virtual

Azure Virtual Machines permite implementar una amplia gama de soluciones
informáticas con agilidad. Gracias a la compatibilidad con Microsoft Windows,
Linux, Microsoft SQL Server, Oracle, IBM, SAP y Azure BizTalk Services, puede
implementar cualquier carga de trabajo y cualquier idioma en casi cualquier
sistema operativo.

Con Azure, puede usar software antimalware de proveedores de seguridad como

Microsoft, Symantec, Trend Micro y Kaspersky, para proteger las máquinas
virtuales de archivos malintencionados, adware y otras amenazas.

Microsoft Antimalware para Azure Cloud Services y Virtual Machines es una

funcionalidad de protección en tiempo real que permite identificar y eliminar
virus, spyware y otro software malintencionado. Microsoft Antimalware activa
alertas configurables cuando software no deseado o malintencionado intenta
instalarse o ejecutarse en los sistemas de Azure.

Azure Backup es una solución escalable que protege los datos de su aplicación
sin necesidad de realizar ninguna inversión y afrontando unos costos operativos
mínimos. Los errores de una aplicación pueden dañar los datos, y los errores
humanos pueden crear errores en las aplicaciones. Con Azure Backup, las
máquinas virtuales que ejecutan Windows y Linux están protegidas.

Azure Site Recovery ayuda a coordinar la replicación, la conmutación por error

y la recuperación de aplicaciones y cargas de trabajo para que estén
disponibles desde una ubicación secundaria si la ubicación principal deja de
funcionar.

Asegurar el cumplimiento: Lista de comprobación de

diligencia debida para Cloud Services
Microsoft ha desarrollado la lista de comprobación de diligencia debida para
Cloud Services para ayudar a las organizaciones a actuar con la debida
diligencia cuando están pensando trasladarse a la nube. Proporciona una
estructura que ayuda a las organizaciones de cualquier tipo y tamaño, desde
empresas privadas a organizaciones públicas, incluidos organismos
gubernamentales de todos los niveles y organizaciones sin ánimo de lucro, a
identificar su propio rendimiento, servicio, administración de datos y
objetivos y requisitos de gobernanza. Esto les permite comparar las ofertas de
los distintos proveedores de servicios en la nube que, en última instancia,
forman la base para un contrato de este tipo de servicios.

Esta lista de comprobación proporciona un marco que se adecua cláusula por

clausula a un nuevo estándar internacional de contratos de servicios en la
nube, la norma ISO/IEC 19086. Esta norma ofrece un conjunto unificado de
consideraciones que ayuda a las organizaciones a la hora de tomar decisiones
acerca de la adopción de la nube y permiten crear una base para la comparación
entre las ofertas de servicios en la nube.

La lista de comprobación promueve un movimiento muy estudiado en favor de la

nube, proporciona una guía estructurada y un enfoque coherente y repetible para
elegir un proveedor de servicios en la nube.

La adopción de la nube ya no es solo una decisión tecnológica. Dado que los

requisitos de la lista de comprobación abarcan todos los aspectos de una
organización, sirven para reunir a todos los encargados de la toma de
decisiones: desde el CIO y el CISO a los profesionales de los departamentos
legales, de administración de riesgos y de cumplimiento normativo. Esto aumenta
la eficacia del proceso de toma de decisiones y la toma de decisiones
fundamentadas en sólidos razonamientos, lo que reduce la probabilidad de
obstáculos imprevistos en el proceso de adopción.

Además, la lista de comprobación:

Muestra temas de discusión clave para los encargados de tomar decisiones al

principio del proceso de adopción de la nube.

Fomenta debates exhaustivos en la empresa acerca de la normativa y los

objetivos de la organización en cuanto a privacidad, información de
identificación personal (PII) y seguridad de los datos.

Ayuda a las organizaciones a identificar posibles problemas que pudieran

afectar a un proyecto en la nube.

Proporciona un conjunto coherente de preguntas con los mismos términos,

definiciones, métricas y resultados para cada proveedor, para simplificar
el proceso de comparación entre las ofertas de los distintos proveedores de
servicios en la nube.

Validación de la seguridad de la infraestructura y

aplicaciones de Azure
Con seguridad operativa de Azure, se hace referencia a los servicios, los
controles y las características disponibles para los usuarios para proteger sus
datos, aplicaciones y otros recursos en Microsoft Azure.
La seguridad operativa de Azure se basa en una plataforma que incorpora el
conocimiento adquirido a través de diversas funcionalidades exclusivas de
Microsoft, incluido el ciclo de vida de desarrollo de seguridad (SDL) de
Microsoft, el programa Microsoft Security Response Center y un conocimiento en
profundidad del panorama de amenazas de ciberseguridad.

Microsoft Azure Monitor

Azure Monitor es la solución de administración de TI para la nube híbrida. Si
se usa de forma independiente o para extender la implementación existente de
System Center, los registros de Azure Monitor ofrecen la máxima flexibilidad y
control para la administración basada en la nube de su infraestructura.

Con Azure Monitor, puede administrar cualquier instancia en cualquier nube,

incluidas instancias en entornos locales, Azure, AWS, Windows Server, Linux,
VMware y OpenStack, a un costo menor que el de las soluciones de la
competencia. Diseñado para el mundo que da prioridad a la nube, Azure Monitor
ofrece un nuevo método de administración empresarial que es la forma más rápida
y rentable de enfrentarse a los nuevos retos empresariales y adaptarse a nuevas
cargas de trabajo, aplicaciones y entornos de nube.

Registros de Azure Monitor

Los registros de Azure Monitor proporcionan servicios de supervisión al
recopilar datos de los recursos administrados en un repositorio central. Estos
datos podrían incluir eventos, datos de rendimiento o datos personalizados
proporcionados a través de la API. Una vez recopilados, los datos están
disponibles para las alertas, el análisis y la exportación.
Este método permite consolidar datos de varios orígenes, por lo que puede
combinar datos de los servicios de Azure con el entorno local existente.
También separa claramente la recopilación de los datos de la acción realizada
en los datos, para que todas las acciones estén disponibles para todos los
tipos de datos.

Azure Security Center

Azure Security Center ayuda a evitar, detectar y responder a amenazas con más
visibilidad y control sobre la seguridad de sus recursos de Azure. Proporciona
administración de directivas y supervisión de la seguridad integrada en las
suscripciones de Azure, ayuda a detectar las amenazas que podrían pasar
desapercibidas y funciona con un amplio ecosistema de soluciones de seguridad.

El Centro de seguridad analiza el estado de seguridad de los recursos de Azure

para identificar posibles vulnerabilidades de seguridad. Una lista de
recomendaciones le guiará por el proceso de configuración de los controles
necesarios.

Algunos ejemplos son:

Aprovisionamiento de antimalware para ayudar a identificar y eliminar el

software malintencionado.

Configuración de reglas y grupos de seguridad de red para controlar el

tráfico a las VM

Aprovisionamiento de firewalls de aplicaciones web para ayudar a defenderse

contra ataques dirigidos a las aplicaciones web.

Implementación de actualizaciones del sistema que faltan.

Resolución de las configuraciones de sistema operativo que no coinciden con

las líneas base recomendadas.

El Centro de seguridad recopila, analiza e integra automáticamente los datos de

registro de los recursos de Azure, la red y soluciones de asociados como
firewalls y programas antimalware. Cuando se detecten amenazas, se creará una
alerta de seguridad. Como ejemplos se incluye la detección de:

VM en peligro que se comunican con direcciones IP malintencionadas

conocidas
 Malware avanzado detectado mediante la generación de informes de errores de
Windows.

Ataques de fuerza bruta contra VM

Alertas de seguridad de programas antimalware y firewalls integrados

Azure Monitor
Azure Monitor proporciona punteros a la información sobre determinados tipos de
recursos. Ofrece funciones de visualización, consulta, enrutamiento, alertas,
escalado automático y automatización de los datos tanto de la infraestructura
de Azure (registro de actividad) como de cada recurso individual de Azure
(registros de diagnóstico).

Las aplicaciones de nube son complejas y tienen muchas partes móviles. La

supervisión proporciona datos para garantizar que la aplicación permanece en
funcionamiento en un estado correcto. También ayuda a evitar posibles problemas
o a solucionar los existentes.

Además,
puede usar datos de supervisión para obtener un conocimiento más profundo sobre
su aplicación. Este conocimiento puede ayudarle a mejorar el rendimiento o
mantenimiento de la aplicación, o a automatizar acciones que de lo contrario
requerirían intervención manual.

La auditoría de la seguridad de la red es fundamental para detectar

vulnerabilidades de red y asegurar el cumplimiento de la seguridad de TI y el
modelo de gobernanza reglamentario. Con la vista Grupo de seguridad, puede
recuperar las reglas de seguridad y de grupo de seguridad de red configuradas,
así como las reglas de seguridad efectivas. Con la lista de reglas que se
aplican, puede determinar los puertos que están abiertos y evaluar la
vulnerabilidad de la red.

Network Watcher
Network Watcher es un servicio regional que permite supervisar y diagnosticar
problemas en un nivel de red en Azure. Las herramientas de visualización y
diagnóstico de red que incluye Network Watcher le ayudan a conocer,
diagnosticar y obtener información acerca de cualquier red de Azure. Este
servicio incluye captura de paquetes, próximo salto, comprobación de flujo de
IP, vista de grupos de seguridad y registros de flujo de NSG. La supervisión en
el nivel de escenario, ofrece una visión global de los recursos de la red que
contrasta con la supervisión de recursos de red individuales.

Storage Analytics
Storage Analytics puede almacenar métricas que incluyen estadísticas de las
transacciones y datos de capacidad agregados sobre las solicitudes realizadas a
un servicio de almacenamiento. Las transacciones se notifican tanto en el nivel
de operación de API como en el nivel de servicio de almacenamiento, y la
capacidad se notifica en el nivel de servicio de almacenamiento. Los datos de
las métricas se pueden utilizar para analizar el uso del servicio de
almacenamiento, diagnosticar problemas con las solicitudes realizadas en el
mismo y mejorar el rendimiento de las aplicaciones que utilizan un servicio.

Application Insights
Application Insights es un servicio de Application Performance Management (APM)
extensible para desarrolladores web en varias plataformas. Úselo para
supervisar la aplicación web en directo. Se detectarán automáticamente las
anomalías de rendimiento. Incluye herramientas de análisis eficaces que le
ayudan a diagnosticar problemas y comprender lo que hacen realmente los
usuarios con la aplicación. Está diseñado para ayudarle a mejorar continuamente
el rendimiento y la facilidad de uso. Funciona con diversas aplicaciones y en
una amplia variedad de plataformas, como .NET, [Link] o Java EE, tanto
hospedadas localmente como en la nube. Se integra con el proceso de devOps y
tiene puntos de conexión para diversas herramientas de desarrollo.

Supervisa:

Tasas de solicitud, tiempos de respuesta y tasas de error - Averigüe

qué páginas que son las más conocidas, en qué momento del día y dónde están
los usuarios. Vea qué páginas presentan mejor rendimiento. Si los tiempos
de respuesta y las tasas de error aumentan cuando hay más solicitudes,
quizás tiene un problema de recursos.

Tasas de dependencia, tiempos de respuesta y tasa de error - Averigüe

si los servicios externos le ralentizan.

Excepciones : - Analice las estadísticas agregadas o seleccione instancias

concretas y profundice en el seguimiento de la pila y las solicitudes
relacionadas. Se notifican tanto las excepciones de servidor como las de
explorador.

Vistas de página y rendimiento de carga - Notificados por los

exploradores de los usuarios.

Llamadas AJAX desde páginas web : Tasas, tiempos de respuesta y tasas de

error.

Número de usuarios y sesiones .

Contadores de rendimiento de las máquinas de servidor de Windows o

Linux, como CPU, memoria y uso de la red.

Diagnóstico de host de Docker o Azure.

 Registros de seguimiento de diagnóstico de la aplicación - De esta
forma puede correlacionar eventos de seguimiento con las solicitudes.

Métricas y eventos personalizados que usted mismo escribe en el código

de cliente o servidor para realizar un seguimiento de eventos
empresariales, como artículos vendidos o partidas ganadas.

La infraestructura de la aplicación está constituida normalmente por varios

componentes: quizás una máquina virtual, una cuenta de almacenamiento y una red
virtual, o una aplicación web, una base de datos, un servidor de bases de datos
y servicios de terceros. Estos componentes no se ven como entidades
independientes, sino como partes de una sola entidad relacionadas e
interdependientes. Desea implementarlos, administrarlos y supervisarlos como
grupo. Azure Resource Manager permite trabajar con los recursos de la solución
como grupo.

Todos los recursos de la solución se pueden implementar, actualizar o eliminar

en una sola operación coordinada. Para realizar la implementación se usa una
plantilla, que puede funcionar en distintos entornos, como producción, pruebas
y ensayo. Administrador de recursos proporciona funciones de seguridad,
auditoría y etiquetado que le ayudan a administrar los recursos después de la
implementación.

Ventajas de usar Resource Manager

Administrador de recursos ofrece varias ventajas:

Puede implementar, administrar y supervisar todos los recursos de la

solución en grupo, en lugar de controlarlos individualmente.

Puede implementar la solución repetidamente a lo largo del ciclo de vida

del desarrollo y tener la seguridad de que los recursos se implementan de
forma coherente.

Puede administrar la infraestructura mediante plantillas declarativas en

lugar de scripts.

Puede definir las dependencias entre recursos de modo que se implementen en

el orden correcto.

Puede aplicar control de acceso a todos los servicios del grupo de recursos
al integrarse de forma nativa Control de acceso basado en rol (RBAC) en la
plataforma de administración.

Puede aplicar etiquetas a los recursos para organizar de manera lógica

todos los recursos de la suscripción.

Puede aclarar la facturación de su organización viendo los costos de un

grupo de recursos que compartan la misma etiqueta.

NOTE
Resource Manager ofrece una nueva manera de implementar y administrar las soluciones. Si usó el
anterior modelo de implementación y desea obtener más información sobre los cambios, consulte
Descripción de la implementación de Resource Manager y la implementación clásica.
Pasos siguientes
Obtener más información acerca de la seguridad con la lectura de algunos de
nuestros detallados temas de seguridad:

Auditoría y registro

Delitos informáticos

Diseño y seguridad operativa

Cifrado

Administración de identidades y acceso

Seguridad de las redes

Administración de amenazas
 Índice de artículos de "controles de
seguridad integrados" para servicios
de Azure
23/03/2020 • 2 minutes to read • Edit Online

Este índice proporciona vínculos a los artículos sobre controles de seguridad

integrados. Un control de seguridad es una cualidad o característica de un
servicio de Azure que ayuda a dicho servicio a prevenir y detectar
vulnerabilidades de seguridad, así como a responder a ellas.

Hay artículos de control de seguridad integrados disponibles para los

siguientes servicios:

API Management
Azure App Service
Azure Resource Manager
Azure Backup
Azure Cosmos DB
Azure Event Hubs
Información técnica de ExpressRoute
Equilibrador de carga de Azure
Mensajería de Azure Service Bus
Azure Service Bus Relay
Azure Service Fabric
Azure SQL Database
Almacenamiento de Azure
Azure Virtual Machine Scale Sets
Máquinas virtuales Linux
Máquinas virtuales Windows
Acerca de VPN Gateway
 Seguridad de la infraestructura de
Azure
23/03/2020 • 2 minutes to read • Edit Online

Microsoft Azure se ejecuta en centros de datos administrados y operados por

Microsoft. Estos centros de datos geográficamente dispersos cumplen los
estándares del sector en materia de seguridad y confiabilidad, como ISO/IEC
27001:2013 y NIST SP 800-53. El personal de operaciones de Microsoft administra
y supervisa los centros de datos. El personal de operaciones tiene años de
experiencia en la prestación de servicios en línea más grandes del mundo con
continuidad ininterrumpida durante el día.

Protección de la infraestructura de Azure

Esta serie de artículos proporciona información sobre lo que Microsoft hace
para proteger la infraestructura de Azure. Los artículos abordan lo siguiente:

Seguridad física
Disponibilidad
Componentes y límites
Arquitectura de red
Red de producción
SQL Database
Operaciones
Supervisión
Integridad
Protección de datos

Pasos siguientes
Comprenda la responsabilidad compartida en la nube.

Aprenda cómo Azure Security Center le ayuda a evitar amenazas y a

detectarlas y responder a ellas, gracias a la mayor visibilidad y control
sobre la seguridad de todos sus recursos de Azure.
 Instalaciones de Azure, entornos
locales y seguridad física
23/03/2020 • 12 minutes to read • Edit Online

En este artículo se describe lo que hace Microsoft para proteger la

infraestructura de Azure.

Infraestructura de centros de datos

Azure está formada por una infraestructura de centros de datos distribuida
globalmente que da soporte a miles de servicios en línea y abarca más de 100
instalaciones de alta seguridad en todo el mundo.

La infraestructura está diseñada para acercar las aplicaciones a usuarios de

todo el mundo. De este modo, mantiene la residencia de los datos y ofrece a
los clientes opciones muy completas de cumplimiento normativo y resistencia.
Azure tiene 52 regiones en todo el mundo y está disponible en 140 países o
regiones.

Una región es un conjunto de centros de datos que están conectados entre sí

mediante una red masiva y resiliente. De forma predeterminada, la red incluye
distribución de contenido, equilibrio de carga, redundancia y cifrado. Con más
regiones globales que ningún otro proveedor de servicios en la nube, Azure la
flexibilidad de implementar aplicaciones donde sea necesario.

Las regiones de Azure se organizan por zonas geográficas. Una zona geográfica
de Azure garantiza que se cumplan los requisitos de residencia, soberanía,
cumplimiento normativo y resistencia de los datos dentro de las fronteras
geográficas.

Las zonas geográficas permiten a los clientes con necesidades específicas de

residencia de datos y cumplimiento normativo mantener sus datos y aplicaciones
cerca. Las zonas geográficas son tolerantes a errores hasta el punto de
resistir una interrupción total del funcionamiento de una región gracias a su
conexión con nuestra infraestructura de red dedicada de alta capacidad.

Las zonas de disponibilidad son ubicaciones separadas físicamente dentro de

una región de Azure. Cada zona de disponibilidad consta de uno o varios
centros de datos equipados con alimentación, refrigeración y redes
independientes. Las zonas de disponibilidad permiten ejecutar aplicaciones
críticas con alta disponibilidad y replicación con baja latencia.

La siguiente ilustración muestra cómo la infraestructura global de Azure

combina una región con zonas de disponibilidad que estén dentro de los mismos
límites de residencia de datos para obtener alta disponibilidad, recuperación
ante desastres y copias de seguridad.
Los centros de datos distribuidos geográficamente permiten a Microsoft estar
más cerca de los clientes, para reducir la latencia de red y permitir
conmutación por error y copia de seguridad con redundancia geográfica.

Seguridad física
Microsoft diseña, crea y opera los centros de datos de forma que se controla
estrictamente el acceso físico a las áreas donde se almacenan los datos.
Microsoft reconoce la importancia de proteger los datos y se compromete a
ayudar a proteger los centros de datos que contienen sus datos. Contamos con
toda una división en Microsoft dedicada al diseño, creación y operación de las
instalaciones físicas que dan soporte a Azure. Este equipo se dedica a
mantener una seguridad física de última generación.

Microsoft adopta un enfoque por capas para la seguridad física con el fin de
reducir el riesgo de que los usuarios no autorizados obtengan acceso físico a
los datos y los recursos del centro de datos. Los centros de datos
administrados por Microsoft tienen numerosas capas de protección: autorización
del acceso en el perímetro de la instalación, en el perímetro del edificio,
dentro del edificio y en la planta del centro de datos. Las capas de seguridad
física son:

Solicitud de acceso y aprobación. Debe solicitar acceso antes de

llegar al centro de datos. Se le pedirá que proporcione una justificación
comercial válida para su visita, por ejemplo, con fines de cumplimiento o
auditoría. Los empleados de Microsoft aprueban las solicitudes según la
 necesidad de acceso. La autorización por necesidad de acceso ayuda a
reducir al mínimo el número de personas necesarias para completar una
tarea en los centros de datos. Una vez que Microsoft concede el permiso,
solo una persona tiene acceso al área del centro de datos pertinente según
la justificación empresarial aprobada. Los permisos se limitan a un
determinado período de tiempo y expiran.

Perímetro de la instalación. Cuando llega a un centro de datos, se le

pide que vaya a un punto de acceso bien definido. Normalmente, una alta
valla de acero y hormigón rodea cada centímetro del perímetro. Hay cámaras
alrededor de los centros de datos, con un equipo de seguridad que
supervisa los vídeos en todo momento.

Entrada al edificio. La entrada al centro de datos está protegida por

profesionales de seguridad que han recibido rigurosos cursos de
aprendizaje y comprobaciones de antecedentes. Estos responsables de
seguridad patrullan habitualmente el centro de datos y supervisan los
vídeos de las cámaras situadas dentro continuamente.

Dentro del edificio. Después de entrar al edificio, debe pasar por una
autenticación en dos fases con datos biométricos para continuar avanzando
por el centro de datos. Si se valida la identidad, solo puede entrar en la
parte del centro de datos a la que se le ha concedido acceso. Puede
permanecer allí solo durante el tiempo aprobado.

Planta del centro de datos. Solo se le permite entrar en la planta para

la que se le haya autorizado. Deberá pasar por un detector de metales de
cuerpo completo. Para reducir el riesgo de que datos no autorizados entren
o salgan del centro de datos sin nuestro conocimiento, solo podrán entrar
en el centro de datos los dispositivos aprobados. Además, hay cámaras de
vídeo que supervisan la parte frontal y posterior de cada bastidor de
servidores. Al salir de la planta del centro de datos, debe pasar de nuevo
por el arco de detección de metales para todo el cuerpo. Para salir del
centro de datos, deberá pasar por un examen de seguridad adicional.

Microsoft exige que los visitantes entreguen las tarjetas al salir de

cualquier instalación de Microsoft.

Revisiones de la seguridad física

Periódicamente se realizan revisiones de la seguridad física de las
instalaciones para garantizar que los centros de datos aborden correctamente
los requisitos de seguridad de Azure. El personal del proveedor de hospedaje
del centro de datos no proporciona administración de servicios de Azure. El
personal no puede iniciar sesión en los sistemas de Azure y no tiene acceso
físico a la sala de colocación ni a las jaulas de Azure.

Dispositivos que contienen datos

Microsoft usa los procedimientos recomendados y una solución de borrado que
cumple la norma NIST 800-88. En el caso de las unidades de disco duro que no
se pueden borrar, se usa un proceso de destrucción que las destruye y hace que
sea imposible recuperar la información. Este proceso de destrucción puede ser
desintegración, triturado, pulverización o incineración. Los métodos de
eliminación se determinan en función del tipo de recurso. Se conservan
registros de la destrucción.

Eliminación de equipos
Al final del ciclo de vida de un sistema, el personal operativo de Microsoft
sigue unos rigurosos procedimientos de control de los datos y de eliminación
del hardware que garantizan que ningún elemento del hardware que contenga sus
datos estará disponible para terceros que no son de confianza. Se usa un
enfoque de borrado seguro con las unidades de disco duro que lo admitan. En el
caso de unidades de disco duro que no se pueden borrar, se usa un proceso de
destrucción que las destruye y hace que sea imposible recuperar la
información. Este proceso de destrucción puede ser desintegración, triturado,
pulverización o incineración. Los métodos de eliminación se determinan en
función del tipo de recurso. Se conservan registros de la destrucción. Todos
los servicios de Azure usan servicios aprobados de almacenamiento de elementos
multimedia y administración de desechos.

Cumplimiento normativo
La infraestructura de Azure está diseñada y se administra para satisfacer un
amplio conjunto de normas internacionales y específicas del sector, tales como
ISO 27001, HIPAA, FedRAMP, SOC 1 y SOC 2. También se cumplen los estándares
específicos del país o la región, incluidos IRAP en Australia, G-Cloud en
Reino Unido y MTCS en Singapur. Auditorías de terceros rigurosas, como las del
Instituto Británico de Normalización, confirman la observancia de los
estrictos controles de seguridad que estos estándares exigen.

Para ver una lista completa de normas de cumplimiento que observa Azure,
consulte las ofertas de cumplimiento.

Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:

Disponibilidad de la infraestructura de Azure

Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
 Disponibilidad de la infraestructura
de Azure
23/03/2020 • 4 minutes to read • Edit Online

En este artículo se proporciona información sobre las acciones de Microsoft

para proteger la infraestructura de Azure y proporcionar la máxima
disponibilidad para los datos de clientes. Azure proporciona una
disponibilidad sólida basada en la amplia redundancia lograda con la
tecnología de virtualización.

Interrupciones temporales y desastres naturales

El equipo de infraestructura y operaciones de Microsoft Cloud diseña, compila,
opera y mejora la infraestructura en la nube. Este equipo garantiza que la
infraestructura de Azure ofrece alta disponibilidad y confiabilidad, elevada
eficiencia y escalabilidad inteligente. El equipo proporciona una nube más
segura, privada y de confianza.

Los sistemas de alimentación ininterrumpida y los grandes bancos de baterías

garantizan que la electricidad siga siendo continua si se produce un corte de
energía a corto plazo. Los generadores de emergencia suministran energía de
reserva para apagones prolongados y mantenimiento planeado. Si se produce un
desastre natural, el centro de datos puede usar las reservas de combustible in
situ.

Las redes de fibra óptica sólidas y de alta velocidad conectan los centros de
datos con otros centros importantes y usuarios de Internet. Calcule las cargas
de trabajo de host de los nodos más cerca de los usuarios para reducir la
latencia, proporcionar redundancia geográfica y aumentar la resistencia
general del servicio. Un equipo de ingenieros trabaja las 24 horas del día
para garantizar que los servicios estén siempre disponibles.

Microsoft garantiza una alta disponibilidad mediante la supervisión avanzada y

la respuesta a incidentes, el soporte técnico de servicios y la funcionalidad
de conmutación por error de copia de seguridad. Los centros de operaciones de
Microsoft distribuidos geográficamente operan ininterrumpidamente todos los
días del año. La red de Azure es una de las más grandes del mundo. La red de
distribución de fibra óptica y contenido conecta los centros de datos y los
nodos perimetrales para garantizar un alto rendimiento y una gran
confiabilidad.

Recuperación ante desastres

Azure mantiene los datos durables en dos ubicaciones. Puede elegir la
ubicación del sitio de copia de seguridad. En ambas ubicaciones, Azure
mantiene constantemente tres réplicas en buen estado de los datos.

Disponibilidad de la base de datos

Azure garantiza que una base de datos sea accesible desde Internet mediante
una puerta de enlace de Internet con disponibilidad sostenida de la base de
datos. La supervisión evalúa el mantenimiento y el estado de las bases de
datos activas en intervalos de tiempo de cinco minutos.

Disponibilidad de almacenamiento
Azure ofrece almacenamiento mediante un servicio de almacenamiento muy durable
y escalable que proporciona puntos de conexión de conectividad. Esto significa
que una aplicación puede acceder directamente al servicio de almacenamiento.
El servicio de almacenamiento procesa las solicitudes de almacenamiento
entrantes de forma eficiente, con integridad transaccional.

Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
 Componentes y límites del sistema de
información de Azure
23/03/2020 • 18 minutes to read • Edit Online

En este artículo se proporciona una descripción general de la arquitectura y

administración de Azure. El entorno del sistema de Azure se compone de las
siguientes redes:

Red de producción de Microsoft Azure (red de Azure)

Red corporativa de Microsoft (red corporativa)

La responsabilidad de las operaciones y el mantenimiento de estas redes

corresponde a equipos de TI distintos.

Arquitectura de Azure
Azure es una plataforma de informática en la nube y una infraestructura para
compilar, implementar y administrar aplicaciones y servicios a través de una
red de centros de datos. Microsoft administra estos centros de datos. En
función del número de recursos que especifique, Azure crea máquinas virtuales
(VM) basadas en las necesidades de los recursos. Estas máquinas virtuales se
ejecutan en un hipervisor de Azure, que está diseñado para su uso en la nube y
no es accesible al público.

En cada nodo de servidor físico de Azure hay un hipervisor que se ejecuta

directamente sobre el hardware. El hipervisor divide un nodo en un número
variable máquinas virtuales invitadas. Cada nodo tiene también una máquina
virtual raíz, que ejecuta el sistema operativo host. El Firewall de Windows
está habilitado en cada VM. El usuario define qué puertos son direccionables
mediante la configuración del archivo de definición de servicio. Estos puertos
son los únicos abiertos y direccionables, interna o externamente. El
hipervisor y el sistema operativo raíz actúan como mediadores en todo el
tráfico y el acceso al disco y a la red.

En la capa de host, las VM de Azure ejecutan una versión personalizada y

protegida de Windows Server más reciente. Azure usa una versión de Windows
Server que incluye solo los componentes necesarios para hospedar las máquinas
virtuales. Esto mejora el rendimiento y reduce la superficie expuesta a
ataques. El hipervisor, que no depende de la seguridad del sistema operativo,
impone los límites de la máquina.

Administración de Azure con los controladores de tejido

En Azure, las máquinas virtuales que se ejecutan en servidores físicos (hojas
o nodos) se agrupan en clústeres en un número aproximado de 1000. Un
componente de software de plataforma de escalado horizontal y redundante,
llamado controlador de tejido (FC), administra las máquinas virtuales por
separado.

Cada FC administra el ciclo de vida de las aplicaciones que se ejecutan en su

clúster, aprovisiona y supervisa el estado del hardware bajo su control.
Ejecuta operaciones autónomas, como la reencarnación de instancias de máquina
virtual en servidores con estado correcto cuando determina que un servidor ha
generado un error. El controlador de tejido también realiza las operaciones de
administración de aplicaciones, como la implementación, actualización y
escalado horizontal de las aplicaciones.

El centro de datos se divide en clústeres. Los clústeres aíslan los errores al

nivel del controlador de tejido, y evitan que ciertas clases de errores
afecten a los servidores más allá del clúster en el que se producen. Los
controladores de tejido que atienden a un clúster de Azure determinado se
agrupan en un clúster de controlador de tejido.

Inventario de hardware
Durante el proceso de configuración de arranque el controlador de tejido
prepara un inventario de hardware y dispositivos de red de Azure. El hardware
y los componentes de red nuevos que ingresan en el entorno de producción de
Azure deben seguir el proceso de configuración de arranque. El FC es
responsable de administrar todo el inventario enumerado en el archivo de
configuración [Link].

Imágenes del sistema operativo administrado por controlador de tejido

El equipo del sistema operativo proporciona imágenes en forma de discos duros
virtuales que se implementan en todas los host y máquinas virtuales invitadas
en el entorno de producción de Azure. El equipo crea estas imágenes base
siguiendo un proceso automatizado de compilación sin conexión. La imagen base
es una versión del sistema operativo en la que el kernel y otros componentes
principales se han modificado y optimizado para admitir el entorno de Azure.

Hay tres tipos de imágenes de sistema operativo administrado por tejido:

Host: se trata de un sistema operativo personalizado que se ejecuta en las

máquinas virtuales de host.
Nativo: es un sistema operativo nativo que se ejecuta en inquilinos (por
ejemplo, Azure Storage). Este sistema operativo no tiene ningún hipervisor.
Invitado: es un sistema operativo invitado que se ejecuta en máquinas
virtuales invitadas.

Los sistemas operativos host y nativo administrados por controlador de tejido

están diseñados para su uso en la nube y no son accesibles públicamente.

Sistemas operativos host y nativo

Los sistemas operativos host y nativo son imágenes reforzadas de sistemas

operativos que hospedan a los agentes de tejido, y se ejecutan en un nodo de
proceso (se ejecuta como la primera máquina virtual en el nodo) y en los nodos
de almacenamiento. La ventaja de utilizar imágenes base optimizadas de host y
nativo es que se reduce la superficie expuesta por las API o los componentes
no utilizados. Estos elementos pueden suponer grandes riesgos de seguridad y
aumentar la superficie del sistema operativo. Los sistemas operativos de
superficie reducida solo incluyen los componentes necesarios para Azure.

Sistema operativo invitado

Los componentes internos de Azure que se ejecutan en las máquinas virtuales de

sistema operativo invitado, no tienen oportunidad de ejecutar el Protocolo de
escritorio remoto. Cualquier cambio realizado en los valores de configuración
de referencia tiene que pasar por el proceso de cambio y administración de
versiones.
Centros de datos de Azure
El equipo Microsoft Cloud Infrastructure and Operations (MCIO) administra la
infraestructura física y las instalaciones de los centros de datos para todos
los servicios en línea de Microsoft. MCIO es principalmente responsable de
administrar los controles físicos y de entorno dentro de los centros de datos,
así como de administrar y brindar soporte técnico a los dispositivos de red
perimetrales externos (como enrutadores perimetrales y enrutadores de centros
de datos). MCIO también es responsable de configurar el hardware de servidor
mínimo en bastidores en el centro de datos. Los clientes no tienen ninguna
interacción directa con Azure.

Administración de servicios y equipos de servicio

El soporte técnico del servicio de Azure está a cargo de varios grupos de
ingeniería, conocidos como equipos de servicio. Cada uno de los equipos de
servicio es responsable de un área de soporte técnico para Azure. Cada equipo
de servicio tiene que tener un ingeniero disponible las 24 horas del día, los
7 días de la semana, para investigar y resolver errores en el servicio. De
manera predeterminada, los equipos de servicio no tienen acceso físico al
hardware que funciona en Azure.

Los equipos de servicio son:

Plataforma de aplicaciones
Azure Active Directory
Azure Compute
Red de Azure
Servicios de ingeniería en la nube
ISSD: Seguridad
Autenticación multifactor
SQL Database
Storage

Tipos de usuarios
Los empleados (o contratistas) de Microsoft se consideran usuarios internos.
Todos los demás usuarios se consideran usuarios externos. Todos los usuarios
internos de Azure tienen un estado de empleado clasificado con un nivel de
confidencialidad que define su acceso a los datos del cliente (con acceso o
sin acceso). En la tabla siguiente se describen los privilegios de usuario en
Azure (permiso de autorización una vez que se realiza la autenticación):

PRIVILEGIOS
AUTORIZADOS Y
INTERNO O NIVEL DE FUNCIONES
ROLE EXTERNO CONFIDENCIALIDAD DESEMPEÑADAS TIPO DE ACCESO

Ingeniero de Interno Sin acceso a los Administrar la Acceso

centro de datos datos de seguridad física persistente al
de Azure clientes de las entorno.
instalaciones.
Llevar a cabo
patrullas dentro
y fuera del
centro de datos
 centro de datos
y supervisar
PRIVILEGIOS
AUTORIZADOS Y
todos los puntos
INTERNO O NIVEL DE FUNCIONES
de entrada.
ROLE EXTERNO CONFIDENCIALIDAD DESEMPEÑADAS TIPO DE ACCESO
Acompañar al
personal sin
autorización que
proporciona
servicios
generales (como
comidas o
limpieza) o
trabajos de TI
en el centro de
datos desde su
entrada hasta su
salida del
centro de datos.
Realizar la
supervisión y el
mantenimiento de
rutina del
hardware de red.
Llevar a cabo la
administración
de incidentes y
el trabajo
break-fix
utilizando una
variedad de
herramientas.
Realizar la
supervisión y el
mantenimiento de
rutina del
hardware físico
en los centros
de datos.
Acceder al
entorno a
petición de los
propietarios de
las
instalaciones.
Capacidad para
llevar a cabo
investigaciones
forenses,
registro de
informe de
incidentes, y
para exigir
requisitos
obligatorios de
aprendizaje de
seguridad y
directivas.
Propiedad
operativa y
mantenimiento de
las herramientas
de seguridad
críticas, como
escáneres y
recopilación de
registros.
 PRIVILEGIOS
Evaluación de Interno Acceso a los AUTORIZADOS
Administrar Ylas Acceso Just-In-
INTERNO O NIVEL DE FUNCIONES
prioridades en datos de comunicaciones Time al entorno,
ROLE EXTERNO CONFIDENCIALIDAD DESEMPEÑADAS TIPO DE ACCESO
los incidentes clientes entre los con acceso
de Azure equipos de MCIO, persistente
(ingenieros de soporte técnico limitado a
respuesta e ingeniería. sistemas que no
rápida) Evaluar los son de clientes.
incidentes de la
plataforma, los
problemas de
implementación y
las solicitudes
de servicio.

Ingenieros de Interno Acceso a los Implementar y Acceso Just-In-

implementación datos de actualizar los Time al entorno,
de Azure clientes componentes de con acceso
la plataforma, persistente
el software y limitado a
los cambios de sistemas que no
configuración son de clientes.
programados en
apoyo de Azure.

Soporte técnico Interno Acceso a los Depurar y Acceso Just-In-

de interrupción datos de diagnosticar los Time al entorno,
de clientes de clientes errores e con acceso
Azure interrupciones persistente
(inquilino) de la plataforma limitado a
para los sistemas que no
inquilinos de son de clientes.
proceso
individuales y
las cuentas de
Azure. Analizar
los errores.
Impulsar las
correcciones
críticas en la
plataforma o el
cliente e
impulsar mejoras
técnicas en el
soporte técnico.
 PRIVILEGIOS
AUTORIZADOS Y
INTERNO O NIVEL DE FUNCIONES
ROLE EXTERNO CONFIDENCIALIDAD DESEMPEÑADAS TIPO DE ACCESO

Ingenieros de Interno Acceso a los Diagnosticar y Acceso Just-In-

sitio activo de datos de mitigar el Time al entorno,
Azure clientes mantenimiento de con acceso
(ingenieros de la plataforma persistente
supervisión) e mediante limitado a
incidente herramientas de sistemas que no
diagnóstico. son de clientes.
Impulsar
correcciones
para los
controladores de
volumen, reparar
elementos que
son resultado de
las
interrupciones y
ayudar en las
acciones de
restauración de
interrupciones.

Clientes de Externo N/D N/D N/D

Azure

Azure utiliza identificadores únicos para autenticar a usuarios de la

organización y clientes (o procesos que actúan en nombre de usuarios de la
organización). Esto se aplica a todos los recursos y dispositivos que forman
parte del entorno de Azure.

Autenticación interna de Azure

Las comunicaciones entre los componentes internos de Azure están protegidas
con cifrado TLS. En la mayoría de los casos, los certificados X.509 son
autofirmados. Los certificados con conexiones a las que podría accederse desde
fuera de la red de Azure son una excepción al igual que los certificados para
los controladores de tejido. Una entidad emisora (CA) de Microsoft, respaldada
por una CA raíz de confianza, emite los certificados de los FC. Esto permite
que las claves públicas de FC se sustituyan fácilmente. Además, las
herramientas de desarrollador de Microsoft usan claves públicas de controlador
de tejido. Cuando los desarrolladores envían nuevas imágenes de aplicación,
estas se cifran con una clave pública de controlador de tejido con el fin de
proteger los secretos insertados.

Autenticación de dispositivos de hardware de Azure

El controlador de tejido mantiene un conjunto de credenciales (claves o
contraseñas) que se usan para autenticarse en varios dispositivos de hardware
bajo su control. Microsoft utiliza un sistema para evitar el acceso a estas
credenciales. De forma específica, el transporte, la persistencia y el uso de
estas credenciales está diseñado para evitar que los desarrolladores, los
administradores y el personal y servicios de copia de seguridad de Azure
tengan acceso a información confidencial o privada.

Microsoft usa cifrado basado en la clave pública de identidad maestra del

controlador de tejido. Esto se produce durante los tiempos de configuración y
reconfiguración del controlador de tejido, para transferir las credenciales
usadas para acceder a dispositivos de hardware de red. Cuando el controlador
de tejido necesita las credenciales, las recupera y descifra.

Dispositivos de red
El equipo de red de Azure configura las cuentas de servicio de red para
permitir que un cliente de Azure se autentique en los dispositivos de red
(enrutadores, conmutadores y equilibradores de carga).

Administración segura del servicio

El personal de operaciones de Azure tiene que usar estaciones de trabajo de
administración seguras (SAW). Los clientes pueden implementar controles
similares mediante el uso de estaciones de trabajo de acceso con privilegios.
Con las SAW, el personal administrativo utiliza una cuenta administrativa
asignada individualmente que es independiente de la cuenta estándar del
usuario. La estación de trabajo de administración segura (SAW) se basa en
dicha práctica de separación de cuentas, y proporciona una estación de trabajo
de confianza para las cuentas confidenciales.

Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Disponibilidad de la infraestructura de Azure
Arquitectura de red de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
 Arquitectura de red de Azure
23/03/2020 • 13 minutes to read • Edit Online

La arquitectura de red de Azure sigue una versión modificada del modelo

estándar de núcleo/distribución/acceso del sector, con distintas capas de
hardware. Las capas incluyen:

Núcleo (enrutadores de centros de datos)

Distribución (enrutadores de acceso y agregación L2). La capa de
distribución separa el enrutamiento L3 de la conmutación L2.
Acceso (conmutadores de host L2)

La arquitectura de red tiene dos capas de conmutadores de nivel 2. Una capa

agrega el tráfico de la otra capa. La segunda capa crea un bucle para
incorporar redundancia. Esta arquitectura proporciona una superficie de VLAN
más flexible y mejora el escalado de los puertos. La arquitectura mantiene la
distinción entre L2 y L3, lo que permite usar hardware en cada una de las
distintas capas de la red y minimiza que los errores en una capa afecten a las
otras capas. El uso de troncos permite compartir recursos, como la
conectividad con la infraestructura de L3.

Network configuration (Configuración de red)

La arquitectura de red de un clúster de Azure en un centro de datos consta de
los siguientes dispositivos:

Enrutadores (centro de datos, enrutador de acceso y enrutadores de hoja de

borde)
Conmutadores (conmutadores de agregación y parte superior del bastidor)
Digi CM
Unidades de distribución de energía

Azure tiene dos arquitecturas diferentes. Algunos clientes y servicios

compartidos existentes de Azure residen en la arquitectura LAN predeterminada
(DLA), mientras que las nuevas regiones y clientes virtuales residen en la
arquitectura de Quantum 10 (Q10). La arquitectura DLA es un diseño de árbol
tradicional con enrutadores de acceso activo-pasivo y listas de control de
acceso (ACL) de seguridad aplicadas en los enrutadores de acceso. La
arquitectura de Quantum 10 es un diseño de enrutadores en malla o cerrado,
donde no se aplican ACL a los enrutadores. En su lugar, las ACL se aplican
debajo del enrutamiento, mediante equilibrio de carga de (SLB) o redes VLAN
definidas por software.

En el siguiente diagrama se proporciona una descripción general de la

arquitectura de red dentro de un clúster de Azure:
Dispositivos Quantum 10
En el diseño de Quantum 10, la conmutación de nivel 3 se extiende por varios
dispositivos en un diseño de malla o CLOS. Entre las ventajas del diseño Q10
se incluyen una mayor capacidad y una mayor posibilidad de escalar la
infraestructura de red existente. El diseño emplea enrutadores de hoja de
borde, conmutadores de tallo y enrutadores de la parte superior del bastidor
para pasar el tráfico a los clústeres a través de varias rutas, lo que permite
la tolerancia a errores. Los servicios de seguridad, como la traducción de
direcciones de red, se controlan mediante el equilibrio de carga de software,
en lugar de dispositivos de hardware.

Enrutadores de acceso
Los enrutadores de distribución/acceso L3 (AR) realizan la funcionalidad de
enrutamiento principal para las capas de distribución y acceso. Estos
dispositivos se implementan en pareja, y son la puerta de enlace
predeterminada para las subredes. Cada par de AR puede admitir varios pares de
conmutador de agregación L2, según la capacidad. El número máximo depende de
la capacidad del dispositivo, así como de los dominios de error. Un número
típico es tres pares de conmutadores de agregación L2 por cada par de AR.

Conmutadores de agregación L2
Estos dispositivos actúan como un punto de agregación para el tráfico de L2.
Son la capa de distribución para el tejido de L2 y pueden controlar una gran
cantidad de tráfico. Dado que estos dispositivos agregan tráfico, requieren la
funcionalidad 802.1q y tecnologías de alto ancho de banda, como la agregación
de puertos y 10GE.

Conmutadores de host L2
Los hosts se conectan directamente a estos conmutadores. Pueden ser
conmutadores montados en bastidor o implementaciones en chasis. El estándar
802.1q permite la designación de una VLAN como VLAN nativa, por lo que esa
VLAN se trata como una trama de Ethernet normal (sin etiquetar). En
circunstancias normales, las tramas en la VLAN nativa se transmiten y reciben
sin etiquetar en un puerto de enlace 802.1q. Esta característica se diseñó
para la migración a 802.1q y compatibilidad con dispositivos no aptos para
802.1q. En esta arquitectura, solo la infraestructura de red utiliza la VLAN
nativa.
Esta arquitectura especifica un estándar para la selección de la VLAN nativa.
El estándar garantiza, siempre que sea posible, que los dispositivos de AR
tengan una VLAN nativa única para cada tronco y los troncos de L2Aggregation a
L2Aggregation. Los troncos del conmutador de L2Aggregation a L2Host tienen una
VLAN nativa no predeterminada.

Agregación de vínculos (802.3ad)

La agregación de vínculos permite agrupar varios vínculos individuales y
tratarlos como un único vínculo lógico. Para facilitar la depuración
operativa, el número que se usa para designar las interfaces canal-puerto debe
normalizarse. El resto de la red utiliza el mismo número en ambos extremos de
un canal-puerto.

Los números especificados para el conmutador de L2Agg a L2Host son los números
de puerto-canal utilizados en el lado L2Agg. Dado que el intervalo de números
es más limitado en el lado L2Host, el estándar es usar los números 1 y 2 en el
lado L2Host. Hacen referencia al puerto-canal que va a la parte "a" y la parte
"b", respectivamente.

VLAN
La arquitectura de red utiliza redes VLAN para agrupar servidores en un único
dominio de difusión. Los números de VLAN cumplen el estándar 802.1q, que
admite redes VLAN con numeración de 1 a 4094.

Redes VLAN de clientes

Hay varias opciones para implementar redes VLAN en Azure Portal para
satisfacer las necesidades de separación y arquitectura de su solución. Estas
soluciones se implementan mediante máquinas virtuales. Para ver ejemplos de la
arquitectura de referencia de los clientes, consulte Arquitecturas de
referencia de Azure.

Arquitectura de borde
Los centros de datos de Azure se basan en infraestructuras de red altamente
redundantes y bien aprovisionadas. Microsoft implementa redes en los centros
de datos de Azure con arquitecturas de redundancia de "necesidad más uno"
(N+1) o superior. Las características de conmutación por error completas
dentro de los centros de datos y entre estos ayudan a garantizar la
disponibilidad de las redes y de los servicios. Externamente, los centros de
datos se atienden con circuitos de red dedicados de alto ancho de banda. Estos
circuitos conectan repetidamente las propiedades con más de 1200 proveedores
de servicios de Internet en todo el mundo, en varios puntos de emparejamiento.
Esto proporciona más de 2000 Gbps de capacidad de borde potencial en toda la
red.

Los enrutadores de filtrado en el borde y la capa de acceso de la red de Azure

proporcionan seguridad bien establecida a nivel de paquete y ayuda a evitar
intentos no autorizados de conexión a Azure. Los enrutadores ayudan a asegurar
que el contenido real de los paquetes incluye datos que tienen el formato
esperado y se ajustan al esquema de comunicación de cliente/servidor esperado.
Azure implementa una arquitectura en capas que consta de los siguientes
componentes de segregación de redes y de control de acceso:

Enrutadores perimetrales . Separan el entorno de las aplicaciones de

Internet. Los enrutadores perimetrales están diseñados para proporcionar
 protección contra la suplantación de identidad y limitar el acceso mediante
listas de control de acceso (ACL).
Enrutadores de distribución (acceso). Solo permiten las direcciones IP
aprobadas por Microsoft, proporcionan protección contra la suplantación de
identidad y establecen conexiones mediante ACL.

Mitigación de DDoS
Los ataques por denegación de servicio distribuido (DDoS) siguen siendo una
amenaza real para la confiabilidad de los servicios en línea de Microsoft. Los
ataques son cada vez más específicos y sofisticados y los servicios de
Microsoft abarcan geografías cada vez más diversas, lo que hace que detectar y
minimizar el impacto de estos ataques sea una prioridad alta.

Azure DDoS Protection Estándar proporciona una defensa contra los ataques por
DDoS. Para más información, consulte Azure DDoS Protection: procedimientos
recomendados y arquitecturas de referencia.

NOTE
Microsoft ofrece protección contra DDoS de forma predeterminada para todos los clientes de
Azure.

Reglas de conexión de red

Azure implementa enrutadores perimetrales en su red para proporcionar
seguridad en el nivel de paquete con el fin de evitar intentos no autorizados
de conectarse a Azure. Los enrutadores perimetrales aseguran que el contenido
real de los paquetes incluye datos que tienen el formato esperado y se ajustan
al esquema de comunicación de cliente/servidor esperado.

Los enrutadores perimetrales separan el entorno de aplicaciones de Internet.

Estos enrutadores están diseñados para proporcionar protección contra la
suplantación de identidad y limitar el acceso mediante listas de control de
acceso (ACL). Microsoft configura estos enrutadores perimetrales mediante un
enfoque de ACL en capas para limitar los protocolos de red que tienen
permitido transitar por los enrutadores perimetrales y los enrutadores de
acceso.

Microsoft coloca los dispositivos de red en las ubicaciones de acceso y de

borde, y funcionan como puntos limítrofes donde se aplican los filtros de
entrada y salida.

Pasos siguientes
Para más información sobre lo que Microsoft hace para ayudar a proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Disponibilidad de la infraestructura de Azure
Componentes y límites del sistema de información de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
 Red de producción de Azure
23/03/2020 • 16 minutes to read • Edit Online

Entre los usuarios de la red de producción de Azure se incluyen clientes

externos que acceden a sus propias aplicaciones de Azure, así como el personal
interno del servicio de soporte técnico de Azure que administra la red de
producción. En este artículo se describen los métodos de acceso de seguridad y
los mecanismos de protección para establecer conexiones a la red de producción
de Azure.

Enrutamiento de Internet y tolerancia a errores

Una infraestructura del Servicio de nombres de dominio (DNS) de Azure interna
y externa, redundante de forma global, y combinada con varios clústeres de
servidores DNS primarios y secundarios, proporciona tolerancia a errores. Al
mismo tiempo, se usan controles de seguridad de red de Azure adicionales, como
NetScaler, para evitar ataques de denegación de servicio distribuido (DDoS) y
proteger la integridad de los servicios de Azure DNS.

Los servidores de Azure DNS se encuentran en varios centros de datos. La

implementación de Azure DNS incorpora una jerarquía de servidores DNS
principales y secundarios para resolver públicamente los nombres de dominio de
cliente de Azure. Normalmente, los nombres de dominio se resuelven en una
dirección [Link], que encapsula la dirección IP Virtual (VIP) del
servicio del cliente. Exclusiva de Azure, la VIP correspondiente a la
dirección IP dedicada (DIP) interna de la traducción del inquilino se realiza
mediante los equilibradores de carga de Microsoft responsables de dicha VIP.

Azure se hospeda en centros de datos de Azure distribuidos geográficamente en

Estados Unidos, y se basa en plataformas de enrutamiento de última generación
que implementan estándares de arquitectura sólidos y escalables. Algunas de
las características destacadas son:

Ingeniería de tráfico basada en conmutación de etiquetas multiprotocolo

(MPLS) que proporciona un uso eficaz de los vínculos y degradación correcta
del servicio si se produce una interrupción.
Las redes se implementan con arquitecturas de redundancia de "necesidad más
uno" (N+1) o superior.
Externamente, los centros de datos funcionan con circuitos dedicados de red
de alto ancho de banda que conectan globalmente y de manera redundante las
propiedades con más de 1200 proveedores de servicios de Internet en varios
puntos de emparejamiento. Esta conexión proporciona más de 2000 gigabytes
por segundo (GBps) de capacidad perimetral.

Dado que Microsoft posee sus propios circuitos de red entre los centros de
datos, estos atributos ayudan a la oferta de Azure a lograr más de un 99,9 %
de disponibilidad de red sin necesidad de proveedores externos de servicios de
Internet tradicionales.

Conexión a la red de producción y firewalls

asociados
La directiva de flujo de tráfico de Internet de la red de Azure dirige el
tráfico a la red de producción de Azure ubicada en el centro de datos regional
más cercano dentro de Estados Unidos. Puesto que los centros de datos de
producción de Azure mantienen una arquitectura de red y hardware coherentes,
la siguiente descripción del flujo de tráfico se aplica de manera uniforme a
todos los centros de datos.

Una vez que el tráfico de Internet de Azure se enruta al centro de datos más
cercano, se establece una conexión a los enrutadores de acceso. Estos
enrutadores de acceso sirven para aislar el tráfico entre los nodos de Azure y
las VM con instancias de cliente. Los dispositivos de la infraestructura de
red en las ubicaciones de acceso y de borde son los puntos limítrofes donde se
aplican los filtros de entrada y salida. Estos enrutadores se configuran a
través de una lista de control de acceso (ACL) en capas para filtrar el
tráfico de red no deseado y aplicar límites de velocidad de tráfico, si es
necesario. El tráfico permitido por ACL se enruta a los equilibradores de
carga. Los enrutadores de distribución están diseñados para permitir solo las
direcciones IP aprobadas por Microsoft, proporcionar protección contra la
suplantación de identidad y establecer conexiones TCP establecidas mediante
ACL.

Los dispositivos de equilibrio de carga externos se encuentran detrás de los

enrutadores de acceso para realizar la traducción de direcciones de red (NAT),
de direcciones IP enrutables a través de Internet a direcciones IP internas de
Azure. Asimismo, los dispositivos también enrutan paquetes a puertos y
direcciones IP de producción interna válidos, y funcionan como mecanismo de
protección para limitar la exposición del espacio de direcciones de red de
producción interna.

De manera predeterminada, Microsoft aplica el protocolo seguro de

transferencia de hipertexto (HTTPS) para todo el tráfico que se transmite a
los navegadores web del cliente, incluidos los inicios de sesión y todo el
tráfico posterior. El uso de TLS v1.2 permite un túnel seguro para que el
tráfico fluya. Las ACL en enrutadores de acceso y núcleo aseguran que el
origen del tráfico sea coherente con lo que se espera.

Una diferencia importante en esta arquitectura en comparación con la

arquitectura de seguridad tradicional, es que hay no hay firewalls de hardware
dedicados, dispositivos especializados de detección y prevención de
intrusiones, ni otros dispositivos de seguridad que se encuentran normalmente
antes de que se establezcan las conexiones con el entorno de producción de
Azure. Habitualmente, los clientes esperan estos dispositivos de firewall de
hardware en la red de Azure; sin embargo, no se emplea ninguno en Azure. Casi
exclusivamente, estas características de seguridad están integradas en el
software que se ejecuta en el entorno de Azure para proporcionar mecanismos
sólidos de seguridad de varias capas, incluidas funcionalidades de firewall.
Además, el ámbito de los límites y la expansión asociada de dispositivos de
seguridad críticos es más fácil de administrar e inventariar, tal como se
muestra en la ilustración anterior, ya que lo administra el software que se
ejecuta en Azure.

Características principales de seguridad y

firewall
Azure implementa sólidas características de seguridad y firewall de software
en varios niveles para aplicar las características de seguridad que se esperan
normalmente en un entorno tradicional, y así poder proteger el límite de
autorización de seguridad principal.

Características de seguridad de Azure

Azure implementa firewalls de software basados en host dentro de la red de
producción. Varias características principales de seguridad y firewall residen
dentro del entorno principal de Azure. Estas características de seguridad
reflejan una estrategia de defensa en profundidad en el entorno de Azure. Los
firewalls siguientes se encargan de proteger los datos del cliente en Azure:

Firewall de hipervisor (filtro de paquetes) : este firewall se implementa

en el hipervisor y se configura mediante un agente de controlador de tejido
(FC). Este firewall protege al inquilino que se ejecuta dentro de la VM frente
accesos no autorizados. De forma predeterminada, cuando se crea una VM, se
bloquea todo el tráfico y, a continuación, el agente de FC agrega reglas y
excepciones al filtro para permitir el tráfico autorizado.

Existen dos categorías de reglas que se programan aquí:

Reglas de infraestructura o configuración de la máquina: De forma

predeterminada, se bloquea toda comunicación. Existen excepciones que
permiten a una VM enviar y recibir comunicaciones de Protocolo de
configuración dinámica de host (DHCP) e información de DNS, y enviar tráfico
a la salida de Internet "pública" a otras máquinas virtuales dentro del
clúster de FC y del servidor de activación de SO. Dado que la lista de
destinos de salida permitidos de las máquinas virtuales no incluye subredes
de enrutador de Azure y otras propiedades de Microsoft, las reglas funcionan
como capa de defensa.
Reglas del archivo de configuración de roles: define las ACL de entrada
según el modelo de servicio de los inquilinos. Por ejemplo, si un inquilino
tiene un front-end web en el puerto 80 en una determinada VM, el puerto 80
está abierto a todas las direcciones IP. Si la VM tiene un rol de trabajo en
ejecución, rol de trabajo estará abierto únicamente para la VM dentro del
mismo inquilino.

Firewall de host nativo : Azure Service Fabric y Azure Storage se ejecutan en

un sistema operativo nativo que no tiene hipervisor y, por tanto, el firewall
de Windows se configura con los dos conjuntos de reglas anteriores.

Firewall de host : el firewall del host protege la partición del host, que
ejecuta el hipervisor. Las reglas se programan para permitir que solo el FC y
los cuadros de salto se comuniquen con la partición del host en un puerto
específico. Las otras excepciones son para permitir la respuesta DHCP y las
respuestas DNS. Azure usa un archivo de configuración de la máquina, que tiene
la plantilla de reglas de firewall para la partición del host. También existe
una excepción de firewall de host que permite que las VM se comuniquen con los
componentes del host, el servidor de conexión y el servidor de metadatos, a
través de protocolos y puertos específicos.

Firewall de invitado : es la parte del firewall de Windows del sistema

operativo invitado, que el cliente puede configurar en las máquinas virtuales
y en el almacenamiento del cliente.

Las características adicionales de seguridad integradas en las funcionalidades

de Azure incluyen lo siguiente:

Componentes de infraestructura a los que se les asignan direcciones IP

que son de IP dedicadas (DIP). Un atacante en Internet no puede dirigir
tráfico a esas direcciones porque no podrían comunicarse con Microsoft.
Los enrutadores de la puerta de enlace de Internet filtran los paquetes
destinados únicamente a las direcciones internas, por lo que no podrían
entrar a la red de producción. Los únicos componentes que aceptan el
tráfico dirigido a VIP son los equilibradores de carga.

Los firewalls que se implementan en todos los nodos internos tienen tres
puntos principales a tener en cuenta sobre la arquitectura de seguridad
de un escenario determinado:

Los firewalls se colocan detrás del equilibrador de carga y aceptan

paquetes desde cualquier lugar. Estos paquetes están diseñados para ser
expuestos al exterior y corresponden a los puertos abiertos en un
firewall perimetral tradicional.
Asimismo, los firewalls solo aceptan paquetes de un conjunto limitado
de direcciones. Este punto forma parte de la estrategia defensiva
exhaustiva contra ataques DDoS. Dichas conexiones se autentican
criptográficamente.
Solo se puede obtener acceso a los firewalls desde ciertos nodos
internos. Estos nodos solo aceptan paquetes de una lista enumerada de
direcciones IP de origen, que son todas DIP dentro de la red de Azure.
Por ejemplo, un ataque en la red corporativa podría dirigir las
solicitudes a estas direcciones, pero se bloquearían los ataques, a
menos que la dirección de origen del paquete fuera una de las que están
incluidas en la lista enumerada dentro de la red de Azure.
El enrutador de acceso en el perímetro bloquea los paquetes
salientes dirigidos a una dirección que está dentro de la red de
Azure, debido a sus rutas estáticas configuradas.

Pasos siguientes
Para obtener más información sobre lo que hace Microsoft para proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Disponibilidad de la infraestructura de Azure
Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
 Características de seguridad de Azure
SQL Database
23/03/2020 • 13 minutes to read • Edit Online

Azure SQL Database ofrece un servicio de base de datos relacional en Azure.

Para proteger los datos de los clientes y proporcionar características sólidas
de seguridad que los clientes esperan de un servicio de base de datos
relacional, SQL Database tiene sus propios conjuntos de funcionalidades de
seguridad. Estas funcionalidades se basan en los controles que se heredan de
Azure.

Funcionalidades de seguridad
Uso del protocolo TDS
Azure SQL Database solo admite el protocolo de flujo TDS, que requiere que la
base de datos sea accesible solo a través del puerto predeterminado de
TCP/1433.

Firewall de Azure SQL Database

Para ayudar a proteger los datos de los clientes, Azure SQL Database incluye
una funcionalidad de firewall que, de forma predeterminada, impide todo acceso
al servidor de SQL Database, como se muestra a continuación.
El firewall de puerta de enlace puede limitar las direcciones, lo que permite
que los clientes tengan control pormenorizado sobre intervalos específicos de
direcciones IP aceptables. El firewall otorga acceso según la dirección IP de
origen de cada solicitud.

Los clientes pueden configurar el firewall desde un portal de administración o

mediante programación con la API REST de Azure SQL Database Management. El
firewall de puerta de enlace de Azure SQL Database impide, de forma
predeterminada, que todos los clientes accedan a las instancias de Azure SQL
Database a través de TDS. Los clientes deben configurar el acceso mediante
listas de control de acceso (ACL) para permitir conexiones de Azure SQL
Database por protocolos, números de puertos y direcciones de Internet de
origen y destino.

DoSGuard
Los ataques por denegación de servicio (DoS) se reducen mediante un servicio
de puerta de enlace de SQL Database denominado DoSGuard. DoSGuard realiza un
seguimiento activo de inicios de sesión erróneos desde direcciones IP. Si hay
varios inicios de sesión erróneos desde una dirección IP específica dentro de
un período, se bloquea la dirección IP y no podrá acceder a ningún recurso en
el servicio durante un período definido previamente.

Además, la puerta de enlace de Azure SQL Database realiza los siguiente:

 Negociaciones de capacidad de canal seguro para implementar conexiones
cifradas validadas por TDS FIPS 140-2 al conectarse a los servidores de
bases de datos.
Inspección de paquetes TDS con estado al aceptar conexiones de los clientes.
La puerta de enlace valida la información de conexión y pasa los paquetes
TDS al servidor físico adecuado según el nombre de la base de datos
especificado en la cadena de conexión.

El principio general de seguridad de red de la oferta de Azure SQL Database es

permitir únicamente la conexión y la comunicación necesarias para que el
servicio funcione. Todos los otros puertos, protocolos y conexiones se
bloquean de manera predeterminada. Las redes de área local virtual (VLAN) y
las ACL se usan para restringir las comunicaciones de red por protocolos,
números de puerto y redes de origen y destino.

Los mecanismos aprobados para implementar las ACL basadas en red incluyen: ACL
en enrutadores y equilibradores de carga. Estos mecanismos se administran
mediante reglas de firewall de puerta de enlace de Microsoft Azure SQL
Database y reglas de firewall de máquina virtual invitada, que están
configuradas por el cliente.

Segregación de datos y aislamiento de clientes

La red de producción de Azure está estructurada de modo que los componentes
del sistema accesibles públicamente estén separados de los recursos internos.
Existen límites físicos y lógicos entre los servidores web, lo que proporciona
acceso a Azure Portal orientado al público y la infraestructura virtual
subyacente de Azure, donde residen las instancias de las aplicaciones de los
clientes y los datos de los clientes.

Toda la información accesible públicamente se administra dentro de la red de

producción de Azure. La red de producción está sujeta a la autenticación en
dos fases y a los mecanismos de protección de límites, usa el firewall y el
conjunto de características de seguridad descritos en la sección anterior, y
utiliza las funciones de aislamiento de datos, como se indica en las
siguientes secciones.

Sistemas no autorizados y aislamiento de FC

Puesto que el controlador de tejido (FC) es el orquestador central del tejido
de Azure, existen controles importantes para mitigar las amenazas, sobre todo
desde los FA potencialmente comprometidos dentro de las aplicaciones de los
clientes. El FC no reconoce ningún hardware cuya información de dispositivo
(por ejemplo, la dirección MAC) no esté cargada previamente en el FC. Los
servidores DHCP en FC tienen listas configuradas de direcciones MAC de los
nodos que están dispuestas a arrancar. Incluso si se conectan sistemas no
autorizados, no se incorporan al inventario del tejido y, por lo tanto, no se
conectan ni están autorizados para comunicarse con ningún sistema en el
inventario del tejido. Esto reduce el riesgo de que sistemas no autorizados se
comuniquen con el FC y obtengan acceso a la VLAN y Azure.

Aislamiento de VLAN
La red de producción de Azure se divide lógicamente en tres redes VLAN
principales:
 La red VLAN principal: interconecta nodos de cliente que no son de
confianza.
La red VLAN FC: contiene controladores de tejido (FC) de confianza y
sistemas auxiliares.
La red VLAN de dispositivo: contiene dispositivos de red y otra
infraestructura de confianza.

Filtrado de paquetes
El IPFilter y los firewalls de software implementados en el sistema operativo
raíz y el sistema operativo invitado de los nodos aplican restricciones de
conectividad y evitan el tráfico no autorizado entre las máquinas virtuales.

Hipervisor, sistema operativo raíz y máquinas virtuales invitadas

El hipervisor y el sistema operativo raíz administran el aislamiento del
sistema operativo raíz de las máquinas virtuales invitadas y de las máquinas
virtuales invitadas entre sí.

Tipos de reglas en firewalls

Una regla se define como:

{IP de Src, puerto de Src, IP de destino, puerto de destino, protocolo de

destino, entrada/salida, con estado/sin estado, tiempo de espera de flujo con
estado}.

Los paquetes de carácter inactivo síncrono (SYN) solo pueden entrar o salir si
alguna de las reglas lo permite. Para TCP, Azure usa reglas sin estado, donde
el principio es que solo permite que todos los paquetes que no sean SYN entren
o salgan de la máquina virtual. La premisa de seguridad es que toda pila de
host sea resistente de omitir un paquete que no sea SYN si no ha visto
anteriormente un paquete SYN. El propio protocolo TCP es con estado y, en
combinación con la regla sin estado basada en SYN, logra un comportamiento
general de una implementación con estado.

Para el Protocolo de datagramas de usuario (UDP), Azure usa una regla con
estado. Cada vez que un paquete UDP coincide con una regla, se crea un flujo
inverso en la otra dirección. Este flujo tiene un tiempo de espera integrado.

Los clientes son responsables de configurar sus propios firewalls además de lo

que ofrece Azure. Aquí los clientes pueden definir las reglas para el tráfico
entrante y saliente.

Administración de la configuración de producción

Los equipos de operaciones respectivos en Azure y Azure SQL Database se
encargan del mantenimiento de las configuraciones de seguridad estándar. Todos
los cambios de configuración en los sistemas de producción se documentan y
registran a través de un sistema de seguimiento central. Los cambios de
hardware y software se registran a través del sistema de seguimiento central.
Los cambios de red relacionados con ACL se registran mediante un servicio de
administración de ACL.

Todos los cambios de configuración en Azure se desarrollan y prueban en el

entorno de ensayo y, más adelante, se implementan en el entorno de producción.
Las compilaciones de software se revisan como parte de las pruebas. Las
comprobaciones de seguridad y privacidad se revisan como parte de los
criterios de la lista de comprobación de entrada. El equipo de implementación
correspondiente implementa los cambios en intervalos programados. El personal
del equipo de implementación correspondiente revisa y aprueba las versiones
antes de implementarlas en producción.

Los cambios se supervisan para comprobar que sean correctos. En un escenario

de error, el cambio se revierte a su estado anterior o se implementa una
revisión para corregir el error con la aprobación del personal designado.
Source Depot, Git, TFS, Master Data Services (MDS), Runners, supervisión de
seguridad de Azure, el FC y la plataforma de WinFabric se usan para
administrar, aplicar y comprobar de manera centralizada las opciones de
configuración en el entorno virtual de Azure.

De forma similar, los cambios de hardware y de red cuentan con pasos de

validación establecidos para evaluar el cumplimiento de los requisitos de
compilación. Las versiones se revisan y autorizan a través de un comité de
evaluación de cambios (CAB) coordinado de los respectivos grupos a través de
la pila.

Pasos siguientes
Para más información sobre lo que hace Microsoft para proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Disponibilidad de la infraestructura de Azure
Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Red de producción de Azure
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
 Administración y funcionamiento de la
red de producción de Azure
23/03/2020 • 7 minutes to read • Edit Online

En este artículo se describe el modo en que Microsoft administra y opera con

la red de producción de Azure para proteger los centros de datos de Azure.

Supervisión, registro e informe

La administración y el funcionamiento de la red de producción de Azure es un
esfuerzo coordinado entre los equipos de operaciones de Azure y Azure SQL
Database. Los equipos usan varias herramientas de supervisión de rendimiento
de sistemas y de aplicaciones en el entorno. Y usan las herramientas adecuadas
para supervisar dispositivos de red, servidores, servicios y procesos de
aplicación.

Para garantizar la ejecución segura de los servicios que se ejecutan en el

entorno de Azure, los equipos de operaciones implementan varios niveles de
supervisión, registro y generación de informes, incluidas las siguientes
acciones:

Principalmente, Microsoft Monitoring Agent (MA) recopila información de

registros de supervisión y diagnóstico desde muchos lugares, incluido el
controlador de tejido (FC) y el sistema operativo raíz, y la escribe en
los archivos de registro. Finalmente, el agente inserta un subconjunto
reducido de la información en una cuenta de almacenamiento de Azure
configurada previamente. Además, el servicio de supervisión y diagnóstico
independiente lee distintos datos de registro de supervisión y
diagnóstico y resume la información. El servicio de supervisión y
diagnóstico escribe la información en un registro integrado. Azure usa la
supervisión de seguridad de Azure personalizada, que es una extensión del
sistema de supervisión de Azure. Tiene componentes que observan, analizan
y notifican eventos relativos a la seguridad desde varios lugares de la
plataforma.

La plataforma Windows Fabric de Azure SQL Database proporciona servicios

de administración, implementación, desarrollo y control operativo de
Azure SQL Database. La plataforma ofrece servicios de implementación
distribuidos y de varios pasos, supervisión del mantenimiento,
reparaciones automáticas y cumplimiento de las versiones de servicio.
Ofrece los siguientes servicios:

Funcionalidades de modelado de servicios con entorno de desarrollo de

alta fidelidad (los clústeres de centros de datos son escasos y caros).
Flujos de trabajo de implementación y actualización de un solo clic
para el arranque y el mantenimiento del servicio.
Informes de mantenimiento con flujos de trabajo de reparación
automáticos para habilitar la recuperación automática.
Supervisión, alertas y utilidades de depuración en tiempo real en todos
los nodos de un sistema distribuido.
 Recopilación centralizada de datos operativos y métricas para análisis
distribuido de la causa principal e información del servicio.
Herramientas operativas para implementación, administración de cambios
y supervisión.
Los scripts de plataforma Windows Fabric y guardián de Azure SQL
Database se ejecutan continuamente y realizan la supervisión en tiempo
real.

Si se produce cualquier anomalía, se activa el proceso de respuesta ante

incidentes, seguido por el equipo de evaluación de incidentes de Azure. Se
notifica al personal de soporte técnico de Azure adecuado para responder al
incidente. El seguimiento y la resolución de problemas se documentan y
administran en un sistema centralizado de vales. Las métricas de tiempo de
actividad del sistema están disponibles en el acuerdo de confidencialidad
(NDA) y a petición.

Red corporativa y acceso multifactor a producción

La base de usuarios de la red corporativa incluye personal de soporte técnico
de Azure. La red corporativa admite funciones corporativas internas e incluye
el acceso a las aplicaciones internas que se usan para la asistencia al
cliente de Azure. La red corporativa está separada tanto de forma lógica como
física de la red de producción de Azure. El personal de Azure tiene acceso a
la red corporativa con equipos portátiles y estaciones de trabajo de Azure.
Todos los usuarios deben tener una cuenta de Azure Active Directory (Azure
AD), incluido un nombre de usuario y una contraseña, para acceder a los
recursos de la red corporativa. El acceso a la red corporativa usa cuentas de
Azure AD, que se envían a todo el personal, los contratistas y los proveedores
de Microsoft, y se administra mediante Microsoft Information Technology. Los
identificadores de usuario únicos distinguen al personal según su estado de
empleo en Microsoft.

El acceso a las aplicaciones internas de Azure se controla mediante la

autenticación con Servicios de federación de Active Directory (AD FS). AD FS
es un servicio hospedado por Microsoft Information Technology que proporciona
autenticación de los usuarios de la red corporativa a través de la aplicación
de un token seguro y notificaciones de usuario. AD FS permite que las
aplicaciones internas de Azure autentiquen usuarios en el dominio de Microsoft
Corporate Active Directory. Para acceder a la red de producción desde el
entorno de la red corporativa, los usuarios deben autenticarse mediante la
autenticación multifactor.

Pasos siguientes
Para obtener más información sobre lo que hace Microsoft para proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Disponibilidad de la infraestructura de Azure
Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
 Supervisión de la infraestructura de
Azure
23/03/2020 • 5 minutes to read • Edit Online

Configuración y administración de cambios

Azure revisa y actualiza anualmente los valores de configuración y las
configuraciones de línea de base de los dispositivos de hardware, software y
red. Los cambios se desarrollan, prueban y aprueban antes de pasar al entorno
de producción desde un entorno de desarrollo o pruebas.

El equipo de seguridad y cumplimiento de Azure, y también los equipos de

servicio, se encarga de revisar las configuraciones de línea de base
necesarias para los servicios basados en Azure. Una revisión del equipo de
servicio forma parte de las pruebas que tienen lugar antes de la
implementación del servicio en producción.

Administración de vulnerabilidades
La administración de actualizaciones de seguridad ayuda a proteger los
sistemas frente a las vulnerabilidades conocidas. Azure utiliza sistemas de
implementación integrados para administrar la distribución e instalación de
actualizaciones de seguridad de software de Microsoft. Azure también es capaz
de aprovechar los recursos de Microsoft Security Response Center (MSRC). MSRC
identifica, supervisa, responde y resuelve los incidentes de seguridad y las
vulnerabilidades de la nube de manera ininterrumpida.

Examen de vulnerabilidades
El examen de vulnerabilidades se ejecuta en sistemas operativos de servidor,
bases de datos y dispositivos de red. Los exámenes de vulnerabilidades se
realizan de forma trimestral como mínimo. Azure contrata asesores
independientes para realizar pruebas de penetración del límite de Azure.
También se llevan a cabo ejercicios de simulacro de ataques regularmente y los
resultados se usan para realizar mejoras de seguridad.

Supervisión de protección
El equipo de seguridad de Azure ha definido los requisitos para una
supervisión activa. Los equipos de servicio configuran herramientas de
supervisión activas según estos requisitos. Las herramientas de supervisión
activas incluyen Microsoft Monitoring Agent (MMA) y System Center Operations
Manager. Estas herramientas están configuradas para proporcionar alertas de
tiempo al personal de seguridad de Azure en situaciones que requieren acción
inmediata.

Administración de incidentes
Microsoft implementa un proceso de administración de incidentes de seguridad
para facilitar una respuesta coordinada frente a incidentes, en caso de que
estos se produzcan.

Si Microsoft detecta cualquier acceso no autorizado a los datos de un cliente

almacenados en su equipo o en sus instalaciones, o si detecta un acceso no
autorizado a dichos equipos o instalaciones que provoca la pérdida, revelación
o alteración de los datos del cliente, Microsoft lleva a cabo las acciones
siguientes:

Notifica inmediatamente al cliente el incidente de seguridad.

Investiga rápidamente el incidente de seguridad y proporciona al cliente
información detallada sobre dicho incidente.
Toma medidas razonables e inmediatas para mitigar los efectos y minimizar
el daño producido como consecuencia del incidente de seguridad.

Se ha establecido un marco de administración de incidentes con roles definidos

y responsabilidades asignadas. El equipo de administración de incidentes de
seguridad de Azure es responsable de administrar los incidentes de seguridad,
solicitando la implicación de equipos especialistas en los casos que sea
necesario. Los responsables de operaciones de Azure están encargados de
supervisar la investigación y resolución de los incidentes de seguridad y
privacidad.

Pasos siguientes
Para obtener más información sobre lo que hace Microsoft para proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Disponibilidad de la infraestructura de Azure
Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Integridad de la infraestructura de Azure
Protección de datos de cliente de Azure
 Integridad de la infraestructura de
Azure
23/03/2020 • 7 minutes to read • Edit Online

Instalación de software
Todos los componentes de la pila de software que se instalan en el entorno de
Azure se crean de forma personalizada siguiendo el proceso Ciclo de vida de
desarrollo de seguridad (SDL) de Microsoft. Todos los componentes de software,
como las imágenes del sistema operativo (SO) y SQL Database, se implementan
como parte del proceso de administración de versiones y cambios. El sistema
operativo que se ejecuta en todos los nodos es una versión personalizada de
Windows Server 2008 o Windows Server 2012. La versión exacta la elige el
controlador de tejido (FC) de acuerdo con el rol que pretende que desempeñe el
sistema operativo. Además, el sistema operativo host no permite la instalación
de ningún componente de software no autorizado.

Algunos componentes de Azure se implementan como clientes de Azure en una

máquina virtual invitada que se ejecuta en un sistema operativo invitado.

Detección de virus en las compilaciones

Las compilaciones de software de Azure, lo que incluye el sistema operativo,
deben someterse a una detección de virus con la herramienta antivirus Endpoint
Protection. Cada detección de virus crea un registro dentro del directorio de
compilación asociado, donde se detalla lo que se examinó y los resultados del
examen. El análisis de virus forma parte del código fuente de la compilación
de todos los componentes de Azure. El código no pasa a producción hasta que
los resultados indican que está limpio y solo si el proceso de detección se ha
llevado a cabo correctamente. Si se detecta algún problema, la compilación se
bloquea y, después, se envía a los equipos de seguridad de Microsoft Security
para identificar dónde entró el código "falso" en la compilación.

Entorno bloqueado y cerrado

De forma predeterminada, los nodos de infraestructura Azure y las máquinas
virtuales invitadas no tienen ninguna cuenta de usuario creada en ellas.
Además, las cuentas de administrador predeterminadas de Windows también están
deshabilitadas. Los administradores de Azure Live Support pueden, con la
autenticación adecuada, iniciar sesión en estas máquinas y administrar la red
de producción de Azure para reparaciones de emergencia.

Autenticación de Azure SQL Database

Al igual que con cualquier implementación de SQL Server, la administración de
cuentas de usuario debe estar estrictamente controlada. Azure SQL Database
admite solo la autenticación de SQL Server. Para complementar el modelo de
seguridad de datos del cliente, también deben usarse cuentas de usuario con
contraseñas seguras y configuradas con derechos específicos.
Listas ACL y firewalls entre la red corporativa de
Microsoft y un clúster de Azure
Las listas de control de acceso (ACL) y los firewalls entre la plataforma de
servicios y la red corporativa de Microsoft protegen las instancias de SQL
Database del acceso no autorizado. Además, solo los usuarios de los intervalos
de direcciones IP de la red corporativa de Microsoft pueden acceder al punto
de conexión de administración de la plataforma Windows Fabric.

Listas ACL y firewalls entre nodos de un clúster

de SQL Database
Como protección adicional, y como parte de la fuerte estrategia de defensa, se
han implementado listas ACL y un firewall entre los nodos de un clúster de SQL
Database. Toda la comunicación dentro del clúster de la plataforma Windows
Fabric, así como todo el código en ejecución, es de confianza.

Agentes de supervisión personalizados

SQL Database emplea agentes de supervisión personalizados (MA), también
conocidos como guardianes, para supervisar el mantenimiento del clúster de SQL
Database.

Protocolos web
Supervisión y reinicio de instancias de rol
Azure garantiza que todos los roles en ejecución (roles web accesibles desde
Internet, o roles de trabajo de procesamiento de back-end) implementados se
sometan a una supervisión sostenida de su mantenimiento para garantizar que
están prestando de manera efectiva y eficiente los servicios para los que han
sido aprovisionados. En el caso de que un rol no sea correcto, ya sea por un
error crítico en la aplicación hospedada o por un problema de configuración
subyacente dentro de la propia instancia del rol, el FC detecta el problema
dentro de la instancia de rol e inicia un estado de corrección.

Conectividad de proceso
Azure garantiza que la aplicación o el servicio implementados sean accesibles
a través de protocolos estándar basados en web. Las instancias virtuales de
los roles web accesibles desde Internet tendrán conectividad externa a
Internet y los usuarios de la web podrán acceder a ellas directamente. Con el
fin de proteger la confidencialidad e integridad de las operaciones que los
roles de trabajo realizan en nombre de las instancias virtuales del rol web de
acceso público, las instancias virtuales de rol de trabajo de procesamiento de
back-end tienen conectividad externa a Internet, pero el usuario web externo
no puede acceder directamente a ellas.

Pasos siguientes
Para obtener más información sobre lo que hace Microsoft para proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Disponibilidad de la infraestructura de Azure
Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Protección de datos de cliente de Azure
 Protección de datos de cliente de
Azure
23/03/2020 • 10 minutes to read • Edit Online

El personal de operaciones y soporte técnico de Microsoft no tiene libre

acceso a los datos de los clientes, ya que se les deniega de forma
predeterminada. Cuando se concede acceso a los datos del cliente, se requiere
la aprobación de la dirección y, a continuación, el acceso se administra y
registra cuidadosamente. Los requisitos de control de acceso se establecen
mediante la directiva de seguridad de Azure siguiente:

No hay acceso a los datos de clientes de manera predeterminada.

Ninguna cuenta de usuario o administrador en las máquinas virtuales de
cliente.
Concesión del privilegio mínimo necesario para completar la tarea;
auditoría y registro de las solicitudes de acceso.

Azure asigna al personal de soporte técnico cuentas de Active Directory

corporativa únicas. Azure se basa en Microsoft Corporate Active Directory,
administrado por Microsoft Information Technology (MSIT), para controlar el
acceso a los sistemas de información clave. Se requiere la autenticación
multifactor y solo se concede el acceso desde consolas seguras.

Todos los intentos de acceso se supervisan y se pueden mostrar a través de un

conjunto básico de informes.

Protección de datos
Azure proporciona a los clientes una fuerte seguridad de los datos, tanto de
manera predeterminada como opcional del cliente.

Segregación de datos : Azure es un servicio multiinquilino, lo que significa

que las implementaciones y máquinas virtuales de varios clientes se almacenan
en el mismo hardware físico. Azure usa un aislamiento lógico para separar los
datos de cada cliente de los del resto. La segregación ofrece las ventajas de
escala económicas de los servicios multiinquilino, a la vez que evita
rigurosamente que los clientes tengan acceso a los datos de otros.

Protección de datos en reposo : los clientes son responsables de garantizar

que los datos almacenados en Azure se cifren según sus propios estándares.
Azure facilita una amplia gama de funcionalidades de cifrado, por lo que
ofrece a los clientes la flexibilidad de poder elegir la solución que mejor
se ajusta a sus necesidades. Azure Key Vault le permite a los clientes
mantener de forma fácil el control de las claves que usan los servicios y las
aplicaciones en la nube para cifrar datos. Azure Disk Encryption permite a
los clientes cifrar máquinas virtuales. Azure Storage Service Encryption
permite cifrar todos los datos que se colocan en la cuenta de almacenamiento
de un cliente.

Protección de datos en tránsito : los clientes pueden habilitar el cifrado

para el tráfico entre sus propias VM y los usuarios finales. Azure protege
los datos en tránsito desde o hacia los componentes exteriores y los datos en
tránsito internamente, por ejemplo, entre dos redes virtuales. Azure usa el
protocolo de Seguridad de la capa de transporte (TLS) 1.2 o superior estándar
del sector con claves de cifrado 2,048-bit RSA/SHA256, tal y como recomiendan
CESG/NCSC, para cifrar las comunicaciones entre:

El cliente y la nube
Internamente entre centros de datos y sistemas de Azure

Cifrado : los clientes pueden implementar el cifrado de datos en

almacenamiento y en tránsito como procedimiento recomendado para garantizar
la confidencialidad e integridad de los datos. Los clientes pueden configurar
de manera sencilla sus servicios en la nube de Azure para usar SSL para
proteger las comunicaciones de Internet e incluso entre sus máquinas
virtuales hospedadas en Azure.

Data redundancy (Redundancia de datos): Microsoft ayuda a garantizar que los

datos están protegidos si se produce un ciberataque o daños físicos en un
centro de datos. Los clientes pueden optar por:

Consideraciones sobre el almacenamiento en el país o región por motivos de

cumplimiento o latencia.
Almacenamiento fuera del país o la región por motivos de seguridad o de
recuperación ante desastres.

Los datos pueden replicarse en un área geográfica seleccionada para

redundancia, pero no se transmitirán fuera de ella. Los clientes tienen
varias opciones para la replicación de datos, incluido el número de copias y
el número y la ubicación de los centros de datos de replicación.

Al crear la cuenta de almacenamiento, seleccione una de las siguientes

opciones de replicación:

Almacenamiento con redundancia local (LRS) : El almacenamiento con

redundancia local mantiene tres copias de sus datos. LRS se replica tres
veces dentro de una única instalación de una sola región. LRS protege los
datos frente a errores comunes del hardware, pero no frente a errores de
una única instalación.
Almacenamiento con redundancia de zona (ZRS) : El almacenamiento con
redundancia de zona mantiene tres copias de los datos. ZRS se replica tres
veces entre dos o tres instalaciones para proporcionar mayor durabilidad
que LRS. La replicación se produce en una única región o entre dos
regiones. ZRS ayuda a garantizar la durabilidad de sus datos dentro de una
sola región.
Almacenamiento con redundancia geográfica (GRS) : El almacenamiento con
redundancia geográfica está habilitado para su cuenta de almacenamiento de
manera predeterminada cuando la crea. GRS mantiene seis copias de sus
datos. Con GRS, los datos se replican tres veces dentro de la región
primaria. Los datos se replican también tres veces en una región secundaria
a cientos de kilómetros de distancia de la región primaria, lo que
proporciona el nivel más alto de durabilidad. En caso de que se produzca un
error en la región primaria, Azure Storage conmuta por error a la región
secundaria. GRS ayuda a garantizar la durabilidad de sus datos en dos
regiones distintas.
Destrucción de datos : cuando los clientes eliminan datos o abandonan Azure,
Microsoft sigue estándares estrictos para sobrescribir los recursos de
almacenamiento antes de reutilizarlos, así como la destrucción física del
hardware retirado. Microsoft ejecuta una eliminación completa de los datos a
solicitud del cliente y a la finalización del contrato.

Propiedad de los datos del cliente

Microsoft no inspecciona, aprueba ni supervisa las aplicaciones que los
clientes implementan en Azure. Además, Microsoft no conoce qué tipo de datos
los clientes eligen almacenar en Azure. Microsoft no reclama la propiedad de
los datos a través de la información del cliente escrita en Azure.

Administración de registros
Azure ha establecido requisitos internos de retención de registros para los
datos de back-end. Los clientes son responsables de identificar sus propios
requisitos de retención de registros. Para los registros almacenados en
Azure, el cliente es responsable de extraer sus datos y conservar el
contenido fuera de Azure durante un período de retención especificado por el
cliente.

Azure permite a los clientes exportar datos e informes de auditoría desde el

producto. Las exportaciones se guardan localmente para conservar la
información durante un período de retención definido por el cliente.

Detección electrónica (eDiscovery)

Los clientes de Azure son responsables de cumplir con requisitos de
eDiscovery en su uso de los servicios de Azure. Si los clientes de Azure
deben conservar sus datos de cliente, los datos se pueden exportar y guardar
localmente. Además, los clientes pueden solicitar las exportaciones de los
datos al departamento de Asistencia al cliente de Azure. Además de permitir a
los clientes exportar sus datos, Azure lleva a cabo tareas internas
exhaustivas de registro y supervisión.

Pasos siguientes
Para obtener más información sobre lo que hace Microsoft para proteger la
infraestructura de Azure, consulte:

Instalaciones de Azure, entornos locales y seguridad física

Disponibilidad de la infraestructura de Azure
Componentes y límites del sistema de información de Azure
Arquitectura de red de Azure
Red de producción de Azure
Características de seguridad de Azure SQL Database
Operaciones de producción y administración de Azure
Supervisión de la infraestructura de Azure
Integridad de la infraestructura de Azure
 Aislamiento en la nube pública de
Azure
23/03/2020 • 57 minutes to read • Edit Online

Azure permite ejecutar aplicaciones y máquinas virtuales (VM) en una

infraestructura física compartida. Una de las motivaciones económicas
principales para ejecutar aplicaciones en un entorno de nube es la capacidad de
distribuir el costo de los recursos compartidos entre varios clientes. Esta
práctica de multiinquilino mejora la eficiencia al multiplexar los recursos
entre los distintos clientes a un bajo costo. Lamentablemente, también presenta
el riesgo del uso compartido de servidores físicos y otros recursos de
infraestructura al ejecutar aplicaciones confidenciales y máquinas virtuales
que pueden pertenecer a un usuario arbitrario y potencialmente malintencionado.

En este artículo se describe cómo Azure proporciona aislamiento contra usuarios

malintencionados y no malintencionados y cómo sirve como guía para el diseño de
soluciones en la nube, ya que ofrece a los arquitectos diversas opciones de
aislamiento.

Aislamiento en el nivel de inquilino

Una de las principales ventajas de la informática en la nube es el concepto de
una infraestructura común compartida por varios clientes simultáneamente, dando
lugar a economías de escala. Este concepto se denomina multiinquilinato.
Microsoft trabaja continuamente para asegurarse de que la arquitectura
multiinquilino de Microsoft Cloud Azure admita las normas de seguridad,
confidencialidad, privacidad, integridad y disponibilidad.

En un área de trabajo habilitada en la nube, un inquilino puede definirse como

un cliente o una organización que posee y administra una instancia específica
de ese servicio en la nube. Con la plataforma de identidad proporcionada por
Microsoft Azure, un inquilino es simplemente una instancia dedicada de Azure
Active Directory (Azure AD) que su organización recibe y posee cuando se
suscribe a un servicio en la nube de Microsoft.

Cada directorio de Azure AD es distinto e independiente de otros directorios de

Azure AD. Del mismo modo que un edificio de oficinas para empresas es un activo
seguro dedicado específicamente a su organización, un directorio de Azure AD se
ha diseñado también para ser un activo seguro para el uso exclusivo de su
organización. La arquitectura de Azure AD aísla los datos del cliente y la
información de identidad para evitar contactos cruzados. Esto significa que los
usuarios y los administradores de un directorio de Azure AD no tendrán acceso a
los datos de otro directorio, ya sea de manera involuntaria o malintencionada.

Inquilinato de Azure
El inquilinato de Azure (suscripción de Azure) hace referencia a una relación
"cliente/facturación" y a un único inquilino en Azure Active Directory. El
aislamiento en el nivel de inquilino en Microsoft Azure se logra con Azure
Active Directory y los controles basados en roles que ofrece. Cada suscripción
de Azure está asociada a un directorio de Azure Active Directory (AD).
Los usuarios, grupos y aplicaciones de ese directorio pueden administrar los
recursos en la suscripción de Azure. Puede asignar estos derechos de acceso con
Azure Portal, las herramientas de la línea de comandos de Azure o las API de
administración de Azure. Un inquilino de Azure está aislado lógicamente
mediante límites de seguridad de forma que ningún cliente puede acceder o poner
en riesgo los coinquilinos, ya sea de forma malintencionada o por accidente.
Azure AD se ejecuta en servidores sin sistema operativo, aislados en un
segmento de red separado donde el filtrado de paquetes de nivel de host y
Firewall de Windows bloquean el tráfico y las conexiones no deseadas.

El acceso a los datos de Azure AD requiere autenticación del usuario mediante

un servicio de token de seguridad (STS). El sistema de autorización usa la
información sobre la existencia, estado habilitado y rol del usuario se usa
para determinar si el acceso solicitado al inquilino de destino está
autorizado para este usuario en esta sesión.

Los inquilinos son contenedores separados y no hay ninguna relación entre

ellos.

No hay acceso entre inquilinos a menos que un administrador lo conceda

mediante federación o el aprovisionamiento de cuentas de usuario de otros
inquilinos.

El acceso físico a los servidores que componen el servicio Azure AD y el

acceso directo a los sistemas back-end de Azure AD están restringidos.

Los usuarios de Azure AD no tienen acceso a los recursos ni las

ubicaciones físicas y, por lo tanto, no pueden omitir las comprobaciones
lógicas de directiva de RBAC que se indican a continuación.

Por razones de diagnóstico y mantenimiento, se necesita y utiliza un modelo de

operaciones que emplee un sistema de elevación de privilegios Just-In-Time.
Azure AD Privileged Identity Management (PIM) presenta el concepto de
administrador apto. Los administradores aptos deben ser usuarios que necesiten
acceso con privilegios de vez en cuando, pero no todos los días. El rol está
inactivo hasta que el usuario necesita acceso, luego realiza un proceso de
activación y se convierte en un administrador activo durante una cantidad de
tiempo predeterminada.

Azure Active Directory hospeda a cada inquilino en su propio contenedor

protegido, con directivas y permisos solo para el contenedor, que el inquilino
administra y del que es propietario.

El concepto de contenedores de inquilino está profundamente relacionado con el

servicio de directorio en todas las capas, desde los portales hasta el
almacenamiento persistente.

Aunque se almacenan metadatos de varios inquilinos de Azure Active Directory en

el mismo disco físico, no hay relación entre los contenedores salvo la que se
define en el servicio de directorio, que a su vez viene determinada por el
administrador del inquilino.

Control de acceso basado en rol (RBAC) de Azure

El control de acceso basado en rol (RBAC) de Azure ayuda a compartir varios
componentes disponibles dentro de una suscripción de Azure, y proporciona una
administración de acceso detallada en Azure. RBAC de Azure le permite separar
las tareas dentro de su organización y conceder acceso en función de lo que los
usuarios necesitan para realizar sus tareas. En lugar de proporcionar a todos
los empleados permisos no restringidos en los recursos o la suscripción de
Azure, puede permitir solo determinadas acciones.

RBAC de Azure cuenta con tres roles básicos que se aplican a todos los tipos de
recurso:

propietario tiene acceso completo a todos los recursos y cuenta con el

derecho a delegar este acceso a otros.

colaborador puede crear y administrar todos los tipos de recursos de

Azure pero no puede conceder acceso a otros.

lector solo puede ver los recursos existentes de Azure.

El resto de los roles RBAC de Azure permiten la administración de recursos
específicos de Azure. Por ejemplo, el rol de colaborador de máquina virtual
permite al usuario crear y administrar máquinas virtuales. No otorga acceso a
la instancia de Azure Virtual Network ni a la subred a la que se conecta la
máquina virtual.

Roles integrados para el control de acceso basado en rol enumera los roles
disponibles en Azure. Especifica las operaciones y el ámbito de cada rol
integrado que se concede a los usuarios. Si quiere definir sus propios roles
para tener un mayor control, consulte Custom Roles in Azure RBAC(Roles
personalizados en RBAC de Azure).

Otras funcionalidades de Azure Active Directory incluyen:

Azure AD habilita SSO para las aplicaciones SaaS, independientemente de

donde estén hospedadas. Algunas aplicaciones están federadas con Azure AD
y otras usan SSO con contraseña. Las aplicaciones federadas también pueden
admitir aprovisionamiento de usuarios y almacén de contraseñas.

El acceso a datos en Azure Storage se controla mediante la autenticación.

Cada cuenta de almacenamiento tiene una clave principal (clave de la
cuenta de almacenamiento, o SAK) y una clave secreta secundaria (la firma
de acceso compartido, o SAS).

Azure AD proporciona identidad como servicio a través de la federación

(mediante los Servicios de federación de Active Directory), sincronización
y replicación de directorios locales.

Azure Multi-Factor Authentication es el servicio de autenticación

multifactor que requiere que los usuarios también comprueben los inicios
de sesión mediante una aplicación móvil, una llamada de teléfono o un
mensaje de texto. Se puede usar con Azure AD como ayuda para proteger los
recursos locales con el servidor de Azure Multi-Factor Authentication, y
también con aplicaciones y directorios personalizados mediante el SDK.

Azure Active Directory Domain Services permite unir máquinas virtuales de

 Azure a un dominio de Active Directory sin implementar controladores de
dominio. Puede conectarse a estas máquinas virtuales con sus credenciales
corporativas de Active Directory y administrar las máquinas virtuales
unidas a un dominio mediante una directiva de grupo para aplicar una base
de referencia de seguridad en todas sus máquinas virtuales de Azure.

Azure Active Directory B2C proporciona un servicio de administración de

identidades global y de alta disponibilidad para aplicaciones de consumo
que se escalan a cientos de millones de identidades. Se puede integrar en
plataformas móviles y web. Los consumidores pueden iniciar sesión en todas
las aplicaciones con experiencias personalizables usando sus cuentas de
redes sociales existentes o mediante la creación de credenciales.

Aislamiento de los administradores de Microsoft y eliminación de datos

Microsoft aplica medidas seguras para proteger los datos contra el acceso
inadecuado o el uso por parte de personas no autorizadas. Estos controles y
procesos operativos están detallados en los términos de los servicios en línea,
que recoge los compromisos contractuales que controlan el acceso a los datos.

Los ingenieros de Microsoft no tienen acceso de forma predeterminada a los

datos en la nube. En su lugar, se les concede acceso, bajo la supervisión
de la administración, solo cuando sea necesario. El acceso se controla y
registra cuidadosamente y se revoca tan pronto como deje de ser necesario.

Microsoft puede contratar a otras empresas para que proporcionen servicios

limitados en su nombre. Los subcontratistas pueden tener acceso a los
datos de los clientes solo para ofrecer el servicio para el cual han sido
contratados y se les prohíbe utilizarlos para cualquier otro propósito.
Además, están contractualmente obligados a mantener la confidencialidad de
la información de nuestros clientes.

Los servicios de negocios con certificaciones auditadas como la ISO/IEC 27001

se verifican con regularidad por Microsoft y otras empresas de auditoría
acreditadas, que llevan a cabo auditorías de muestra para certificar que el
acceso se produce solo con fines legítimos de la empresa. Siempre puede tener
acceso a sus propios datos de cliente en cualquier momento y por cualquier
motivo.

Si se elimina algún dato, Microsoft Azure eliminará los datos, incluidas las
copias en memoria caché y las copias de seguridad. Para los servicios incluidos
en el ámbito, la eliminación se realizará 90 días después del final del período
de retención. (Los servicios incluidos en el ámbito se definen en los términos
del procesamiento de datos, en los términos de los servicios en línea.)

Si una unidad de disco utilizada para el almacenamiento sufre un error de

hardware, se borra o destruye de un modo seguro antes de que Microsoft la
devuelva al fabricante para su reemplazo o reparación. Los datos de la unidad
se sobrescriben para asegurarse de que no se puedan recuperar de ninguna forma.

Aislamiento de proceso
Microsoft Azure proporciona diversos servicios de computación en la nube que
incluyen una amplia selección de instancias y servicios de proceso que se
pueden escalar vertical y horizontalmente para satisfacer las necesidades de su
aplicación o de su empresa. Estos servicios e instancias de proceso ofrecen
aislamiento en varios niveles para proteger los datos, sin sacrificar la
flexibilidad en la configuración que los clientes demandan.

Tamaños de máquinas virtuales aislados

Azure Compute ofrece tamaños de máquinas virtuales que están aislados para un
tipo concreto de hardware y dedicados a un solo cliente. Estos tamaños de
máquina virtual son más adecuados para cargas de trabajo que requieren un alto
grado de aislamiento de otros clientes como, por ejemplo, las cargas de trabajo
que incluyen elementos como el cumplimiento normativo y los requisitos legales.
Los clientes también puede elegir subdividir aún más los recursos de estas
máquinas virtuales aisladas mediante la compatibilidad de Azure para máquinas
virtuales anidadas.

Usar un tamaño aislado garantiza que la máquina virtual será la única que se
ejecute en esa instancia de servidor específica. Las ofertas de máquinas
virtuales aisladas actuales incluyen:

Standard_E64is_v3
Standard_E64i_v3
Standard_M128ms
Standard_GS5
Standard_G5
Standard_DS15_v2
Standard_D15_v2
Standard_F72s_v2

Puede más información sobre cada tamaño aislado disponible aquí.

Retirada del aislamiento de D15_v2/DS15_v2 el 15 de

mayo de 2020
Actualización del 10 de febrero de 2020: La escala de tiempo de retirada
del "aislamiento" se ha ampliado al 15 de mayo de 2020

Azure Dedicated Host ya se encuentra con disponible con carácter general y

permite ejecutar las máquinas virtuales Linux y Windows de la organización en
servidores físicos de un solo inquilino. Tenemos previsto reemplazar por
completo las máquinas virtuales de Azure aisladas con Azure Dedicated Host. A
partir del 15 de mayo de 2020 , las máquinas virtuales de Azure D15_v2/DS15_v2
ya no estarán aisladas del hardware.

¿Cómo me afecta esto?

A partir del 15 de mayo de 2020, ya no se proporcionará ninguna garantía de
aislamiento para las máquinas virtuales de Azure D15_v2/DS15_v2.

¿Qué medidas debo tomar?

Si no es necesario el aislamiento de hardware, no tiene que hacer nada.

En caso de que lo sea, antes del 15 de mayo de 2020 necesitaría hacer lo

siguiente:

• Migrar la carga de trabajo a Azure Dedicated Host.

• Solicitar acceso a una máquina virtual de Azure D15i_v2 y DS15i_v2 para
conseguir la misma relación precio-rendimiento Esta opción solo está disponible
para el modelo de pago por uso y para los escenarios de instancia reservada de
un año.

• Migrar la carga de trabajo a otra máquina virtual aislada de Azure

Consulte a continuación para más información:

Escala de tiempo
DATE ACCIÓN

18 de noviembre de 2019 Disponibilidad de D/DS15i_v2 (pago por uso,

instancia reservada de un año)

14 de mayo de 2020 Último día para comprar la instancia reservada

de un año de D/DS15i_v2

15 de mayo de 2020 Se ha quitado la garantía de aislamiento de

D/DS15_v2

15 de mayo de 2021 Retirada de D/DS15i_v2 (todos los clientes,

excepto los que compraron una instancia
reservada de tres años de D/DS15_v2 antes del
18 de noviembre de 2019)

17 de noviembre de 2022 Retirada de D/DS15i_v2 cuando se realizan

instancias reservadas de tres años (para los
clientes que compraron instancias reservadas de
tres años de D/DS15_v2 antes del 18 de
noviembre de 2019)

Preguntas más frecuentes

P: ¿Se va a retirar el tamaño D/DS15_v2?
R. : No, solo se va a retirar la característica de "aislamiento". Si no
necesita aislamiento, no tiene que hacer nada.

P: ¿Se va a retirar el tamaño D/DS15i_v2?

R. : Sí, el tamaño solo está disponible hasta el 15 de mayo de 2021. Los
clientes que han adquirido RI de 3 años en D/DS15_v2 antes del 18 de noviembre
de 2019 van a tener acceso a D/DS15i_v2 hasta el 17 de noviembre de 2022.

P: ¿Por qué no veo los nuevos tamaños de D/DS15i_v2 en el portal?

R. : Si ahora es cliente de D/DS15_v2 y quiere usar los nuevos tamaños
D/DS15i_v2, rellene este formulario.

P: ¿Por qué no veo ninguna cuota para los nuevos tamaños de D/DS15i_v2?
R. : Si ahora es cliente de D/DS15_v2 y quiere usar los nuevos tamaños
D/DS15i_v2, rellene este formulario.

P: ¿Cuándo se van a retirar los otros tamaños aislados?

R. : Se enviarán recordatorios 12 meses antes de la retirada oficial de los
tamaños.
P: ¿Hay un tiempo de inactividad cuando la máquina virtual se encuentra en un
hardware no aislado?
R. : Si no necesita aislamiento, no tiene que hacer nada ni va a experimentar
ningún tiempo de inactividad.

P: ¿Hay algún cambio de costo por cambiar a una máquina virtual no aislada?
R. : No

P: Ya he comprado una instancia reservada de 1 o 3 años para D15_v2 o Ds15_v2.

¿Cómo se aplicará el descuento al uso de mi máquina virtual?
R. : Las instancias reservadas adquiridas antes del 18 de noviembre de 2019
extenderán automáticamente la cobertura a la nueva serie de máquinas virtuales
aisladas.

FLEXIBILIDAD DE TAMAÑO DE
INSTANCIA RESERVADA INSTANCIA ELEGIBILIDAD DE LAS VENTAJAS

D15_v2 Off D15_v2 y D15i_v2

D15_v2 Por Las series D15_v2 y D15i_v2

recibirán las ventajas de la
instancia reservada de máquina
virtual.

D14_v2 Por Las series D15_v2 y D15i_v2

recibirán las ventajas de la
instancia reservada de máquina
virtual.

Del mismo modo para la serie Dsv2.

P: Deseo comprar instancias reservadas adicionales para Dv2. ¿Cuál debo elegir?
R. : Todas las instancias reservadas adquiridas después de 18 de noviembre de
2019 tienen el siguiente comportamiento.

FLEXIBILIDAD DE TAMAÑO DE
INSTANCIA RESERVADA INSTANCIA ELEGIBILIDAD DE LAS VENTAJAS

D15_v2 Off Solo D15_v2

D15_v2 Por La serie D15_v2 recibirá el

beneficio de la instancia
reservada. El nuevo D15i_v2 no
será válido para la ventaja de
la instancia reservada desde
este tipo de instancia
reservada.

D15i_v2 Off Solo D15i_v2

D15i_v2 Por Solo D15i_v2

No se puede usar la flexibilidad de tamaño de instancia para aplicar a otros

tamaños como D2_v2, D4_v2 o D15_v2. Del mismo modo para la serie Dsv2.

P: ¿Puedo comprar una nueva instancia reservada de tres años para D15i_v2 y
DS15i_v2?
R. : Desafortunadamente no, solo están disponibles las instancias reservadas de
un año para la nueva compra.

P: ¿Puedo transferir mi instancia reservada existente de D15_v2 o DS15_v2 a una

instancia reservada de tamaño aislado?
R. : Esto no es necesario, ya que la ventaja se aplica a los tamaños aislados y
no aislados. Sin embargo, Azure admitirá el cambio de las instancias reservadas
existentes de D15_v2 o DS15_v2 a las de D15i_v2 o DS15i_v2. Para todas las
demás instancias reservadas de Dv2 o Dsv2, use la instancia reservada existente
o compre nuevas instancias reservadas para los tamaños aislados.

P: Soy un cliente de Azure Service Fabric que se basa en los niveles de

durabilidad Silver o Gold. ¿Me afectará este cambio?
R. : No. Las garantías proporcionadas por los niveles de durabilidad de Service
Fabric seguirán funcionando incluso después de este cambio. Si necesita
aislamiento de hardware físico por otras razones, es posible que tenga que
realizar una de las acciones descritas anteriormente.

Hosts dedicados
Además de los hosts aislados descritos en la sección anterior, Azure también
ofrece hosts dedicados. Los hosts dedicados de Azure son un servicio que
proporciona servidores físicos capaces de hospedar una o varias máquinas
virtuales, y que están dedicados a una única suscripción de Azure. Los hosts
dedicados ofrecen aislamiento del hardware a nivel de servidor físico. No se
colocarán otras máquinas virtuales en los hosts. Los hosts dedicados se
implementan en los mismos centros de datos y comparten la misma red y la misma
infraestructura de almacenamiento subyacente que otros hosts no aislados. Para
obtener más información, consulte la introducción detallada a los hosts
dedicados de Azure.

Aislamiento de Hyper-V y sistema operativo raíz entre la máquina virtual raíz y

las máquinas virtuales invitadas
La plataforma de proceso de Azure se basa en la virtualización, lo que
significa que todo el código del cliente se ejecuta en una máquina virtual de
Hyper-V. En cada nodo de Azure (o punto de conexión de red), hay un hipervisor
que se ejecuta directamente sobre el hardware y divide un nodo en un número
variable de máquinas virtuales invitadas.
Cada nodo tiene también una máquina virtual raíz especial, que ejecuta el
sistema operativo host. Un límite crítico es el aislamiento de la máquina
virtual raíz de las máquinas virtuales invitadas y de las máquinas virtuales
invitadas entre sí, administrado por el hipervisor y el sistema operativo raíz.
El emparejamiento del hipervisor y el sistema operativo raíz aprovecha las
décadas de experiencia de Microsoft en seguridad del sistema operativo y su
aprendizaje más reciente en Hyper-V para proporcionar un aislamiento sólido de
las máquinas virtuales invitadas.

La plataforma de Azure usa un entorno virtualizado. Las instancias de usuario

funcionan como máquinas virtuales independientes que no tienen acceso a un
servidor host físico.

El hipervisor de Azure actúa como un micronúcleo y pasa todas las solicitudes

de acceso al hardware desde las máquinas virtuales invitadas hasta el host para
procesarlas mediante una interfaz de memoria compartida denominada VMBus. Esto
impide que los usuarios obtengan acceso de lectura/escritura/ejecución sin
procesar en el sistema y reduce el riesgo de compartir recursos del sistema.

Algoritmo avanzado de selección de ubicación de la máquina virtual y protección

frente a ataques de canal lateral
Cualquier ataque entre máquinas virtuales conlleva dos pasos: situar una
máquina virtual controlada por el adversario en el mismo host que una de las
máquinas virtuales víctimas y, a continuación, romper el límite de aislamiento
para robar información confidencial de la víctima o afectar a su rendimiento
por codicia o vandalismo. Microsoft Azure proporciona protección frente a ambos
pasos mediante el uso de un algoritmo avanzado de selección de ubicación de
máquinas virtuales y protección frente a todos los ataques de canal lateral
conocidos, incluidos los ataques de máquinas virtuales vecinas que puedan
generar ruido.

Controlador de tejido de Azure

El controlador de tejido de Azure es responsable de asignar recursos de
infraestructura a cargas de trabajo de inquilinos y administra las
comunicaciones unidireccionales desde el host hasta las máquinas virtuales. El
algoritmo de selección de ubicación de máquinas virtuales del controlador de
tejido de Azure es muy sofisticado y casi imposible de predecir en el nivel de
host físico.

El hipervisor de Azure fuerza la separación de la memoria y el proceso entre

las máquinas virtuales y enruta de forma segura el tráfico de red a los
inquilinos del sistema operativo invitado. Esto elimina la posibilidad de
cualquier ataque de canal lateral en el nivel de máquina virtual.

En Azure, la máquina virtual raíz es especial: ejecuta un sistema operativo

reforzado llamado sistema operativo raíz que hospeda un agente de tejido. Los
agentes de tejido sirven a su vez para administrar agentes de invitado en los
sistemas operativos de invitado en las máquinas virtuales de los clientes. Los
agentes de tejido también administran los nodos de almacenamiento.

El conjunto del hipervisor de Azure, el sistema operativo raíz y los agentes de

tejido, y las máquinas virtuales y los agentes de invitado componen un nodo de
proceso. Los agentes de tejido son administrados por un controlador de tejido
que se encuentra fuera de los nodos de proceso y almacenamiento (los clústeres
de proceso y almacenamiento se administran mediante controladores de tejido
diferentes). Si un cliente actualiza el archivo de configuración de la
aplicación mientras se está ejecutando, el controlador de tejido se comunica
con el agente de tejido que, a continuación, se pone en contacto con los
agentes de invitado, los cuales notifican a la aplicación del cambio de
configuración. Si se produce un error de hardware, el controlador de tejido
encontrará automáticamente hardware disponible y reiniciará la máquina virtual
en este.
La comunicación desde un controlador de tejido con un agente es unidireccional.
El agente implementa un servicio protegido por SSL que solo responde a las
solicitudes realizadas desde el controlador. No puede iniciar conexiones con el
controlador ni con otros nodos internos con privilegios. El controlador de
tejido trata todas las respuestas como si no fueran de confianza.

El aislamiento se extiende desde la máquina virtual raíz a las máquinas

virtuales invitadas y a las máquinas virtuales invitadas entre sí. Los nodos de
proceso también están aislados de los nodos de almacenamiento para mejorar la
protección.

El hipervisor y el sistema operativo host proporcionan filtros de paquetes de

red para ayudar a garantizar que las máquinas virtuales que no son de confianza
no puedan generar tráfico simulado o recibir tráfico no dirigido a ellas, para
dirigir tráfico a puntos de conexión protegidos de la infraestructura, y para
enviar y recibir tráfico de difusión inadecuado.

Reglas adicionales configuradas por el agente del controlador de tejido para

aislar la máquina virtual
De forma predeterminada, cuando se crea una máquina virtual, se bloquea todo el
tráfico y luego el agente del controlador de tejido configura el filtro de
paquetes para agregar reglas y excepciones a fin de permitir el tráfico
autorizado.

Se programan dos categorías de reglas:

Reglas de infraestructura o configuración de la máquina: De forma

predeterminada, se bloquea toda comunicación. Existen excepciones para
permitir que una máquina virtual envíe y reciba tráfico DHCP y DNS. Las
máquinas virtuales también pueden enviar tráfico a la Internet "pública" y
 a otras máquinas virtuales de la instancia de Azure Virtual Network y al
servidor de activación del sistema operativo. La lista de destinos de
salida permitidos de las máquinas virtuales no incluye subredes de
enrutador de Azure, administración de Azure y otras propiedades de
Microsoft.

Archivo de configuración de roles: define las listas de control de

acceso (ACL) de entrada según el modelo de servicio del inquilino.

Aislamiento de VLAN
Hay tres redes VLAN en cada clúster:

La red VLAN principal: interconecta nodos de cliente que no son de

confianza.

La red VLAN FC: contiene controladores de tejido (FC) de confianza y

sistemas auxiliares

La red VLAN de dispositivo: contiene dispositivos de red y otra

infraestructura de confianza

Se permite la comunicación desde la VLAN FC a la VLAN principal, pero no se

puede iniciar desde la VLAN principal hacia la VLAN FC. La comunicación también
está bloqueada desde la VLAN principal hacia la VLAN de dispositivo. Esto
asegura que incluso si un nodo que ejecuta código del cliente se ve
comprometido, no puede atacar nodos ni de la VLAN FC ni de las VLAN de
dispositivo.

Aislamiento de almacenamiento
Aislamiento lógico entre Compute y Storage
Como parte fundamental de su diseño, Microsoft Azure separa las máquinas
virtuales de proceso y las de almacenamiento. Esta separación permite escalar
la computación y el almacenamiento de forma independiente, facilitando así el
multiinquilinato y el aislamiento.

Por tanto, Azure Storage se ejecuta en hardware independiente sin conectividad

de red con Azure Compute, excepto en el nivel lógico. Esto significa que,
cuando se crea un disco virtual, no se asigna espacio en disco para toda su
capacidad. En su lugar, se crea una tabla que asigna direcciones en el disco
virtual a las áreas en el disco físico y la tabla está inicialmente vacía. La
primera vez que un cliente escribe datos en el disco virtual, se asigna
espacio en el disco físico y se coloca un puntero a este en la tabla.

Aislamiento con Storage Access Control

Azure Storage Access Control tiene un modelo de control de acceso simple.
Cada suscripción de Azure puede crear una o más cuentas de almacenamiento. Cada
cuenta de almacenamiento tiene una única clave secreta que se utiliza para
controlar el acceso a todos los datos de esa cuenta de almacenamiento.

El acceso a los datos de Azure Storage (incluidas las tablas) se puede

controlar con un token SAS (Firma de acceso compartido), que concede acceso de
ámbito. El token SAS se crea mediante una plantilla de consulta (URL) firmada
con la SAK (Clave de la cuenta de almacenamiento). Esta URL firmada se puede
entregar a otro proceso (delegado), que puede completar los detalles de la
consulta y hacer la petición al servicio de almacenamiento. Un token SAS le
permite conceder acceso temporal a los clientes sin revelar la clave secreta de
la cuenta de almacenamiento.

Esto significa que puede conceder permisos limitados a los clientes a objetos
en su cuenta de almacenamiento durante un período específico y con un conjunto
determinado de permisos. Se pueden conceder estos permisos limitados sin tener
que compartir las claves de acceso de su cuenta.

Aislamiento del almacenamiento en el nivel de dirección IP

Puede establecer firewalls y definir un intervalo de direcciones IP para los
clientes de confianza. Con un intervalo de direcciones IP, solo los clientes
que tengan una dirección IP dentro del intervalo definido podrán conectarse a
Azure Storage.

Los datos de almacenamiento de IP se pueden proteger contra usuarios no

autorizados mediante un mecanismo de red que se utiliza para asignar un túnel
de tráfico dedicado al almacenamiento de IP.

Cifrado
Azure ofrece los siguientes tipos de cifrado para proteger los datos:

Cifrado en tránsito

Cifrado en reposo

Cifrado en tránsito

Cifrado en tránsito es un mecanismo para proteger datos cuando se transmiten a

través de redes. Con Azure Storage, puede proteger los datos mediante:

Cifrado de nivel de transporte, como HTTPS para transferir datos a Azure

Storage o desde este servicio.

Cifrado en el cable, como el cifrado SMB 3.0 para recursos compartidos de

Azure File.

Cifrado de cliente, para cifrar los datos antes de transferirlos al

almacenamiento y descifrarlos una vez transferidos desde este servicio.

Cifrado en reposo

Para muchas organizaciones, el cifrado de los datos en reposo es un paso

obligatorio en lo que respecta a la privacidad de los datos, el cumplimiento y
la soberanía de los datos. Hay tres características de Azure que proporcionan
cifrado de datos "en reposo":

Cifrado del servicio de almacenamiento permite solicitar que el servicio

de almacenamiento cifre automáticamente los datos al escribirlos en Azure
Storage.

Cifrado de cliente también proporciona la característica de cifrado en

reposo.

Azure Disk Encryption permite cifrar los discos de datos y del sistema
operativo usados por una máquina virtual de IaaS.

Azure Disk Encryption

Azure Disk Encryption para máquinas virtuales le ayuda solucionar los aspectos
de seguridad y cumplimiento normativo de su organización, ya que cifra los
discos de las máquinas virtuales (incluidos los discos de inicio y de datos)
con claves y directivas que se controlan en Azure Key Vault.

La solución Cifrado de discos para Windows se basa en la tecnología de Cifrado

de unidad BitLocker de Microsoft, y la solución de Linux se basa en dm-crypt.

La solución admite los siguientes escenarios para las máquinas virtuales IaaS
cuando se habilitan en Microsoft Azure:

Integración con Azure Key Vault

 VM de nivel estándar: VM IaaS de las series A, D, DS, G, GS, etc.

Habilitación del cifrado en máquinas virtuales IaaS Linux y Windows

Deshabilitación del cifrado en las unidades de datos y del sistema

operativo en máquinas virtuales IaaS Windows

Deshabilitación del cifrado en unidades de datos en máquinas virtuales

IaaS Linux

Habilitación del cifrado en máquinas virtuales IaaS que ejecutan el

sistema operativo cliente de Windows

Habilitación del cifrado en volúmenes con rutas de montaje

Habilitación del cifrado en máquinas virtuales Linux configuradas con

seccionamiento de disco (RAID) mediante mdadm

Habilitación del cifrado en máquinas virtuales Linux mediante el uso de

LVM (administrador de discos lógicos) en los discos de datos

Habilitación del cifrado en máquinas virtuales con Windows configuradas

mediante Espacios de almacenamiento

Se admiten todas las regiones públicas de Azure.

La solución no admite los siguientes escenarios, características y tecnologías

en la versión:

Máquinas virtuales IaaS de nivel básico

Deshabilitación del cifrado en una unidad del sistema operativo para

máquinas virtuales IaaS Linux

Máquinas virtuales IaaS creadas con el método clásico de generación de

máquinas virtuales

Integración con el Servicio de administración de claves local

Azure Files (sistema de archivos compartido), Network File System (NFS),

volúmenes dinámicos y máquinas virtuales Windows configuradas con sistemas
RAID basadas en software

Aislamiento de base de datos de SQL Azure

SQL Database es un servicio de bases de datos relacionales de Microsoft Cloud
que usa el motor de Microsoft SQL Server líder del mercado, lo que le permite
controlar cargas de trabajo críticas. SQL Database ofrece aislamiento de datos
predecible en el nivel de cuenta, basado en región o área geográfica, o basado
en red, todo ello con una administración prácticamente inexistente.

Modelo de aplicación de SQL Azure

Microsoft SQL Azure Database es un servicio de base de datos relacional en la
nube que se basa en la tecnología de SQL Server. Proporciona un servicio de
base de datos de alta disponibilidad, escalable y multiinquilino, hospedado por
Microsoft en la nube.

Desde una perspectiva de la aplicación, SQL Azure proporciona la siguiente

jerarquía: Cada nivel tiene independencia de niveles de uno a varios.
Cuenta y suscripción son conceptos de la plataforma de Microsoft Azure para
asociar la facturación y la administración.

Servidores y bases de datos lógicas son conceptos específicos de SQL Azure y se

administran mediante SQL Azure, que proporciona interfaces OData y TSQL, o bien
con el portal de SQL Azure integrado en Azure Portal.

Los servidores de SQL Azure no son físicos ni instancias de máquinas virtuales,

son colecciones de bases de datos que comparten administración y directivas de
seguridad almacenadas en una base de datos llamada “maestra lógica”.

Las bases de datos “maestras lógicas” incluyen:

Inicios de sesión SQL usados para conectarse al servidor

Reglas de firewall

No se garantiza que la información de facturación y aquella relacionada con el

uso de las bases de datos de SQL Azure en el mismo servidor lógico estén en la
misma instancia física en un clúster de SQL Azure; en su lugar, las
aplicaciones deben proporcionar el nombre de la base de datos de destino al
conectarse.

Desde la perspectiva del cliente, un servidor lógico se crea en un región

geográfica, en tanto que la creación real del servidor se produce en uno de los
clústeres de la región.

Aislamiento mediante topología de red

Cuando se crea un servidor lógico y se registra su nombre DNS, el nombre DNS
apunta a la dirección “VIP de puerta de enlace” del centro de datos específico
en el que se sitúa el servidor.
Detrás de la dirección VIP (dirección IP virtual), tenemos una colección de
servicios de puerta de enlace sin estado. En general, las puertas de enlace se
ven involucradas cuando hay necesidades de coordinación entre varios orígenes
de datos (base de datos maestra, base de datos de usuario, etc). Los servicios
de puerta de enlace implementan lo siguiente:

Proxy de conexión TDS. Esto incluye ubicar la base de datos de usuario

en el clúster back-end, implementar la secuencia de inicio de sesión y, a
continuación, reenviar los paquetes TDS al back-end y de vuelta.

Administración de bases de datos. Esto incluye la implementación de una

colección de flujos de trabajo para realizar operaciones de base de datos
CREATE, ALTER y DROP. Las operaciones de base de datos se pueden invocar
mediante el rastreo de paquetes TDS o mediante API de OData explícitas.

Operaciones de usuario, de inicio de sesión, CREATE, ALTER y DROP

Operaciones de administración del servidor lógico a través de API de OData

La capa situada detrás de las puertas de enlace se denomina "back-end". Ahí es

donde se almacenan todos los datos en modo de alta disponibilidad. Cada parte
de los datos se dice que pertenece a una "partición" o "unidad de conmutación
por error", cada una de las cuales tiene al menos tres réplicas. El motor de
SQL Server almacena y replica las réplicas, que se administran mediante un
sistema de conmutación por error, habitualmente conocido como "tejido".

Por lo general, el sistema back-end no tiene comunicaciones salientes a otros

sistemas como precaución de seguridad. Eso se reserva para los sistemas de la
capa front-end (puerta de enlace). Las máquinas de la capa de puerta de enlace
tienen privilegios limitados en las máquinas back-end para minimizar la
superficie de ataque como un mecanismo de defensa en profundidad.
Aislamiento por función y acceso de la máquina
SQL Azure se compone de servicios que se ejecutan en máquinas de funciones
diferentes. SQL Azure se divide en la base de datos en la nube “back-end” y
entornos “front-end” (puerta de enlace y administración), con el principio
general de que el tráfico va hacia el sistema back-end pero no sale de él. El
entorno front-end puede comunicarse con cualquier otro servicio exterior y, en
general, solo tiene permisos limitados en el entorno back-end (los suficientes
para llamar a los puntos de entrada que necesita invocar).

Aislamiento de red
La implementación de Azure tiene varios niveles de aislamiento de red. El
siguiente diagrama muestra los diferentes niveles de aislamiento de red que
Azure proporciona a los clientes. Estos niveles son nativos en la plataforma de
Azure y también son características definidas por el cliente. En la entrada
desde Internet, DDoS de Azure proporciona aislamiento frente a ataques a gran
escala contra Azure. En el siguiente nivel de aislamiento están las direcciones
IP públicas (puntos de conexión) definidas por el cliente que se usan para
determinar el tráfico que puede pasar desde el servicio en la nube a la red
virtual. El aislamiento de la red virtual de Azure nativa garantiza un
aislamiento completo de todas las demás redes y que el tráfico solo fluya a
través de los métodos y las rutas de acceso configurados por el usuario. Estas
rutas de acceso y métodos son el siguiente nivel, en el que se pueden usar NSG,
UDR y dispositivos de red virtual para crear límites de aislamiento y así
proteger las implementaciones de aplicaciones en la red protegida.

Aislamiento del tráfico: una red virtual es el límite para aislamiento del
tráfico en la plataforma Azure. Las máquinas virtuales de una red virtual no se
pueden comunicar directamente con las máquinas virtuales de otra red virtual,
incluso si las dos redes virtuales las creó el mismo cliente. El aislamiento
consiste en una propiedad fundamental que garantiza que las máquinas virtuales
del cliente y la comunicación sigan siendo privadas en una red virtual.

Subred ofrece un nivel de aislamiento adicional de la red virtual basado en un

intervalo de direcciones IP. Direcciones IP en la red virtual, puede dividir
una red virtual en varias subredes por organización y seguridad. Las instancias
de rol de PaaS y máquinas virtuales implementadas en subredes (iguales o
distintas) dentro de una red virtual pueden comunicarse entre sí sin ninguna
configuración adicional. También puede configurar grupos de seguridad de red
(NSG) para permitir o denegar el tráfico de red a una instancia de máquina
virtual en función de las reglas configuradas en la lista de control de acceso
(ACL) del NSG. Los NSG se pueden asociar con las subredes o las instancias
individuales de máquina virtual dentro de esa subred. Cuando un NSG está
asociado a una subred, las reglas de la ACL se aplican a todas las instancias
de la máquina virtual de esa subred.

Pasos siguientes
Más información sobre opciones de aislamiento de red para máquinas Windows
en redes virtuales de Azure. Esto incluye el escenario de front-end y
back-end clásico en el que las máquinas de una determinada red o subred
back-end pueden permitir conectarse solo a determinados clientes o equipos
a un punto de conexión en particular, en función de una lista de
direcciones IP autorizadas.

Más información sobre aislamiento de máquinas virtuales de Azure. Azure

Compute ofrece tamaños de máquinas virtuales que están aislados para un
tipo concreto de hardware y dedicados a un solo cliente.
 Información general sobre seguridad de
administración de identidades de Azure
23/03/2020 • 19 minutes to read • Edit Online

La administración de identidades es el proceso de autenticación y autorización

de las entidades de seguridad. También implica controlar información acerca de
esas entidades de seguridad (identidades). Las entidades de seguridad
(identidades) pueden incluir servicios, aplicaciones, usuarios, grupos, etc.
Las soluciones de administración de identidades y acceso de Microsoft ayudan al
departamento de TI a proteger el acceso a las aplicaciones y los recursos en el
centro de datos corporativo y en la nube. Esta protección permite que haya más
niveles de validación, como Multi-Factor Authentication y las directivas de
acceso condicional. La supervisión de actividades sospechosas mediante
auditorías, alertas e informes de seguridad avanzados contribuye a minimizar
los posibles problemas de seguridad. Azure Active Directory Premium ofrece un
inicio de sesión único (SSO) para miles de aplicaciones de software como
servicio (SaaS) en la nube y acceso a aplicaciones web que se ejecutan de forma
local.

Si aprovecha las ventajas en materia de seguridad de Azure Active Directory

(Azure AD), podrá:

Crear y administrar una identidad única para cada usuario en toda la empresa
híbrida, lo que mantiene los usuarios, grupos y dispositivos sincronizados.
Proporcionar acceso de SSO a las aplicaciones, incluidas miles de
aplicaciones SaaS preintegradas.
Habilitar la seguridad del acceso de las aplicaciones mediante la aplicación
de Multi-Factor Authentication basado en reglas para las aplicaciones locales
y en la nube.
Proporcionar un acceso remoto seguro a las aplicaciones web locales a través
del proxy de la aplicación de Azure AD.

El objetivo de este artículo es proporcionar una visión general de las

principales características de seguridad de Azure que contribuyen a la
administración de identidades. Además, se incluyen vínculos a artículos que
ofrecen detalles de cada una de estas características para que pueda tener más
información al respecto.

El artículo se centra en las siguientes funcionalidades de administración de

identidades de Azure principales:

Inicio de sesión único

Proxy inverso
Multi-Factor Authentication
Control de acceso basado en roles (RBAC)
Supervisión de seguridad, alertas e informes basados en aprendizaje
automático
Administración de identidades y acceso de consumidores
Registro de dispositivos
Privileged Identity Management
 Protección de identidad
Administración de identidades híbridas/Azure AD Connect
Revisiones de acceso de Azure AD

Inicio de sesión único

SSO significa tener acceso a todas las aplicaciones y los recursos que necesita
para hacer negocios, al iniciar sesión una sola vez con una única cuenta de
usuario. Una vez que ha iniciado sesión, puede tener acceso a todas las
aplicaciones que necesite sin tener que autenticarse (por ejemplo, escribiendo
una contraseña) una segunda vez.

Muchas organizaciones se basan en aplicaciones SaaS tales como Office 365, Box
y Salesforce para la productividad del usuario. Tradicionalmente, el personal
de TI tenía que crear y actualizar individualmente cuentas de usuario en cada
aplicación SaaS y los usuarios tenían que recordar una contraseña para cada
aplicación SaaS.

Azure AD extiende los entornos de Active Directory locales a la nube, lo que

permite a los usuarios usar su cuenta de organización principal para iniciar
sesión no solo en sus dispositivos unidos a dominios y recursos de la empresa,
sino también en todas las aplicaciones web y SaaS necesarias para su trabajo.

Los usuarios no solo no tienen que administrar varios conjuntos de nombres de

usuario y contraseñas, sino que se puede aprovisionar o desaprovisionar el
acceso a las aplicaciones automáticamente en función de los grupos de la
organización y de su estado de empleado. Azure AD introduce controles de
gobernanza de acceso y seguridad con los que puede gestionar de forma
centralizada el acceso de los usuarios a través de aplicaciones SaaS.

Más información:

Información general de inicio de sesión único

¿Qué es el acceso a aplicaciones y el inicio de sesión único con Azure Active
Directory?
Integración del inicio de sesión único de Azure Active Directory con
aplicaciones SaaS

Proxy inverso
El proxy de aplicación de Azure AD permite publicar aplicaciones locales (como
sitios de SharePoint, Outlook Web App y aplicaciones basadas en IIS) en la red
privada y proporciona un acceso seguro a los usuarios externos a la red. El
proxy de aplicación ofrece acceso remoto y de SSO para muchos tipos de
aplicaciones web locales, junto con las miles de aplicaciones SaaS que Azure AD
admite. Los empleados pueden iniciar sesión en sus aplicaciones desde casa, en
sus propios dispositivos, y autenticarse a través de este proxy basado en la
nube.

Más información:

Habilitación del proxy de la aplicación de Azure AD

Publicación de aplicaciones mediante el proxy de aplicación de Azure AD
Inicio de sesión único con el proxy de aplicación
 Uso del acceso condicional

Multi-Factor Authentication
Azure Multi-factor Authentication es un método de autenticación que requiere el
uso de más de un método de verificación y agrega un segundo nivel de seguridad
crítico a las transacciones y los inicios de sesión del usuario. Multi-Factor
Authentication le ayudará a proteger el acceso a los datos y las aplicaciones,
además de satisfacer la demanda de los usuarios de un proceso de inicio de
sesión simple. Proporciona autenticación sólida mediante diversas opciones de
verificación: llamadas telefónicas, mensajes de texto, notificaciones de
aplicaciones móviles, códigos de verificación y tokens OAuth de terceros.

Más información:

Multi-Factor Authentication
¿Qué es Azure Multi-Factor Authentication?
Cómo funciona Azure Multi-Factor Authentication

RBAC
RBAC es un sistema de autorización basado en Azure Resource Manager que
proporciona administración de acceso específico a los recursos de Azure. RBAC
permite controlar el nivel de acceso que tienen los usuarios de forma granular.
Por ejemplo, puede limitar a un usuario para que solo administre redes
virtuales y otro usuario para que administre todos los recursos de un grupo de
recursos. Azure incluye varios roles integrados que puede usar. A continuación
se enumeran cuatros roles integrados fundamentales. Los tres primeros se
aplican a todos los tipos de recursos.

Más información:

¿Qué es el control de acceso basado en rol (RBAC)?

Roles integrados en los recursos de Azure

Supervisión de seguridad, alertas e informes

basados en aprendizaje automático
La supervisión de seguridad, las alertas y los informes basados en aprendizaje
automático que identifican patrones de acceso incoherentes, pueden ayudarle a
proteger su negocio. Puede usar los informes de acceso y uso de Azure AD para
proporcionar visibilidad de la integridad y la seguridad del directorio de la
organización. Con esta información, un administrador de directorios puede
determinar mejor dónde puede haber posibles riesgos de seguridad de modo que
pueda planear adecuadamente la mitigación de estos riesgos.

En Azure Portal, los informes se dividen en las siguientes categorías:

Informes de anomalías : contienen eventos de inicio de sesión que se

consideran anómalos. Nuestro objetivo es que sea consciente de dicha
actividad y que pueda tomar una decisión sobre si un evento es sospechoso.
Informes de aplicaciones integradas : proporciona información sobre cómo se
usan en la organización las aplicaciones en la nube. Azure AD ofrece
integración con miles de aplicaciones en la nube.
 Informes de errores : indican errores que se pueden producir al aprovisionar
cuentas en aplicaciones externas.
Informes específicos del usuario : muestran los datos de actividad de
dispositivo o de inicio de sesión de un usuario concreto.
Registros de actividad : contienen un registro de todos los eventos
auditados en las últimas 24 horas, los últimos 7 días o los últimos 30 días,
así como los cambios en la actividad del grupo y la actividad de registro y
de restablecimiento de contraseña.

Más información:

Visualización de los informes de acceso y uso

Introducción a los informes de Azure Active Directory
Guía de informes de Azure Active Directory

Administración de identidades y acceso de

consumidores
Azure AD B2C es un servicio de administración de identidades global y de alta
disponibilidad para aplicaciones orientadas al consumidor que se puede escalar
hasta cientos de millones de identidades. Se puede integrar en plataformas
móviles y web. Los consumidores pueden conectarse a todas sus aplicaciones con
una experiencia totalmente personalizable, usando sus cuentas de las redes
sociales o mediante credenciales nuevas.

En el pasado, los desarrolladores de aplicaciones que querían registrar

clientes e iniciar sesión en sus aplicaciones tenían que escribir su propio
código. Y usaban bases de datos o sistemas locales para almacenar nombres de
usuario y contraseñas. Azure AD B2C ofrece a su organización una manera mejor
de integrar la administración de identidades de consumidor en las aplicaciones
gracias a la ayuda de una plataforma segura basada en estándares y un amplio
conjunto de directivas extensibles.

El uso de Azure AD B2C permite a los consumidores registrarse en las

aplicaciones con sus cuentas de redes sociales existentes (Facebook, Google,
Amazon, LinkedIn) o creando unas credenciales (dirección de correo electrónico
y contraseña o nombre de usuario y contraseña).

Más información:

¿Qué es Azure Active Directory B2C?

Azure Active Directory B2C (versión preliminar): Registro e inicio de sesión
de los consumidores en las aplicaciones
Azure Active Directory B2C (versión preliminar): tipos de aplicaciones

Registro de dispositivos
El registro de dispositivos de Azure AD es la base de los escenarios de acceso
condicional basado en dispositivos. Cuando se registra un dispositivo, el
Registro de dispositivos de Azure AD le proporciona una identidad que se
utiliza para autenticar el dispositivo cuando el usuario inicia sesión. El
dispositivo autenticado y los atributos del dispositivo pueden utilizarse para
aplicar directivas de acceso condicional tanto a las aplicaciones que se
hospedan en la nube como en el entorno local.
Cuando se combina con una solución de administración de dispositivos móviles
como Intune, los atributos del dispositivo en Azure AD se actualizan con
información adicional sobre este. Luego se pueden crear reglas de acceso
condicional que exijan que el acceso desde los dispositivos cumpla las normas
de seguridad y cumplimiento.

Más información:

Introducción al Registro de dispositivos de Azure Active Directory

Registro automático de dispositivos en Azure AD para dispositivos Windows
unidos a un dominio
Configuración del registro automático de dispositivos unidos a un dominio de
Windows con Azure Active Directory

Privileged Identity Management

Con Azure AD Privileged Identity Management, puede administrar, controlar y
supervisar las identidades con privilegios y el acceso a los recursos en Azure
AD y en otros servicios en línea de Microsoft, como Office 365 y Microsoft
Intune.

En ocasiones, los usuarios tienen que realizar operaciones con privilegios en

recursos de Azure u Office 365 o en otras aplicaciones SaaS. Esta necesidad
suele acarrear que las organizaciones tienen que dar a los usuarios acceso con
privilegios permanente en Azure AD. Este acceso es un riesgo de seguridad cada
vez mayor para los recursos hospedados en la nube, ya que las organizaciones no
pueden supervisar suficientemente lo que los usuarios hacen con sus privilegios
de administrador. Además, si una cuenta de usuario con acceso privilegiado se
ve comprometida, esa vulneración podría afectar a la seguridad global de la
organización en la nube. Azure AD Privileged Identity Management le ayuda a
mitigar este riesgo.

Con Azure AD Privileged Identity Management, podrá:

Ver los usuarios que son administradores de Azure AD.

Habilitar el acceso administrativo Just-In-Time (JIT) a petición a servicios
de Microsoft tales como Office 365 e Intune.
Obtener informes sobre el historial de acceso de administrador y los cambios
en las asignaciones de administrador.
Obtener alertas sobre el acceso a un rol con privilegios.

Más información:

¿Qué es Azure AD Privileged Identity Management?

Asignación de roles de directorio de Azure AD en PIM

Protección de identidad
Azure AD Identity Protection es un servicio de seguridad que proporciona una
vista consolidada de las detecciones de riesgo y las vulnerabilidades
potenciales que afectan a las identidades de su organización. Identity
Protection aprovecha las funcionalidades de detección de anomalías de Azure AD
existentes, que están disponibles a través de los informes de actividades
anómalas de Azure AD. Identity Protection también incluye nuevos tipos de
detección de riesgo que pueden detectar anomalías en tiempo real.
Más información:

Azure AD Identity Protection

Channel 9: Azure AD and Identity Show: Identity Protection Preview

Administración de identidades híbridas/Azure AD

Connect
Las soluciones de identidad de Microsoft abarcan funcionalidades locales y de
nube, de forma que se crea una sola identidad de usuario para la autenticación
y la autorización en todos los recursos, sin importar su ubicación. A esto le
llamamos identidad híbrida. Azure AD Connect es la herramienta de Microsoft
diseñada para satisfacer y lograr sus objetivos de identidad híbrida. Esto le
permite proporcionar una identidad común para los usuarios de aplicaciones de
Office 365, Azure y SaaS integradas con Azure AD. Ofrece las siguientes
características:

Synchronization
Integración de federación y AD FS
Autenticación de paso a través
Supervisión del estado

Más información:

Notas del producto sobre identidad híbrida

Azure Active Directory
Blog del equipo de Azure AD

Revisiones de acceso de Azure AD

Las revisiones de acceso de Azure Active Directory (Azure AD) permiten a las
organizaciones administrar de forma eficiente la pertenencia a grupos, el
acceso a las aplicaciones empresariales y las asignaciones de roles con
privilegios.

Más información:

Revisiones de acceso de Azure AD

Administración del acceso de los usuarios con las revisiones de acceso de
Azure AD
 Procedimientos recomendados para la
administración de identidades y la
seguridad del control de acceso en
Azure
23/03/2020 • 50 minutes to read • Edit Online

En este artículo, se trata un conjunto de procedimientos recomendados para la

seguridad del control de acceso y la administración de identidades en Azure.
Estos procedimientos recomendados proceden de nuestra experiencia con Azure AD
y las experiencias de clientes como usted.

Para cada procedimiento recomendado, explicaremos:

Qué es el procedimiento recomendado

Por qué le conviene habilitar este procedimiento recomendado
Cuál podría ser el resultado si no habilita el procedimiento recomendado
Alternativas posibles al procedimiento recomendado
Cómo aprender a habilitar el procedimiento recomendado

Este artículo sobre procedimientos recomendados para la seguridad del control

de acceso y la administración de identidades en Azure se basa en una opinión
consensuada y en las funcionalidades y conjuntos de características de la
plataforma de Azure que existen en el momento de su publicación.

Este artículo se escribió con el fin de proporcionar una guía general para
obtener una postura de seguridad más sólida después de la implementación guiada
por nuestra lista de comprobación "Cinco pasos para asegurar su infraestructura
de identidad", que le guía por los servicios y características principales.

Las opiniones y las tecnologías cambian con el tiempo, por lo que se

actualizará de forma periódica para reflejar esos cambios.

Los procedimientos recomendados para la seguridad del control de acceso y la

administración de identidades en Azure que se describen en este artículo son:

Tratar las amenazas como el perímetro de seguridad principal

Centralizar la administración de identidades
Administrar inquilinos conectados
Habilitar el inicio de sesión único
Activar el acceso condicional
Planeación de mejoras de seguridad rutinarias
Habilitación de la administración de contraseñas
Exigir a los usuarios la verificación multifactor
Uso del control de acceso basado en rol
Menor exposición de las cuentas con privilegios
Controlar las ubicaciones donde se encuentran los recursos
Uso de Azure AD para la autenticación de almacenamiento

Tratar las amenazas como el perímetro de seguridad

principal
Muchos consideran que la identidad es el perímetro principal para la seguridad.
Se trata de un cambio desde el enfoque tradicional de seguridad de red. Los
perímetros de red continúan volviéndose más porosos y esa defensa perimetral no
puede ser tan eficaz como lo era antes de la explosión de dispositivos y
aplicaciones en la nube de BYOD.

Azure Active Directory (Azure AD) es la solución de Azure para la

administración de identidades y de acceso. Azure AD es un servicio de
administración de identidades y directorios multiinquilino basado en la nube de
Microsoft. Combina servicios de directorio fundamentales, la administración del
acceso a las aplicaciones y la protección de identidades en una única solución.

En las siguientes secciones se enumeran los procedimientos recomendados de

seguridad de acceso e identidades con Azure AD.

Procedimiento recomendado : Centre los controles y las detecciones de

seguridad en torno a las identidades de usuario y servicio. Detalles : Use
Azure AD para colocar los controles e identidades.

Centralizar la administración de identidades

En un escenario de identidad híbrida, se recomienda integrar los directorios en
el entorno local y en la nube. La integración permite al equipo de TI
administrar las cuentas desde una ubicación, independientemente de donde se
crea una cuenta. La integración también hace que los usuarios sean más
productivos, ya que proporciona una identidad común para tener acceso a
recursos de la nube y del entorno local.

Procedimiento recomendado : establecer una única instancia de Azure AD. La

coherencia y tener un solo origen de autoridad aumentará la claridad y reducirá
los riesgos de seguridad originados por errores humanos, así como la
complejidad de la configuración. Detalles : designe un solo directorio de Azure
AD como origen de autoridad de cuentas corporativas y de la organización.

Procedimiento recomendado : Integración de los directorios locales con Azure

AD.
Detalles : use Azure AD Connect para sincronizar el directorio local con el
directorio en la nube.

NOTE
Existen factores que afectan al rendimiento de una instancia de Azure AD Connect. Asegúrese de
que Azure AD Connect tiene capacidad suficiente para impedir que los sistemas con un
rendimiento deficiente obstaculicen la seguridad y productividad. Las organizaciones grandes o
complejas (organizaciones que aprovisionan más de 100 000 objetos) deben seguir las
recomendaciones para optimizar su implementación de Azure AD Connect.

Procedimiento recomendado : no sincronizar las cuentas de Azure AD que tienen

privilegios elevados en la instancia de Active Directory existente. Detalles :
no cambie el valor predeterminado de la configuración de Azure AD Connect que
filtra estas cuentas. Esta configuración reduce el riesgo de que un adversario
pase de la nube a los recursos locales (lo que podría crear un incidente de
primera magnitud).
Procedimiento recomendado : Activación de la sincronización de hashes de
contraseñas.
Detalles : la sincronización de hash de contraseñas es una característica que
sirve para sincronizar hash de contraseñas de usuario de una instancia de
Active Directory local con otra de Azure Active Directory (Azure AD) basada en
la nube. Esta sincronización ayuda a protegerse de la reutilización de
credenciales filtradas obtenidas en ataques anteriores.

Aunque decida usar la federación con Servicios de federación de Active

Directory (AD FS) u otros proveedores de identidades, si quiere, puede
configurar la sincronización de hashes de contraseñas para tener una opción
alternativa si los servidores locales sufren un error o dejan de estar
disponibles temporalmente. Esta sincronización permite que los usuarios inicien
sesión en el servicio con la misma contraseña que usan para iniciar sesión en
su instancia local de Active Directory. También permite que Identity Protection
detecte las credenciales que están en peligro mediante la comparación de los
hash de contraseña sincronizados con contraseñas que se sepa que están en
peligro, si un usuario ha usado su misma dirección de correo electrónico y
contraseña en otros servicios que no estén conectados a Azure AD.

Para más información, consulte Implement password hash synchronization with

Azure AD Connect sync (Implementación de la sincronización de hash de
contraseñas mediante la sincronización de Azure AD Connect).

Procedimiento recomendado : Para el desarrollo de nuevas aplicaciones, usar

Azure AD para la autenticación. Detalles : use las capacidades adecuadas para
admitir la autenticación:

Azure AD para los empleados.

B2B de Azure AD para los usuarios invitados y socios externos.
Azure AD B2C para controlar el modo en que los clientes se suscriben,
inician sesión y administran sus perfiles al usar las aplicaciones.

Las organizaciones que no integren la identidad del entorno local con la

identidad en la nube pueden tener mayor sobrecarga para administrar cuentas.
Esta sobrecarga aumenta la probabilidad de que haya errores e infracciones de
seguridad.

NOTE
Debe elegir en qué directorios van a residir las cuentas críticas y si la estación de trabajo
de administración empleada se administra mediante servicios en la nube nuevos o mediante
procesos ya existentes. Usar los procesos de aprovisionamiento de identidades y administración
existentes puede reducir algunos riesgos, pero también puede crear el riesgo de que un atacante
ponga en peligro una cuenta local y pase a la nube. Es posible que desee usar una estrategia
diferente para distintos roles (por ejemplo, administradores de TI frente a administradores de
unidades de negocio). Tiene dos opciones: La primera es crear cuentas de Azure AD que no estén
sincronizadas con la instancia local de Active Directory. Una su estación de trabajo de
administración a Azure AD, que se puede administrar y donde se pueden aplicar revisiones
mediante Microsoft Intune. La segunda consiste en usar cuentas de administrador existentes
mediante la sincronización de la instancia de Active Directory local. Use estaciones de trabajo
existentes en el dominio de Active Directory para la administración y seguridad.

Administrar inquilinos conectados

Su organización de seguridad necesita visibilidad para evaluar los riesgos y
determinar si se siguen las directivas de la organización, así como cualquier
requisito normativo. Debe asegurarse de que su organización de seguridad tiene
visibilidad en todas las suscripciones conectadas al entorno de producción y a
la red (a través de Azure ExpressRoute o VPN de sitio a sitio). Un
administrador global o un administrador de empresa en Azure AD puede elevar su
acceso al rol Administrador de acceso de usuario y ver todas las suscripciones
y los grupos administrados conectados al entorno.

Vea Elevación de los privilegios de acceso para administrar todas las

suscripciones y los grupos de administración de Azure para asegurarse de que
usted y su grupo de seguridad pueden ver todas las suscripciones o grupos de
administración conectados al entorno. Deberá quitar este acceso con privilegios
elevados después de haber evaluado los riesgos.

Habilitar el inicio de sesión único

En un mundo donde la nube y la movilidad son lo primero, resulta útil habilitar
el inicio de sesión único (SSO) en dispositivos, aplicaciones y servicios desde
cualquier sitio, de modo que los usuarios puedan ser productivos en cualquier
momento y lugar. Cuando es necesario administrar varias soluciones de
identidad, esto supone un problema administrativo no solo para TI, sino también
para los usuarios que tendrán que recordar varias contraseñas.

Mediante el uso de la misma solución de identidad para todas las aplicaciones y

los recursos, podrá disfrutar del SSO. Además, los usuarios podrán usar el
mismo conjunto de credenciales para iniciar sesión y acceder a los recursos que
necesitan, con independencia de dónde se ubiquen estos recursos, tanto si es en
el entorno local como en la nube.

Procedimiento recomendado : habilitar SSO.

Detalles : Azure AD extiende Active Directory del entorno local a la nube. Los
usuarios pueden usar su cuenta profesional o educativa principal para los
dispositivos unidos a un dominio, los recursos de la empresa y todas las
aplicaciones web y SaaS que necesitan para realizar su trabajo. Los usuarios no
tienen que recordar varios nombres de usuario y contraseñas y el acceso a las
aplicaciones por parte de los usuarios se puede aprovisionar (o
desaprovisionar) automáticamente, en función de su pertenencia a los grupos de
la organización y de su estado como empleado. Además, puede controlar el acceso
de las aplicaciones de la galería o de sus propias aplicaciones locales que ha
desarrollado y publicado mediante el proxy de la aplicación de Azure AD.

Use el SSO para permitir que los usuarios accedan a sus aplicaciones SaaS en
función de su cuenta profesional o educativa en Azure AD. Esto no solo es
aplicable a las aplicaciones para SaaS de Microsoft, sino también a otras
aplicaciones, como Google Apps y Salesforce. Puede configurar su aplicación de
modo que use Azure AD como un proveedor de identidades basado en SAML. Como
control de seguridad, Azure AD no emite ningún token que permita a los usuarios
iniciar sesión en la aplicación, a menos que se les conceda acceso mediante
Azure AD. Puede concederles acceso directamente o a través de un grupo al cual
pertenezcan.

Las organizaciones que no crean ninguna identidad común para establecer el SSO
para sus usuarios y aplicaciones están más expuestas a escenarios donde los
usuarios tienen varias contraseñas. Estos escenarios aumentan la probabilidad
de que los usuarios reutilicen las contraseñas o usen contraseñas débiles.

Activar el acceso condicional

Los usuarios pueden acceder a los recursos de su organización mediante diversos
dispositivos y aplicaciones desde cualquier lugar. Como administrador de TI,
quiere asegurarse de que estos dispositivos cumplan los estándares de seguridad
y cumplimiento. Ya no es suficiente con centrarse en quién puede acceder a un
recurso.

Para equilibrar la seguridad y la productividad, también debe pensar en cómo se

accede a un recurso antes de que pueda tomar una decisión de control de acceso.
Con el acceso condicional de Azure AD, puede abordar este requisito. Con el
acceso condicional, puede tomar decisiones de control de acceso automatizadas
en función de las condiciones para acceder a las aplicaciones en la nube.

Procedimiento recomendado : Administración y control del acceso a los

recursos corporativos.
Detalles : configure el acceso condicional de Azure AD en función del grupo, la
ubicación y la confidencialidad de las aplicaciones SaaS y las aplicaciones
conectadas a Azure AD.

Procedimiento recomendado : bloquear los protocolos de autenticación

heredados. Detalles : Los atacantes aprovechan a diario los puntos débiles de
protocolos anteriores, especialmente en ataques de difusión de contraseña.
Configure el acceso condicional para que bloquee los protocolos heredados. Vea
el vídeo Azure AD: Qué hacer y qué no para más información.

Planeación de mejoras de seguridad rutinarias

La seguridad está en constante evolución y es importante integrar en su
plataforma de administración de identidades y la nube una manera de mostrar
periódicamente el crecimiento y descubrir nuevas formas de proteger su entorno.

La puntuación de seguridad de la identidad es un conjunto de controles de

seguridad recomendados que Microsoft publica para ofrecer una puntuación
numérica que mide objetivamente su postura de seguridad y ayuda a planear
futuras mejoras de seguridad. También puede comparar su puntuación con las de
otros sectores, así como con sus propias tendencias a lo largo del tiempo.

Procedimiento recomendado : Planee revisiones y mejoras de seguridad

rutinarias basadas en los procedimientos recomendados del sector. Detalles :
Use la característica de puntuación de seguridad de la identidad para
clasificar las mejoras a lo largo del tiempo.

Habilitación de la administración de contraseñas

Si tiene varios inquilinos o quiere permitir que los usuarios restablezcan su
propia contraseña, es importante utilizar directivas de seguridad adecuadas
para evitar un uso inadecuado.

Procedimiento recomendado : Configuración del autoservicio de

restablecimiento de contraseña (SSPR) para los usuarios.
Detalles : use la característica de autoservicio de restablecimiento de
contraseña de Azure AD.

Procedimiento recomendado : Supervisar cómo se usa realmente SSPR o si se

puede usar.
Detalles : supervise los usuarios que se registran mediante el informe de
actividad de registro de restablecimiento de contraseña de Azure AD. La
característica de creación de informes que proporciona Azure AD le ayuda a
responder preguntas mediante informes creados previamente. Si está debidamente
protegido por licencia, también puede crear consultas personalizadas.

Procedimiento recomendado : ampliar las directivas de contraseña basadas en

la nube a la infraestructura local. Detalles : mejore las directivas de
contraseña en la organización realizando en el entorno local las mismas
comprobaciones de cambios de contraseña que las que se efectúan en la nube.
Instale Protección con contraseña de Azure AD en agentes de Windows Server
Active Directory de forma local para ampliar las listas de contraseñas
prohibidas a la infraestructura existente. Los usuarios y administradores que
cambien, establezcan o restablezcan contraseñas locales deben cumplir la misma
directiva de contraseñas que los usuarios que solo están en la nube.

Exigir a los usuarios la verificación multifactor

Se recomienda exigir la verificación en dos pasos a todos los usuarios. Esto
incluye a los administradores y otras personas de su organización, ya que el
hecho de que su cuenta esté en peligro puede tener un impacto significativo
(por ejemplo, los directores financieros).

Existen varias opciones para exigir la verificación en dos pasos. La mejor

opción para usted depende de sus objetivos, la edición de Azure AD que ejecuta
y su programa de licencias. Consulte Exigencia de verificación en dos pasos
para un usuario para determinar la mejor opción para usted. Puede encontrar más
información sobre licencias y precios en las páginas de precios de Azure AD y
Azure Multi-Factor Authentication.

A continuación, se indican las opciones y ventajas para habilitar la

verificación en dos pasos:

Opción 1 : Habilite MFA para todos los usuarios y métodos de inicio de sesión
con la Ventaja de los valores predeterminados de seguridad de Azure AD: Esta
opción le permite aplicar de forma rápida y sencilla MFA para todos los
usuarios de su entorno con una directiva estricta para:

Desafiar a cuentas administrativas y mecanismos de inicio de sesión

administrativo;
Solicitar el desafío de MFA a través de Microsoft Authenticator para todos
los usuarios;
Restringir los protocolos de autenticación heredados.

Este método está disponible para todos los niveles de licencia, pero no se
puede mezclar con las directivas de acceso condicional existentes. Puede
encontrar más información en los valores predeterminados de seguridad de Azure
AD.

Opción 2 : habilitar Multi-factor Authentication mediante el cambio de estado

de usuario.
Ventaja : este es el método tradicional para exigir la verificación en dos
pasos. Funciona tanto con Azure Multi-factor Authentication en la nube como en
el Servidor Azure Multi-factor Authentication. El uso de este método requiere
que los usuarios realicen la verificación en dos pasos cada vez que inicien
sesión, e invalida las directivas de acceso condicional.

Para averiguar dónde debe habilitarse Multi-Factor Authentication, vea ¿Qué

versión de Azure MFA es adecuada en mi organización?

Opción 3 : habilitar Multi-Factor Authentication con la directiva de acceso

condicional. Ventaja : esta opción permite solicitar la verificación en dos
pasos en condiciones específicas mediante el uso del acceso condicional. Las
condiciones específicas pueden ser el inicio de sesión del usuario desde
distintas ubicaciones, dispositivos no confiables o aplicaciones que considere
de riesgo. Definir condiciones específicas donde exija la verificación en dos
pasos le permite evitar pedirla constantemente a los usuarios, lo cual puede
ser una experiencia desagradable para el usuario.

Esta es la forma más flexible de habilitar la verificación en dos pasos para

los usuarios. Habilitar la directiva de acceso condicional solo funciona con
Azure Multi-Factor Authentication en la nube y es una característica premium de
Azure AD. Puede encontrar más información sobre este método en Implementación
de Azure Multi-factor Authentication en la nube.

Opción 4 : habilitar Multi-Factor Authentication con directivas de acceso

condicional mediante la evaluación de riesgos de usuario e inicio de sesión de
Azure AD Identity Protection.
Ventaja : esta opción le permite:

Detectar posibles vulnerabilidades que afectan a las identidades de la

organización.
Configurar respuestas automatizadas a acciones sospechosas detectadas que
están relacionadas con las identidades de la organización.
Investigar incidentes sospechosos y tomar las medidas adecuadas para
resolverlos.

Este método utiliza la evaluación de riesgos de Azure AD Identity Protection

para determinar si se requiere la verificación en dos pasos en función de los
riesgos del usuario y el inicio de sesión para todas las aplicaciones en la
nube. Este método requiere una licencia de Azure Active Directory P2. Para
obtener más información sobre este método, consulte Azure Active Directory
Identity Protection.

NOTE
La opción 1, en la que se habilita Multi-Factor Authentication al cambiar el estado del
usuario, invalida las directivas de acceso condicional. Dado que las opciones de 2 y 3 usan
directivas de acceso condicional, no puede usar la opción 1 con ellas.

Las organizaciones que no agregan capas de protección de la identidad

adicionales, como la verificación en dos pasos, son más susceptibles a ataques
de robo de credenciales. Un ataque de robo de credenciales puede poner en
peligro la seguridad de los datos.

Uso del control de acceso basado en rol

La administración de acceso de los recursos en la nube es importantísima en
cualquier organización que use la nube. El control de acceso basado en rol
(RBAC) ayuda a administrar quién tiene acceso a los recursos de Azure, qué
pueden hacer con esos recursos y a qué áreas puede acceder.

Designar grupos o roles individuales responsables de funciones específicas de

Azure ayuda a evitar la confusión que puede desembocar en errores humanos y de
automatización que suponen riesgos de seguridad. En organizaciones que quieren
aplicar directivas de seguridad para el acceso a los datos, es imperativo
restringir el acceso en función de los principios de seguridad necesidad de
saber y mínimo privilegio.

El equipo de seguridad necesita visibilidad en los recursos de Azure para

evaluar y corregir el riesgo. Si el equipo de seguridad tiene responsabilidades
operativas, necesita más permisos para realizar su labor.

Puede usar RBAC para asignar permisos a los usuarios, los grupos y las
aplicaciones en un ámbito determinado. El ámbito de una asignación de roles
puede ser una suscripción, un grupo de recursos o un único recurso.

Procedimiento recomendado : repartir las tareas entre el equipo y conceder a

los usuarios únicamente el nivel de acceso que necesitan para realizar su
trabajo. En lugar de proporcionar a todos los empleados permisos no
restringidos en los recursos o la suscripción de Azure, permita solo
determinadas acciones en un ámbito concreto. Detalles : use roles de RBAC
integrados en Azure para asignar privilegios a los usuarios.

NOTE
Los permisos específicos conllevan una complejidad y una confusión innecesarias, y no hace más
que alimentar una configuración "heredada" que es difícil de corregir sin riesgo repercutir
negativamente en algo. Evite asignar permisos específicos de recursos. En su lugar, utilice
grupos de administración para asignar permisos en toda la compañía y grupos de recursos para
asignar permisos en las suscripciones. Evite asignar permisos específicos del usuario. En su
lugar, asigne acceso a grupos en Azure AD.

Procedimiento recomendado : conceder acceso a los equipos de seguridad a

responsabilidades de Azure para ver recursos de Azure y, así, poder evaluar y
corregir riesgos. Detalles : conceda a los equipos de seguridad el rol RBAC
Lector de seguridad. Puede usar el grupo de administración raíz o el grupo de
administración de segmento, según el ámbito de responsabilidades:

Grupo de administración raíz para equipos responsables de todos los

recursos de la empresa.
Grupo de administración de segmento para equipos con un ámbito limitado
(normalmente, debido a límites organizativos legales o de otra índole).

Procedimiento recomendado : conceder los permisos adecuados a los equipos de

seguridad que tienen responsabilidades operativas directas. Detalles : revise
los roles RBAC integrados para la asignación de rol adecuado. Si los roles
integrados no cumplen las necesidades específicas de la organización, puede
crear roles personalizados para los recursos de Azure. Igual que los roles
integrados, puede asignar roles personalizados a usuarios, grupos y entidades
de servicio en los ámbitos de suscripción, grupo de recursos y recurso.
Procedimientos recomendados : conceder acceso de Azure Security Center a los
roles de seguridad que lo necesiten. Security Center permite a los equipos de
seguridad identificar y corregir riesgos con total rapidez. Detalles : asigne a
los equipos de seguridad con estas necesidades de seguridad el rol RBAC
Administrador de seguridad para ver directivas de seguridad, ver estados de
seguridad, editar directivas de seguridad, ver alertas y recomendaciones y
descartar alertas y recomendaciones. Para ello, puede usar el grupo de
administración raíz o el grupo de administración de segmento, según el ámbito
de responsabilidades.

Es posible que las organizaciones que no apliquen el control de acceso a los

datos mediante el uso de funcionalidades como RBAC estén concediendo más
privilegios de los necesarios a sus usuarios. Esto puede poner en peligro los
datos al permitir que los usuarios accedan a tipos de datos (por ejemplo,
aquellos que son críticos para la empresa) a los que no deberían tener acceso.

Menor exposición de las cuentas con privilegios

La protección del acceso con privilegios es un primer paso esencial para
proteger los recursos empresariales. Minimizar el número de personas que tienen
acceso a información segura o a recursos reduce la posibilidad de que los
usuarios malintencionados obtengan acceso o de que un usuario autorizado, sin
darse cuenta, afecte a un recurso confidencial.

Las cuentas con privilegios son cuentas que administran los sistemas de TI.
Estas cuentas son el objetivo de los ciberatacantes, ya que les proporcionan
acceso a los datos y los sistemas de una organización. Para proteger el acceso
con privilegios, debe aislar las cuentas y los sistemas del riesgo de
exposición a usuarios malintencionados.

Recomendamos el desarrollo y seguimiento de una hoja de ruta a fin de proteger

el acceso con privilegios de los ciberatacantes. Para obtener información
acerca de cómo crear una hoja de ruta detallada para proteger las identidades y
el acceso que se administran o notifican en Azure AD, Microsoft Azure, Office
365 y otros servicios en la nube, revise el artículo Protección del acceso con
privilegios para las implementaciones híbridas y en la nube en Azure AD.

A continuación, se resumen los procedimientos recomendados que se encuentran en

el artículo Protección del acceso con privilegios para las implementaciones
híbridas y en la nube en Azure AD:

Procedimiento recomendado : Administración, control y supervisión del acceso

a las cuentas con privilegios.
Detalles : active Azure AD Privileged Identity Management. Tras activar
Privileged Identity Management, recibirá mensajes de correo electrónico de
notificación si se producen cambios en el rol de acceso con privilegios. Estas
notificaciones muestran una advertencia anticipada cuando se agregan más
usuarios a roles con privilegios elevados en el directorio.

Procedimiento recomendado : garantizar que todas las cuentas de administrador

críticas son cuentas de Azure AD administradas. Detalles : quite las cuentas de
consumidor de los roles de administrador críticos (por ejemplo, cuentas
Microsoft como [Link], [Link] y [Link]).

Procedimiento recomendado : Asegúrese de que todos los roles de administrador

críticos tienen una cuenta aparte para las tareas administrativas, a fin de
evitar la suplantación de identidad y otros ataques que pueden poner en peligro
los privilegios administrativos. Detalles : cree una cuenta de administración
aparte que tenga asignados los privilegios necesarios para realizar las tareas
administrativas. Bloquee el uso de estas cuentas administrativas con
herramientas de productividad diarias como el correo electrónico de
Microsoft Office 365 o la exploración web arbitraria.

Procedimiento recomendado : Identificación y clasificación de las cuentas que

están en roles con privilegios elevados.
Detalles : después de activar Azure AD Privileged Identity Management, vea los
usuarios que están en los roles de administrador global, con privilegios y
otros con privilegios elevados. Quite todas las cuentas que no sean necesarias
en los roles y clasifique las restantes que estén asignadas a roles de
administrador:

Se asigna de forma individual a los usuarios administrativos y se puede usar

para fines no administrativos (por ejemplo, correo electrónico personal)
Asignadas individualmente a usuarios administrativos y designadas solo para
fines administrativos
Compartidas entre varios usuarios
Para los escenarios de acceso de emergencia
Para scripts automatizados
Para usuarios externos

Procedimiento recomendado : Implementar el acceso "Just-In-Time (JIT)" para

reducir el tiempo de exposición de privilegios aún más y aumentar la
visibilidad sobre el uso de cuentas con privilegios.
Detalles : Azure AD Privileged Identity Management le permite:

Limitar a los usuarios a aceptar solo sus privilegios JIT.

Asignar roles para una duración reducida con confianza de que los
privilegios se revocan automáticamente.

Procedimiento recomendado : Definición de un mínimo de dos de cuentas de

acceso de emergencia.
Detalles : las cuentas de acceso de emergencia ayudan a las organizaciones a
restringir el acceso con privilegios en un entorno de Azure Active Directory
existente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios
específicos. Las cuentas de acceso de emergencia se limitan a situaciones en
las que no se pueden usar las cuentas administrativas normales. Las
organizaciones deben limitar el uso de la cuenta de emergencia a la cantidad de
tiempo necesaria únicamente.

Evalúe las cuentas que están asignadas al rol de administrador global o que son
aptas para él. Si no ve que ninguna cuenta que se use solo en la nube mediante
el dominio *.[Link] (destinado al acceso de emergencia), créelas. Para
más información, consulte Administración de cuentas administrativas de acceso
de emergencia en Azure AD.

Procedimiento recomendado : disponer de un proceso de "emergencia" por si

surge una. Detalles : siga los pasos descritos en Protección del acceso con
privilegios para las implementaciones híbridas y en la nube en Azure AD.

Procedimiento recomendado : requerir que todas las cuentas de administrador

críticas no tengan contraseña (opción preferida) o requerir el uso de Multi-
Factor Authentication. Detalles : use la aplicación Microsoft Authenticator
para iniciar sesión en cualquier cuenta de Azure AD sin utilizar una
contraseña. Al igual que Windows Hello para empresas, Microsoft Authenticator
usa la autenticación basada en claves para habilitar una credencial de usuario
que está asociada a un dispositivo y usa una autenticación biométrica o un PIN.

Requiera Azure Multi-Factor Authentication en el inicio de sesión para todos

los usuarios asignados de forma permanente a uno o varios de los roles de
administrador de Azure AD: administrador global, administrador de roles con
privilegios, administrador de Exchange Online y administrador de SharePoint
Online. Habilite Multi-Factor Authentication en sus cuentas de administrador y
asegúrese de que todos los usuarios con cuentas de administrador están
registrados.

Procedimiento recomendado : en las cuentas de administrador críticas, tener

una estación de trabajo de administración donde no se permitan tareas de
producción (por ejemplo, las exploraciones o el correo electrónico). De este
modo, protegerá las cuentas de administrador de vectores de ataque que usan la
exploración y el correo electrónico, al tiempo que reducirá considerablemente
el riesgo de que se produzca incidentes importantes. Detalles : use una
estación de trabajo de administración. Elija el nivel de seguridad de la
estación de trabajo:

Los dispositivos de productividad con una protección elevada proporcionan

seguridad avanzada en operaciones de exploración y otras tareas de
productividad.
Las estaciones de trabajo con privilegios de acceso (PAW) proporcionan un
sistema operativo dedicado que está protegido de ataques de Internet y
vectores de amenazas al realizar tareas delicadas.

Procedimiento recomendado : desaprovisionar las cuentas de administrador de

empleados que dejen la organización. Detalles : tenga implantado un proceso que
deshabilite o elimine las cuentas de administrador de los empleados que dejen
la organización.

Procedimiento recomendado : probar con regularidad las cuentas de

administrador usando técnicas de ataque actuales. Detalles : use el Simulador
de ataques de Office 365 o una oferta de terceros para ejecutar escenarios de
ataque realistas dentro de la organización. Esto puede ayudar a detectar a los
usuarios vulnerables antes de que se produzca un ataque real.

Procedimiento recomendado : Pasos necesarios para mitigar las técnicas de

ataque usadas más frecuentemente.
Detalles : identifique las cuentas de Microsoft que tengan roles
administrativos y que deban cambiarse a cuentas profesionales o educativas

Asegúrese de que haya cuentas de usuario independientes y de que se lleve a

cabo el reenvío de correos electrónicos para las cuentas de administrador
globales

Asegúrese de que las contraseñas de las cuentas administrativas hayan cambiado

recientemente.

Active la sincronización de hashes de contraseñas

Requiera Multi-Factor Authentication a los usuarios de todos los roles con
privilegios, así como a los usuarios expuestos

Obtenga su Office 365 Secure Score (si usa Office 365)

Consulte la guía de seguridad y cumplimiento de Office 365 (si usa Office 365)

Configure la supervisión de la actividad de Office 365 (si usa Office 365)

Establezca los propietarios del plan de respuesta ante incidentes o emergencias

Proteja las cuentas administrativas con privilegios locales

Si no protege el acceso con privilegios, es posible que tenga demasiados

usuarios en roles con privilegios elevados y sea más vulnerables a ataques. Los
actores malintencionados, entre los que se incluyen ciberatacantes, a menudo
tienen como objetivo las cuentas de administrador y otros elementos con acceso
privilegiado para obtener acceso a datos confidenciales y a sistemas mediante
el robo de credenciales.

Controlar las ubicaciones donde se crean los

recursos
Es muy importante permitir que los operadores de nube realicen tareas pero al
mismo tiempo impedir que transgredan las convenciones que son necesarias para
administrar los recursos de la organización. Las organizaciones que quieran
controlar las ubicaciones donde se crean los recursos deben codificarlas de
forma segura.

Puede usar Azure Resource Manager para crear directivas de seguridad cuyas
definiciones describan las acciones o los recursos que se deniegan
específicamente. Esas definiciones de directivas se asignan en el ámbito
deseado, como la suscripción, el grupo de recursos o un recurso individual.

NOTE
Las directivas de seguridad no son las mismas que RBAC. En realidad, usan RBAC para autorizar a
los usuarios la creación de estos recursos.

Las organizaciones que no controlan cómo se crean los recursos son más
susceptibles a que los usuarios puedan hacer un mal uso del servicio y crear
más recursos de los necesarios. Dificultar el proceso de creación de recursos
es un paso importante para proteger escenarios en los que intervienen varios
inquilinos.

Supervisión activa de actividades sospechosas

Un sistema de supervisión de identidades activo puede detectar un
comportamiento sospechoso y desencadenar una alerta para que se investigue. En
la tabla siguiente se muestran dos de las funcionalidades de Azure AD que
pueden ayudar a las organizaciones a supervisar sus identidades:

Procedimiento recomendado : Tener un método de identificación:

Intentos para iniciar sesión sin realizar ningún seguimiento.

Ataques por fuerza bruta contra una cuenta determinada.
 Intentos para iniciar sesión desde varias ubicaciones.
Inicios de sesión desde dispositivos infectados.
Direcciones IP sospechosas.

Detalles : use los informes de anomalías de Azure AD Premium. Contar con

procesos y procedimientos implementados para que los administradores de TI
ejecuten dichos informes diariamente o a petición (normalmente en un escenario
de respuesta a incidentes).

Procedimiento recomendado : Contar con un sistema de supervisión activo que

le informa de los riesgos y que puede ajustar el nivel de riesgo (alto, medio o
bajo) a sus requisitos empresariales.
Detalles : use Azure AD Identity Protection, que marca los riesgos actuales en
su propio panel y envía notificaciones de resumen diarias por correo
electrónico. Para ayudar a proteger las identidades de la organización, puede
configurar directivas basadas en riesgos que respondan automáticamente a
problemas detectados si se alcanza un nivel de riesgo específico.

Las organizaciones que no supervisen activamente sus sistemas de identidad

corren el riesgo de comprometer las credenciales de los usuarios. Si las
organizaciones no saben que están teniendo lugar actividades sospechosas a
través de estas credenciales, no podrán mitigar este tipo de amenaza.

Uso de Azure AD para la autenticación de

almacenamiento
Azure Storage admite la autenticación y autorización con Azure AD para Blob
Storage y Queue Storage. Con la autenticación de Azure AD, puede usar el
control de acceso basado en roles de Azure para conceder permisos específicos a
usuarios, grupos y aplicaciones hasta el ámbito de una cola o un contenedor de
blobs individual.

Se recomienda usar Azure AD para autenticar el acceso al almacenamiento.

Paso siguiente
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.
 Cinco pasos para asegurar su
infraestructura de identidad
23/03/2020 • 32 minutes to read • Edit Online

Si está leyendo este documento, es consciente de la importancia de la

seguridad. Es probable que ya tenga la responsabilidad de proteger su
organización. Si necesita convencer a otros de la importancia de la seguridad,
hágales leer el último informe de inteligencia de seguridad de Microsoft.

Este documento le ayudará a conseguir una posición más segura gracias a las
funcionalidades de Azure Active Directory; para ello, deberá usar una lista de
comprobación de cinco pasos para proteger su organización contra los
ciberataques.

Esta lista de comprobación le ayudará a implementar rápidamente las acciones

críticas recomendadas para proteger su organización de inmediato; en ella se
explica cómo:

Reforzar las credenciales.

Reducir el área de la superficie de ataque.
Automatizar la respuesta frente a amenazas.
Usar Cloud Intelligence.
Habilitar el autoservicio del usuario final.

Asegúrese de realizar un seguimiento de las características y los pasos que se

han completado al leer esta lista de comprobación.

NOTE
Muchas de las recomendaciones de este documento solo son válidas para aquellas aplicaciones que
estén configuradas para usar Azure Active Directory como proveedor de identidades. La
configuración de aplicaciones para el inicio de sesión único garantiza las ventajas que ofrecen
las políticas de credenciales, la detección de amenazas, la auditoría, el registro y otras
características que se agregan a esas aplicaciones. El inicio de sesión único mediante Azure
Active Directory es la base en la que se cimentan todas estas recomendaciones.

Las recomendaciones de este documento se basan en las especificaciones de la

puntuación de seguridad de identidades, una valoración automatizada de la
configuración de seguridad de las identidades de su inquilino de Azure AD. Las
organizaciones pueden usar la página Puntuación de seguridad de identidad del
portal de Azure AD para detectar deficiencias en la configuración de seguridad
actual y garantizar que se siguen las prácticas recomendadas por Microsoft para
la seguridad. Si se implementan todas las recomendaciones de la página
Puntuación segura, la puntuación aumentará y se podrá hacer un seguimiento del
progreso. Asimismo, esto ayudará a comparar la implementación con la de otras
organizaciones de tamaño similar o con el conjunto del sector.
 NOTE
Muchas de las características que se describen aquí requieren una suscripción de Azure AD
Premium, mientras que otras son gratuitas. Revise nuestras secciones Precios de Azure Active
Directory y Lista de comprobación de implementación de Azure AD para más información.

Antes de empezar: proteja sus cuentas con

privilegios con MFA
Antes de comenzar a trabajar con esta lista de comprobación, asegúrese de que
no se encontrará con problemas mientras lo hace. En primer lugar, necesita
proteger sus cuentas con privilegios.

Los atacantes que tomen el control de cuentas con privilegios pueden producir
enormes daños, por lo que es fundamental proteger estas cuentas primero.
Habilite y solicite que todos los administradores de la organización usen el
servicio Azure Multi-Factor Authentication (MFA) mediante la Valores
predeterminados de Azure AD o Acceso condicional. Si no ha implementado MFA,
¡hágalo ahora! Es importantísimo.

¿Todo listo? Comencemos con la lista de comprobación.

Paso 1: Refuerce sus credenciales

La mayoría de infracciones de seguridad que sufren las empresas se originan con
una cuenta que se ha visto comprometida con uno de los diversos métodos
existentes, como por ejemplo, los ataques de difusión de contraseña, la
reproducción de infracciones de seguridad o la suplantación de identidad
(phishing). Obtenga más información acerca de este tipo de ataques en este
vídeo (45 minutos):

Asegúrese de que la organización use un método de autenticación sólida

Dada la frecuencia de las contraseñas que se adivinan, se suplantan, se roban
con malware o se reutilizan, es fundamental fortalecer la contraseña con algún
tipo de credencial sólida: obtenga más información sobre Azure Multi-Factor
Authentication.

Para habilitar con facilidad el nivel básico de seguridad de identidad, puede

usar la habilitación de un solo clic con Valores predeterminados de seguridad
de Azure AD. Los valores predeterminados de seguridad imponen Azure MFA para
todos los usuarios de un inquilino y bloquean los inicios de sesión de los
 protocolos heredados en todo el inquilino.

Comience a prohibir las contraseñas que sufren ataques con más frecuencia y
olvídese de la complejidad y las reglas de expiración tradicionales.
Muchas organizaciones usan la complejidad tradicional (por ejemplo, el uso de
caracteres especiales, números, mayúsculas y minúsculas), así como reglas de
expiración de contraseñas. La investigación de Microsoft ha demostrado que
estas políticas hacen que los usuarios elijan contraseñas que son más fáciles
de adivinar.

La característica de contraseña dinámica prohibida de Azure AD utiliza el

comportamiento actual del atacante para evitar que los usuarios establezcan
contraseñas que puedan adivinarse fácilmente. Esta funcionalidad está siempre
activada cuando se crean usuarios en la nube, pero ahora también está
disponible en las organizaciones híbridas cuando implementan la protección con
contraseña de Azure AD para Windows Server Active Directory. La protección con
contraseña de Azure AD impide que los usuarios puedan elegir estas contraseñas
comunes y se puede ampliar para que bloquee también las contraseñas que
contengan las palabras clave personalizadas que se especifiquen. Por ejemplo,
puede impedir que los usuarios elijan contraseñas que contengan nombres de
productos de la compañía o el nombre de un equipo deportivo local.

Microsoft recomienda adoptar la directiva moderna de contraseñas basada en las

directrices del NIST que se describe a continuación:

1. Solicitar contraseñas que tengan al menos 8 caracteres. Que sean más largas
no quiere decir que sean mejores, ya que hacen que los usuarios elijan
contraseñas predecibles, guarden las contraseñas en archivos o las acaben
apuntando.
2. Deshabilitar las reglas de expiración, que solo consiguen que los usuarios
elijan contraseñas fáciles de adivinar, como Spring2019!
3. Deshabilitar los requisitos de composición de caracteres y evitar que los
usuarios elijan contraseñas comúnmente atacadas, ya que solo se consigue que
los usuarios elijan sustituciones de caracteres predecibles en las
contraseñas.

Si crea identidades directamente en Azure AD, puede usar PowerShell para evitar
que las contraseñas de los usuarios expiren. Las organizaciones híbridas deben
implementar estas directivas utilizando la configuración de la directiva de
grupo de dominio o Windows PowerShell.

Protéjase contra la filtración de credenciales y mejore la resistencia contra las

interrupciones
Si la organización utiliza una solución de identidad híbrida con federación o
autenticación de paso a través, debe habilitar la sincronización de hash de
contraseñas por estos dos motivos:

El informe Usuarios con credenciales filtradas de la administración de Azure

AD le advierte sobre los pares de nombre de usuario y contraseña que se
expusieron en la "web oscura". Se filtra un volumen increíble de contraseñas
a través del phishing, el malware y la reutilización de contraseñas en sitios
de terceros que luego se vulneran. Cuando Microsoft encuentre estas
credenciales filtradas, le indicará en este informe si coinciden con las
credenciales de la organización; sin embargo, para ello, debe habilitar la
sincronización del hash de contraseñas.
 Si se produce una interrupción en el entorno local (por ejemplo, si sufre un
ataque de ransomware), podrá cambiar a la autenticación en la nube mediante
la sincronización del hash de contraseñas. Este método de autenticación de
copias de seguridad le permitirá continuar accediendo a las aplicaciones
configuradas, gracias a la autenticación con Azure Active Directory,
incluyendo Office 365. En este caso, el personal de TI no necesitará recurrir
a las cuentas de correo electrónico personales para compartir los datos hasta
que la interrupción del entorno local se resuelva.

Obtenga más información sobre el funcionamiento de la sincronización del hash

de contraseñas.

NOTE
Si habilita la sincronización de hash de contraseñas y usa Azure AD Domain Services, los hash
de Kerberos (AES 256) y, opcionalmente, de NTLM (RC4, sin valor "salt") se cifrarán y
sincronizarán con Azure AD.

Implementación del bloqueo inteligente de la extranet de AD FS

Las organizaciones que configuran aplicaciones para que se autentiquen
directamente en Azure AD se benefician del bloqueo inteligente de Azure AD . Si
usa AD FS en Windows Server 2012 R2, implemente la protección de bloqueo de
extranet de AD FS. Si usa AD FS en Windows Server 2016, implemente el bloqueo
inteligente de extranet. El bloqueo inteligente de extranet de AD FS le protege
contra ataques de fuerza bruta que se dirigen a AD FS, a la vez que evitan que
los usuarios sean bloqueados en Active Directory.

Aproveche las credenciales intrínsecamente seguras y fáciles de usar

Gracias a Windows Hello, puede reemplazar las contraseñas mediante una
autenticación sólida en dos fases en su PC y en dispositivos móviles. Este
método de autenticación consiste en un nuevo tipo de credencial de usuario que
está asociado de forma segura a un dispositivo y utiliza datos biométricos o un
PIN.

Paso 2: reduzca su superficie de ataque

Dado el amplio número de contraseñas que se ven en riesgo, es fundamental
minimizar la superficie de ataque en su organización. Eliminar el uso de los
protocolos más antiguos y menos seguros, limitar los puntos de entrada de
acceso y ejercer un mayor control del acceso administrativo a los recursos
puede ayudarle a reducir el área de superficie de ataque.

Bloquear la autenticación heredada

Las aplicaciones que usan sus propios métodos heredados para autenticarse con
Azure AD y acceder a los datos de la empresa, representan otro riesgo para las
organizaciones. Varios ejemplos de aplicaciones que usan autenticación heredada
son clientes POP3, IMAP4 o SMTP. Las aplicaciones de autenticación heredada se
autentican en nombre del usuario e impiden que Azure AD realice evaluaciones de
seguridad avanzadas. Por ello, la autenticación alternativa y moderna reducirá
los riesgos de seguridad, ya que admite la autenticación multifactor y el
acceso condicional. Le recomendamos que realice las siguientes tres acciones:

1. Bloquee la autenticación heredada si usa AD FS.

2. Configure SharePoint Online y Exchange Online para que usen una autenticación
moderna.
3. Si tiene Azure AD Premium, use Directivas de acceso condicional para bloquear
la autenticación heredada; de lo contrario, use valores predeterminados de
seguridad de Azure AD.

Bloquear los puntos de entrada de autenticación no válidos

Al usar los recursos de vulneración de seguridad, debe reducir el impacto de
las credenciales de usuario comprometidas cuando se produce un ataque. Teniendo
en cuenta cada aplicación del entorno, considere los casos de uso válidos: qué
grupos, qué redes, qué dispositivos y qué más elementos están autorizados y, a
continuación, bloquee el resto. Mediante el acceso condicional de Azure AD,
puede controlar la manera en que los usuarios autorizados acceden a
aplicaciones y recursos, en función de las condiciones específicas que defina.

Restricción de las operaciones de consentimiento del usuario

Es importante comprender las distintas experiencias de consentimiento de la
aplicación de Azure AD, los tipos de permisos y consentimiento, y sus
implicaciones en la postura de seguridad de la organización. De forma
predeterminada, todos los usuarios de Azure AD pueden conceder acceso a los
datos de su organización a las aplicaciones que utilizan la Plataforma de
identidad de Microsoft. Aunque permitir que los usuarios den su consentimiento
por su cuenta les permite adquirir fácilmente aplicaciones útiles que se
integran con Microsoft 365, Azure y otros servicios, puede representar un
riesgo si no se utiliza y supervisa con precaución.

Microsoft recomienda deshabilitar las operaciones futuras de consentimiento del

usuario para ayudar a reducir el área expuesta y a mitigar este riesgo. Si el
consentimiento del usuario final se deshabilita, se seguirán respetando las
concesiones de consentimiento anteriores, pero todas las operaciones de
consentimiento futuras tendrá que realizarlas un administrador. Los usuarios
pueden solicitar el consentimiento del administrador a través de un flujo de
trabajo de solicitud de consentimiento del administrador integrado o a través
de sus propios procesos de soporte técnico. Antes de deshabilitar el
consentimiento del usuario final, use nuestras recomendaciones para planear
este cambio en su organización. En el caso de las aplicaciones a las que desea
permitir el acceso a todos los usuarios, considere la posibilidad de conceder
consentimiento en nombre de todos los usuarios y asegúrese de que los usuarios
que todavía no hayan dado su consentimiento de forma individual podrán acceder
a la aplicación. Si no desea que estas aplicaciones estén disponibles para
todos los usuarios en todos los escenarios, use asignación de aplicación y
acceso condicional para restringir el acceso de los usuarios a las
aplicaciones.

Asegúrese de que los usuarios pueden solicitar la aprobación del administrador

para las nuevas aplicaciones a fin de reducir la fricción del usuario,
minimizar el volumen de soporte técnico y evitar que los usuarios se registren
en las aplicaciones con credenciales que no sean de Azure AD. Una vez que haya
regulado las operaciones de consentimiento, los administradores deben auditar
los permisos de la aplicación y consentidos con regularidad.

Implementar Azure AD Privileged Identity Management

Otro efecto de la "suposición de vulneración de seguridad", es la necesidad de
minimizar la probabilidad de que una cuenta en riesgo pueda funcionar con un
rol con privilegios.

Azure AD Privileged Identity Management (PIM) le permitirá minimizar los

privilegios de la cuenta gracias a que podrá:

Identificar y administrar los usuarios asignados a roles administrativos.

Detectar los roles de privilegios excesivos o que no se usan, y que debe
eliminar.
Establecer reglas para asegurarse de que los roles con privilegios estén
protegidos mediante la autenticación multifactor.
Establecer reglas para asegurarse de que los roles con privilegios se
otorguen solo el tiempo suficiente para realizar la tarea con privilegios.

Habilite Azure AD PIM, consulte a qué usuarios se les asignaron roles

administrativos y elimine las cuentas innecesarias de esos roles. En cuanto a
los usuarios con privilegios restantes, cambie su estado de "permanentes" a
"válidos". Finalmente, establezca las directivas apropiadas para asegurarse de
que, cuando necesiten obtener acceso a esos roles con privilegios, puedan
hacerlo de forma segura con el control de cambios necesario.

Como parte del proceso de implementación de la cuenta con privilegios, siga los
procedimientos recomendados para crear al menos dos cuentas de emergencia y así
asegurarse de que aún tiene acceso a Azure AD si se bloquea su cuenta.

Paso 3: automatizar la respuesta a amenazas

Azure Active Directory tiene varias funcionalidades que interceptan ataques
automáticamente, y que le permiten eliminar la latencia entre la detección y la
respuesta. Puede reducir los costos y riesgos a la vez que reduce el tiempo que
usan los delincuentes para integrarse en su entorno. Estos son los pasos
concretos que puede tomar.

Implementar la directiva de seguridad de riesgo de usuario con Azure AD Identity

Protection
El riesgo de usuario indica la probabilidad de que la identidad de un usuario
se haya visto comprometida, y se calcula en función de las detecciones de
riesgo de usuario que están asociadas con la identidad del usuario. Una
directiva de riesgo de usuario es una directiva de acceso condicional que
evalúa el nivel de riesgo para un usuario o grupo de usuarios específico. Según
el nivel de riesgo (bajo, medio o alto), se puede configurar la directiva para
que bloquee el acceso o solicite un cambio de contraseña segura mediante la
autenticación multifactor. Microsoft le recomienda exigir un cambio de
contraseña seguro a aquellos usuarios de alto riesgo.
Implementar la directiva de riesgo de inicio de sesión con Azure AD Identity
Protection
El riesgo de inicio de sesión es la probabilidad de que alguien que no sea el
propietario de la cuenta intente iniciar sesión mediante su identidad. Una
directiva de riesgo de inicio de sesión es una directiva de acceso condicional
que evalúa el nivel de riesgo para un usuario o grupo de usuarios específico.
En función del nivel de riesgo (alto / medio / bajo), se puede configurar una
política para bloquear el acceso o forzar la autenticación multifactor.
Asegúrese de forzar la autenticación multifactor en inicios de sesión de riesgo
medio o superior.

Paso 4: Uso de Cloud Intelligence

La auditoría, el registro de eventos y las alertas relacionados con la
seguridad son componentes importantes en una estrategia de protección de datos
eficaz. Los registros e informes de seguridad proporcionan un registro
electrónico de actividades sospechosas y le ayudan a detectar patrones que
puedan indicar un acceso externo a la red, así como ataques internos. Puede
usar la auditoría para supervisar la actividad del usuario y el cumplimiento
normativo de documentos, realizar análisis forenses y mucho más. Además, las
alertas le proporcionarán notificaciones acerca de eventos de seguridad.

Supervisar Azure AD
Las características y los servicios de Microsoft Azure proporcionan opciones de
seguridad de registro y auditoría que le ayudarán a identificar carencias en
las directivas y mecanismos de seguridad, y a resolver esas carencias para
evitar infracciones. Puede usar el registro y auditoría de Azure y usar los
informes de actividades de la auditoría en el portal de Azure Active Directory.

Supervisar Azure AD Connect Health en entornos híbridos

En Supervisión de AD FS mediante Azure AD Connect Health, obtendrá más
información sobre los posibles problemas y la visibilidad de los ataques en la
infraestructura de AD FS. Azure AD Connect Health proporciona alertas con
detalles, pasos de resolución y enlaces a documentación relacionada y, además,
analiza el uso de varias métricas relacionadas con el tráfico de autenticación
y supervisa y crea informes de rendimiento.

Supervisar eventos de Azure AD Identity Protection

Azure AD Identity Protection es una herramienta de supervisión, notificación y
generación de informes que se puede usar para detectar posibles
vulnerabilidades que afecten a las identidades de una organización. Descubre
detecciones de riesgo, como credenciales filtradas, viajes imposibles e inicios
 de sesión desde dispositivos infectados, direcciones IP anónimas,
direcciones IP asociadas con la actividad sospechosa y ubicaciones
desconocidas. Habilite las alertas de notificación para recibir correos
electrónicos de usuarios en riesgo o un correo electrónico semanal de resumen.

Azure AD Identity Protection dispone de dos informes importantes que debe

supervisar a diario:

1. Los informes de inicios de sesión de riesgo ponen de manifiesto las

actividades de inicio de sesión de los usuarios que deben investigarse, ya
que es posible que el inicio de sesión no lo haya realizado el propietario
legítimo.
2. Los informes de riesgo de usuarios ponen de manifiesto las cuentas de usuario
que podrían haberse visto comprometidas; por ejemplo, las cuentas en las que
se ha detectado una filtración de credenciales o donde el usuario ha iniciado
sesión desde una ubicación diferente, lo que indicaría que se ha producido un
viaje que no es posible.

Aplicaciones de auditoría y permisos consentidos

Es posible que los usuarios sean víctimas de un engaño y sean conducidos a
aplicaciones o sitios web comprometidos que podrían obtener acceso a la
información de perfil y los datos del usuario, como el correo electrónico. Un
individuo malintencionado podría usar los permisos consentidos que ha recibido
para cifrar el contenido del buzón y pedir un rescate para recuperar los datos.
Los administradores deben revisar y auditar los permisos proporcionados por los
usuarios o deshabilitar la capacidad de los usuarios de dar su consentimiento
de forma predeterminada.

Además de auditar los permisos proporcionados por los usuarios, puede encontrar
aplicaciones de OAuth peligrosas o no deseadas en entornos Premium.

Paso 5: habilitar la autoayuda del usuario final

En la medida de lo posible, querrá equilibrar la seguridad con la
productividad. Teniendo en cuenta que está preparando el camino para conseguir
asentar las bases de un sistema de seguridad a largo plazo, puede limar las
asperezas en su organización al dar más autoridad a sus usuarios a la vez que
se mantiene en guardia.

Implementar el restablecimiento de contraseña de autoservicio

El autoservicio de restablecimiento de contraseña (SSPR) de Azure AD ofrece a
los administradores de TI un medio simple para permitir a los usuarios
restablecer o desbloquear sus contraseñas o cuentas sin la intervención del
departamento de soporte técnico o del administrador. El sistema incluye
informes detallados del seguimiento de los usuarios que restablecen sus
contraseñas, además de notificaciones de alerta de posibles abusos o usos
indebidos.

Implementar el acceso a grupos y aplicaciones de autoservicio

Azure AD ofrece la posibilidad de que los usuarios que no son administradores
administren el acceso a los recursos mediante grupos de seguridad, grupos de
Office 365, roles de aplicación y catálogos de paquetes de acceso. La
administración de grupos de autoservicio permite a los propietarios de grupos
administrar sus propios grupos, sin necesidad de tener asignado un rol como
administrador. Los usuarios también pueden crear y administrar grupos de Office
365 sin depender de los administradores para administrar sus solicitudes y los
grupos no usados expiran automáticamente. La administración de derechos de Azure
AD habilita la delegación y visibilidad, con flujos de trabajo de solicitud de
acceso completos y la expiración automática. Puede delegar a los usuarios que no
son administradores la capacidad de configurar sus propios paquetes de acceso
para grupos, equipos, aplicaciones y sitios de SharePoint Online de su
propiedad, con directivas personalizadas para quien se necesita aprobar el
acceso, incluido el establecimiento, como aprobadores, de los administradores
de los empleados y los patrocinadores socios comerciales.

Implementar revisiones de acceso de Azure AD

Gracias a las revisiones de acceso de Azure AD, puede administrar la
pertenencia a paquete de acceso y grupos, obtener acceso a las aplicaciones de
la empresa y asignar funciones con privilegios para asegurarse de mantener un
estándar de seguridad. La supervisión habitual por parte de los usuarios, los
propietarios de recursos y otros revisores garantiza que los usuarios no
conservan el acceso durante períodos de tiempo prolongados cuando ya no lo
necesitan.

Resumen
Existen muchos aspectos en una infraestructura de identidad segura, pero esta
lista de comprobación de cinco pasos le ayudará a lograr rápidamente una
infraestructura de identidad segura:

Reforzar las credenciales.

Reducir el área de la superficie de ataque.
Automatizar la respuesta frente a amenazas.
Usar Cloud Intelligence.
Habilitar un método de seguridad para el usuario final que sea más predecible
y completo, y que cuente con autoayuda.

Le agradecemos todo el esfuerzo que ha dedicado en mejorar la seguridad de la

identidad, y esperamos que este documento sea una hoja de ruta útil para
conseguir mejorar la seguridad de su organización.

Pasos siguientes
Si necesita ayuda para planificar e implementar las recomendaciones, consulte
los planes de implementación del proyecto de Azure AD para obtener ayuda.

Si está seguro de que se han completado todos estos pasos, use la puntuación de
seguridad de la identidad de Microsoft, que le permitirá mantenerse al día con
los últimos procedimientos recomendados y las amenazas de seguridad.
 Un mundo sin contraseñas con
Azure Active Directory
23/03/2020 • 48 minutes to read • Edit Online

Ya es hora de romper su relación con las contraseñas. Las contraseñas han sido
útiles en el pasado, pero en el lugar de trabajo digital de hoy en día se han
convertido en un vector de ataque relativamente sencillo para los hackers. A
los hackers les encantan las contraseñas y no es difícil adivinar por qué si se
considera que la mayoría de las contraseñas rechazadas en
Azure Active Directory (Azure AD) incluyen términos como el año, el mes, la
estación o un equipo deportivo local. Además, la investigación ha demostrado
que las recomendaciones tradicionales para la administración de contraseñas,
como los requisitos de longitud y complejidad y las frecuencias de cambio son
contraproducentes por diversos motivos relacionados con la naturaleza humana.

Tres tipos de ataques que se usan normalmente para poner en peligro las cuentas
de usuario son la difusión de contraseña, la suplantación de identidad
(phishing) y la reproducción de infracciones. Características de Azure AD como
bloqueo inteligente, contraseñas prohibidas y protección con contraseñas pueden
contribuir a la protección frente a estos tipos de ataques. Igualmente, la
implementación de la autenticación multifactor (MFA) o de la verificación en
dos pasos proporcionan seguridad adicional al exigir una segunda forma de
autenticación. No obstante, a largo plazo, una solución sin contraseña es lo
mejor para garantizar el método de autenticación más seguro.

Este artículo es el comienzo del camino para ayudarle a entender y a

implementar soluciones sin contraseña de Microsoft y facilitarle la elección
entre una o varias de las siguientes opciones:

Windows Hello para empresas . En Windows 10, Windows Hello para empresas
reemplaza las contraseñas por la autenticación en dos fases segura en los
PC y dispositivos móviles. Esta autenticación consta de un nuevo tipo de
credencial de usuario que está vinculado a un dispositivo y utiliza un
reconocimiento biométrico o un PIN.

Inicio de sesión sin contraseña de Microsoft Authenticator . La

aplicación Microsoft Authenticator se puede usar para iniciar sesión en una
cuenta de Azure AD sin utilizar una contraseña. Al igual que la tecnología
de Windows Hello para empresas, Microsoft Authenticator usa la
autenticación basada en claves para habilitar una credencial de usuario que
está vinculada a un dispositivo y usa información biométrica o un PIN.

Llaves de seguridad FIDO2 . FIDO2 proporciona credenciales de inicio de

sesión criptográficas que son únicas en cada sitio web y se almacenan en un
dispositivo local, como Windows Hello o llaves de seguridad externas. Estas
llaves de seguridad son resistentes a los riesgos de suplantación de
identidad (phishing), robo de contraseñas y ataques de reproducción. En
combinación con la verificación del usuario mediante información biométrica
o PIN, la solución constituye una verificación en dos pasos que satisface
las necesidades de seguridad modernas.
El futuro de la autenticación sin contraseña
Hoy en día, los bancos, las empresas de tarjetas de crédito y otras
organizaciones y servicios en línea con frecuencia le piden que compruebe su
identidad dos veces para proteger su cuenta: una vez con la contraseña y luego
con el teléfono, mediante texto o una aplicación. Aunque la autenticación
multifactor soluciona el problema de seguridad de uso compartido, robo o
adivinación de contraseñas, no resuelve la inconveniencia de intentar
recordarlas. Lo que desean los usuarios y las organizaciones de la era actual
de la nube son métodos de autenticación sin contraseña que sean prácticos y
seguros.

Windows Hello para empresas, el inicio de sesión sin contraseña con Microsoft
Authenticator y las llaves de seguridad FIDO2 comparten todos una arquitectura
común simple que proporciona a los usuarios un método de autenticación que es
práctico y seguro. Los tres métodos se basan en la tecnología de clave pública-
privada, necesitan un gesto local, como información biométrica o un PIN, y que
las claves privadas estén vinculadas a un solo dispositivo, se protejan de
forma segura y nunca se compartan.

Windows Hello para empresas

En Windows 10, Windows Hello para empresas reemplaza las contraseñas por la
autenticación en dos fases segura en equipos y dispositivos. La autenticación
consta de un nuevo tipo de credencial de usuario que está vinculada a un
dispositivo, y usa un gesto biométrico o un PIN que permite a los usuarios
autenticarse en Azure AD, así como en Active Directory local. Iniciar sesión en
un dispositivo con Windows Hello para empresas es fácil. Se usa un PIN o un
gesto biométrico, como la huella digital o el reconocimiento facial.

Escenarios de Windows Hello para empresas

Windows Hello para empresas resulta muy conveniente para los trabajadores de la
información que tienen su propio PC con Windows designado. La información
biométrica y las credenciales están vinculadas directamente al PC del usuario,
lo que impide el acceso de cualquier persona que no sea el propietario. Con la
integración de PKI y la compatibilidad integrada con el inicio de sesión único
(SSO), Windows Hello para empresas ofrece un método sencillo y práctico de
acceder completamente a los recursos corporativos del entorno local y la nube.

Cuestiones sobre la implementación de Windows Hello para empresas

Windows Hello para empresas es un sistema distribuido que usa varios
componentes para realizar el registro, el aprovisionamiento y la autenticación
de los dispositivos. Por lo tanto, la implementación requiere un planeamiento
adecuado entre varios equipos humanos de la organización. La guía de
planeamiento de Windows Hello para empresas se puede usar para ayudarle a tomar
decisiones sobre el tipo de implementación y las opciones que es necesario
tener en cuenta.

Hay muchas opciones para elegir al implementar Windows Hello para empresas. Al
haber tantas opciones, se garantiza que casi todas las organizaciones pueden
implementarlo. Tenga en cuenta los siguientes tipos de implementaciones que se
admiten:

Implementación de confianza de la clave unida a Azure AD híbrido

Implementación de confianza del certificado unido a Azure AD híbrido

Guías de implementación de inicio de sesión único unido a Azure AD

Implementación de confianza de la clave local

Implementación de confianza del certificado local

Puede que al haber tantas opciones parezca que la implementación es compleja.

Sin embargo, la mayoría de las organizaciones probablemente determinarán que ya
tienen implementada la mayor parte de la infraestructura de la que depende
Windows Hello para empresas. No obstante, es importante entender que Windows
Hello para empresas es un sistema distribuido y, por tanto, se recomienda un
planeamiento adecuado.

Le recomendamos que lea Planificar una implementación de Windows Hello para

empresas para ayudarle a decidir qué modelo de implementación es el más
adecuado para su organización en particular. Luego, en función del planeamiento
realizado, consulte la Guía de implementación de Windows Hello para empresas
para ayudar a garantizar la implementación satisfactoria de Windows Hello para
empresas en su entorno existente.

Funcionamiento de Windows Hello para empresas

El usuario instala Windows Hello para empresas

Tras una verificación en dos pasos inicial del usuario durante la inscripción,
Windows Hello se instala en el dispositivo del usuario y Windows le pide a este
que establezca un gesto, que puede ser biométrico, como una huella digital o el
reconocimiento facial, o un PIN. Una vez configurado, el usuario proporciona el
gesto para comprobar su identidad. Windows usa entonces Windows Hello para
autenticar a los usuarios.

Según las funcionalidades del dispositivo Windows 10, tendrá un enclave seguro
integrado, conocido como módulo de plataforma segura (TPM) de hardware o
software. El TPM almacena la clave privada, que requiere su rostro, huella
digital o PIN para desbloquearla. La información biométrica no se mueve y nunca
se envía a servidores o dispositivos externos. No hay ningún punto de
recopilación que un atacante pueda poner en peligro para robar información
biométrica, porque Windows Hello solo almacena los datos biométricos de
identificación en el dispositivo.

TIP
Aparentemente, un PIN es como una contraseña, pero es realmente más seguro. Una diferencia
importante entre una contraseña y un PIN es que el PIN está vinculado con el dispositivo
específico en el que se ha configurado. Alguien que robe su contraseña puede iniciar sesión en
su cuenta desde cualquier parte. Pero si roban su PIN, tendrían que robarle también su
dispositivo físico. Además, como el PIN es local para el dispositivo, no se transmite a ninguna
parte por lo que no se puede interceptar durante la transmisión ni robarse desde un servidor.

El usuario usa Windows Hello para empresas para el inicio de sesión

La información biométrica y los números PIN de Windows Hello para empresas usan
el cifrado asimétrico (clave pública-privada) para la autenticación. Durante la
autenticación, el cifrado se vincula a la clave de sesión TLS, que protege el
proceso de autenticación para que un ataque man-in-the-middle (MiTM) no pueda
robar el token o el artefacto de seguridad resultante y reproducirlos desde
otros lugares.

Windows Hello para empresas ofrece una práctica experiencia de inicio de sesión
que autentica al usuario en los recursos de Azure AD y Active Directory. Los
dispositivos unidos a Azure AD se autentican en Azure durante el inicio de
sesión y, opcionalmente, pueden autenticarse en Active Directory. Los
dispositivos unidos a Azure Active Directory híbrido se autentican en
Active Directory durante el inicio de sesión y se autentican en
Azure Active Directory en segundo plano.

Los siguientes pasos muestran la autenticación de inicio de sesión en

Azure Active Directory.
1. El usuario inicia sesión en Windows mediante un gesto biométrico o un PIN.
El gesto desbloquea la clave privada de Windows Hello para empresas y se
envía al proveedor de compatibilidad para seguridad de la autenticación en
la nube, conocido como el proveedor de CloudAP.

2. El proveedor de CloudAP solicita un valor nonce a Azure Active Directory.

3. Azure AD devuelve un valor nonce que es válido durante cinco minutos.

4. El proveedor de CloudAP firma el valor nonce con la clave privada del

usuario y devuelve el valor nonce firmado a Azure Active Directory.

5. Azure Active Directory valida el valor nonce firmado con la clave pública
registrada de forma segura del usuario con la firma del valor nonce.
Después de validar la firma, Azure AD valida el valor nonce firmado
devuelto. Tras validar el valor nonce, Azure AD crea un PRT con la clave de
sesión que se cifró con la clave de transporte del dispositivo y lo
devuelve al proveedor de CloudAP.

6. El proveedor de CloudAP recibe el PRT cifrado con la clave de sesión.

 Mediante la clave de transporte privada del dispositivo, el proveedor de
CloudAP descifra la clave de sesión y la protege con el TPM del
dispositivo.

7. El proveedor de CloudAP devuelve una respuesta de autenticación correcta a

Windows tras la cual el usuario puede tener acceso a Windows, así como a
las aplicaciones locales y en la nube sin necesidad de volver a
autenticarse (SSO).

Para examinar más detenidamente el proceso de autenticación en otros escenarios

con Windows Hello para empresas, consulte Windows Hello para empresas y
autenticación.

El usuario administra sus credenciales de Windows Hello para empresas

El servicio de restablecimiento del PIN de Microsoft es una característica de

Azure AD que permite a los usuarios restablecer su PIN si es necesario.
Mediante la directiva de grupo, Microsoft Intune o una MDM compatible, un
administrador puede configurar los dispositivos Windows 10 para usar de forma
segura el servicio de restablecimiento de PIN de Microsoft que permite a los
usuarios restablecer su PIN olvidado mediante configuración o encima de la
pantalla de bloqueo sin necesidad de volver a inscribirse.

En ocasiones tienen que recurrir al uso de contraseñas. El autoservicio de

restablecimiento de contraseña (SSPR) es otra característica de Azure AD que
permite a los usuarios restablecer sus contraseñas sin necesidad de ponerse en
contacto con el personal de TI. Los usuarios deben registrarse o ser
registrados en este servicio para poder usarlo. Durante el registro, el usuario
elige uno o varios métodos de autenticación habilitados por su organización.
SSPR permite el desbloqueo rápido de los usuarios para que continúen trabajando
con independencia de dónde se encuentren o la hora del día. Al permitir que los
usuarios se desbloqueen a sí mismos, su organización puede reducir el tiempo no
productivo y los altos costos de soporte técnico para los problemas más comunes
relacionados con las contraseñas.

Inicio de sesión sin contraseña de Microsoft

Authenticator
El inicio de sesión sin contraseña con Microsoft Authenticator es otra solución
sin contraseña que se puede usar para iniciar sesión en las cuentas de Azure AD
mediante el inicio de sesión en el teléfono. Para verificar su identidad debe
especificar algo que sepa y algo que tenga, pero el inicio de sesión en el
teléfono permite omitir el paso de escribir la contraseña y realiza toda la
comprobación de la identidad en el dispositivo móvil con la huella digital, la
cara o el PIN.

Escenarios sin contraseña de Microsoft Authenticator

La aplicación Microsoft Authenticator permite a los usuarios comprobar su
identidad y autenticarse en su cuenta personal o profesional. También puede
usarse para aumentar una contraseña con un código de acceso de un solo uso o
una notificación push o reemplazar completamente la necesidad de una
contraseña. En lugar de usar una contraseña, los usuarios confirman su
identidad con su teléfono móvil mediante la huella digital, el reconocimiento
facial o del iris o el número PIN. Esta herramienta, basada en tecnología
segura similar a la que usa Windows Hello para empresas, se empaqueta en una
aplicación sencilla en un dispositivo móvil, lo que la convierte en una opción
práctica para los usuarios. La aplicación Microsoft Authenticator está
disponible para Android e iOS.

Cuestiones sobre la implementación de Microsoft Authenticator

Los requisitos previos para usar la aplicación Microsoft Authenticator para
realizar el inicio de sesión sin contraseña en Azure AD incluyen los
siguientes:

Los usuarios finales deben estar habilitados para Azure Multi-Factor

Authentication.

Se recomienda que los usuarios inscriban sus dispositivos mediante

Microsoft Intune o una solución de administración de dispositivos móviles
(MDM) de terceros para facilitar la implementación de la aplicación.

Suponiendo que se cumplen estos requisitos, los administradores habilitan el

inicio de sesión en el teléfono sin contraseña con Windows PowerShell. Una vez
que el inicio de sesión en el teléfono está habilitado en el inquilino, los
usuarios finales pueden elegir iniciar sesión con su teléfono; para ello,
seleccionan su cuenta profesional o educativa en la pantalla Cuentas de la
aplicación y, luego, seleccionan Habilitar inicio de sesión en el teléfono .

Suponiendo que un administrador haya habilitado el inicio de sesión sin

contraseña, los usuarios finales deberán cumplir los siguientes requisitos:

Estar inscritos en Azure Multi-factor Authentication.

Tener instalada la versión más reciente de Microsoft Authenticator en

dispositivos con iOS 8.0 o superior o Android 6.0 o superior.

Haber agregado una cuenta profesional o educativa con notificaciones push a

la aplicación.

Para evitar la posibilidad de que se le bloquee su cuentas o tener que volver a

crear las cuentas en un nuevo dispositivo, se recomienda usar Microsoft
Authenticator para hacer una copia de seguridad de las credenciales de la
cuenta en la nube. Después de la copia de seguridad, también puede utilizar la
aplicación para recuperar la información en un dispositivo nuevo y evitar así
un posible bloqueo o tener que volver a crear las cuentas.

Dado que la mayoría de los usuarios están acostumbrados a usar solo las
contraseñas para autenticarse, es importante que la organización instruya a los
usuarios sobre este proceso. Conocerlo puede reducir la probabilidad de que los
usuarios llamen al departamento de soporte técnico por cualquier problema
relacionado con el inicio de sesión con la aplicación Microsoft Authenticator.

NOTE
Un posible punto de error de esta solución es cuando un usuario itinerante se encuentra en una
ubicación donde no hay conexión a Internet. Las llaves de seguridad FIDO2 y Windows Hello para
empresas no están sujetos a la misma limitación.

Cómo funciona el inicio de sesión sin contraseña con Microsoft Authenticator

El usuario configura el inicio de sesión sin contraseña con Microsoft Authenticator

Para que la aplicación Microsoft Authenticator se pueda usar como una solución
sin contraseña para iniciar sesión en una cuenta de Azure AD, tanto el
administrador como los usuarios deben realizar una serie de pasos.

En primer lugar, un administrador deberá habilitar el uso de la aplicación como

una credencial en el inquilino mediante Windows PowerShell. El administrador
también deberá habilitar a los usuarios finales en Azure Multi-Factor
Authentication (Azure MFA) y configurar la aplicación Microsoft Authenticator
como uno de los métodos de verificación.

Los usuarios finales deberán descargar e instalar la aplicación Microsoft

Authenticator y configurar su cuenta para usar esta aplicación como uno de los
métodos de verificación siguientes.

El usuario usa Microsoft Authenticator para el inicio de sesión sin contraseña

La aplicación Microsoft Authenticator se puede utilizar para iniciar sesión en

cualquier cuenta de Azure AD sin utilizar una contraseña. Si bien la pantalla
de bloqueo de Windows 10 no incluye la aplicación Microsoft Authenticator como
opción de inicio de sesión, los usuarios pueden escribir su nombre de usuario y
recibir a continuación una notificación push en su dispositivo móvil para
comprobar su presencia. Para confirmarla, los usuarios escriben un número que
coincida en la pantalla de inicio de sesión y, luego, emplean el reconocimiento
facial, la huella digital o un número PIN para desbloquear la clave privada y
completar la autenticación. Este método de verificación multifactor es más
seguro que una contraseña y más práctico que escribir una contraseña y un
código.

La autenticación sin contraseña con Microsoft Authenticator sigue el mismo

patrón básico que Windows Hello para empresas, pero es un poco más complicado,
ya que el usuario debe identificarse para que Azure AD pueda encontrar la
versión de la aplicación Microsoft Authenticator que se usa.
1. El usuario escribe su nombre de usuario.

2. Azure AD detecta que el usuario tiene una credencial segura e inicia el

flujo de credencial segura.

3. Se envía una notificación a la aplicación mediante Apple Push Notification

Service (APNS) en dispositivos iOS o por medio de Firebase Cloud Messaging
(FCM) en dispositivos Android.

4. El usuario recibe la notificación push y abre la aplicación.

5. La aplicación llama a Azure AD y recibe un desafío de prueba de presencia y

un valor nonce.

6. Para completar el desafío, el usuario escribe su información biométrica o

su PIN para desbloquear la clave privada.

7. El valor nonce se firma con la clave privada y se envía a Azure AD.

8. Azure AD realiza la validación de la clave pública-privada y devuelve un

token.

El usuario administra su inicio de sesión sin contraseña con las credenciales de Microsoft
Authenticator

Con el registro combinado, los usuarios pueden registrarse una vez y obtener
las ventajas de Multi-Factor Authentication y del autoservicio de
restablecimiento de contraseña. Los usuarios se registran y administran esta
configuración en la página Mi perfil. Además de habilitar SSPR, el registro
combinado admite varios métodos de autenticación y acciones.

Claves de seguridad FIDO2

FIDO2 es la versión más reciente del estándar FIDO Alliance y tiene dos
componentes: el estándar de autenticación web de W3C (WebAuthN) y el protocolo
correspondiente de cliente a autenticador (CTAP2) de FIDO Alliance. Los
estándares FIDO2 permiten a los usuarios aprovechar los autenticadores basados
en hardware, dispositivos móviles e información biométrica para autenticarse
fácilmente con muchas aplicaciones y sitios web en los entornos móviles y de
escritorio.

Microsoft y asociados del sector han estado trabajando juntos en dispositivos

de seguridad FIDO2 para Windows Hello a fin de permitir la autenticación
sencilla y segura en dispositivos compartidos. Las claves de seguridad FIDO2 le
permiten llevar encima sus credenciales y autenticarse de forma segura en un
dispositivo Windows 10 unido a Azure AD que forme parte de su organización.

WebAuthN define una API que permite el desarrollo y la implementación de una

autenticación sin contraseña segura mediante aplicaciones y servicios web. El
protocolo CTAP permite que dispositivos externos, como las claves de seguridad
compatibles con FIDO, funcionen con WebAuthN y sirvan como autenticadores. Con
la autenticación web, los usuarios pueden iniciar sesión en servicios en línea
con su cara, huella digital, PIN o claves de seguridad FIDO2 portátiles y hacer
uso de credenciales de clave pública seguras en lugar de contraseñas.
Actualmente WebAuthN se admite en Microsoft Edge y la compatibilidad con Chrome
y Firefox está en desarrollo.

Los dispositivos y los tokens que se adhieren a los protocolos FIDO2, WebAuthN
y CTAP generan una solución multiplataforma de autenticación segura sin el uso
de contraseñas. Los asociados de Microsoft trabajan en diversos factores de
forma de llaves de seguridad, como las llaves de seguridad USB y las tarjetas
inteligentes habilitadas para NFC.

Escenarios de las llaves de seguridad FIDO2

Las llaves de seguridad FIDO2 pueden usarse para iniciar sesión en Azure AD
mediante la elección de la llave de seguridad como proveedor de credenciales en
la pantalla de bloqueo de Windows 10. Al no necesitarse un nombre de usuario y
una contraseña, es la solución perfecta para los trabajadores de primera línea
con equipos compartidos entre varios usuarios. También es una opción de
autenticación excelente cuando las directivas corporativas dictaminan que las
credenciales del usuario deben estar físicamente separadas de su dispositivo.
Los usuarios pueden optar por iniciar sesión en los sitios web con su llave de
seguridad FIDO2 dentro del explorador Microsoft Edge en Windows 10 versión 1809
o posterior.

Cuestiones sobre la implementación de las llaves de seguridad FIDO2

Los administradores pueden habilitar la compatibilidad con FIDO2 en Azure AD y
asignar la funcionalidad a los usuarios o grupos. También se pueden crear
directivas para el modo en que se aprovisionan las claves y configurar
restricciones, como permitir o bloquear un conjunto específico de llaves de
seguridad de hardware. Las llaves deben distribuirse físicamente a los usuarios
finales.

Los requisitos para habilitar el inicio de sesión único sin contraseña

en Azure AD y en los sitios web con las llaves de seguridad FIDO2 son
estos:

Azure AD
 Azure Multi-Factor Authentication

Versión preliminar de registro combinado

La versión preliminar de la llave de seguridad FIDO2 requiere una llave de

seguridad FIDO2 compatible

La autenticación web (WebAuthN) requiere Microsoft Edge en Windows 10

versión 1809 o superior

El inicio de sesión en Windows basado en FIDO2 requiere Windows 10 versión

1809 o superior unido a Azure AD (la mejor experiencia es con Windows 10
versión 1903 o posterior)

Los factores de forma compatibles con FIDO2 incluyen dispositivos USB, NFC y
Bluetooth. Se recomienda elegir el factor de forma que satisfaga sus
necesidades específicas dado que algunas plataformas y exploradores no son aún
compatibles con FIDO2.

También se recomienda que cada organización cree un protocolo que deben seguir
los usuarios y los administradores en caso del robo o la pérdida de una llave
de seguridad. Los usuarios deben informar del robo o la pérdida de una llave
para que los administradores o el usuario puedan eliminar sus llaves de
seguridad del perfil de usuario y proporcionarles una nueva.

Funcionamiento de las llaves de seguridad FIDO2

El usuario configura la llave de seguridad FIDO2

Si bien los administradores pueden proporcionar llaves manualmente y

distribuirlas a los usuarios finales, para aprovisionar y habilitar el
proveedor de credenciales FIDO2 en la pantalla de bloqueo de Windows 10 se usa
Intune. Los administradores también deberán usar Azure Portal para habilitar
dispositivos de token de hardware como método de autenticación sin contraseña.

La implementación de las llaves de seguridad FIDO2 también requiere que los

usuarios registren sus llaves mediante registro combinado. Con el registro
combinado, los usuarios se registran una vez y obtienen las ventajas de Azure
Multi-Factor Authentication y del autoservicio de restablecimiento de
contraseña (SSPR).

Además de seleccionar el token de hardware como método de autenticación

multifactor predeterminado, se recomienda que también seleccione una opción de
verificación adicional.

Microsoft Authenticator: notificación

Aplicación Authenticator o token de hardware: código

llamada de teléfono

mensaje de texto

El usuario usa la clave de seguridad FIDO2 para el inicio de sesión

FIDO2 proporciona una capa de abstracción entre el factor de forma que se usa
como autenticador y la criptografía de clave pública-privada para permitir a
los autenticadores integrados de la plataforma, como Windows Hello y las llaves
de seguridad, resolverse como una clave privada y entregar una clave pública
que pueda usarse como identificador para acceder a recursos externos. Las
llaves de seguridad FIDO2 incorporan su propio enclave seguro integrado que
almacena la clave privada y solicita la información biométrica o el PIN para
desbloquearla. Las credenciales no se puede reutilizar, reproducir ni compartir
entre servicios, y no están sujetas a ataques de suplantación de identidad y
MiTM ni a infracciones del servidor.

Las llaves de seguridad FIDO2 proporcionan una autenticación segura, con

independencia del factor de forma. La llave de seguridad contiene la credencial
y debe protegerse con un segundo factor adicional, como una huella digital
(integrada en la clave de seguridad) o un PIN para escribirse en el inicio de
sesión de Windows. Los asociados de Microsoft trabajan en una variedad de
factores de forma de llave de seguridad. Algunos ejemplos incluyen llaves de
seguridad USB y tarjetas inteligentes habilitadas para NFC.

NOTE
Una llave de seguridad DEBE implementar determinadas características y extensiones del
protocolo FIDO2 CTAP para ser compatibles con Microsoft. Microsoft ha probado la compatibilidad
de estas soluciones con Windows 10 y Azure Active Directory.
1. El usuario conecta el dispositivo FIDO2 al equipo.

2. Windows detecta la llave de seguridad FIDO2.

3. Windows envía una solicitud de autenticación.

4. Azure AD devuelve un valor nonce.

5. El usuario realiza su gesto para desbloquear la clave privada almacenada en

el enclave seguro de la llave de seguridad FIDO2.

6. La llave de seguridad FIDO2 firma el valor nonce con la clave privada.

7. La solicitud de token PRT con el valor nonce firmado se envía a Azure AD.

8. Azure AD comprueba el valor nonce firmado con la clave pública FIDO2.

9. Azure AD devuelve el PRT para permitir el acceso a los recursos locales.

El usuario administra sus credenciales de llave de seguridad FIDO2

Al igual que la aplicación Microsoft Authenticator, la administración de

credenciales de las llaves de seguridad FIDO2 se basa en la experiencia de
registro combinado de los usuarios finales.

Elección de un método sin contraseña

La decisión entre estas tres opciones sin contraseña depende de los requisitos
de seguridad, plataforma y aplicación de su empresa.

Estos son algunos de los factores que se deben tener en cuenta al elegir la
tecnología de Microsoft sin contraseña:
 INICIO DE SESIÓN SIN
CONTRASEÑA CON LA
WINDOWS HELLO PARA APLICACIÓN MICROSOFT LLAVES DE SEGURIDAD
EMPRESAS AUTHENTICATOR FIDO2

Requisito previo Windows 10, Aplicación Microsoft Windows 10,

versión 1809 o Authenticator versión 1809 o
posterior Teléfono (dispositivos posterior
Azure Active Directory iOS y Android que Azure Active Directory
ejecutan Android 6.0 o
posterior)

Modo Plataforma Software Hardware

Sistemas y PC con un módulo de PIN y reconocimiento Dispositivos de

dispositivos plataforma segura biométrico en el seguridad FIDO2 que
(TPM) integrado teléfono son compatibles con
Reconocimiento de PIN Microsoft
e información
biométrica

Experiencia del Inicie sesión con un Inicio de sesión con Inicio de sesión con
usuario PIN o mediante un teléfono móvil con el dispositivo de
reconocimiento la huella digital, el seguridad FIDO2
biométrico (facial, reconocimiento facial (información
iris o huella digital) o del iris, o bien con biométrica, PIN y NFC)
con dispositivos un PIN. El usuario puede
Windows. Los usuarios inician acceder al dispositivo
La autenticación de sesión en su cuenta según los controles de
Windows Hello está profesional o personal la organización y
vinculada al desde su PC o teléfono autenticarse con un
dispositivo; el móvil. PIN, información
usuario necesita el biométrica mediante
dispositivo y un dispositivos como
componente de inicio llaves de seguridad
de sesión, como un PIN USB, y por medio de
o un factor tarjetas inteligentes,
biométrico, para llaves o dispositivos
acceder a los recursos ponibles habilitados
corporativos. para NFC.

Escenarios Experiencia sin Solución en cualquier Experiencia sin

habilitados contraseña con parte sin contraseña contraseña para los
dispositivos Windows. con el teléfono móvil. trabajadores con NFC,
Se aplica a PC de Se aplica para el información biométrica
trabajo dedicados con acceso a aplicaciones y PIN.
posibilidad de inicio de trabajo o Aplicable a PC
de sesión único en personales en la web compartidos y cuando
aplicaciones y desde cualquier un teléfono móvil no
dispositivos. dispositivo. es una opción viable
(por ejemplo, personal
del departamento de
soporte técnico,
quiosco multimedia
público o equipo de
hospital).

Use la tabla siguiente para elegir qué método será más adecuado para sus
requisitos y usuarios.
 TECNOLOGÍA SIN
PERSONA ESCENARIO ENTORNO CONTRASEÑA

Administrador Acceso seguro a un Dispositivo Windows 10 Windows Hello para

dispositivo para asignado empresas, llave de
tareas de seguridad FIDO2 o
administración ambos

Administrador Tareas de Dispositivo móvil o Inicio de sesión sin

administración en que no sean Windows contraseña con la
dispositivos que no aplicación Microsoft
son Windows Authenticator

Trabajador de la Trabajo de Dispositivo Windows 10 Windows Hello para

información productividad asignado empresas, llave de
seguridad FIDO2 o
ambos

Trabajador de la Trabajo de Dispositivo móvil o Inicio de sesión sin

información productividad que no sean Windows contraseña con la
aplicación Microsoft
Authenticator

Trabajador de Quioscos multimedia de Dispositivos Llaves de seguridad

primera línea una fábrica, planta, Windows 10 compartidos FIDO2
comercio o entrada de
datos

Introducción
La autenticación sin contraseña es el futuro y el camino a un entorno más
seguro. Se recomienda a las organizaciones empezar a planear este cambio y
reducir sus dependencias de las contraseñas. Para comenzar, considere los
siguientes objetivos:

Habilitar a los usuarios para MFA + aplicación Microsoft Authenticator +

acceso condicional

Lanzar la protección con contraseña de Azure AD + directivas de

actualización

Habilitar a los usuarios para SSPR con registro combinado

Implementar la aplicación Microsoft Authenticator para la movilidad

Implementar Windows Hello para empresas (1909: mantenerse al día)

Implementar dispositivos FIDO2 para los usuarios que no puedan usar

teléfonos

Cuando sea posible, deshabilitar la autenticación basada en contraseña

Para lograr estos objetivos, se recomienda el siguiente enfoque:

1. Habilitar Azure Active Directory para aprovechar al máximo características

como Azure MFA y acceso condicional

2. Habilitar la autenticación multifactor para proporcionar protección

adicional
3. Habilitar el autoservicio de restablecimiento de contraseña en caso de que
los usuarios necesiten recurrir al uso de contraseñas

4. Implementar el inicio de sesión en el teléfono de Microsoft Authenticator

para una mayor movilidad

5. Implementar Windows Hello para empresas en todos los dispositivos

Windows 10

6. Preparar las llaves de seguridad FIDO2

NOTE
Para más información sobre los requisitos de licencia de los métodos sin contraseña, consulte
la página de licencia de Azure Active Directory.

Conclusión
En los últimos años, Microsoft ha continuado su compromiso de crear un mundo
sin contraseñas. Con Windows 10, Microsoft introdujo Windows Hello para
empresas, una credencial en dos fases segura protegida por hardware que permite
el inicio de sesión único en Azure Active Directory y Active Directory. Al
igual que la tecnología de Windows Hello para empresas, la aplicación Microsoft
Authenticator usa autenticación basada en claves para habilitar una credencial
de usuario que está vinculada a un dispositivo y utiliza información biométrica
o un PIN. Ahora las llaves de seguridad FIDO2 le permiten llevar encima sus
credenciales e iniciar sesión en Azure AD mediante la elección de la llave de
seguridad como proveedor de credenciales en la pantalla de bloqueo de
Windows 10. Estas tres soluciones sin contraseña reducen el riesgo de ataques
de suplantación de identidad (phishing), difusión de contraseñas y reproducción
y proporcionan a los usuarios una manera muy segura y práctica de iniciar
sesión y acceder a los datos desde cualquier parte.

La adopción de tecnologías modernas de autenticación multifactor, como lecturas

biométricas y criptografía de claves públicas en dispositivos ampliamente
accesibles es uno de los pasos con más repercusión que puede reducir
considerablemente el riesgo de la identidad en las empresas. La transición a un
mundo sin contraseñas es un enfoque a largo plazo para la autenticación segura
y se encuentra en evolución. Dados los requisitos emergentes, las
organizaciones pueden crear un plan y prepararse para comenzar a moverse a las
tecnologías sin contraseña.

Pasos siguientes
Información general sobre lo que significa el inicio de sesión sin contraseña
Cómo se habilita el inicio de sesión sin contraseña en Azure AD
 Seleccione el método de autenticación
adecuado para su solución de identidad
híbrida de Azure Active Directory
23/03/2020 • 37 minutes to read • Edit Online

La elección del método de autenticación correcto es la primera preocupación

para las organizaciones que desean mover sus aplicaciones a la nube. Esta
decisión no debe tomarse a la ligera por las razones siguientes:

1. Es la primera decisión de una organización que quiere trasladarse a la

nube.

2. El método de autenticación es un componente esencial de la presencia de

una organización en la nube. Esto es debido a que controla el acceso a
todos los datos y recursos que hay en ella.

3. Es la base de todas las demás características avanzadas de seguridad y

experiencia de usuario en Azure AD.

La identidad es el nuevo plano de control de la seguridad de TI, de modo que la

autenticación se convierte en el guardián de acceso de una organización al
nuevo mundo de la nube. Las organizaciones necesitan un plano de control de
identidad que fortalezca su seguridad y mantenga las aplicaciones en la nube a
salvo de intrusos.

NOTE
Cambiar el método de autenticación requiere planeación, pruebas y un posible tiempo de
inactividad. El lanzamiento preconfigurado es una excelente forma de probar y migrar
gradualmente de la federación a la autenticación en la nube.

Fuera de ámbito
Las organizaciones que no tienen una superficie de directorio local existente
no entran en el ámbito de este artículo. Por lo general, esas empresas crean
identidades solo en la nube, lo que no requiere una solución de identidad
híbrida. Las identidades que solo se usan en la nube existen únicamente en la
nube y no están asociadas a sus identidades locales correspondientes.

Métodos de autenticación
Cuando la solución de identidad híbrida de Azure AD sea el nuevo plano de
control, la autenticación será la base del acceso a la nube. La elección del
método de autenticación correcto es una primera decisión fundamental en la
configuración de una solución de identidad híbrida de Azure AD. Implemente el
método de autenticación que se configura mediante Azure AD Connect, y que
también aprovisionará a los usuarios en la nube.

Para elegir un método de autenticación, es necesario tener en cuenta el tiempo,

la infraestructura existente, la complejidad y el costo de implementar cada
opción. Estos factores varían con cada organización y pueden cambiar con el
tiempo.
Azure AD admite los siguientes métodos de autenticación en soluciones de
identidad híbrida.

Autenticación en la nube
Cuando se elige este método de autenticación, Azure AD administra el proceso de
inicio de sesión de los usuarios. Junto con el inicio de sesión único (SSO)
completo, los usuarios pueden iniciar sesión en las aplicaciones en la nube sin
tener que volver a escribir sus credenciales. Con la autenticación en la nube
puede elegir entre dos opciones:

Sincronización de hash de contraseñas de Azure AD . Es la manera más

sencilla de habilitar la autenticación para los objetos de directorio local en
Azure AD. Gracias a ella, los usuarios pueden usar el mismo nombre de usuario y
contraseña que en el entorno local sin tener que implementar ninguna
infraestructura adicional. Algunas características premium de Azure AD, como
Identity Protection y Azure AD Domain Services, requieren la sincronización de
hash de contraseñas con independencia del método de autenticación seleccionado.

NOTE
Las contraseñas nunca se almacenan en texto no cifrado o cifradas con un algoritmo reversible
en Azure AD. Para obtener más información sobre el proceso real de la sincronización de hash de
contraseñas, consulte Implementación de la sincronización de hash de contraseñas con la
sincronización de Azure AD Connect.

Autenticación de paso a través de Azure AD . Proporciona una validación de

contraseñas simple para los servicios de autenticación de Azure AD mediante un
agente de software que se ejecuta en uno o más servidores locales. Los
servidores validan a los usuarios directamente con la instancia local de Active
Directory, lo que garantiza que la validación de la contraseña no se realiza en
la nube.

Las empresas con un requisito de seguridad para aplicar de inmediato los

estados de cuenta de los usuarios locales, las directivas de contraseña y las
horas de inicio de sesión pueden usar este método de autenticación. Para
obtener más información sobre el proceso real de autenticación de paso a
través, consulte Inicio de sesión del usuario con la autenticación de paso a
través de Azure AD.

Autenticación federada
Cuando se elige este método de autenticación, Azure AD deja el proceso de
autenticación en manos de un sistema de autenticación de confianza como, por
ejemplo, una instancia local de Servicios de federación de Active Directory (AD
FS) para validar la contraseña del usuario.

El sistema de autenticación puede proporcionar requisitos adicionales de

autenticación avanzada. Algunos ejemplos son la autenticación basada en
tarjetas inteligentes o la autenticación multifactor de terceros. Para más
información, consulte Implementación de Servicios de federación de Active
Directory.

En la siguiente sección encontrará un árbol de decisión que le ayudará a

decidir qué método de autenticación es más adecuado en su caso. Gracias a este
 árbol podrá determinar si debe implementar la autenticación en la nube o la
autenticación federada para la solución híbrida de Azure AD.

Árbol de decisión

Detalles sobre las preguntas de decisión:

1. Azure AD puede controlar el inicio de sesión de los usuarios sin tener que
depender de los componentes locales para comprobar las contraseñas.
2. Azure AD puede entregar el inicio de sesión de usuario a un proveedor de
autenticación de confianza como AD FS de Microsoft.
3. Si tiene que aplicar directivas de seguridad de Active Directory a nivel de
usuario, como la cuenta expirada, cuenta deshabilitada, contraseña expirada,
cuenta bloqueada y horas de inicio de sesión de cada usuario, Azure AD
requiere algunos componentes locales.
4. Las características de inicio de sesión no son compatibles de forma nativa
con Azure AD:
Inicio de sesión con tarjetas inteligentes o certificados.
Inicio de sesión con el servidor de MFA de forma local.
Inicio de sesión con una solución de autenticación de terceros.
Solución de autenticación local de varios sitios.
5. Azure AD Identity Protection requiere la sincronización del hash de
contraseña, independientemente de qué método de inicio de sesión elija, para
proporcionar el informe Usuarios con credenciales filtradas. Las
organizaciones pueden conmutar por error a la sincronización del hash de
contraseña si se produce un error en su método principal de inicio de sesión
y se ha configurado antes del evento de error.
 NOTE
Azure AD Identity Protection requiere licencias de Azure AD Premium P2.

Consideraciones detalladas
Autenticación en la nube: Sincronización de hash de contraseña
Esfuerzo . La sincronización de hash de contraseñas requiere un esfuerzo
mínimo en cuanto a la implementación, el mantenimiento y la
infraestructura. Este nivel de esfuerzo se aplica generalmente a
organizaciones que solo necesitan que sus usuarios inicien sesión en
Office 365, aplicaciones de SaaS y otros recursos basados en Azure AD.
Cuando se habilita, la sincronización de hash de contraseñas forma parte
del proceso de sincronización de Azure AD Connect y se ejecuta cada dos
minutos.

Experiencia del usuario . Para mejorar la experiencia de inicio de sesión

de los usuarios, puede implementar un SSO de conexión directa gracias a la
sincronización de hash de contraseñas. El SSO de conexión directa elimina
las solicitudes innecesarias cuando los usuarios inician sesión.

Escenarios avanzados . Si las organizaciones lo eligen, es posible usar

información detallada de identidades con informes de Azure AD Identity
Protection con Azure AD Premium P2. Por ejemplo, el informe de
credenciales filtradas. Windows Hello para empresas tiene requisitos
específicos cuando se usa la sincronización de hash de contraseñas. Azure
AD Domain Services requiere sincronización de hash de contraseñas para
aprovisionar a los usuarios con sus credenciales corporativas en el
dominio administrado.

Las organizaciones que requieren una autenticación multifactor con

sincronización de hash de contraseñas tienen que usar la autenticación
multifactor o los controles personalizados de acceso condicional de Azure
AD. Esas organizaciones no pueden usar métodos de autenticación
multifactor de terceros o locales que se basen en la federación.

NOTE
El acceso condicional de Azure AD requiere licencias de Azure AD Premium P1.

Continuidad del negocio . La sincronización de hash de contraseñas tiene

una alta disponibilidad como servicio en la nube que se puede escalar a
todos los centros de datos de Microsoft. Para asegurarse de que la
sincronización de hash de contraseñas no deja de funcionar durante
períodos prolongados, implemente un segundo servidor de Azure AD Connect
de modo provisional en una configuración en espera.

Consideraciones . Actualmente, la sincronización de hash de contraseñas no

aplica inmediatamente los cambios en los estados de la cuenta local. En
esta situación, un usuario tendrá acceso a las aplicaciones en la nube
hasta que el estado de la cuenta del usuario se sincronice con Azure AD.
Si las organizaciones quieren superar esta limitación, es recomendable
ejecutar un nuevo ciclo de sincronización después de que los
 administradores realicen actualizaciones masivas en los estados de las
cuentas de los usuarios locales. Por ejemplo, pueden deshabilitar las
cuentas.

NOTE
Los estados de contraseña expirada y cuenta bloqueada no se sincronizan actualmente con Azure
AD mediante Azure AD Connect. Al cambiar una contraseña de usuario y establecer la marca el
usuario debe cambiar la contraseña en el siguiente inicio de sesión, el hash de contraseña no
se sincronizará con Azure AD a través de Azure AD Connect hasta que el usuario cambie su
contraseña.

Para ver los pasos de implementación, consulte Implementación de la

sincronización de hash de contraseñas.

Autenticación en la nube: Autenticación de paso a través

Esfuerzo . Para realizar la autenticación de paso a través, necesita uno o
más (recomendamos tres) agentes livianos instalados en los servidores
existentes. Estos agentes deben tener acceso a la instancia local de
Active Directory Domain Services, incluidos los controladores de dominio
locales de AD. Estos agentes necesitan acceso saliente a Internet y tener
acceso a los controladores de dominio. Por esta razón, no se pueden
implementar los agentes en una red perimetral.

Este tipo de autenticación de paso a través necesita que los controladores

de dominio le proporcionen acceso a la red sin restricciones. Todo el
tráfico de red se cifra y se limita a las solicitudes de autenticación.
Para obtener más información sobre este proceso, consulte Información de
seguridad detallada sobre la autenticación de paso a través.

Experiencia del usuario . Para mejorar la experiencia de inicio de sesión

de los usuarios, puede implementar un SSO de conexión directa con la
autenticación de paso a través. El SSO de conexión directa elimina las
solicitudes innecesarias cuando los usuarios inician sesión.

Escenarios avanzados . La autenticación de paso a través aplica la

directiva de cuenta local al iniciar sesión. Por ejemplo, se deniega el
acceso cuando el estado de la cuenta de un usuario local indica que está
deshabilitada, bloqueada, con su contraseña expirada o que el intento de
inicio de sesión se encuentra fuera de las horas de inicio de sesión del
usuario.

Las organizaciones que requieren una autenticación multifactor con una

autenticación de paso a través tienen que usar Azure Multi-Factor
Authentication (MFA) o los controles personalizados de acceso condicional.
Esas organizaciones no pueden usar métodos de autenticación multifactor de
terceros o locales que se basen en la federación. Las características
avanzadas requieren que se implemente la sincronización de hash de
contraseñas sin importar si elige o no la autenticación de paso a través.
Por ejemplo, esto sucede con el informe de credenciales filtradas de
Identity Protection.

Continuidad del negocio . Es recomendable que implemente dos agentes de

autenticación de paso a través adicionales. Estos extras son adicionales
 al primer agente en el servidor de Azure AD Connect. Esta implementación
adicional garantiza una alta disponibilidad de solicitudes de
autenticación. Cuando hay tres agentes implementados, un agente puede
dejar de funcionar cuando otro agente está inactivo por mantenimiento.

Existe otro beneficio al implementar la sincronización de hash de

contraseñas además de la autenticación de paso a través. Actúa como un
método de autenticación de respaldo cuando el método de autenticación
principal ya no está disponible.

Consideraciones . Puede utilizar la sincronización de hash de contraseñas

como método de autenticación de respaldo para la autenticación de paso a
través, cuando los agentes no puedan asegurarse de las credenciales de un
usuario debido a un error local importante. La conmutación por error de la
sincronización de hash de contraseñas no sucede automáticamente y debe
usar Azure AD Connect para cambiar el método de inicio de sesión
manualmente.

Para ver más detalles sobre la autenticación de paso a través, incluida la

compatibilidad con identificadores alternativos, consulte las preguntas
más frecuentes.

Para obtener información sobre los pasos de implementación, consulte

Implementación de la autenticación de paso a través.

Autenticación federada
Esfuerzo . El uso de un sistema de autenticación federada se basa en un
sistema externo de confianza para autenticar a los usuarios. Algunas
empresas desean reutilizar sus inversiones existentes en sistemas
federados con su solución de identidad híbrida de Azure AD. El
mantenimiento y la administración del sistema federado no entra en el
control de Azure AD. Es responsabilidad de la organización que usa el
sistema federado asegurarse de que se implementa de forma segura y de que
puede administrar la carga de autenticación.

Experiencia del usuario . La experiencia de usuario de la autenticación

federada depende de la implementación de las características, la topología
y la configuración de la granja de servidores de federación. Algunas
organizaciones necesitan esta flexibilidad para adaptar y configurar el
acceso a la granja de servidores de federación a fin de satisfacer sus
requisitos de seguridad. Por ejemplo, es posible configurar usuarios y
dispositivos conectados internamente para iniciar la sesión de los
usuarios automáticamente, sin pedirles las credenciales. Esta
configuración funciona porque ya han iniciado sesión en sus dispositivos.
Por otro lado, si es necesario, algunas características de seguridad
avanzadas pueden dificultar el proceso de inicio de sesión del usuario.

Escenarios avanzados . Generalmente, se requiere una solución de

autenticación federada cuando los clientes tienen un requisito de
autenticación que Azure AD no admite de forma nativa. Puede consultar
información detallada que le ayudará a elegir la opción de inicio de
sesión correcta. Considere los siguientes requisitos comunes:

Un método de autenticación que requiere tarjetas inteligentes o

certificados.
 Servidores MFA locales o proveedores de autenticación multifactor de
terceros que requieren un proveedor de identidades federadas.
Un método de autenticación con una solución de autenticación de
terceros. Consulte la lista de compatibilidad de federación de AD Azure.
Un inicio de sesión que requiera un elemento sAMAccountName, como
DOMAIN\username, en lugar de usar el nombre principal de usuario (UPN);
por ejemplo, user@[Link].
Continuidad del negocio . Los sistemas federados generalmente requieren
una matriz de servidores de carga equilibrada, conocida como granja de
servidores. Esta granja de servidores está configurada en una red interna
y en una topología de red perimetral para garantizar una alta
disponibilidad de las solicitudes de autenticación.

La sincronización de hash de contraseñas se puede implementar en

combinación con la autenticación federada como método de autenticación de
reserva cuando el método de autenticación principal ya no esté disponible.
Por ejemplo, cuando los servidores locales no están disponibles. Algunas
organizaciones empresariales de gran tamaño requieren una solución de
federación para admitir varios puntos de entrada a Internet con DNS
geográfico para solicitudes de autenticación de baja latencia.

Consideraciones . Normalmente, los sistemas federados requieren una

inversión más importante en infraestructura local. La mayoría de las
organizaciones eligen esta opción si ya han invertido en una federación
local. También la escogerán si es un requisito de negocios importante usar
un proveedor de identidades únicas. Es más difícil usar la federación y
solucionar sus problemas en comparación con las soluciones de
autenticación en la nube.

Si hay un dominio no enrutable que no se puede verificar en Azure AD, debe

realizar una configuración adicional para implementar el inicio de sesión de un
id. de usuario. Este requisito se conoce como compatibilidad con
identificadores de inicio de sesión alternativos. Para conocer los requisitos y
las limitaciones, consulte Configurar un identificador de inicio de sesión
alternativo. Si decide usar un proveedor de autenticación multifactor de
terceros con federación, asegúrese de que el proveedor admite WS-Trust para
permitir que los dispositivos se unan a Azure AD.

Para conocer los pasos de implementación, consulte Deploying Federation Servers

(Implementación de los servidores de federación).

NOTE
Al implementar la solución de identidad híbrida de Azure AD, debe asegurarse de implementar una
de las topologías admitidas de Azure AD Connect. Aprenda más sobre las configuraciones
admitidas y no admitidas en Topologías de Azure AD Connect.

Diagramas de arquitectura
En los siguientes diagramas se describen los componentes de arquitectura de
alto nivel que requiere cada método de autenticación que se puede usar con la
solución de identidad híbrida de Azure AD. Proporcionan información general
para comparar las diferencias entre las soluciones.
Simplicidad de una solución de sincronización de hash de contraseñas:

Requisitos del agente para la autenticación de paso a través, con el uso

de dos agentes para la redundancia:

Componentes necesarios para la federación en la red perimetral e interna

de la organización:
Comparación de métodos
SINCRONIZACIÓN DE HASH AUTENTICACIÓN DE PASO
DE CONTRASEÑAS + SSO A TRAVÉS + SSO DE
CONSIDERACIÓN DE CONEXIÓN DIRECTA CONEXIÓN DIRECTA FEDERACIÓN CON AD FS

¿Dónde se realiza la En la nube En la nube, después de Local

autenticación? un intercambio de
comprobación de
contraseña segura con
el agente de
autenticación local

¿Cuáles son los None Un servidor para cada Dos o más servidores
requisitos de servidor agente de de AD FS
local más allá del autenticación
sistema de adicional Dos o más servidores
aprovisionamiento WAP en la red
(Azure AD Connect)? perimetral o DMZ

¿Cuáles son los None Acceso saliente a Acceso entrante a

requisitos de redes e Internet desde los Internet para los
Internet locales más servidores que servidores WAP del
allá del sistema de ejecutan los agentes perímetro
aprovisionamiento? de autenticación
Acceso entrante de red
para los servidores de
AD FS desde los
servidores WAP del
perímetro

Equilibrio de carga de
red

¿Hay algún requisito No No Sí

de certificado SSL?
 SINCRONIZACIÓN DE HASH AUTENTICACIÓN DE PASO
DE CONTRASEÑAS + SSO A TRAVÉS + SSO DE
CONSIDERACIÓN DE CONEXIÓN DIRECTA CONEXIÓN DIRECTA FEDERACIÓN CON AD FS

¿Hay alguna solución No se requiere El estado del agente Azure AD Connect

de supervisión de lo proporciona el Health
estado? Centro de
administración de
Azure Active Directory

¿Los usuarios realizan Sí, con SSO de Sí, con SSO de Sí

el inicio de sesión conexión directa conexión directa
único en los recursos
de nube desde
dispositivos unidos a
un dominio de la red
de la empresa?

¿Qué tipos de inicio UserPrincipalName + UserPrincipalName + UserPrincipalName +

de sesión se admiten? contraseña contraseña contraseña

Autenticación Autenticación sAMAccountName +

integrada de Windows integrada de Windows contraseña
con SSO de conexión con SSO de conexión
directa directa Autenticación
integrada de Windows
Identificador de Identificador de
inicio de sesión inicio de sesión Autenticación de
alternativo alternativo certificados y
tarjetas inteligentes

Identificador de
inicio de sesión
alternativo

¿Se admite Windows Modelo de confianza de Modelo de confianza de Modelo de confianza de

Hello para empresas? clave clave clave
Requiere el nivel
funcional de dominio Modelo de confianza de
de Windows Server 2016 certificado

¿Cuáles son las Azure MFA Azure MFA Azure MFA

opciones de
autenticación Controles Controles Servidor de Azure MFA
multifactor? personalizados con personalizados con
acceso condicional* acceso condicional* MFA de terceros

Controles
personalizados con
acceso condicional*

¿Qué estados de cuenta Cuentas deshabilitadas Cuentas deshabilitadas Cuentas deshabilitadas

de usuario se admiten? (retraso de hasta 30
minutos) Cuenta bloqueada Cuenta bloqueada

Cuenta expirada Cuenta expirada

Contraseña expirada Contraseña expirada

Horas de inicio de Horas de inicio de

sesión sesión
 SINCRONIZACIÓN DE HASH AUTENTICACIÓN DE PASO
DE CONTRASEÑAS + SSO A TRAVÉS + SSO DE
CONSIDERACIÓN DE CONEXIÓN DIRECTA CONEXIÓN DIRECTA FEDERACIÓN CON AD FS

¿Cuáles son las Acceso condicional de Acceso condicional de Acceso condicional de

opciones de acceso Azure AD, con Azure AD Azure AD, con Azure AD Azure AD, con Azure AD
condicional? Premium Premium Premium

Reglas de
notificaciones de AD
FS

¿Se admite el bloqueo Sí Sí Sí

de protocolos
heredados?

¿Se puede personalizar Sí, con Azure AD Sí, con Azure AD Sí

el logotipo, la imagen Premium Premium
y la descripción en
las páginas de inicio
de sesión?

¿Qué escenarios Smart Password Lockout Smart Password Lockout Sistema de

avanzados se admiten? (Bloqueo inteligente (Bloqueo inteligente autenticación
de contraseñas) de contraseñas) multisitio de baja
latencia
Informes de
credenciales Bloqueo de extranet de
filtrados, con Azure AD FS
AD Premium P2
Integración con
sistemas de identidad
de terceros

NOTE
Actualmente, los controles personalizados del acceso condicional de Azure AD no admiten el
registro de dispositivos.

Recomendaciones
El sistema de identidad garantiza que los usuarios tengan acceso a aplicaciones
en la nube y a aplicaciones de línea de negocio que se migran y están
disponibles en la nube. La autenticación controla el acceso a las aplicaciones,
a fin de mantener la productividad de los usuarios autorizados, y a los
usuarios malintencionados alejados de los datos confidenciales de la
organización.

Use o habilite la sincronización de hash de contraseñas con independencia del

método de autenticación que elija, por las razones siguientes:

1. Alta disponibilidad y recuperación ante desastres . La autenticación

de paso a través y la federación se basan en la infraestructura local. En
la autenticación de paso a través, la superficie local incluye las redes y
el hardware del servidor que requieren los agentes de autenticación de
paso a través. En el caso de la federación, la superficie local es aún
mayor. Esto es debido a que se requieren servidores en la red perimetral
 para las solicitudes de autenticación de proxy y los servidores de
federación internos.

Para evitar los únicos puntos de errores, implemente servidores

redundantes. A continuación, las solicitudes de autenticación siempre se
atenderán si se produce un error en alguno de los componentes. Tanto la
autenticación de paso a través como la de federación están sujetas a los
controladores de dominio para responder a las solicitudes de
autenticación, que también pueden producir un error. Muchos de estos
componentes deben mantenerse para permanecer en buen estado. Las
interrupciones son más probables cuando el mantenimiento no se planifica
ni se implementa correctamente. Para evitar interrupciones, se puede usar
la sincronización de hash de contraseñas porque el servicio de
autenticación en la nube de Microsoft Azure AD se escala globalmente y
siempre está disponible.

2. Subsistencia a interrupciones locales . Las consecuencias de una

interrupción local debida a un ataque cibernético o a un desastre pueden
ser de gran envergadura; desde daños en la reputación de la marca hasta la
paralización de organizaciones que se ven incapaces de hacer frente al
ataque. Últimamente muchas organizaciones han sido víctimas de ataques de
malware, como ransomware dirigido, que provocaron que sus servidores
locales se desconectaran. A la hora de ayudar a los clientes a tratar con
estos tipos de ataques, Microsoft observó dos categorías de
organizaciones:

Las organizaciones que activaron previamente la sincronización de

hash de contraseñas, cambiaron su método de autenticación para usar
la sincronización de hash de contraseñas. Gracias a esto, volvieron a
estar en línea en cuestión de horas. Al usar el acceso al correo
electrónico a través de Office 365, pudieron trabajar para resolver
los problemas y tener acceso a otras cargas de trabajo basadas en la
nube.

Las organizaciones que no habilitaron previamente la sincronización

de hash de contraseñas, tuvieron que recurrir a sistemas de correo
electrónico de consumidor externos que no son de confianza para las
comunicaciones, con el fin de resolver los problemas. En esos casos,
tardaron semanas en restaurar su infraestructura de identidad local,
antes de que los usuarios pudieran volver a iniciar sesión en
aplicaciones basadas en la nube.

3. Identity Protection . una de las mejores maneras de proteger a los

usuarios de la nube es Azure AD Identity Protection con Azure AD Premium
P2. Microsoft examina continuamente Internet en busca de listas de
usuarios y contraseñas que los usuarios malintencionados venden y
proporcionan en la Internet oscura. Azure AD puede usar esta información
para comprobar si algunos de los nombres de usuario y contraseñas de su
organización están en peligro. Por lo tanto, es fundamental habilitar la
sincronización de hash de contraseñas, con independencia de qué método de
autenticación se use, ya sea autenticación federada o de paso a través.
Las credenciales filtradas se presentan como un informe. Use esta
información para bloquear o exigir que los usuarios cambien sus
contraseñas cuando intenten iniciar sesión con contraseñas filtradas.
Conclusión
En este artículo se describen distintas opciones de autenticación que las
organizaciones pueden configurar e implementar para admitir el acceso a las
aplicaciones en la nube. Para satisfacer los diversos requisitos de negocios,
técnicos y de seguridad, las organizaciones pueden elegir entre la
sincronización de hash de contraseñas, la autenticación de paso a través y la
federación.

Revise con atención cada método de autenticación interno. ¿Los esfuerzos para
implementar la solución, así como la experiencia del usuario en el proceso de
inicio de sesión responden a los requisitos de su negocio? También debe valorar
si su organización necesita las características de escenarios avanzados y
continuidad empresarial de cada método de autenticación. Por último, sopese los
detalles de cada método de autenticación. ¿Alguno de ellos le impide
implementar su elección?

Pasos siguientes
En la actualidad, las amenazas están presentes 24 horas al día y proceden de
cualquier lugar. La implementación del método de autenticación correcto le
ayudará a mitigar los riesgos de seguridad y a proteger las identidades.

Comience a trabajar con Azure AD e implemente la solución de autenticación

adecuada para su organización.

Si está pensando cambiar de la autenticación federada a la autenticación en la

nube, consulte la información acerca de cómo cambiar el método de inicio de
sesión. Para ayudarle a planear e implementar la migración, use estos planes de
implementación de proyectos o considere la posibilidad de usar la nueva
característica de lanzamiento por fases para migrar usuarios federados al uso
de la autenticación en la nube en un enfoque por fases.
 Introducción a Azure Network Security
23/03/2020 • 50 minutes to read • Edit Online

La seguridad de red se puede definir como el proceso de protección de recursos

contra un acceso no autorizado o un ataque mediante la aplicación de controles
para el tráfico de red. El objetivo es asegurarse de que solo se permita el
tráfico legítimo. Azure incluye una sólida infraestructura de red que respalda
sus requisitos de conectividad de aplicaciones y servicios. La conectividad de
red es posible entre recursos ubicados en Azure, entre recursos locales y
hospedados en Azure y entre Internet y Azure.

En este artículo se explican algunas de las opciones que Azure ofrece en el

área de la seguridad de red. Puede obtener información acerca de:

Redes de Azure
Control de acceso de red
Azure Firewall
Protección del acceso remoto y la conectividad local
Disponibilidad
Resolución de nombres
Arquitectura de red perimetral (DMZ)
Azure DDoS Protection
Azure Front Door
Traffic Manager
Detección de amenazas y supervisión

Redes de Azure
Es necesario que las máquinas virtuales de Azure estén conectadas a una
instancia de Azure Virtual Network. Una red virtual es una construcción lógica
creada encima del tejido de red físico de Azure. Cada red virtual está aislada
de todas las demás redes virtuales. Esto contribuye a garantizar que otros
clientes de Azure no puedan obtener acceso al tráfico de red de sus
implementaciones.

Más información:

Información general sobre redes virtuales

Control de acceso de red

El control de acceso de red es el acto de limitar la conectividad entre
subredes o dispositivos específicos dentro de una red virtual. El objetivo del
control de acceso de red es limitar el acceso a las máquinas virtuales y los
servicios a los usuarios y dispositivos aprobados. Los controles de acceso se
basan en decisiones que permiten o deniegan la conexión a o desde la máquina
virtual o el servicio.

Azure admite varios tipos de controles de acceso de red, como:

Control de capa de red

 Control de ruta y tunelización forzada
Dispositivos de seguridad de red virtual

Control de capa de red

Toda implementación segura requiere alguna medida de control del acceso a la
red. El objetivo del control de acceso de red es restringir la comunicación de
la máquina virtual con los sistemas necesarios. Se bloquean los demás intentos
de comunicación.

NOTE
Los firewalls de Storage se tratan en el artículo Introducción a la seguridad de Azure Storage

Reglas de seguridad de red (NSG)

Si necesita un control de acceso de nivel de red básico (basado en la dirección

IP y los protocolos TCP o UDP), puede usar los grupos de seguridad de red
(NSG). Un grupo de seguridad de red (NSG) es un firewall de filtrado de
paquetes básico y con estado que le permite controlar el acceso basado en una
5-tupla. Los NSG incluyen funcionalidad para simplificar la administración y
reducir las posibilidades de errores de configuración:

Las reglas de seguridad aumentada simplifican la definición de la regla de

NSG y permiten crear reglas complejas en lugar de tener que crear varias
reglas sencillas para lograr el mismo resultado.
Las etiquetas de servicio son etiquetas creadas por Microsoft que
representan un grupo de direcciones IP. Se actualizan dinámicamente para
incluir los intervalos IP que cumplen las condiciones que definen su
inclusión en la etiqueta. Por ejemplo, si quiere crear una regla que se
aplique a todo Azure Storage en la región Este puede usar [Link]
Los grupos de seguridad de la aplicación permiten implementar recursos en
grupos de aplicaciones y controlar el acceso a dichos recursos mediante la
creación de reglas que usan los grupos de aplicaciones. Por ejemplo, si ha
implementado servidores web en el grupo de aplicaciones "Webservers", puede
crear una regla que se aplique a un NSG que permita el tráfico 443 desde
Internet a todos los sistemas del grupo de aplicaciones "Webservers".

Los NSG no proporcionan inspección de nivel de aplicación ni controles de

acceso autenticados.

Más información:

Grupos de seguridad de red

Acceso ASC Just-In-Time a la máquina virtual

Azure Security Center puede administrar los NSG en máquinas virtuales y

bloquear el acceso a la máquina virtual hasta que un usuario con los permisos
adecuados del control de acceso basado en rol RBAC solicite acceso. Cuando el
usuario está correctamente autorizado, ASC realiza modificaciones en los NSG
para permitir el acceso a los puertos seleccionados durante el tiempo
especificado. Cuando expira el tiempo, los NSG se restauran a su estado seguro
anterior.

Más información:

Acceso a Azure Security Center Just in Time

Puntos de conexión del servicio

Los puntos de conexión de servicio son otra forma de controlar el tráfico.

Puede limitar la comunicación con los servicios admitidos a únicamente las
redes virtuales a través de una conexión directa. El tráfico desde la red
virtual al servicio de Azure especificado permanece en la red troncal de
Microsoft Azure.

Más información:

Puntos de conexión de servicio

Control de ruta y tunelización forzada

La capacidad de controlar el comportamiento de enrutamiento en las redes
virtuales es fundamental. Si el enrutamiento no está configurado correctamente,
las aplicaciones y los servicios hospedados en la máquina virtual podrían
conectarse a dispositivos no autorizados, incluyendo sistemas que son propiedad
de atacantes potenciales o que están operados por ellos.

Las redes de Azure ofrecen la posibilidad de personalizar el comportamiento de

enrutamiento del tráfico de red en las redes virtuales. Gracias a ello, puede
modificar las entradas de tabla de enrutamiento predeterminadas en la red
virtual. El control del comportamiento de enrutamiento le ayuda a garantizar
que todo el tráfico procedente de un determinado dispositivo o grupo de
dispositivos entra o sale de la red virtual a través de una ubicación
específica.

Por ejemplo, suponga que tiene un dispositivo de seguridad de red virtual en la

red virtual. Quiere asegurarse de que todo el tráfico que entra y sale de la
red virtual pase por el dispositivo de seguridad virtual. Para ello, puede
configurar rutas definidas por el usuario (UDR) en Azure.

La tunelización forzada es un mecanismo que puede usar para tener la seguridad

de que no se permite que sus servicios inicien una conexión con dispositivos en
Internet. Tenga en cuenta que este proceso no es lo mismo que aceptar
conexiones entrantes y luego responder a ellas. En este caso, los servidores
web de front-end tienen que responder a las solicitudes de los hosts de
Internet, así que se permite que el tráfico cuyo origen es Internet entre en
estos servidores web y que dichos servidores respondan.

Lo que no quiere es permitir que un servidor web front-end inicie una solicitud
saliente. Estas solicitudes pueden representar un riesgo para la seguridad
porque estas conexiones podrían usarse para descargar software malintencionado.
Incluso si quiere que estos servidores de front-end inicien solicitudes
salientes a Internet, puede que quiera obligarles a que pasen por los proxies
web locales. Así podrá aprovechar las ventajas del filtrado y el registro de
direcciones URL.

En su lugar, y para evitar esto, querrá usar la tunelización forzada. Cuando se

habilita la tunelización forzada, todas las conexiones a Internet tienen que
pasar a la fuerza por la puerta de enlace local. Puede configurar la
tunelización forzada aprovechando las rutas que definió el usuario.

Más información:

¿Qué son las rutas definidas por el usuario y el reenvío IP?

Dispositivos de seguridad de red virtual

Aunque los grupos de seguridad de red y la tunelización forzada proporcionan un
nivel de seguridad en las capas de red y transporte del modelo OSI, habrá
ocasiones en las que quiera habilitar la seguridad en niveles más altos que la
red.

Por ejemplo, sus requisitos de seguridad podrían incluir:

Autenticación y autorización antes de permitir el acceso a la aplicación

Detección de intrusiones y respuesta a estas
Inspección de la capa de aplicación para comprobar la existencia de
protocolos de alto nivel
Filtrado para direcciones URL
Antimalware y antivirus de nivel de red
Protección contra robots
Control de acceso a las aplicaciones
Protección adicional de DDoS (por encima de la protección de DDoS que
proporciona el mismo tejido de Azure)

Puede tener acceso a estas características de seguridad de red mejoradas

mediante el uso de una solución de socio de Azure. Para encontrar las
soluciones de seguridad de red más actuales de los asociados de Azure, visite
Azure Marketplace y busque "seguridad" y "seguridad de red".

Azure Firewall
Azure Firewall es un servicio de seguridad de red administrado y basado en la
nube que protege los recursos de Azure Virtual Network. Se trata de un firewall
como servicio con estado completo que incorpora alta disponibilidad y
escalabilidad a la nube sin restricciones. Algunas características incluyen:

Alta disponibilidad
Escalabilidad a la nube
Reglas de filtrado de FQDN de aplicación
Reglas de filtrado de tráfico de red

Más información:

Información general de Azure Firewall

Protección del acceso remoto y la conectividad

local
La instalación, la configuración y la administración de los recursos de Azure
se han de realizar de forma remota. Además, puede que quiera implementar
soluciones de TI híbrida que tengan componentes locales y en la nube pública de
Azure. Estos escenarios requieren acceso remoto seguro.

Las redes de Azure admiten los siguientes escenarios de acceso remoto seguro:

Conexión de estaciones de trabajo individuales a una red virtual.

Conexión de la red local a una red virtual con una VPN.
Conexión de la red local a una red virtual con un vínculo WAN dedicado.
Conexión de redes virtuales entre sí.
Conexión de estaciones de trabajo individuales a una red virtual.
También es posible que quiera que determinados desarrolladores o miembros del
personal de operaciones administren máquinas virtuales y servicios en Azure.
Por ejemplo, supongamos que necesita obtener acceso a una máquina virtual en
una red virtual. Pero la directiva de seguridad no permite el acceso remoto de
RDP o SSH a máquinas virtuales individuales. En este caso, puede usar una
conexión VPN de punto a sitio.

La conexión VPN de punto a sitio le permite configurar una conexión privada y

segura entre el usuario y la red virtual. Cuando se establece la conexión VPN,
el usuario puede aplicar el protocolo de RDP o SSH a través del vínculo VPN en
cualquier máquina virtual de la red virtual. (Se presupone que el usuario puede
autenticarse y que está autorizado). VPN de punto a sitio admite:

El protocolo de túnel de sockets seguro (SSTP), que es un protocolo VPN

propio basado en SSL. Una solución de VPN basada en SSL puede penetrar
firewalls, puesto que la mayoría de ellos abre el puerto TCP 443, que
utiliza SSL. El protocolo SSTP solo se admite en dispositivos Windows.
Azure es compatible con todas las versiones de Windows que tienen SSTP
(Windows 7 y versiones posteriores).

La conexión VPN IKEv2, una solución de VPN con protocolo de seguridad de

Internet basada en estándares. La conexión VPN IKEv2 puede utilizarse para
la conexión desde dispositivos Mac (versión de OSX 10.11 y versiones
posteriores).

OpenVPN

Más información:

Configuración de una conexión punto a sitio a una red virtual mediante

PowerShell

Conexión de la red local a una red virtual con una VPN.

Quizás quiera conectar la red corporativa completa, o algunas de sus partes, a
una red virtual. Esto es habitual en escenarios de TI híbridos donde las
organizaciones amplían su centro de datos local a Azure. En muchos casos, las
organizaciones hospedan partes de un servicio en Azure y otras partes de forma
local. Por ejemplo, pueden hacerlo cuando una solución incluye servidores web
de front-end en Azure y bases de datos de back-end locales. Estos tipos de
conexiones "entre locales" también permiten que la administración de recursos
ubicados en Azure sea más segura y obtienen escenarios como la ampliación de
controladores de dominio de Active Directory a Azure.

Una manera de lograr esto es usar una VPN de sitio a sitio. La diferencia entre
una VPN de sitio a sitio y una VPN de punto a sitio es que la última conecta un
dispositivo a una red virtual. Una VPN de sitio a sitio conecta toda una red
(por ejemplo, una red local) a una red virtual. Las VPN de sitio a sitio a una
red virtual emplean el protocolo VPN de modo de túnel IPsec de alta seguridad.

Más información:

Crear una red virtual con una conexión VPN de sitio a sitio mediante Azure
Portal y Azure Resource Manager
Acerca de VPN Gateway
Conexión de la red local a una red virtual con un vínculo WAN dedicado.
Las conexiones VPN de punto a sitio y de sitio a sitio son eficaces para
permitir la conectividad entre locales. Sin embargo, algunas organizaciones
consideran que presentan las siguientes desventajas:

Las conexiones VPN mueven los datos a través de Internet. Como consecuencia,
estas conexiones se exponen a posibles problemas de seguridad relacionados
con el movimiento de los datos a través de una red pública. Además, no se
puede garantizar la confiabilidad y disponibilidad de las conexiones a
Internet.
Es posible que las conexiones VPN a redes virtuales no tengan el ancho de
banda necesario para algunas aplicaciones y fines, ya que agotan el límite
en torno a los 200 Mbps.

Las organizaciones que necesitan el más alto nivel de seguridad y

disponibilidad para sus conexiones entre locales, suelen usar vínculos WAN
dedicados para la conexión a sitios remotos. Azure ofrece la posibilidad de
usar un vínculo WAN dedicado que se puede emplear para conectar la red local a
una red virtual. Azure ExpressRoute, ExpressRoute Direct y ExpressRoute Global
Reach permiten esto.

Más información:

Información técnica de ExpressRoute

ExpressRoute Direct
ExpressRoute Global Reach

Conexión de redes virtuales entre sí.

Es posible utilizar varias redes virtuales en las implementaciones. Hay muchas
razones para hacer esto. Es posible que quiera simplificar la administración o
aumentar la seguridad. Con independencia de los motivos o razones para colocar
los recursos en diferentes redes virtuales, puede haber ocasiones en que quiera
que los recursos de cada una de las redes se conecten entre sí.

Una opción sería conectar los servicios en una red virtual con los servicios de
otra creando un "bucle de retroceso" a través de Internet. La conexión comienza
en una red virtual, pasa por Internet y vuelve a la red virtual de destino.
Esta opción expone la conexión a los problemas de seguridad inherentes a
cualquier comunicación basada en Internet.

Una opción mejor podría ser crear una VPN de sitio a sitio que se conecte entre
dos redes virtuales. Este método usa el mismo protocolo de modo de túnel IPSec
que la conexión VPN de sitio a sitio entre locales mencionada anteriormente.

La ventaja de esta opción, es que la conexión VPN se establece a través del

tejido de red de Azure y no mediante una conexión a través de Internet. Gracias
a ello, tiene un nivel adicional de seguridad en comparación con las VPN de
sitio a sitio que se conectan a través de Internet.

Más información:

Configuración de una conexión entre dos redes virtuales mediante Azure

Resource Manager y PowerShell

Otra manera de conectar las redes virtuales es el Emparejamiento de VNET. Esta

característica permite conectar dos redes de Azure para que la comunicación
entre ellas se realice a través de la infraestructura de red troncal de
Microsoft sin ni siquiera pasar a través de Internet. El Emparejamiento de VNET
puede conectar dos redes virtuales dentro de la misma región o dos redes
virtuales entre regiones de Azure. Los NSG pueden utilizarse para limitar la
conectividad entre diferentes sistemas o subredes.

Disponibilidad
La disponibilidad es un componente clave de cualquier programa de seguridad. Si
los usuarios y los sistemas no pueden acceder a lo que necesitan a través de la
red, el servicio puede considerarse en peligro. Azure ofrece tecnologías de red
que admiten los siguientes mecanismos de alta disponibilidad:

Equilibrio de carga basado en HTTP

Equilibrio de carga de nivel de red
Equilibrio de carga global

El equilibrio de carga es un mecanismo diseñado para distribuir equitativamente

las conexiones entre varios dispositivos. Los objetivos del equilibrio de carga
son:

Para aumentar la disponibilidad. Cuando se equilibra la carga de las

conexiones entre varios dispositivos, uno o más de los dispositivos pueden
dejar de estar disponibles sin comprometer el servicio. Los servicios que se
ejecuten en los dispositivos en línea restantes pueden seguir proporcionando
contenido desde el servicio.
Para aumentar el rendimiento. Cuando se equilibra la carga de las conexiones
entre varios dispositivos, un solo dispositivo no tiene que asumir toda la
carga de la operación de procesamiento. En su lugar, las demandas de
procesamiento y memoria para el suministro de contenido se reparten entre
varios dispositivos.

Equilibrio de carga basado en HTTP

Las organizaciones que ejecutan servicios basados en web, a menudo necesitan
tener un equilibrador de carga basado en HTTP en esos servicios web. Con ello,
se garantizan unos niveles adecuados de rendimiento y alta disponibilidad.
Normalmente, los equilibradores de carga basados en una red se basan en los
protocolos de capa de transporte y de red. Por otro lado, los equilibradores de
carga basados en HTTP toman decisiones en función de las características del
protocolo HTTP.

Azure Application Gateway se encarga de proporcionar equilibrio de carga basado

en HTTP a los servicios basados en la web. Application Gateway admite:

Afinidad de sesión basada en cookies. Esta funcionalidad garantiza que las

conexiones establecidas con uno de los servidores detrás del equilibrador de
carga permanezcan intactas entre el cliente y el servidor. Gracias a ello,
las transacciones permanecen estables.
Descarga de SSL. Cuando un cliente se conecta con el equilibrador de carga,
dicha sesión se cifra mediante el protocolo HTTPS (SSL). Sin embargo, para
aumentar el rendimiento, tiene la opción de usar el protocolo HTTP para
realizar una conexión entre el equilibrador de carga y el servidor web que
está detrás de ese equilibrador de carga. Esto se conoce como "descarga de
SSL" porque los servidores web que hay detrás del equilibrador de carga no
 experimentan la sobrecarga del procesador implicada en el cifrado. Por lo
tanto, deberían poder atender las solicitudes con mayor rapidez.
Enrutamiento de contenido basado en direcciones URL. Esta característica
hace posible que el equilibrador de carga tome decisiones sobre dónde
reenviar las conexiones en función de la dirección URL de destino. Este
método proporciona mucha más flexibilidad que las soluciones que toman
decisiones sobre el equilibrio de carga según las direcciones IP.

Más información:

Introducción a Application Gateway

Equilibrio de carga de nivel de red

A diferencia del equilibrio de carga basado en HTTP, el equilibrio de carga de
nivel de red toma las decisiones en función de la dirección IP y los números de
puerto (TCP o UDP). Puede beneficiarse del equilibrio de carga de nivel de red
en Azure gracias a Azure Load Balancer. Algunas características clave de Azure
Load Balancer son:

El equilibrio de carga de nivel de red basado en la dirección IP y los

números de puerto.
La compatibilidad con cualquier protocolo de nivel de aplicación.
La posibilidad de equilibrar la carga en máquinas virtuales e instancias de
rol de servicios en la nube de Azure.
Se puede usar en aplicaciones y máquinas virtuales accesibles desde Internet
(equilibrio de carga externo) y no accesibles desde Internet (equilibrio de
carga interno).
La supervisión de puntos de conexión, que se utiliza para determinar si
alguno de los servicios que hay detrás del equilibrador de carga ha dejado
de estar disponible.

Más información:

Equilibrador de carga accesible desde Internet entre varias máquinas

virtuales o servicios
Información general sobre el equilibrador de carga interno

Equilibrio de carga global

Algunas organizaciones querrán el nivel más alto de disponibilidad posible. Una
manera de lograr este objetivo es hospedar aplicaciones en centros de datos
distribuidos globalmente. Cuando una aplicación está hospedada en centros de
datos repartidos por todo el mundo, una región geopolítica entera puede dejar
de estar disponible, pero la aplicación puede seguir funcionando.

Esta estrategia de equilibrio de carga también puede producir mejoras en el

rendimiento. Puede dirigir las solicitudes para el servicio en el centro de
datos que esté más próximo al dispositivo con el que está realizando la
solicitud.

En Azure, puede conseguir los beneficios del equilibrio de carga global

mediante el Administrador de tráfico de Azure.

Más información:

¿Qué es el Administrador de tráfico?

Resolución de nombres
La resolución de nombres es una función crítica para todos los servicios
hospedados en Azure. Desde una perspectiva de la seguridad, poner en peligro
esta función puede dar lugar a que un atacante redirija las solicitudes de sus
sitios al sitio de dicho individuo. Proteger la resolución de nombres es un
requisito de todos los servicios hospedados en la nube.

Hay dos tipos de resolución de nombres que debe abordar:

Resolución de nombres interna. Los servicios de las redes virtuales, las

redes locales o ambos usan esta opción. Los nombres que se usan para la
resolución de nombres interna no son accesibles a través de Internet. Para
lograr una seguridad óptima, es importante que el esquema de la resolución
de nombres interna no sea accesible a usuarios externos.
Resolución de nombres externa. La usan personas y dispositivos que se
encuentran fuera del alcance de las redes locales y virtuales. Son los
nombres que son visibles en Internet y que se usan para dirigir la conexión
a los servicios basados en la nube.

Para la resolución de nombres interna, tiene dos opciones:

Un servidor DNS de red virtual. Cuando crea una nueva red virtual, se crea
un servidor DNS automáticamente. Este servidor DNS puede resolver los
nombres de las máquinas ubicadas en esa red virtual. Dicho servidor DNS no
es configurable y lo administra el administrador de tejido de Azure, por lo
que puede ayudarle a proteger la resolución de nombres.
Traiga su propio servidor DNS. Tiene la opción de colocar un servidor DNS de
su elección en una red virtual. Este podría ser un servidor DNS integrado de
Active Directory o una solución de servidor DNS dedicada que proporcione un
socio de Azure que puede obtener en Azure Marketplace.

Más información:

Información general sobre redes virtuales

Manage DNS Servers used by a virtual network (Administrar los servidores DNS
que use una red virtual)

En cuanto a la resolución de nombres externa, tiene dos opciones:

Hospedar su propio servidor DNS externo en el entorno local.

Hospedar su propio servidor DNS externo con un proveedor de servicios.

Muchas organizaciones de gran tamaño hospedan sus propios servidores DNS en el

entorno local. Pueden hacerlo porque tienen la experiencia en redes y la
presencia global para ello.

En la mayoría de los casos, es mejor hospedar los servicios de resolución de

nombres DNS con un proveedor de servicios. Estos proveedores de servicios
cuentan con la experiencia en redes y la presencia global para garantizar una
disponibilidad muy alta de los servicios de resolución de nombres. La
disponibilidad es esencial para los servicios DNS, ya que si se produce un
error en los servicios de resolución de nombres, nadie podrá establecer
comunicación con los servicios accesibles desde Internet.

Azure proporciona una solución DNS externa de alta disponibilidad y elevado

rendimiento en forma de Azure DNS. Esta solución de resolución de nombres
externa aprovecha la infraestructura de DNS de Azure en todo el mundo. Le
permite hospedar un dominio en Azure con las mismas credenciales, API,
herramientas y facturación que los demás servicios de Azure. Al ser parte de
Azure, también hereda los fuertes controles de seguridad incorporados en la
plataforma.

Más información:

Introducción a Azure DNS

Las zonas privadas de Azure DNS le permiten configurar nombres DNS privados
para los recursos de Azure en lugar de los nombres asignados automáticamente
sin necesidad de agregar una solución DNS personalizada.

Arquitectura de red perimetral

Muchas organizaciones de gran tamaño usan redes perimetrales para segmentar sus
redes y crear una zona de protección entre Internet y sus servicios. La parte
perimetral de la red se considera una zona de baja seguridad y ningún recurso
de alto valor se coloca en ese segmento de red. Por lo general, verá
dispositivos de seguridad de red que tienen una interfaz de red en el segmento
de red perimetral. Otra interfaz de red se conecta a una red que tiene máquinas
virtuales y servicios que aceptan las conexiones entrantes de Internet.

Puede diseñar redes perimetrales de diferentes maneras. La decisión de

implementar una red perimetral y qué tipo de red perimetral usará, si decide
usar una, depende de los requisitos de seguridad de la red.

Más información:

Cloud Services de Microsoft y seguridad de red

Azure DDoS Protection

Los ataques por denegación de servicio distribuido (DDoS) son uno de los
problemas de seguridad y disponibilidad más extendidos a los que se enfrentan
los clientes que mueven sus aplicaciones a la nube. Un ataque DDoS intenta
agotar los recursos de una aplicación haciendo que esta no esté disponible para
los usuarios legítimos. Los ataques DDoS pueden ir dirigidos a cualquier punto
de conexión que sea públicamente accesible a través de Internet. Microsoft
proporciona protección contra DDoS conocida como Básica como parte de la
plataforma Azure. No supone ningún costo adicional e incluye la supervisión
siempre activada y la mitigación en tiempo real de ataques comunes de nivel de
red. Además de las protecciones incluidas con la protección contra DDoS
Básica , se puede habilitar la opción Estándar . Entre las características de
Protección contra DDoS estándar se incluyen:

Integración de plataforma nativa: integrado de forma nativa en Azure.

Incluye la configuración a través de Azure Portal. Protección contra DDoS
estándar comprende sus recursos y la configuración de recursos.
Protección llave en mano: la configuración simplificada protege de
inmediato todos los recursos de una red virtual desde el momento en que se
habilita DDoS Protection Estándar. No se requiere intervención ni definición
del usuario. Protección contra DDoS estándar mitiga el ataque de forma
instantánea y automática una vez detectado.
 Supervisión continua del tráfico: los patrones de tráfico de la
aplicación se supervisan de forma ininterrumpida en busca de indicadores de
ataques DDoS. La mitigación se realiza cuando se sobrepasan las directivas
de protección.
Informes de mitigación de ataques Los informes de mitigación de ataques
usan datos de flujo de red agregados para brindar información detallada
sobre los ataques dirigidos a sus recursos.
Registros de flujo de mitigación de ataques Los registros de flujo de
mitigación de ataques le permiten revisar el tráfico descartado, el tráfico
reenviado y otros datos de ataque en tiempo real durante un ataque de DDoS.
Ajuste adaptable: la generación de perfiles de tráfico inteligente va
conociendo con el tiempo el tráfico de la aplicación y selecciona y
actualiza el perfil que resulta más adecuado para el servicio. El perfil se
ajusta a medida que el tráfico cambia con el tiempo. Protección de capa 3 a
capa 7: proporciona protección contra DDoS de pila completa cuando se usa
con un firewall de aplicaciones web.
Escala de mitigación amplia: se pueden mitigar más de 60 tipos de ataque
diferentes con capacidad global para protegerse contra los ataques DDoS más
conocidos.
Métricas de ataques: con Azure Monitor se puede acceder a un resumen de
métricas de cada ataque.
Alertas de ataques: las alertas se pueden configurar en el inicio y la
detención de un ataque y a lo largo de la duración del ataque mediante
métricas de ataque integradas. Las alertas se integran en el software
operativo, como los registros de Microsoft Azure Monitor, Splunk, Azure
Storage, el correo electrónico y Azure Portal.
Garantía de costo: créditos para servicio de escalado horizontal de
aplicaciones y transferencia de datos para ataques de DDoS documentados.
Capacidad de respuesta rápida ante DDoS Los clientes de DDoS Protection
Standard ahora tienen acceso al equipo de Rapid Response durante un ataque
activo. DDR ayuda con la realización de una investigación sobre los ataques,
la personalización de mitigaciones durante un ataque y la publicación de
análisis sobre tales ataques.

Más información:

Información general sobre la protección contra DDoS

Azure Front Door

Azure Front Door Service le permite definir, administrar y supervisar el
enrutamiento global del tráfico web. Optimiza el enrutamiento del tráfico para
obtener un mejor rendimiento y alta disponibilidad. Azure Front Door permite
crear reglas de firewall de aplicaciones web (WAF) personalizadas para el
control de acceso con el fin de proteger la carga de trabajo HTTP/HTTPS frente
a técnicas de explotación basadas en direcciones IP de cliente, código de país
y parámetros HTTP. Además, Front Door también le permite crear reglas de
limitación de velocidad para enfrentar el tráfico de bots malintencionados, lo
que incluye la descarga SSL y el procesamiento de niveles de aplicación por
solicitud HTTP/HTTPS.

La plataforma misma de Front Door está protegida con el nivel básico de Azure
DDoS Protection. Para lograr una mayor protección, se puede habilitar Azure
DDoS Protection estándar en las redes virtuales y proteger los recursos contra
ataques de nivel de red (TCP/UDP) a través de la optimización automática y la
mitigación. Front Door es un proxy inverso de nivel 7, solo permite que el
tráfico web pase a los servidores back-end y bloquea otros tipos de tráfico de
forma predeterminada.

Más información:

Para más información sobre todo el conjunto de funcionalidades de Azure

Front Door, puede revisar la información general sobre Azure Front Door.

Azure Traffic Manager

Azure Traffic Manager es un equilibrador de carga de tráfico basado en DNS que
le permite distribuir el tráfico de forma óptima a servicios de regiones de
Azure globales, al tiempo que proporciona una alta disponibilidad y capacidad
de respuesta. Traffic Manager usa DNS para dirigir las solicitudes del cliente
al punto de conexión de servicio más adecuado en función de un método de
enrutamiento del tráfico y el mantenimiento de los puntos de conexión. Un punto
de conexión es cualquier servicio accesible desde Internet hospedado dentro o
fuera de Azure. Traffic Manager supervisa los puntos de conexión y no dirige el
tráfico a ningún punto de conexión que no esté disponible.

Más información:

Información general sobre Azure Traffic Manager

Detección de amenazas y supervisión

Azure proporciona funcionalidades para ayudarle en esta área clave con la
detección temprana, la supervisión y la capacidad de recopilar y revisar el
tráfico de red.

Azure Network Watcher

Gracias a Azure Network Watcher no solo puede solucionar problemas, también
tendrá en sus manos un conjunto completamente nuevo de herramientas para poder
identificar problemas de seguridad.

La vista del grupo de seguridad le ayudará a cumplir los requisitos de

seguridad y auditoría de las máquinas virtuales. Use esta característica para
realizar auditorías mediante programación y así comparar las directivas de
línea de base que haya definido la organización con las reglas efectivas de
cada una de sus máquinas virtuales. Esto puede ayudarle a identificar cualquier
cambio en la configuración.

La captura de paquetes le permite capturar el tráfico de red hacia y desde la

máquina virtual. Puede recopilar estadísticas de red y solucionar problemas de
aplicaciones, lo que puede ser una ventaja inestimable a la hora de investigar
intrusiones de red. También puede usar esta característica junto con Azure
Functions para iniciar las capturas de red en respuesta a alertas específicas
de Azure.

Para obtener más información sobre Network Watcher y cómo comenzar a probar
algunas de las funcionalidades en los laboratorios, eche un vistazo a la
introducción sobre la supervisión de Azure Network Watcher.
 NOTE
Para obtener las notificaciones más recientes sobre la disponibilidad y el estado de este
servicio, consulte la página de actualizaciones de Azure.

Azure Security Center

Azure Security Center ayuda a evitar, detectar y responder a amenazas, al
tiempo que proporciona más visibilidad y control de la seguridad de los
recursos de Azure. Proporciona administración de directivas y supervisión de la
seguridad integrada en las suscripciones de Azure, ayuda a detectar las
amenazas que podrían pasar desapercibidas y funciona con un amplio conjunto de
soluciones de seguridad.

Security Center le ayuda a optimizar y controlar la seguridad de la red

realizando lo siguiente:

Proporcionar recomendaciones de seguridad de la red.

Supervisar el estado de la configuración de seguridad de la red.
Alertar de las amenazas basadas en la red, tanto en los niveles de red como
en el punto de conexión.

Más información:

Introducción al Centro de seguridad de Azure

Virtual Network TAP

Azure Virtual Network TAP (punto de acceso del terminal) permite transmitir
continuamente el tráfico de red de la máquina virtual a un recopilador de
paquetes de red o a una herramienta de análisis. Un asociado de la aplicación
virtual de red proporciona el recopilador o la herramienta de análisis de la
herramienta. Puede usar el mismo recurso de Virtual Red TAP para agregar
tráfico de diferentes interfaces de red en la misma suscripción o en
suscripciones distintas.

Más información:

Virtual network TAP

Registro
El registro en el nivel de red es una función clave en cualquier escenario de
seguridad de red. En Azure, puede registrar la información obtenida de los
grupos de seguridad de red (NSG) a fin de obtener información del registro de
nivel de red. Con el registro de NSG, obtiene información de:

Registros de actividad. Use estos registros para ver todas las operaciones
enviadas a las suscripciones de Azure. Estos registros están habilitados de
forma predeterminada y se pueden ver en Azure Portal. Anteriormente se les
llamaba registros de "auditoría" o "registros operativos".
Registros de eventos. Estos registros proporcionan información sobre las
reglas de NSG que se aplicaron.
Registro de contadores. Estos registros le permiten saber cuántas veces se
aplica cada regla de NSG para denegar o permitir el tráfico.

También puede usar Microsoft Power BI, una eficaz herramienta de visualización
de datos, para ver y analizar estos registros. Más información:
Registros de Azure Monitor para grupos de seguridad de red (NSG)
 Procedimientos recomendados de
seguridad de la red de Azure
23/03/2020 • 36 minutes to read • Edit Online

En este artículo se aborda un conjunto de procedimientos recomendados de Azure

que sirven para mejorar la seguridad de la red. Estos procedimientos
recomendados se derivan de nuestra experiencia con las redes en Azure, y las
experiencias de clientes como usted.

Para cada procedimiento recomendado, en este artículo se explica:

Qué es el procedimiento recomendado

Por qué le conviene habilitar este procedimiento recomendado
Cuál podría ser el resultado si no habilita el procedimiento recomendado
Alternativas posibles al procedimiento recomendado
Cómo aprender a habilitar el procedimiento recomendado

Estos procedimientos recomendados de seguridad de la red de Azure se basan en

las funcionalidades y los conjuntos de características de la plataforma Azure
existentes cuando se redactó. Las opiniones y las tecnologías cambian con el
tiempo, por lo que se actualizará de forma periódica para reflejar esos
cambios.

Uso de controles de red sólidos

Puede conectar las máquinas virtuales y los dispositivos de Azure a otros
dispositivos en red, colocándolos en redes virtuales de Azure. Esto es, puede
conectar tarjetas de interfaz de red virtual a una red virtual para posibilitar
las comunicaciones basadas en TCP/IP entre dispositivos habilitados para la
red. Las máquinas virtuales conectadas a una red virtual de Azure pueden
conectarse a dispositivos en la misma red virtual, en distintas redes
virtuales, en Internet o, incluso, en sus propias redes locales.

Al planear la red y la seguridad de la red, se recomienda centralizar lo

siguiente:

La administración de funciones de red centrales como ExpressRoute, el

aprovisionamiento de redes virtuales y subredes y la asignación de
direcciones IP.
El gobierno de elementos de seguridad de red como las funciones de aplicación
virtual de red del tipo ExpressRoute, el aprovisionamiento de redes virtuales
y subredes y la asignación de direcciones IP.

Si usa un conjunto común de herramientas de administración para supervisar la

red y la seguridad de la red, tendrá una visibilidad clara de ambos aspectos.
Una estrategia de seguridad sencilla y unificada reduce los errores, ya que
permite una mejor comprensión del lado humano y aumenta la confiabilidad de la
automatización.

Segmentación lógica de subredes

Las redes virtuales de Azure son similares a una LAN de red local. La idea
detrás de una red virtual de Azure es crear una sola red basada en espacios
privados de direcciones IP en la que pueden colocar todas las máquinas
virtuales de Azure. Los espacios de direcciones IP privados están en los
intervalos de clase A ([Link]/8), B ([Link]/12) y C ([Link]/16).

Los procedimientos recomendados para segmentar lógicamente las subredes son:

Procedimiento recomendado : no asignar reglas de permiso con intervalos muy

amplios (por ejemplo, permitir de [Link] a [Link]).
Detalles : asegúrese de que los procedimientos de solución de problemas no
fomentan ni permiten configurar estos tipos de reglas. Estas reglas de permiso
dan una falsa sensación de seguridad y, a menudo, son detectadas y explotadas
por equipos de operaciones clandestinas.

Procedimiento recomendado : segmentar el mayor espacio de direcciones en las

subredes.
Detalles : use los principios de subred basado en CIDR para crear las subredes.

Procedimiento recomendado : crear controles de acceso de red entre subredes.

El enrutamiento entre subredes se realizará automáticamente y no es necesario
configurar manualmente las tablas de enrutamiento. Sin embargo, el valor
predeterminado es que no hay ningún control de acceso a la red entre las
subredes creadas una red de Azure Virtual Network.
Detalles : use un grupo de seguridad de red para protegerse del tráfico no
solicitado en subredes de Azure. Los grupos de seguridad de red son
dispositivos de inspección de paquetes con estado simple que utilizan el método
tupla 5 (IP de origen, puerto de origen, dirección IP de destino, puerto de
destino y el protocolo de nivel 4) para crear reglas de permiso o denegación
del tráfico de la red. Puede permitir o denegar el tráfico hacia y desde una
sola dirección IP, hacia y desde varias direcciones IP o, incluso, hacia y
desde subredes enteras.

Al usar grupos de seguridad de red para controlar el acceso a la red entre

subredes, puede establecer recursos que pertenezcan a la misma zona de
seguridad o rol en sus propias subredes.

Procedimiento recomendado : evitar el uso de redes virtuales y subredes

pequeñas para garantizar la simplicidad y la flexibilidad.
Detalles : la mayoría de las organizaciones agregan más recursos de lo planeado
inicialmente, y volver a asignar direcciones requiere un esfuerzo enorme. Si se
usan subredes pequeñas, el valor de seguridad que se obtiene es limitado, y
asignar un grupo de seguridad de red a cada subred supone una sobrecarga.
Defina subredes amplias para asegurarse de que dispone de flexibilidad para
crecer.

Procedimiento recomendado : simplificar la administración de reglas de grupos

de seguridad de red mediante la definición de grupos de seguridad de
aplicaciones.
Detalles : defina un grupo de seguridad de aplicaciones para las listas de
direcciones IP que crea que puedan cambiar en el futuro o que vayan a usarse en
varios grupos de seguridad de red. Procure dar un nombre claro a los grupos de
seguridad de aplicaciones para que otros comprendan su contenido y finalidad.

Adoptar un método de Confianza cero

Las redes basadas en el perímetro funcionan bajo el supuesto de que se puede
confiar en todos los sistemas dentro de una red. Pero los empleados de hoy día
acceden a los recursos de la organización desde cualquier lugar en una gran
variedad de dispositivos y aplicaciones, lo que hace que los controles de
seguridad perimetral sean irrelevantes. Las directivas de control de acceso que
se centran únicamente en quién puede acceder a un recurso no son suficientes.
Para dominar el equilibrio entre seguridad y productividad, los administradores
de seguridad también deben tener en cuenta el modo en que se accede a los
recursos.

Las redes deben evolucionar de las defensas tradicionales porque pueden ser
vulnerables a diversas infracciones: un atacante puede poner en peligro un
único punto de conexión dentro del límite de confianza y, tras ello, expandir
rápidamente un punto de apoyo en toda la red. Las redes de Confianza cero
eliminan el concepto de confianza según la ubicación de red dentro de un
perímetro. En su lugar, las arquitecturas de Confianza cero usan notificaciones
de confianza de usuario y dispositivo para obtener acceso a los datos y los
recursos de la organización. En las nuevas iniciativas, adopte métodos de
Confianza cero que validen la confianza en el momento del acceso.

Los procedimientos recomendados son:

Procedimiento recomendado : conceder acceso condicional a recursos en función

del dispositivo, la identidad, la garantía, la ubicación de red y otros muchos
aspectos.
Detalles : el acceso condicional de Azure AD permite aplicar los controles de
acceso adecuados poniendo en marcha decisiones de control de acceso
automatizado según las condiciones necesarias. Para más información, vea
Administración el acceso a la administración de Azure con acceso condicional.

Procedimiento recomendado : habilitar el acceso a los puertos solo tras la

aprobación del flujo de trabajo.
Detalles : puede usar el acceso a VM Just-In-Time en Azure Security Center para
bloquear el tráfico entrante a las VM de Azure, lo que reduce la exposición a
ataques al mismo tiempo que proporciona un acceso sencillo para conectarse a
las máquinas virtuales cuando sea necesario.

Procedimiento recomendado : conceder permisos temporales para realizar tareas

con privilegios, lo que impide que usuarios malintencionados o sin autorización
obtengan acceso después de que el permiso haya expirado. El acceso se concede
solo cuando los usuarios lo necesitan.
Detalles : use el acceso Just-In-Time en Azure AD Privileged Identity
Management o en una solución de terceros para conceder permisos para realizar
tareas con privilegios.

Confianza cero es la próxima evolución en seguridad de red. El estado de los

ciberataques condiciona a las organizaciones a adquirir una mentalidad de
"presunción de infracción", pero este método no debería limitar nada. Las redes
de Confianza cero protegen los recursos y los datos corporativos, al tiempo que
garantizan que las organizaciones pueden crear un área de trabajo moderna
mediante tecnologías que permiten a los empleados ser productivos en cualquier
momento, lugar y modo.

Control del comportamiento de enrutamiento

Cuando coloca una máquina virtual en una instancia de Azure Virtual Network,
observará que la máquina virtual puede conectarse a cualquier otra máquina
virtual de la misma red virtual, incluso si las otras máquinas virtuales están
en subredes diferentes. Esto es posible porque hay una colección de rutas del
sistema que están habilitadas de forma predeterminada y que permiten este tipo
de comunicación. Estas rutas predeterminadas permiten que las máquinas
virtuales de la misma red virtual inicien conexiones entre sí y con Internet
(solo para comunicaciones salientes a Internet).

Si bien las rutas del sistema predeterminadas son útiles para muchos escenarios
de implementación, habrá veces en las que preferirá personalizar la
configuración de enrutamiento para las implementaciones. Puede configurar la
dirección del próximo salto para que acceda a destinos específicos.

Igualmente le recomendamos que configure las rutas definidas por el usuario al

implementar un dispositivo de seguridad para una red virtual. Trataremos este
punto más adelante en la sección dedicada a proteger los recursos de servicio
de Azure críticos únicamente para las redes virtuales.

NOTE
Las rutas definidas por el usuario no son necesarias, y las rutas del sistema predeterminadas
funcionan en la mayoría de lo casos.

Uso de aplicaciones de red virtual

Los grupos de seguridad de red y el enrutamiento definido por el usuario pueden
proporcionar un cierto grado de seguridad de red en las capas de red y de
transporte del modelo OSI. Aún así, es posible que en algunas situaciones
quiera o necesite habilitar la seguridad en los niveles altos de la pila. En
tales situaciones, se recomienda implementar aplicaciones de seguridad de la
red virtual proporcionadas por asociados de Azure.

Las aplicaciones de seguridad de la red de Azure pueden proporcionar niveles de

seguridad mejorados que los que proporcionan los controles de nivel de red. Las
funcionalidades de seguridad de red correspondientes a los dispositivos de
seguridad de la red virtual incluyen:

Firewalls
Detección y prevención de intrusiones
Administración de vulnerabilidades
Control de aplicaciones
Detección de anomalías basadas en la red
Filtrado de web
Antivirus
Protección de redes de robots (botnets)

Para buscar dispositivos de seguridad de redes virtuales de Azure, vaya a Azure

Marketplace y busque mediante las palabras clave "seguridad" y "seguridad de
red".

Implementar redes perimetrales para las zonas de

seguridad
Una red perimetral (también conocida como DMZ) es un segmento de red físico o
lógico que está diseñado para proporcionar un nivel de seguridad adicional
entre los recursos e Internet. Los dispositivos de control de acceso de red
especializados que se encuentran en el borde de una red perimetral solo
permiten el tráfico deseado en la red virtual.

Las redes perimetrales son útiles porque permiten centrar la administración,

supervisión, registro y generación de informes sobre los dispositivos del
control de acceso a la red en el borde de la instancia de Azure Virtual
Network. Una red perimetral es donde se suelen habilitar la prevención de
denegación de servicio distribuido (DDoS), los sistemas de detección y
prevención de intrusiones (IDS/IPS), las reglas y directivas de firewall, el
filtrado web, el antimalware de la red, etc. Los dispositivos de seguridad de
la red se sitúan entre Internet y la instancia de Azure Virtual Network, y
tienen una interfaz en ambas redes.

Aunque este es el diseño básico de una red perimetral, existen muchos diseños
diferentes, como la configuración opuesta, el triple alojamiento o el múltiple
alojamiento.

Según el concepto de Confianza cero mencionado anteriormente, se recomienda que

considere la posibilidad de usar una red perimetral en todas las
implementaciones de alta seguridad para mejorar el nivel de control de acceso y
seguridad de red de los recursos de Azure. Puede usar Azure o una solución de
terceros para proporcionar una capa extra de seguridad entre sus recursos e
Internet:

Controles nativos de Azure. Azure Firewall y el firewall de aplicaciones web

de Application Gateway ofrecen una seguridad básica, con un firewall como
servicio completo, alta disponibilidad integrada, escalabilidad sin
restricciones en la nube, filtrado de FQDN, compatibilidad con el conjunto de
reglas básicas OWASP y una instalación y configuración sencillos.
Ofertas de terceros. Busque en Azure Marketplace un firewall de próxima
generación y otras ofertas de terceros que proporcionen herramientas de
seguridad conocidas y niveles de seguridad de red notablemente mejorados. La
configuración podría ser más compleja, pero una oferta de terceros podría
permitirle usar los conjuntos de habilidades y capacidades existentes.

Uso de vínculos WAN dedicados para evitar la

exposición en Internet
Muchas organizaciones han elegido la ruta de TI híbrida. Con la TI híbrida,
algunos de los recursos de información de la compañía están en Azure, mientras
que otros siguen siendo locales. En muchos casos, algunos componentes de un
servicio se ejecutan en Azure, mientras que otros componentes siguen siendo
locales.

En un escenario de TI híbrida, suele haber algún tipo de conectividad entre

locales. Esta conectividad entre locales permite a la empresa conectar sus
redes locales con las redes virtuales de Azure. Hay dos soluciones de
conectividad entre locales:

VPN de sitio a sitio. es una tecnología de confianza y bien establecida, pero

que realiza la conexión a través de Internet. Además, el ancho de banda está
 limitado a un máximo de aproximadamente 1,25 Gbps. VPN de sitio a sitio es
una opción conveniente en algunos escenarios.
Azure ExpressRoute . se recomienda que use ExpressRoute para la conectividad
entre locales. ExpressRoute le permite ampliar sus redes locales en la nube
de Microsoft a través de una conexión privada que facilita un proveedor de
conectividad. Con ExpressRoute, se pueden establecer conexiones con servicios
en la nube de Microsoft, como Azure, Office 365 y Dynamics 365. ExpressRoute
es un vínculo de WAN dedicada entre su ubicación local o un proveedor de
hospedaje de Microsoft Exchange. Se trata de una conexión de
telecomunicaciones debido a la cual los datos no viajan a través de Internet
y, por tanto, no se exponen a los posibles riesgos inherentes a las
comunicaciones de Internet.

La ubicación de la conexión de ExpressRoute puede afectar a la capacidad del

firewall, la escalabilidad, la confiabilidad y la visibilidad del tráfico de
red. Será necesario identificar dónde debe terminar ExpressRoute en las redes
existentes (locales). Puede:

Terminarlo fuera del firewall (paradigma de red perimetral) si necesita

visibilidad del tráfico, si tiene que seguir realizando un procedimiento de
aislamiento de los centros de datos existentes o si solamente va a colocar
recursos de extranet en Azure.
Terminarlo dentro del firewall (paradigma de extensión de red). Esta es la
recomendación predeterminada. En todos los demás casos, se recomienda tratar
Azure como un centro de datos más.

Optimización del rendimiento y el tiempo de

actividad
Si un servicio está inactivo, no puede accederse a la información. Si el
rendimiento es tan bajo que no se pueden utilizar los datos, podemos considerar
que los datos son inaccesibles. Por lo tanto, desde una perspectiva de
seguridad, necesitamos hacer todo lo posible para asegurarnos de que nuestros
servicios tienen un rendimiento y un tiempo de actividad óptimos.

Un método popular y eficaz para mejorar la disponibilidad y el rendimiento es

usar el equilibrio de carga. El equilibrio de carga es un método para
distribuir el tráfico de la red entre los servidores que forman parte de un
servicio. Por ejemplo, si tiene servidores web front-end que forman parte de su
servicio, puede usar el equilibrio de carga para distribuir el tráfico entre
ellos.

Esta distribución del tráfico aumenta la disponibilidad, ya que si uno de los

servidores web deja de estar disponible, el equilibrio de carga deja de
enviarle tráfico y lo redirige a los servidores que aún están en línea. El
equilibrio de carga también mejora el rendimiento, ya que la sobrecarga del
procesador, la red y la memoria para atender a las solicitudes se distribuye
entre todos los servidores con carga equilibrada.

Se recomienda usar el equilibrio de carga siempre que se pueda y, según sea

adecuado para los servicios. Estos son los escenarios en el nivel de Azure
Virtual Network y el nivel global, junto con las opciones de equilibrio de
carga para cada uno.
Escenario : ahora tiene una aplicación que:

Requiere solicitudes de la misma sesión de usuario o cliente para llegar a la

misma máquina virtual de back-end. Ejemplos de esto serían las aplicaciones
del carro de la compra y los servidores de correo web.
Como solo acepta una conexión segura, la comunicación sin cifrar con los
servidores no es una opción aceptable.
Es necesario que varias solicitudes HTTP en la misma conexión TCP de
ejecución prolongada se enruten a servidores de back-end diferentes o su
carga se equilibre entre estos.

Opción de equilibrio de carga : use Azure Application Gateway, que es un

equilibrador de carga del tráfico de web HTTP. Application Gateway admite el
cifrado SSL de un extremo a otro y la terminación SSL en la puerta de enlace. A
continuación, los servidores web pueden librarse de la sobrecarga de cifrado y
descifrado y del tráfico que fluye sin encriptar a los servidores de back-end.

Escenario : es necesario equilibrar la carga de las conexiones entrantes de

Internet entre los servidores situados en una instancia de Azure Virtual
Network. Los escenarios surgen cuando:

Tiene aplicaciones sin estado que acepten solicitudes entrantes de Internet.

No se requieren sesiones temporales o descargas de SSL. Las sesiones
temporales son un método que se usa con el equilibrio de carga de la
aplicación, para lograr la afinidad del servidor.

Opción de equilibrio de carga : use Azure Portal para crear un equilibrador

de carga externo que distribuya las solicitudes entrantes entre varias máquinas
virtuales para proporcionar un mayor nivel de disponibilidad.

Escenario : tendrá que equilibrar la carga de las conexiones de las máquinas

virtuales que no estén en Internet. En la mayoría de los casos, los
dispositivos se encargan de iniciar en una instancia de Azure Virtual Network
las conexiones que se aceptan para el equilibrio de carga, como instancias de
SQL Server o servidores web internos.
Opción de equilibrio de carga : use Azure Portal para crear un equilibrador
de carga interno que distribuya las solicitudes entrantes entre varias máquinas
virtuales para proporcionar un mayor nivel de disponibilidad.

Escenario : necesita conseguir un equilibrio de carga global ya que:

Tiene una solución en la nube que se distribuye ampliamente en varias

regiones y requiere el nivel más alto de tiempo de actividad (o
disponibilidad) posible.
Necesita el nivel más alto de tiempo de actividad para asegurarse de que el
servicio está disponible incluso si todo un centro de datos deja de
funcionar.

Opción de equilibrio de carga : use Azure Traffic Manager. Traffic Manager le

permite equilibrar la carga de las conexiones a los servicios, en función de la
ubicación del usuario.

Por ejemplo, si el usuario realiza una solicitud a su servicio desde la Unión

Europea, la conexión se dirige a los servicios situados en un centro de datos
de la Unión Europea. Esta parte del equilibrio de carga global del
Administrador de tráfico ayuda a mejorar el rendimiento, ya que la conexión al
centro de datos más cercano es más rápida que a los centros de datos que están
lejos.

Deshabilitar el acceso RDP/SSH a las máquinas

virtuales
Es posible obtener acceso a Azure Virtual Machines mediante los protocolos de
Escritorio remoto (RDP) y Secure Shell (SSH). Estos protocolos le permiten
administrar máquinas virtuales desde ubicaciones remotas y son los protocolos
estándar que se usan en el procesamiento de los centros de datos.

El posible problema de seguridad al usar estos protocolos a través de Internet,

es que los atacantes pueden utilizar diversas técnicas de fuerza bruta para
obtener acceso a Azure Virtual Machines. Una vez que los atacantes obtienen
acceso, pueden utilizar la máquina virtual como punto de inicio para poner en
peligro otros equipos de la red virtual o incluso atacar dispositivos en red
fuera de Azure.

Por este motivo, se recomienda deshabilitar el acceso directo de RDP y SSH a

Azure Virtual Machines desde Internet. Cuando se deshabilita el acceso directo
de RDP y SSH desde Internet, tiene otras opciones que puede utilizar para
acceder a estas máquinas virtuales y así administrarlas de forma remota.

Escenario : habilite una conexión de un solo usuario a una instancia de Azure

Virtual Network a través de Internet.
Opción : VPN de punto a sitio es otro término para una conexión
cliente/servidor de VPN con acceso remoto. Una vez establecida la conexión de
punto a sitio, el usuario podrá usar RDP o SSH para conectarse a cualquier
máquina virtual situada en la instancia de Azure Virtual Network a la que el
usuario se conectó mediante la VPN de punto a sitio. Con esto, se supone que el
usuario tiene permiso para obtener acceso a dichas máquinas virtuales.

La VPN de punto a sitio es más segura que las conexiones de RDP o SSH directas,
ya que el usuario tiene que autenticarse dos veces antes de conectarse a una
máquina virtual. En primer lugar, el usuario debe autenticarse (y ser
autorizado) para poder establecer la conexión VPN de punto a sitio. En segundo
lugar, el usuario debe autenticarse (y ser autorizado) para poder establecer la
sesión RDP o SSH.

Escenario : permitir que los usuarios de la red local se conecten a máquinas

virtuales en Azure Virtual Network.
Opción : una VPN de sitio a sitio conecta toda una red a otra a través de
Internet. Puede usar una VPN de sitio a sitio para conectar su red local a una
instancia de Azure Virtual Network. Los usuarios de su red local se pueden
conectar mediante el protocolo RDP o SSH, a través de la conexión VPN de sitio
a sitio. No debe permitir el acceso directo de RDP o SSH a través de Internet.

Escenario : use un vínculo WAN dedicado para ofrecer una funcionalidad similar
a la VPN de sitio a sitio.
Opción : use ExpressRoute. Proporciona funcionalidades similares a la VPN de
sitio a sitio. Las principales diferencias son:

El vínculo WAN dedicado no recorre Internet.

Los vínculos WAN dedicados suelen ser más estables y eficaces.
Proteja los recursos de servicio de Azure críticos
únicamente en las redes virtuales
Use los puntos de conexión de servicio de red virtual para extender el espacio
de direcciones privadas de la red virtual y la identidad de la red virtual a
los servicios de Azure, a través de una conexión directa. Los puntos de
conexión permiten proteger los recursos de servicio de Azure críticos
únicamente para las redes virtuales. El tráfico desde la red virtual al
servicio de Azure siempre permanece en la red troncal de Microsoft Azure.

Los puntos de conexión de servicio proporcionan las siguientes ventajas:

Seguridad mejorada para los recursos de servicio de Azure : Con los

puntos de conexión de servicio, se pueden proteger los recursos del
servicio de Azure para la red virtual. Si protege los recursos del
servicio en una red virtual, mejorará la seguridad al quitar totalmente el
acceso público a través de Internet a estos recursos y al permitir el
tráfico solo desde la red virtual.

Enrutamiento óptimo para el tráfico del servicio de Azure desde la

red virtual : las rutas de la red virtual que fuerzan el tráfico de
Internet a las aplicaciones virtuales o locales, conocidas como
tunelización forzada, también fuerzan el tráfico del servicio de Azure
para realizar la misma ruta que el tráfico de Internet. Los puntos de
conexión de servicio proporcionan un enrutamiento óptimo al tráfico de
Azure.

Los puntos de conexión siempre toman el tráfico del servicio directamente

de la red virtual al servicio en la red troncal de Azure. Si mantiene el
tráfico en la red troncal de Azure, podrá seguir auditando y supervisando
el tráfico saliente de Internet desde las redes virtuales, a través de la
tunelización forzada, sin que ello afecte al tráfico del servicio. Obtenga
más información sobre las rutas definidas por el usuario y la tunelización
forzada.

Fácil de configurar con menos sobrecarga de administración : ya no

necesita direcciones IP públicas y reservadas en sus redes virtuales para
proteger los recursos de Azure a través de una dirección IP del firewall.
No hay ningún dispositivo NAT o de puerta de enlace necesario para
configurar los puntos de conexión de servicio. Los puntos de conexión de
servicio se pueden configurar con un simple clic en una subred. No hay
sobrecarga adicional para mantener los puntos de conexión.

Para obtener más información sobre los puntos de conexión de servicio y sobre
los servicios de Azure y las regiones en las que están disponibles los puntos
de conexión de servicio, consulte Puntos de conexión de servicio de red
virtual.

Pasos siguientes
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.
 Azure DDoS Protection: diseño de
soluciones resistentes
23/03/2020 • 34 minutes to read • Edit Online

Este artículo está destinado a los responsables de decisiones de TI y al

personal de seguridad. Se presupone que está familiarizado con las redes y la
seguridad de Azure. DDoS es un tipo de ataque que intenta agotar los recursos
de la aplicación. El objetivo es afectar a la disponibilidad de la aplicación y
a su capacidad para administrar solicitudes legítimas. Los ataques son cada vez
más sofisticados y mayor en tamaño e impacto. Los ataques DDoS pueden ir
dirigidos a cualquier punto de conexión que sea públicamente accesible a través
de Internet. Diseñar para crear resistencia frente a los ataques de denegación
de servicio distribuidos (DDoS) requiere planear y diseñar para una amplia
variedad de modos de error. Azure proporciona protección continua contra los
ataques de DDoS. Esta protección se integra en la plataforma Azure de forma
predeterminada y sin costo adicional.

Además de la protección contra DDoS en la plataforma, Azure DDoS Protection

Standard proporciona funcionalidades avanzadas de mitigación contra DDoS ante
ataques en la red. Se ajusta automáticamente para proteger los recursos
específicos de Azure. La protección se puede habilitar fácilmente durante la
creación de nuevas redes virtuales. También puede realizarse después de la
creación y no requiere ningún cambio de aplicación o recurso.

Procedimientos recomendados fundamentales

En las siguientes secciones se proporcionan instrucciones preceptivas para
crear servicios resistentes a los ataques de DDoS en Azure.

Diseño para seguridad

Asegúrese de que la seguridad es prioritaria durante todo el ciclo de vida de
una aplicación, desde su diseño e implementación hasta la implementación y las
operaciones. Las aplicaciones pueden tener errores que permiten que un volumen
relativamente bajo de solicitudes usen una cantidad excesiva de recursos y
produzcan una interrupción del servicio.

Para proteger un servicio que se ejecuta en Microsoft Azure, debe conocer bien
la arquitectura de su aplicación y centrarse en los cinco pilares de la calidad
del software. Debe conocer los volúmenes de tráfico típicos, el modelo de
conectividad entre la aplicación y otras aplicaciones, y los puntos de conexión
del servicio expuestos a la red pública de Internet.
Es de vital importancia garantizar que una aplicación sea lo suficientemente
resistente para tratar con un ataque de denegación de servicio dirigido a la
propia aplicación. La seguridad y la privacidad están integradas en la
plataforma Azure, comenzando por el ciclo de vida del desarrollo de la
seguridad (SDL). El SDL aborda la seguridad en cada fase de desarrollo y se
asegura de que Azure se actualice continuamente para que sea aún más seguro.

Diseño para escalabilidad

La escalabilidad representa el grado en que un sistema puede controlar el
aumento de la carga. Debe diseñar sus aplicaciones de modo que se puedan
escalar horizontalmente para satisfacer la demanda de una carga mayor,
específicamente en caso de un ataque de DDoS. Si la aplicación depende de una
única instancia de un servicio, crea un único punto de error. El
aprovisionamiento de varias instancias hace que el sistema sea más resistente y
más escalable.

Para Azure App Service, seleccione un Plan de App Service que ofrezca varias
instancias. Para Azure Cloud Services, configure cada uno de los roles para
utilizar varias instancias. En el caso de Azure Virtual Machines, asegúrese de
que la arquitectura de las máquinas virtuales incluya más de una máquina
virtual y que cada una de ellas se incluya en un conjunto de disponibilidad. Se
recomienda usar conjuntos de escalado de máquinas virtuales para contar con
funcionalidades de escalado automático.

Defensa en profundidad
La idea que subyace a la defensa en profundidad es administrar los riesgos con
diversas estrategias defensivas. Disponer en niveles la defensa de la seguridad
en una aplicación reduce las probabilidades de éxito de un ataque. Se
recomienda que implemente diseños seguros para sus aplicaciones con las
funcionalidades integradas de la plataforma Azure.

Por ejemplo, el riesgo de ataques aumenta con el tamaño (área expuesta) de la

aplicación. Puede reducir el área expuesta mediante la creación de listas
blancas para cerrar el espacio de direcciones IP expuesto y los puertos de
escucha que no sean necesarios en los equilibradores de carga (Azure Load
Balancer y Azure Application Gateway). Los grupos de seguridad de red (NSG)
constituyen otra manera de reducir el área expuesta a ataques. Puede usar
etiquetas de servicio y grupos de seguridad de la aplicación para minimizar la
complejidad de la creación de reglas de seguridad y configurar la seguridad de
la red como una extensión natural de la estructura de una aplicación.

Debe implementar los servicios de Azure en una red virtual siempre que sea
posible. Este procedimiento permite que los recursos del servicio se comuniquen
mediante direcciones IP privadas. De forma predeterminada, el tráfico de los
servicios Azure desde una red virtual usa direcciones IP públicas como
direcciones IP de origen. Con los puntos de conexión de servicio, el tráfico
del servicio cambia para usar direcciones privadas de red virtual como
direcciones IP de origen al acceder al servicio de Azure desde una red virtual.

Con frecuencia vemos ataques a los recursos locales de un cliente, además de a

los recursos en Azure. Si conecta un entorno local a Azure, se recomienda que
reduzca al mínimo la exposición de los recursos locales a la red pública de
Internet. Para usar las funcionalidades de escalado y protección contra DDoS de
Azure puede implementar entidades públicas bien conocidas en Azure. Como estas
entidades de acceso público suelen ser destinatarias de ataques de DDoS, al
colocarlas en Azure se reduce el impacto en los recursos locales.

Ofertas de Azure para protección contra DDoS

Azure tiene dos ofertas de servicio de DDoS que proporcionan protección frente
a ataques de red (niveles 3 y 4): DDoS Protection Basic y DDoS Protection
Standard.

DDoS Protection Basic

DDoS Protection Basic se integra en Azure de forma predeterminada y sin costo
adicional. El tamaño y la capacidad de la red de implementación global de Azure
proporciona una defensa contra los ataques al nivel de red más comunes mediante
la supervisión constante del tráfico y la mitigación en tiempo real. DDoS
Protection Basic no requiere ningún cambio en la configuración de usuarios o
aplicaciones. DDoS Protection Basic ayuda a proteger todos los servicios de
Azure, incluidos servicios de PaaS como Azure DNS.

Azure DDoS Protection Basic consta de componentes de hardware y software. El

plano de control de software decide cuándo, dónde y qué tipo de tráfico debe
derivarse a los dispositivos de hardware que analizan y quitan el tráfico de
ataque. El plano de control toma esta decisión basándose en una directiva de
protección contra DDoS para toda la infraestructura. Esta directiva se
establece estáticamente y se aplica universalmente a todos los clientes de
Azure.

Por ejemplo, la directiva de protección contra DDoS especifica con qué volumen
de tráfico se debe desencadenar la protección. (Es decir, el tráfico del
inquilino se debe enrutar a través de los dispositivos de limpieza). La
directiva, a continuación, especifica cómo los dispositivos de limpieza deben
mitigar el ataque.

El objetivo del servicio Azure DDoS Protection Basic es proteger la

infraestructura y la plataforma Azure. Reduce el tráfico cuando supera una tasa
que es tan significativa que podría afectar a varios clientes en un entorno
multiinquilino. No proporciona alertas ni directivas personalizadas por
cliente.

DDoS Protection Standard

La protección estándar proporciona características mejoradas de mitigación de
DDoS. Se ajusta automáticamente para proteger los recursos específicos de Azure
de una red virtual. La protección se puede habilitar fácilmente en cualquier
red virtual nueva o existente y no requiere cambios en las aplicaciones ni los
recursos. Tiene varias ventajas sobre el servicio básico, incluidos el
registro, las alertas y la telemetría. Las siguientes secciones describen las
características clave del servicio Azure DDoS Protection Standard.

Ajuste adaptable en tiempo real

El servicio Azure DDoS Protection Basic le ayuda a proteger a los clientes y a

evitar que los ataques afecten a otros clientes. Por ejemplo, si un servicio se
aprovisiona para un volumen normal de tráfico de entrada legítimo que es menor
que la tasa desencadenante de la directiva de DDoS Protection para toda la
infraestructura, un ataque de DDoS en los recursos de ese cliente podría pasar
desapercibido. Por lo general, la complejidad de los ataques recientes (por
ejemplo, DDoS multivector), así como los comportamientos de los inquilinos,
específicos de cada aplicación, hacen necesarias directivas de protección
personalizadas para cada cliente. El servicio consigue esta personalización
basándose en dos tipos de información:

Aprendizaje automático de los patrones de tráfico de los niveles 3 y 4

(por IP) de cada cliente.

Reducción de los falsos positivos ya que el escalado de Azure le permite

absorber una cantidad importante de tráfico.

Telemetría, alertas y supervisión de DDoS Protection

DDoS Protection Standard expone datos de telemetría detallados mediante Azure

Monitor mientras dura un ataque de DDoS. También puede configurar alertas para
todas las métricas de Azure Monitor que usa DDoS Protection. El registro se
puede integrar con Splunk (Azure Event Hubs), registros de Azure Monitor y
Azure Storage para realizar análisis avanzados con la interfaz de Azure Monitor
Diagnostics.
Directivas de mitigación de DDoS

En Azure Portal, seleccione Monitor > Métricas . En el panel Métricas ,

seleccione el grupo de recursos, un tipo de recurso de Dirección IP pública y
la dirección IP pública de Azure. Las métricas de DDoS estarán visibles en el
panel Métricas disponibles .

DDoS Protection Standard aplica tres directivas de mitigación de ajuste

automático (TCP SYN, TCP y UDP) a cada dirección IP pública del recurso
protegido, en la red virtual que tiene habilitado DDoS. Para ver los umbrales
de la directiva, seleccione la métrica "Inbound packets to trigger DDoS
mitigation " (Paquetes de entrada para desencadenar la mitigación de DDoS).

Los umbrales de las directivas se configuran automáticamente con el sistema de

generación de perfiles de tráfico de red basado en aprendizaje automático. La
mitigación de DDoS se produce para una dirección IP que está siendo atacada
solo cuando se supera el umbral de la directiva.
Métricas de una dirección IP sometida a un ataque de DDoS

Si la dirección IP pública está siendo atacada, el valor de la métrica Under

DDoS attack or not (Bajo ataque de DDoS o no) cambia a 1 cuando aplicamos la
mitigación al tráfico de ataque.

Se recomienda configurar una alerta en esta métrica. Si lo hace, recibirá una

notificación cuando se esté aplicando una mitigación de DDoS en su dirección IP
pública.

Para más información, consulte Administración de Azure DDoS Protection Standard

mediante Azure Portal.

Firewall de aplicaciones web para ataques a recursos

En el caso de los ataques a recursos en el nivel de aplicación, los clientes

deben configurar un firewall de aplicaciones web (WAF) para ayudar a proteger
las aplicaciones web. Un WAF inspecciona el tráfico web entrante para bloquear
las inyecciones de SQL, los scripts entre sitios, DDoS y otros ataques al nivel
7. Azure ofrece WAF como una característica de Application Gateway para ofrecer
una protección centralizada de las aplicaciones web contra las vulnerabilidades
de seguridad comunes. En Azure Marketplace encontrará ofertas de WAF de
asociados de Azure que podrían ser más adecuadas para sus necesidades.

Incluso los firewalls de aplicaciones web son susceptibles de sufrir ataques de

agotamiento del estado y volumétricos. Es muy recomendable activar DDoS
Protection Standard en la red virtual del WAF para impedir los ataques a
protocolos y volumétricos. Para más información, consulte la sección
Arquitecturas de referencia de DDoS Protection.

Planeamiento de la protección
El planeamiento y la preparación son cruciales para entender cómo se comportará
un sistema durante un ataque de DDoS. Diseñar un plan de respuesta de
administración de incidentes forma parte de este esfuerzo.

Si dispone de DDoS Protection Standard, asegúrese de que esté habilitado en la

red virtual de los puntos de conexión accesibles desde Internet. La
configuración de alertas de DDoS le ayuda a vigilar constantemente los posibles
ataques contra su infraestructura.

Supervise las aplicaciones de forma independiente. Debe conocer el

comportamiento normal de una aplicación. Debe estar preparado para actuar si la
aplicación no se comporta como está previsto durante un ataque de DDoS.

Pruebas mediante simulaciones

El procedimiento recomendado es realizar simulaciones periódicas para probar

las suposiciones acerca de cómo responderán los servicios a un ataque. Durante
las pruebas, compruebe que los servicios y las aplicaciones continúan
funcionando según lo previsto y que no hay ninguna interrupción en la
experiencia del usuario. Identifique las carencias desde la perspectiva de la
tecnología y de los procesos, e incorpórelas en la estrategia de respuesta a
DDoS. Es recomendable realizar dichas pruebas en entornos de ensayo o durante
las horas de poca actividad para reducir el impacto en el entorno de
producción.

Nos hemos asociado con BreakingPoint Cloud para crear una interfaz en la que
los clientes de Azure puedan generar tráfico destinado a los puntos de conexión
públicos que tengan habilitado el servicio DDoS Protection con fines de
simulación. Puede usar la simulación BreakingPoint Cloud para:

Comprobar en qué medida Azure DDoS Protection protege sus recursos de

Azure frente a ataques de DDoS.

Optimizar el proceso de respuesta a incidentes durante el ataque de DDoS.

Documentar el cumplimiento normativo de DDoS.

Enseñar a los equipos de seguridad de red.

La ciberseguridad requiere una innovación constante en materia de defensa.
Azure DDoS Protection Standard es una innovadora oferta que proporciona una
solución eficaz para mitigar los ataques de DDoS cada vez más complejos.

Componentes de una estrategia de respuesta a DDoS

Un ataque DDoS destinado a recursos de Azure normalmente requiere una
intervención mínima desde la perspectiva del usuario. No obstante, incorporar
la mitigación de DDoS como parte de la estrategia de respuesta a incidentes
ayuda a minimizar el impacto en la continuidad del negocio.

Información sobre amenazas de Microsoft

Microsoft cuenta con una extensa red de información sobre amenazas. Esta red
usa los conocimientos colectivos de una amplia comunidad de seguridad para dar
soporte a los servicios en línea de Microsoft, los asociados de Microsoft y las
relaciones dentro de la comunidad de seguridad de Internet.

Como importante proveedor de infraestructura, Microsoft recibe alertas

tempranas acerca de las amenazas. Microsoft recopila la información sobre
amenazas obtenida de otros servicios en línea y de la base internacional de
clientes. Microsoft incorpora toda esta información sobre amenazas a los
productos de Azure DDoS Protection.

Además, Microsoft Digital Crimes Unit (DCU) adopta estrategias ofensivas frente
a las redes de robots. Las redes de robots son una causa común de comando y
control de los ataques de DDoS.

Evaluación del riesgo de los recursos de Azure

Es fundamental conocer el alcance del riesgo de un ataque de DDoS de forma
continuada. Periódicamente, pregúntese lo siguiente:

¿Qué nuevos recursos de Azure que están públicamente disponibles necesitan

protección?

¿Hay un único punto de error en el servicio?

¿Cómo pueden aislarse los servicios para limitar el impacto de un ataque,

manteniendo al mismo tiempo los servicios disponibles para los clientes
legítimos?

¿Hay redes virtuales en las que DDoS Protection Standard debería estar
habilitado y no lo está?

¿Estás mis servicios activos o activos con conmutación por error en varias
regiones?

Equipo de respuesta a DDoS del cliente

Crear un equipo de respuesta a DDoS es un paso clave para garantizar una
respuesta rápida y eficaz a un ataque. Debe identificar los contactos de la
organización que supervisarán el planeamiento y la ejecución. Este equipo de
respuesta de DDoS debe conocer perfectamente el servicio Azure DDoS Protection
Standard. Asegúrese de que el equipo puede identificar y mitigar un ataque en
coordinación con clientes internos y externos, incluido el equipo de soporte
técnico de Microsoft.

Para el equipo de respuesta frente a ataques de DDoS, es recomendable que

utilice ejercicios de simulación como parte normal de la disponibilidad del
servicio y el planeamiento de la continuidad. Estos ejercicios deben incluir
pruebas de escalado.

Alertas durante un ataque

Azure DDoS Protection Standard identifica y mitiga los ataques de DDoS sin
intervención del usuario. Para recibir una notificación cuando haya una
mitigación activa en una dirección IP pública protegida, también puede
configurar una alerta en la métrica Under DDoS attack or not (Bajo ataque de
DDoS o no). Si es necesario, puede crear alertas para otras métricas de DDoS
para entender la magnitud del ataque, el tráfico que se va a quitar, etc.

Cuándo ponerse en contacto con el soporte técnico de Microsoft

Si, durante un ataque de DDoS, encuentra que la degradación del

rendimiento del recurso protegido es grave o el recurso no está
disponible.

Si cree que el servicio DDoS Protection no se comporta según lo previsto.

El servicio DDoS Protection comienza la mitigación solo si el valor de la

métrica Policy to trigger DDoS mitigation (TCP/TCP SYN/UDP)
[Directiva para desencadenar la mitigación de DDoS (TCP/TCP SYN/UDP)] es
menor que el tráfico recibido en el recurso de IP pública protegido.

Planea un evento viral que aumentará significativamente el tráfico.

Si alguien ha amenazado con iniciar un ataque de DDoS contra sus recursos.

Si necesita incluir en la lista de permitidos una dirección IP o un

intervalo IP de Azure DDoS Protection Estándar. Un escenario común
consiste en incluir en la lista de permitidos una dirección IP si el
tráfico se enruta desde una nube externa WAF hasta Azure.

En caso de ataques que afectan a aspectos críticos de su empresa, cree una

incidencia de soporte de gravedad A.

Pasos posteriores al ataque

Siempre es una buena estrategia hacer una autopsia después de un ataque y
ajustar la estrategia de respuesta a DDoS según sea necesario. Puntos que se
deben tener en cuenta:

¿Se produjo una interrupción en el servicio o en la experiencia del

usuario debido a la falta de una arquitectura escalable?

¿Qué aplicaciones o servicios sufrieron más?

¿Fue eficaz la estrategia de respuesta a DDoS y cómo se podría mejorar aún

más?

Si sospecha que está sufriendo un ataque de DDoS, notifíquelo a través de los

canales de soporte técnico de Azure habituales.

Arquitecturas de referencia de DDoS Protection

DDoS Protection Standard se ha diseñado para los servicios que se implementan
en una red virtual. Para otros servicios se aplica el servicio predeterminado
DDoS Protection Basic. Las siguientes arquitecturas de referencia se organizan
por escenarios, y los patrones de la arquitectura se agrupan juntos.
Cargas de trabajo de máquina virtual (Windows o Linux)
Aplicación que se ejecuta en máquinas virtuales con equilibrio de carga

En esta arquitectura de referencia se muestra un conjunto de prácticas

demostradas para ejecutar varias máquinas virtuales con Windows en un conjunto
de escalado detrás de un equilibrador de carga, para mejorar la disponibilidad
y escalabilidad. Esta arquitectura puede usarse para cargas de trabajo sin
estado, como un servidor web.

En esta arquitectura, una carga de trabajo se distribuye entre varias

instancias de máquina virtual. Hay una única dirección IP pública, y el tráfico
de Internet se distribuye a las máquinas virtuales a través de un equilibrador
de carga. DDoS Protection Standard está habilitado en la red virtual del
equilibrador de carga de Azure (Internet) que tiene asociada la dirección IP
pública.

El equilibrador de carga distribuye las solicitudes entrantes de Internet a las

instancias de máquina virtual. Los conjuntos de escalado de máquinas virtuales
permiten reducir o escalar horizontalmente el número de máquinas virtuales de
forma manual, o bien automáticamente en función de reglas predefinidas. Esto es
importante si el recurso está sufriendo un ataque de DDoS. Consulte este
artículo para más información acerca de esta arquitectura de referencia.

Aplicación que se ejecuta en una arquitectura de n niveles de Windows

Hay muchas maneras de implementar una arquitectura de n niveles. El siguiente

diagrama muestra una aplicación web típica de tres niveles. Esta arquitectura
se basa en el artículo Ejecución de máquinas virtuales de carga equilibrada
para escalabilidad y disponibilidad. Los niveles Web y Business usan máquinas
virtuales de carga equilibrada.
En esta arquitectura, DDoS Protection Standard está habilitado en la red
virtual. Todas las direcciones IP públicas de la red virtual obtendrán
protección contra DDoS en los niveles 3 y 4. Para la protección del nivel 7,
implemente Application Gateway en la SKU de WAF. Consulte este artículo para
más información acerca de esta arquitectura de referencia.

Aplicación web PaaS

Esta arquitectura de referencia muestra la ejecución de una aplicación de Azure

App Service en una única región. Esta arquitectura muestra un conjunto de
prácticas demostradas para una aplicación web que usa Azure App
Service y Azure SQL Database. Se configura una región en espera para escenarios
de conmutación por error.

Azure Traffic Manager enruta las solicitudes entrantes a Application Gateway en

una de las regiones. Durante las operaciones normales, enruta las solicitudes a
Application Gateway en la región activa. Si esa región deja de estar
disponible, Traffic Manager conmuta por error a Application Gateway en la
región en espera.

Todo el tráfico de Internet con destino a la aplicación web se enruta a la

dirección IP pública de Application Gateway a través de Traffic Manager. En
este escenario, App Service (Web Apps) no es directamente accesible desde el
exterior y está protegido por Application Gateway.

Se recomienda configurar la SKU de WAF de Application Gateway (modo de

prevención) para protegerse contra ataques de nivel 7 (WebSocket, HTTP o
HTTPS). Además, las aplicaciones web están configuradas para aceptar tráfico
solo desde la dirección IP de Application Gateway.

Consulte este artículo para más información acerca de esta arquitectura de

referencia.

Mitigación para servicios de PaaS que no son web

HDInsight en Azure

Esta arquitectura de referencia muestra cómo configurar DDoS Protection

Standard para un clúster de Azure HDInsight. Asegúrese de que el clúster de
HDInsight esté vinculado a una red virtual y que DDoS Protection esté
habilitado en esa red virtual.
En esta arquitectura, el tráfico de Internet con destino al clúster de
HDInsight se enruta a la dirección IP pública asociada con el equilibrador de
carga de la puerta de enlace de HDInsight. El equilibrador de carga de la
puerta de enlace envía el tráfico directamente a los nodos principales o los
nodos de trabajo. Como DDoS Protection Standard está habilitado en la red
virtual de HDInsight, todas las direcciones IP públicas de la red virtual
obtienen protección contra DDoS en los niveles 3 y 4. Esta arquitectura de
referencia puede combinarse con arquitecturas de referencia de n niveles o
múltiples regiones.

Para más información acerca de esta arquitectura de referencia, consulte

Extensión de HDInsight con Azure Virtual Network.

NOTE
Azure App Service Environment para PowerApps o API Management en redes con direcciones IP
públicas no se admiten de forma nativa.

Pasos siguientes
Responsabilidad compartida en la nube

Página del producto Azure DDoS Protection

Documentación de Azure DDoS Protection

 Microsoft Antimalware para Azure
Cloud Services y Virtual Machines
23/03/2020 • 22 minutes to read • Edit Online

Microsoft Antimalware para Azure es una protección gratuita en tiempo real que
ayuda a identificar y eliminar virus, spyware y otro software malintencionado.
Genera alertas cuando software no deseado o malintencionado intenta instalarse
o ejecutarse en los sistemas de Azure.

La solución se basa en la misma plataforma antimalware que Microsoft Security

Essentials [(MSE)], Microsoft Forefront Endpoint Protection, Microsoft System
Center Endpoint Protection, Windows Intune y Windows Defender. Microsoft
Antimalware para Azure es una solución de un único agente dirigida a entornos
de aplicaciones e inquilinos, concebida para ejecutarse en segundo plano sin
intervención humana. La protección puede implementarse en función de las
necesidades de sus cargas de trabajo de aplicaciones, con configuración de
protección básica predeterminada o personalizada avanzada que incluye la
supervisión antimalware.

Al implementar y habilitar Microsoft Antimalware para Azure en sus

aplicaciones, están disponibles las siguientes características principales:

Protección en tiempo real : supervisa la actividad en Cloud Services y

Virtual Machines para detectar y bloquear la ejecución de malware.
Análisis programado : realiza un análisis periódico para detectar malware,
lo que incluye programas que se ejecutan activamente.
Corrección de malware : actúa automáticamente sobre el malware detectado y
elimina o pone en cuarentena los archivos malintencionados y limpia las
entradas del Registro malintencionadas.
Actualizaciones de firmas : instala automáticamente las últimas firmas de
protección (definiciones de virus) para garantizar que la protección está
actualizada con una frecuencia determinada previamente.
Actualizaciones de Antimalware Engine : actualiza automáticamente el
motor de Microsoft Antimalware.
Actualizaciones de la plataforma antimalware : actualiza automáticamente
la plataforma de Microsoft Antimalware.
Protección activa : envía a Microsoft Azure informes de metadatos de
telemetría sobre las amenazas detectadas y los recursos sospechosos para
garantizar una respuesta rápida a las amenazas en constante evolución, y
para permitir la entrega sincrónica de firmas en tiempo real a través de
Microsoft Active Protection System (MAPS).
Informes de ejemplos : proporciona informes de ejemplos al servicio
Microsoft Antimalware que ayudan a mejorar el servicio y permiten la
solución de problemas.
Exclusiones : permite a los administradores de aplicaciones y servicios
configurar las exclusiones de archivos, procesos y unidades.
Recopilación de eventos antimalware : registra el estado del servicio
antimalware, las actividades sospechosas y las acciones de corrección
adoptadas en el registro de eventos del sistema operativo y los recopila en
 la cuenta de Azure Storage del cliente.

NOTE
Microsoft Antimalware también puede implementarse mediante Azure Security Center. Para más
información, vea Instalación de Endpoint Protection en Azure Security Center.

Arquitectura
La solución Microsoft Antimalware para Azure incluye el cliente y el servicio
de Microsoft Antimalware, el modelo de implementación clásica de Antimalware,
los cmdlets de PowerShell para Antimalware y la extensión Azure Diagnostics.
Microsoft Antimalware es compatible con las familias de sistemas operativos
Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2. No se
admite en el sistema operativo de Windows Server 2008 y tampoco es compatible
en Linux.

El cliente y servicio de Microsoft Antimalware se instala de forma

predeterminada en un estado deshabilitado en todas las familias de sistemas
operativos invitados compatibles con Azure en la plataforma de Cloud Services.
El cliente y el servicio de Microsoft Antimalware no se instalan de forma
predeterminada en la plataforma de Virtual Machines, sino que está disponible
como una característica opcional en Azure Portal y en la configuración de
máquinas virtuales de Visual Studio en Extensiones de seguridad.

Si usa Azure App Service, el servicio subyacente que hospeda la aplicación web
tiene Microsoft Antimalware habilitado. Esto se utiliza para proteger la
infraestructura de Azure App Service y no se ejecuta en el contenido del
cliente.

NOTE
Windows Defender es el antimalware integrado habilitado en Windows Server 2016. La interfaz
de Windows Defender también está habilitada de forma predeterminada en algunas SKU de Windows
Server 2016 consulte aquí para obtener más información. La extensión de Antimalware de
máquina virtual de Azure todavía puede agregarse a una máquina virtual de Azure de Windows
Server 2016 con Windows Defender, pero en este escenario, la extensión aplicará cualquier
directiva de configuración opcional que vaya a usar Windows Defender, en vez de implementar
servicios antimalware adicionales. Puede leer más sobre esta actualización aquí.

Flujo de trabajo de Microsoft Antimalware

El administrador de servicios de Azure puede habilitar Antimalware para Azure
con una configuración predeterminada o personalizada para Máquinas virtuales y
Cloud Services mediante las siguientes opciones:

Virtual Machines: en Azure Portal, en Extensiones de seguridad

Máquinas virtuales: mediante la configuración de máquinas virtuales de
Visual Studio en el Explorador de servidores
Virtual Machines y Cloud Services: con el modelo de implementación clásica
de Antimalware
Virtual Machines y Cloud Services: mediante los cmdlets de PowerShell para
Antimalware
Azure Portal o los cmdlets de PowerShell insertan el archivo del paquete de
extensiones de Antimalware en el sistema de Azure en una ubicación fija
predeterminada. El agente invitado de Azure (o el agente de tejido) inicia la
extensión de Antimalware y aplicar los valores de configuración de Antimalware
proporcionados como entrada. Este paso habilita el servicio Antimalware con
valores de configuración predeterminados o personalizados. Si no se
proporciona ninguna configuración personalizada, el servicio Antimalware se
habilita con la configuración predeterminada. Vea la sección Configuración
Antimalware de Microsoft Antimalware for Azure – Code Samples (Microsoft
Antimalware para Azure: ejemplos de código) para obtener más información.

Una vez en ejecución, el cliente de Microsoft Antimalware descarga de Internet

las definiciones más recientes de firmas y del motor de protección y las carga
en el sistema de Azure. El servicio Microsoft Antimalware escribe eventos
relacionados con el servicio en el registro de eventos del SO del sistema, en
el origen del evento "Microsoft Antimalware". Los eventos incluyen, entre
otros, el estado de mantenimiento, protección y corrección del cliente
Antimalware, valores de configuración nuevos y antiguos, actualizaciones del
motor y definiciones de firmas.

Puede habilitar la supervisión Antimalware para que en el servicio en la nube

o la máquina virtual se escriban los eventos del registro de eventos
Antimalware a medida que se generan en la cuenta de almacenamiento de Azure.
El servicio Antimalware usa la extensión Diagnósticos de Azure para recopilar
eventos Antimalware del sistema de Azure en tablas de la cuenta de Azure
Storage del cliente.

El flujo de trabajo de implementación, que incluye pasos de configuración y

opciones admitidas para los escenarios anteriores, se documenta en la sección
Escenarios de implementación de Antimalware de este documento.
 NOTE
Sin embargo, puede usar las plantillas de Azure Resource Manager o las API/PowerShell para
implementar conjuntos de escalado de máquinas virtuales con la extensión antimalware de
Microsoft. Para instalar una extensión en una máquina virtual que ya se esté ejecutando, puede
usar el script de ejemplo de Python [Link]. Este script obtiene la configuración de
extensión existente del conjunto de escalado y agrega una extensión a la lista de extensiones
actuales de los conjuntos de escalado de máquinas virtuales.

Configuración predeterminada y personalizada de Antimalware

Si no se proporcionan valores de configuración personalizados, se aplican los
valores de configuración predeterminados para habilitar Antimalware para Azure
Cloud Services y Virtual Machines. Los valores de configuración
predeterminados se han optimizado previamente para ejecutarse en el entorno de
Azure. Opcionalmente, puede personalizar estos valores de configuración
predeterminados para adaptarlos a la implementación de su aplicación o
servicio de Azure y aplicarlos en otros escenarios de implementación.

En la tabla siguiente se resumen las opciones de configuración disponibles

para el servicio Antimalware. La configuración predeterminada se marca en la
columna "Predeterminada" que se muestra a continuación.
 Escenarios de implementación de Antimalware
Los escenarios para habilitar y configurar Antimalware, incluida la
supervisión de Azure Cloud Services y Virtual Machines, se tratan en esta
sección.

Virtual Machines: habilitación y configuración de Antimalware

Implementación mientras crea una máquina virtual mediante Azure Portal

Para habilitar y configurar Microsoft Antimalware en Azure Virtual Machines

mediante Azure Portal mientras aprovisiona una máquina virtual, siga estos
pasos:

1. Inicie sesión en Azure Portal en [Link]

2. Para crear una nueva máquina virtual, vaya a Máquinas virtuales ,
seleccione Agregar y elija Windows Server .
3. Seleccione la versión de Windows Server que quiera usar.
4. Seleccione Crear .

5. Proporcione un Nombre , un Nombre de usuario , una Contraseña y cree un

nuevo grupo de recursos o elija un grupo de recursos existente.
 6. Seleccione Aceptar .
7. Seleccione un tamaño de máquina virtual.
8. En la sección siguiente, realice las elecciones adecuadas para sus
necesidades, seleccione la sección Extensiones .
9. Seleccione Agregar extensión .
10. En Nuevo recurso , elija Microsoft Antimalware .
11. Seleccione Crear
12. En la sección Instalar extensión se puede configurar el archivo, las
ubicaciones y las exclusiones del proceso, así como otras opciones de
análisis. Elija Aceptar .
13. Elija Aceptar .
14. En la sección Configuración , elija Aceptar .
15. En la pantalla Crear , elija Aceptar .

Implementación mediante la configuración de máquinas virtuales de Visual Studio

Para habilitar y configurar el servicio Microsoft Antimalware con Visual

Studio:

1. Conéctese a Microsoft Azure en Visual Studio.

2. Elija su máquina virtual en el nodo Virtual Machines del Explorador de

servidores .

3. Haga clic con el botón derecho en configurar para ver la página de

configuración de máquinas virtuales.

4. Seleccione la extensión Microsoft Antimalware en la lista desplegable

bajo Extensiones instaladas y haga clic en Agregar para realizar la
configuración predeterminada de Antimalware.

5. Para personalizar la configuración predeterminada de Antimalware,

seleccione (resalte) la extensión Antimalware en la lista de extensiones
instaladas y haga clic en Configurar .

6. Reemplace la configuración predeterminada de Antimalware por la

configuración personalizada en formato JSON admitido en el cuadro de
texto Configuración pública y haga clic en Aceptar.
7. Haga clic en el botón Actualizar para insertar las actualizaciones de
configuración en la máquina virtual.

NOTE
La configuración de Virtual Machines de Visual Studio para Antimalware solo admite el formato
JSON. La plantilla de configuración JSON de Antimalware se incluye en los ejemplos de código
de Microsoft Antimalware para Azure, que muestra los valores de configuración de Antimalware
admitidos.

Implementación mediante cmdlets de PowerShell

Una aplicación o un servicio de Azure puede habilitar y configurar Microsoft

Antimalware para Azure Virtual Machines mediante cmdlets de PowerShell.

Para habilitar y configurar Microsoft Antimalware con cmdlets de PowerShell:

1. Configure el entorno de PowerShell: consulte la documentación en

[Link]
2. Use el cmdlet Set-AzureVMMicrosoftAntimalwareExtension de Antimalware para
habilitar y configurar Microsoft Antimalware para su máquina virtual.

NOTE
La configuración de Azure Virtual Machines para Antimalware solo admite el formato JSON. La
plantilla de configuración JSON de Antimalware se incluye en los ejemplos de código de
Microsoft Antimalware para Azure, que muestra los valores de configuración de Antimalware
admitidos.

Habilitación y configuración de Antimalware mediante cmdlets de PowerShell

Una aplicación o un servicio de Azure puede habilitar y configurar Microsoft
Antimalware para Azure Cloud Services mediante cmdlets de PowerShell. Tenga en
cuenta que Microsoft Antimalware se instala con un estado deshabilitado en la
plataforma de Cloud Services y requiere la acción de una aplicación de Azure
para habilitarlo.

Para habilitar y configurar Microsoft Antimalware mediante cmdlets de

PowerShell:

1. Configure el entorno de PowerShell: consulte la documentación en

 [Link]
2. Use el cmdlet Set-AzureServiceAntimalwareExtension de Antimalware para
habilitar y configurar Microsoft Antimalware para su servicio en la nube.

La plantilla de configuración XML de Antimalware se incluye en los ejemplos de

código de Microsoft Antimalware para Azure, que muestra los valores de
configuración de Antimalware admitidos.

Cloud Services y Virtual Machines: configuración mediante cmdlets de PowerShell

Una aplicación o un servicio de Azure puede recuperar la configuración de
Microsoft Antimalware para Cloud Services y Virtual Machines mediante cmdlets
de PowerShell.

Para recuperar la configuración de Microsoft Antimalware mediante cmdlets de

PowerShell:

1. Configure el entorno de PowerShell: consulte la documentación en

[Link]
2. Para Virtual Machines : use el cmdlet Get-
AzureVMMicrosoftAntimalwareExtension de Antimalware para obtener la
configuración de antimalware.
3. Para Cloud Services : use el cmdlet Get-AzureServiceAntimalwareConfig
Antimalware de Antimalware para obtener la configuración de antimalware.

Eliminación de la configuración de Antimalware mediante cmdlets de PowerShell

Una aplicación o un servicio de Azure puede quitar la configuración
Antimalware, y cualquier configuración de supervisión de Antimalware asociada,
de las extensiones pertinentes del servicio de diagnóstico y del servicio
Antimalware de Azure asociadas al servicio en la nube o la máquina virtual.

Para quitar Microsoft Antimalware mediante cmdlets de PowerShell:

1. Configure el entorno de PowerShell: consulte la documentación en

[Link]
2. Para Virtual Machines : use el cmdlet Remove-
AzureVMMicrosoftAntimalwareExtension de Antimalware.
3. Para Cloud Services : use el cmdlet Remove-
AzureServiceAntimalwareExtension de Antimalware.

Para habilitar la recopilación de eventos antimalware de una máquina virtual

mediante el Portal de vista previa de Azure:

1. Haga clic en cualquier parte de la lente Supervisión en la hoja Máquina

Virtual.
2. Haga clic en el comando Diagnóstico en la hoja Métrica.
3. Seleccione Estado activado y marque la opción para el sistema de eventos de
Windows.
4. . Puede desactivar todas las demás opciones de la lista o dejarlas
habilitadas, según las necesidades de su servicio de aplicación.
5. Las categorías de eventos Antimalware "Error", "Advertencia",
"Informativo", etc., se capturan en la cuenta de Azure Storage.

Los eventos Antimalware se recopilan de los registros del sistema de eventos

de Windows y se colocan en la cuenta de Azure Storage. Puede configurar la
cuenta de almacenamiento de la máquina virtual para la recopilación de eventos
 Antimalware seleccionando la cuenta de almacenamiento adecuada.

NOTE
Para más información sobre el registro de diagnósticos para Azure Antimalware, lea Enabling
Diagnostics Logging for Azure Antimalware (Habilitación del registro de diagnóstico para
Azure Antimalware).

Habilitación y configuración de la supervisión antimalware mediante cmdlets de

PowerShell
Puede habilitar la recopilación de eventos de Microsoft Antimalware para su
servicio en la nube o máquina virtual usando Diagnósticos de Azure con cmdlets
de PowerShell para Antimalware. La extensión Diagnósticos de Azure puede
configurarse para capturar eventos del origen de registro de eventos del
sistema "Microsoft Antimalware" y colocarlos en su cuenta de Azure Storage.
Las categorías de eventos Antimalware "Error", "Advertencia", "Informativo",
etc., se capturan en la cuenta de Azure Storage.

Para habilitar la recopilación de eventos Antimalware en su cuenta de Azure

Storage mediante cmdlets de PowerShell:

1. Configure el entorno de PowerShell, consulte

[Link]
2. Para Virtual Machines : use el cmdlet Set-
AzureVMMicrosoftAntimalwareExtension de Antimalware con la opción de
supervisión activada.
3. Para Cloud Services : use el cmdlet Set-AzureServiceAntimalwareExtension
de Antimalware con la opción de supervisión activada.

Puede ver los eventos sin procesar Antimalware si examina la tabla

WADWindowsEventLogsTable de la cuenta de Azure Storage que configuró para
habilitar la supervisión Antimalware. Esto puede ser útil para validar que la
recopilación de eventos Antimalware funciona y para conocer el estado del
servicio Antimalware. Para obtener más información, como el código de ejemplo
sobre cómo extraer eventos Antimalware de la cuenta de almacenamiento, vea los
ejemplos de código de Microsoft Antimalware para Azure.
 Información general de seguridad de
Azure Virtual Machines
23/03/2020 • 15 minutes to read • Edit Online

Este artículo ofrece una introducción a las principales características de

seguridad de Azure que pueden usarse con máquinas virtuales.

Puede usar las máquinas virtuales de Azure para implementar una amplia gama de
soluciones informáticas con facilidad. El servicio es compatible con Microsoft
Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP y Azure BizTalk
Services. Gracias a ello, puede implementar cualquier carga de trabajo y
cualquier lenguaje en casi cualquier sistema operativo.

Una máquina virtual de Azure le ofrece la flexibilidad de la virtualización sin

necesidad de adquirir y mantener el hardware físico que ejecuta la máquina
virtual. Puede compilar e implementar aplicaciones con la tranquilidad de saber
que sus datos están protegidos en centros de datos de alta seguridad.

Con Azure, puede crear soluciones compatibles con seguridad mejorada que:

Protegen sus máquinas virtuales de virus y malware.

Protegen con cifrado su información confidencial.
Protegen el tráfico de red.
Identifican y detectan amenazas.
Satisfacen los requisitos de cumplimiento.

Antimalware
Con Azure, puede usar el software antimalware de proveedores de seguridad como
Microsoft, Symantec, Trend Micro y Kaspersky. Este software le ayudará a
proteger las máquinas virtuales de archivos malintencionados, adware y otras
amenazas.

Microsoft Antimalware para Azure Cloud Services y Virtual Machines es una

funcionalidad de protección en tiempo real que permite identificar y eliminar
virus, spyware y otro software malintencionado. Microsoft Antimalware para Azure
activa alertas configurables cuando software no deseado o malintencionado
intenta instalarse o ejecutarse en los sistemas de Azure.

Microsoft Antimalware para Azure es una solución de un único agente dirigida a

entornos de aplicaciones e inquilinos. Está concebida para su ejecución en
segundo plano sin intervención del usuario. Puede implementar la protección en
función de las necesidades de sus cargas de trabajo de aplicaciones, con
configuración de protección básica o personalizada avanzada que incluye
supervisión antimalware.

Obtenga más información sobre Microsoft Antimalware para Azure y las

características principales disponibles.

Obtenga más información acerca del software antimalware para proteger las
máquinas virtuales:
 Implementación de soluciones antimalware en Azure Virtual Machines
Instalación y configuración de Trend Micro Deep Security como servicio en una
máquina virtual de Azure
Instalación y configuración de Endpoint Protection en una máquina virtual de
Azure
Soluciones de seguridad en Azure Marketplace

Para una protección aún más eficaz, considere el uso de la Protección contra
amenazas avanzada de Windows Defender. Con ATP de Windows Defender, obtiene lo
siguiente:

Reducción de la superficie expuesta a ataques

Protección de próxima generación
Protección y respuesta de punto de conexión
Investigación y corrección automatizadas
Puntuación segura
Búsqueda avanzada
Administración y API
Protección contra amenazas de Microsoft

Más información:

Introducción a protección contra amenazas avanzada de Windows Defender

Información general sobre las capacidades de ATP de Windows Defender

Módulo de seguridad de hardware

Las protecciones del cifrado y autenticación se pueden mejorar si se mejora la
clave de seguridad. Puede simplificar la administración y la seguridad de
claves y secretos críticos guardándolos en Azure Key Vault.

Key Vault permite guardar claves en módulos de seguridad de hardware (HSM) que
tienen la certificación FIPS 140-2 nivel 2. Sus claves de cifrado de SQL Server
para copias de seguridad o cifrado de datos transparente se pueden almacenar en
Key Vault con otras claves y secretos de sus aplicaciones. Los permisos y el
acceso a estos elementos protegidos se administran con Azure Active Directory.

Más información:

¿Qué es Azure Key Vault?

Blog de Azure Key Vault

Cifrado de discos de máquinas virtuales

Azure Disk Encryption es una nueva funcionalidad que permite cifrar los discos
de las máquinas virtuales de Windows y Linux. Azure Disk Encryption usa la
característica BitLocker estándar del sector de Windows y la característica dm-
crypt de Linux para ofrecer cifrado de volumen para el sistema operativo y los
discos de datos.

La solución se integra con Azure Key Vault para controlar y administrar los
secretos y las claves de cifrado de los discos en la suscripción de Key Vault.
Gracias a ello, se garantiza que todos los datos de los discos de máquinas
virtuales se cifren en reposo en Azure Storage.
Más información:

Azure Disk Encryption para máquinas virtuales IaaS

Inicio rápido: Cifrado de una máquina virtual IaaS Windows con Azure
PowerShell

Copia de seguridad de máquina virtual

Azure Backup es una solución escalable que protege los datos de su aplicación
sin necesidad de realizar ninguna inversión y afrontando unos costos operativos
mínimos. Los errores de una aplicación pueden dañar los datos, y los errores
humanos pueden crear errores en las aplicaciones. Con Azure Backup, las
máquinas virtuales que ejecutan Windows y Linux están protegidas.

Más información:

¿Qué es Azure Backup?

P+F del servicio Azure Backup

Azure Site Recovery

Una parte importante de la estrategia de BCDR de la organización es averiguar
cómo mantener las aplicaciones y cargas de trabajo corporativas listas para su
funcionamiento cuando se producen interrupciones planificadas e imprevistas.
Azure Site Recovery le ayuda a coordinar la replicación, la conmutación por
error y la recuperación de aplicaciones y cargas de trabajo para que estén
disponibles desde una ubicación secundaria si la ubicación principal deja de
funcionar.

Site Recovery:

Simplificar su estrategia de BCDR : Site Recovery facilita el control de la

replicación, la conmutación por error y la recuperación de varias cargas de
trabajo y aplicaciones de negocios desde una única ubicación. Site Recovery
organiza la replicación y la conmutación por error pero no intercepta los
datos de la aplicación ni obtiene información alguna sobre ella.
Proporcionar replicación flexible : con Site Recovery puede replicar las
cargas de trabajo que se ejecutan en máquinas virtuales de Hyper-V, máquinas
virtuales de VMware y servidores físicos con Windows o Linux.
Admite recuperación y conmutación por error : Site Recovery proporciona
conmutaciones por error de prueba que admiten maniobras de recuperación ante
desastres sin que los entornos de producción se vean afectados. También puede
ejecutar conmutaciones por error planeadas sin pérdidas de datos para
interrupciones previstas o conmutaciones por error con una pérdida de datos
mínima (según la frecuencia de replicación) ante desastres inesperados.
Después de la conmutación por error puede ejecutar una conmutación por
recuperación a los sitios principales. Site Recovery proporciona planes de
recuperación que pueden incluir scripts y libros de Azure Automation para que
pueda personalizar la conmutación por error y la recuperación de aplicaciones
de varios niveles.
Eliminar centros de datos secundarios : puede replicar en un sitio local
secundario o en Azure. Usar Azure como destino de la recuperación ante
desastres elimina el costo y la complejidad de mantener un sitio secundario.
Los datos replicados se almacenan en Azure Storage.
 Se integra con tecnologías de BCDR existentes : Site Recovery se asocia
con otras características de BCDR de las aplicaciones. Por ejemplo, puede
usar Site Recovery para proteger el back-end de SQL Server de las cargas de
trabajo corporativas. Esto incluye la compatibilidad nativa con SQL Server
AlwaysOn para administrar la conmutación por error de los grupos de
disponibilidad.

Más información:

¿Qué es Azure Site Recovery?

¿Cómo funciona Azure Site Recovery?
¿Qué cargas de trabajo se pueden proteger con Azure Site Recovery?

Redes virtuales
Las máquinas virtuales necesita conectividad de red. Para satisfacer este
requisito, es necesario que las máquinas virtuales de Azure estén conectadas a
una instancia de Azure Virtual Network.

Azure Virtual Network es una construcción lógica creada encima del tejido de
red físico de Azure. Cada instancia lógica de Azure Virtual Network está
aislada de todas las demás redes virtuales de Azure. Este aislamiento
contribuye a garantizar que otros clientes de Microsoft Azure no puedan acceder
al tráfico de red de sus implementaciones.

Más información:

Azure Network Security Overview (Información general sobre Azure Network

Security)
Información general sobre Virtual Network
Networking features and partnerships for Enterprise scenarios
(Características de red y asociaciones para escenarios empresariales)

Informes y administración de directivas de

seguridad
Azure Security Center ayuda a evita y a detectar las amenazas, además de a
responder a ellas. Security Center aporta visibilidad mejorada y control sobre
la seguridad de los recursos de Azure. Proporciona una supervisión de la
seguridad y una administración de directivas integradas en suscripciones de
Azure. Le ayuda a detectar amenazas que podrían pasar desapercibidas, y
funciona con un amplio ecosistema de soluciones de seguridad.

Security Center le ayuda a optimizar y supervisar la seguridad de las máquinas

virtuales de la siguiente manera:

Proporcionando recomendaciones de seguridad para las máquinas virtuales. Las

recomendaciones de ejemplo incluyen lo siguiente: aplicar actualizaciones del
sistema, configurar puntos de conexión de listas de control de acceso,
habilitar antimalware, habilitar grupos de seguridad de red y aplicar cifrado
de discos.
Supervisando el estado de las máquinas virtuales.

Más información:
 Introducción al Centro de seguridad de Azure
Preguntas más frecuentes sobre el Azure Security Center
Guía de planeamiento y operaciones de Azure Security Center

Cumplimiento normativo
Azure Virtual Machines tiene las certificaciones de FISMA, FedRAMP, HIPAA, PCI
DSS nivel 1 y otros programas de cumplimiento fundamentales. Esta certificación
facilita en gran medida que sus propias aplicaciones de Azure cumplan los
requisitos de cumplimiento y que su empresa satisfaga una amplia variedad de
requisitos normativos nacionales e internacionales.

Más información:

Centro de confianza de Microsoft: Cumplimiento normativo

Trusted Cloud: Microsoft Azure Security, Privacy, and Compliance (La nube de
confianza: Seguridad, privacidad y cumplimiento de Microsoft Azure)

Computación confidencial
Si bien la computación confidencial técnicamente no forma parte de la seguridad
de la máquina virtual, el tema de la seguridad de la máquina virtual pertenece
al tema de nivel superior de la seguridad "computacional". La computación
confidencial pertenece a la categoría de seguridad "computacional".

La computación confidencial asegura que cuando los datos están "descubiertos",

lo cual se requiere para un procesamiento eficiente, se mantienen protegidos
dentro de un entorno de ejecución de confianza
[Link] (también conocido
como un enclave), de lo cual se muestra un ejemplo en la ilustración siguiente.

Los entornos de ejecución de confianza garantizan que no hay ninguna manera de

ver datos u operaciones desde el exterior, ni siquiera con un depurador.
Incluso aseguran que solo se permite el acceso a los datos al código
autorizado. Si el código está alterado o modificado, se deniegan las
operaciones y se deshabilita el entorno. El entorno de ejecución de confianza
aplica estas protecciones a todo el proceso de ejecución del código que
contiene.

Más información:

Introducing Azure confidential computing (Introducción a la computación

confidencial de Azure)
Azure confidential computing (Computación confidencial de Azure)

Pasos siguientes
Aprenda sobre los procedimientos recomendados de seguridad para máquinas
virtuales y sistemas operativos.
 Procedimientos de seguridad
recomendados para cargas de trabajo
de IaaS de Azure
23/03/2020 • 28 minutes to read • Edit Online

En este artículo se describen los procedimientos recomendados de seguridad para

máquinas virtuales y sistemas operativos.

Los procedimientos recomendados se basan en un consenso de opinión y son

válidos para las funcionalidades y conjuntos de características actuales de la
plataforma Azure. Puesto que las opiniones y las tecnologías pueden cambiar con
el tiempo, este artículo se actualizará para reflejar dichos cambios.

En la mayoría de los escenarios de IaaS (infraestructura como servicio), las

máquinas virtuales de Azure son la principal carga de trabajo de las
organizaciones que usan la informática en la nube. Esto es evidente en los
escenarios híbridos, en los que las organizaciones quieran migrar lentamente
las cargas de trabajo a la nube. En estos escenarios, siga las consideraciones
generales de seguridad de IaaS y aplique los procedimientos recomendados de
seguridad a todas las máquinas virtuales.

Protección de máquinas virtuales mediante la

autenticación y el control de acceso
El primer paso para proteger la máquina virtual es garantizar que solo los
usuarios autorizados puedan configurar nuevas máquinas virtuales y obtener
acceso a ellas.

NOTE
Para mejorar la seguridad de las máquinas virtuales Linux en Azure, puede integrarlas con la
autenticación de Azure Active Directory (AD). Cuando se usa la autenticación de Azure AD para
máquinas virtuales Linux, se administran y se aplican de manera centralizada las directivas que
permiten o deniegan el acceso a las máquinas virtuales.

Procedimiento recomendado : Control de acceso a las máquinas virtuales.

Detalles : Use directivas de Azure para establecer convenciones para los
recursos de la organización y crear directivas personalizadas. Aplique estas
directivas a los recursos, como los grupos de recursos. Las máquinas virtuales
que pertenecen a un grupo de recursos heredan sus directivas.

Si su organización tiene varias suscripciones, podría necesitar una manera de

administrar el acceso, las directivas y el cumplimiento de esas suscripciones
de forma eficaz. Los grupos de administración de Azure proporcionan un nivel de
ámbito por encima de las suscripciones. Las suscripciones se organizan en
grupos de administración (contenedores) y aplican sus condiciones de gobernanza
a dichos grupos. Todas las suscripciones dentro de un grupo de administración
heredan automáticamente las condiciones que se aplican al grupo. Los grupos de
administración proporcionan capacidad de administración de nivel empresarial a
gran escala con independencia del tipo de suscripciones que tenga.
Procedimiento recomendado : Reducción de la variabilidad en la configuración
e implementación de máquinas virtuales.
Detalles : Use plantillas de Azure Resource Manager para reforzar las opciones
de implementación y facilitar la comprensión y la realización de inventario de
las máquinas virtuales de su entorno.

Procedimiento recomendado : Protección del acceso con privilegios.

Detalles : Use un enfoque de privilegios mínimos y roles integrados de Azure
para permitir que los usuarios configuren las máquinas virtuales y accedan a
ellas.

Colaborador de la máquina virtual: Puede administrar máquinas virtuales,

pero no la cuenta de almacenamiento o la red virtual a la que están
conectadas.
Colaborador de la máquina virtual clásica: Puede administrar máquinas
virtuales creadas con el modelo de implementación clásica, pero no la cuenta
de almacenamiento ni la red virtual a la que están conectadas.
Administrador de seguridad: Solo en Security Center: puede ver las
directivas de seguridad, los estados de seguridad, editar las directivas de
seguridad, ver alertas y recomendaciones, y descartar alertas y
recomendaciones.
Usuario de DevTest Labs: puede ver todo el contenido, así como conectar,
iniciar, reiniciar y apagar las máquinas virtuales.

Los administradores y coadministradores de la suscripción pueden cambiar esta

configuración, convirtiéndose en administradores de todas las máquinas
virtuales de una suscripción. Asegúrese de que confía en todos los
administradores y coadministradores de la suscripción para iniciar sesión en
cualquiera de las máquinas.

NOTE
Se recomienda consolidar las máquinas virtuales con el mismo ciclo de vida en el mismo grupo de
recursos. Mediante los grupos de recursos, puede implementar, supervisar y acumular los costos
para sus recursos.

Las organizaciones que controlan el acceso a la máquina virtual y la

configuración mejoran la seguridad general de la máquina virtual.

Uso de varias máquinas virtuales para mejorar la

disponibilidad
Si la máquina virtual ejecuta aplicaciones esenciales que necesitan tener una
alta disponibilidad, recomendamos encarecidamente usar varias máquinas
virtuales. Para mejorar la disponibilidad, use un conjunto de disponibilidad o
zonas de disponibilidad.

Un conjunto de disponibilidad es una agrupación lógica que puede usar en Azure

para asegurarse de que los recursos de máquina virtual que coloque en dicho
conjunto de disponibilidad estén aislados entre sí cuando se implementen en un
centro de datos de Azure. Azure garantiza que las máquinas virtuales colocadas
en un conjunto de disponibilidad se ejecuten en varios servidores físicos,
grupos de proceso, unidades de almacenamiento y conmutadores de red. Si se
produce un error de hardware o software de Azure, solo un subconjunto de las
máquinas virtuales se ve afectado y la aplicación sigue estando disponible para
los clientes. Los conjuntos de disponibilidad son una funcionalidad fundamental
para compilar soluciones en la nube confiables.

Protección frente a malware

Debe instalar la protección antimalware para ayudar a identificar y eliminar
virus, spyware y otro software malintencionado. Puede instalar Microsoft
Antimalware o una solución de protección de puntos de conexión de un asociado
de Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender y System Center
Endpoint Protection).

Microsoft Antimalware incluye características como la protección en tiempo

real, los análisis programados, la corrección de malware, las actualizaciones
de firmas, las actualizaciones del motor, los ejemplos de informes y la
colección de eventos de exclusión. En entornos hospedados por separado del
entorno de producción, puede usar una extensión de antimalware para ayudar a
proteger las máquinas virtuales y los servicios en la nube.

Puede integrar soluciones de asociados y Microsoft Antimalware con Azure

Security Center para facilitar la implementación y la integración de
detecciones (alertas e incidentes).

Procedimiento recomendado : Instalación de una solución antimalware para

protegerse frente a malware.
Detalles : Instale una solución de asociado de Microsoft o Microsoft
Antimalware

Procedimiento recomendado : Integración de la solución antimalware con

Security Center para supervisar el estado de la protección.
Detalles : Administre problemas de Endpoint Protection con Security Center

Administrar las actualizaciones de la máquina

virtual
Las máquinas virtuales de Azure, al igual que todas las máquinas virtuales
locales, están diseñadas para que las administre el usuario. Azure no inserta
las actualizaciones de Windows en ellas. Debe administrar las actualizaciones
de la máquina virtual.

Procedimiento recomendado : Mantener actualizadas las máquinas virtuales.

Detalles : Use la solución Update Management de Azure Automation para
administrar las actualizaciones del sistema operativo de los equipos Windows y
Linux implementados en Azure, en entornos locales o en otros proveedores de
nube. Puede evaluar rápidamente el estado de las actualizaciones disponibles en
todos los equipos agente y administrar el proceso de instalación de las
actualizaciones necesarias para los servidores.

Los equipos administrados por Update Management usan las siguientes

configuraciones para evaluar e implementar actualizaciones:

Microsoft Monitoring Agent (MMA) para Windows o Linux

Extensión DSC (configuración de estado deseado) de PowerShell para Linux
Hybrid Runbook Worker de Automation
 Microsoft Update o Windows Server Update Services (WSUS) para equipos
Windows

Si usa Windows Update, deje habilitada la configuración automática de Windows

Update.

Procedimiento recomendado : Comprobación de que en la implementación las

imágenes creadas incluyen las actualizaciones de Windows más recientes.
Detalles : Busque e instale las actualizaciones de Windows como primer paso de
cada implementación. Es especialmente importante aplicar esta medida al
implementar imágenes que proceden de usted o de su propia biblioteca. Aunque
las imágenes de Azure Marketplace se actualizan automáticamente de forma
predeterminada, puede producirse un intervalo de tiempo (hasta unas cuantas
semanas) después de una versión pública.

Procedimiento recomendado : Volver a implementar periódicamente las máquinas

virtuales para forzar una nueva versión del sistema operativo.
Detalles : Defina la máquina virtual con una plantilla de Azure Resource
Manager para poder implementarla fácilmente. El uso de una plantilla le ofrece
una máquina virtual segura y revisada cuando la necesite.

Procedimiento recomendado : Aplique rápidamente las actualizaciones de

seguridad a las máquinas virtuales.
Detalles : Habilite Azure Security Center (nivel Gratis o Estándar) para
detectar si faltan actualizaciones de seguridad y aplicarlas.

Procedimiento recomendado : Instalación de las últimas actualizaciones de

seguridad.
Detalles : Algunas de las primeras cargas de trabajo que los clientes mueven a
Azure son laboratorios y sistemas orientados externamente. Si las máquinas
virtuales de Azure hospedan aplicaciones o servicios que deben estar accesibles
desde Internet, esté atento a la aplicación de revisiones. Aplique revisiones
no solo del sistema operativo. Las vulnerabilidades de aplicaciones de
asociados a las que no se han aplicado revisiones también pueden provocar
problemas que podrían haberse evitado si hubiera una buena administración de
revisiones vigente.

Procedimiento recomendado : Implementación y comprobación de una solución de

copia de seguridad.
Detalles : Una copia de seguridad se debe realizar de la misma manera que
cualquier otra operación. al menos en los sistemas que formen parte del entorno
de producción que se extiende a la nube.

Los sistemas de prueba y desarrollo deben seguir estrategias de copia de

seguridad que proporcionen funcionalidades de restauración que sean similares a
las que los usuarios están acostumbrado en función de su experiencia en
entornos locales. Las cargas de trabajo de producción movidas a Azure deben
integrarse con las soluciones de copia de seguridad existentes cuando sea
posible. O bien, puede usar Azure Backup para ayudarle a enfrentar los
requisitos de copia de seguridad.

Las organizaciones que no aplican directivas de actualización de software están

más expuestas a amenazas que aprovechan las vulnerabilidades conocidas,
previamente fijas. Para cumplir con las normativas del sector, las empresas
tienen que demostrar que son diligentes y que usan los controles adecuados para
mejorar la seguridad de sus cargas de trabajo ubicadas en la nube.

Los procedimientos recomendados de actualización de software para los centros

de datos tradicionales e IaaS de Azure tienen muchas similitudes. Recomendamos
evaluar las directivas de actualización de software actuales que se incluirán
en las máquinas virtuales ubicadas en Azure.

Administrar la posición de seguridad de la máquina

virtual
Las ciberamenazas están en evolución. Para proteger las máquinas virtuales hace
falta una funcionalidad de supervisión que pueda detectar rápidamente las
amenazas, evitar el acceso no autorizado a los recursos, desencadenar alertas y
reducir los falsos positivos.

Para supervisar la posición de seguridad de sus máquinas virtuales Windows y

Linux VMs, utilice Azure Security Center. En Security Center, proteja las
máquinas virtuales aprovechando las ventajas de las funcionalidades siguientes:

Aplicar la configuración de seguridad del sistema operativo con las reglas

de configuración recomendadas.
Identificar y descargar las actualizaciones críticas y de seguridad del
sistema que puedan faltar.
Implementar recomendaciones de protección antimalware del punto de conexión.
Validar el cifrado del disco.
Evaluar y corregir las vulnerabilidades.
Detectar amenazas.

Security Center puede supervisar activamente si hay posibles amenazas, que se

mostrarán en alertas de seguridad. Las amenazas correlacionadas se agregan en
una única vista denominada incidente de seguridad.

Security Center almacena datos en loa registros de Azure Monitor. Los registros
de Azure Monitor proporcionan un lenguaje de consulta y un motor de análisis
que ofrece información sobre el funcionamiento de las aplicaciones y los
recursos. Los datos también se recopilan de Azure Monitor, de las soluciones de
administración y de los agentes instalados en máquinas virtuales locales en la
nube o en el entorno local. Esta funcionalidad compartida le ayuda a formarse
una imagen completa de su entorno.

Las organizaciones que no aplican una seguridad sólida a sus máquinas virtuales
no están informadas de posibles intentos de eludir los controles de seguridad
llevados a cabo por usuarios no autorizados.

Supervisar el rendimiento de la máquina virtual

El abuso de los recursos puede ser un problema cuando los procesos de las
máquinas virtuales consumen más recursos de los que deberían. Los problemas de
rendimiento con una máquina virtual pueden provocar la interrupción del
servicio, lo que infringe el principio de seguridad de disponibilidad. Esto es
especialmente importante en el caso de las máquinas virtuales que hospedan IIS
u otros servidores web, ya que el uso elevado de la CPU o la memoria podría
indicar un ataque de denegación de servicio (DoS). Por esta razón, resulta
imprescindible supervisar el acceso a las máquinas virtuales no solo de forma
reactiva (aunque haya un problema), sino también de forma preventiva, usando
como base de referencia un rendimiento medido durante el funcionamiento normal.

Se recomienda el uso de Azure Monitor para obtener una mayor visibilidad del
estado de los recursos. Características de Azure Monitor:

Archivos de registro de diagnóstico del recurso: supervisa los recursos de

la máquina virtual e identifica posibles problemas que podrían poner en
peligro la disponibilidad y rendimiento.
Extensión de Azure Diagnostics: proporciona funcionalidades de supervisión y
diagnóstico en máquinas virtuales Windows. Para habilitar estas
funcionalidades, incluya la extensión como parte de la plantilla de Azure
Resource Manager.

Las organizaciones que no supervisan el rendimiento de la máquina virtual no

pueden determinar si ciertos cambios en los patrones de rendimiento son
normales o anómalos. Una máquina virtual que consume más recursos de lo
habitual podría indicar un ataque procedente de un recurso externo o un proceso
en peligro que se está ejecutando en la máquina virtual.

Cifrado de los archivos de disco duro virtual

Se recomienda cifrar los discos duros virtuales (VHD) para ayudar a proteger el
volumen de arranque y los volúmenes de datos en reposo en el almacenamiento,
junto con las claves de cifrado y los secretos.

Azure Disk Encryption le ayuda a cifrar discos de las máquinas virtuales IaaS
con Windows y Linux. Azure Disk Encryption usa la característica BitLocker
estándar del sector de Windows y la característica DM-Crypt de Linux para
ofrecer cifrado de volumen para el sistema operativo y los discos de datos. La
solución se integra con Azure Key Vault para ayudarle a controlar y administrar
los secretos y las claves de cifrado de discos en su suscripción de Key Vault.
La solución también garantiza que todos los datos de los discos de máquinas
virtuales se cifran en reposo en Azure Storage.

Estos son algunos procedimientos recomendados para usar Azure Disk Encryption:

Procedimiento recomendado : Habilitar cifrado en las máquinas virtuales.

Detalles : Azure Disk Encryption genera y escribe las claves de cifrado en el
almacén de claves. La administración de claves de cifrado en el almacén de
claves necesita la autenticación de Azure AD. Para ello, cree una aplicación de
Azure AD. Para realizar la autenticación, se pueden usar la autenticación
basada en secreto de cliente o la autenticación de Azure AD basada en
certificado del cliente.

Procedimiento recomendado : Uso de una clave de cifrado de claves (KEK) para

una brindar una capa adicional de seguridad para las claves de cifrado. Agregue
una KEK al almacén de claves.
Detalles : Use el cmdlet Add-AzKeyVaultKey para crear una clave de cifrado de
claves en el almacén de claves. También puede importar una KEK en el módulo de
seguridad de hardware (HSM) de administración de claves local. Para más
información, consulte la documentación de Key Vault. Cuando se especifica una
clave de cifrado de claves, Azure Disk Encryption usa esa clave para encapsular
los secretos de cifrado antes de escribirlos en Key Vault. El mantenimiento de
una copia de custodia de esta clave en un HSM de administración de claves local
ofrece una protección adicional contra la eliminación accidental de claves.

Procedimiento recomendado : Tomar una instantánea o realizar una copia de

seguridad antes de cifrar los discos. Las copias de seguridad proporcionan una
opción de recuperación si se produce un error inesperado durante el cifrado.
Detalles : Las máquinas virtuales con discos administrados requieren una copia
de seguridad antes del cifrado. Después de hacer la copia de seguridad, puede
usar el cmdlet Set-AzVMDiskEncryptionExtension para cifrar los discos
administrados mediante la especificación del parámetro -skipVmBackup. Para más
información sobre cómo realizar la copia de seguridad y restauración de
máquinas virtuales cifradas, consulte el artículo sobre Azure Backup.

Procedimiento recomendado : Para garantizar que los secretos de cifrado no

traspasen los límites regionales, Azure Disk Encryption necesita que Key Vault
y las máquinas virtuales estén ubicadas en la misma región.
Detalles : Cree y use una instancia de Key Vault que se encuentre en la misma
región que la máquina virtual que se va a cifrar.

Cuando se aplica Azure Disk Encryption, puede atender las siguientes

necesidades empresariales:

Las máquinas virtuales IaaS se protegen en reposo a través de la tecnología

de cifrado estándar del sector para cumplir los requisitos de seguridad y
cumplimiento de la organización.
Las máquinas virtuales IaaS se inician bajo directivas y claves controladas
por el cliente, y puede auditar su uso en el almacén de claves.

Restringir la conectividad directa a Internet

Supervise y restrinja la conectividad directa a Internet de las máquinas
virtuales. Los atacantes analizan constantemente los intervalos de IP de la
nube pública en busca de puertos de administración abiertos e intentan realizar
ataques "sencillos", como contraseñas comunes y vulnerabilidades conocidas sin
revisiones. En esta tabla se enumeran los procedimientos recomendados para que
sea más fácil protegerse frente a estos ataques:

Procedimiento recomendado : Evitar la exposición accidental a la seguridad y

el enrutamiento de redes.
Detalles : Use RBAC para asegurarse de que solo el grupo de redes central tiene
permiso para los recursos de red.

Procedimiento recomendado : Identificar y corregir las máquinas virtuales

expuestas que permiten el acceso desde "cualquier" dirección IP de origen.
Detalles : Use Azure Security Center. Security Center le recomendará que
restrinja el acceso a través de puntos de conexión accesibles desde Internet si
alguno de los grupos de seguridad de red tiene una o varias reglas de entrada
que permiten el acceso desde “cualquier” dirección IP de origen. Security
Center recomienda editar estas reglas de entrada para restringir el acceso a
las direcciones IP de origen que realmente necesiten el acceso.

Procedimiento recomendado : Restringir los puertos de administración (RDP,

SSH).
Detalles : Puede usar el acceso a VM Just-In-Time para bloquear el tráfico
entrante a las máquinas virtuales de Azure. Para ello, se reduce la exposición
a ataques y se proporciona un acceso sencillo para conectarse a las máquinas
virtuales cuando sea necesario. Cuando el acceso a Just-In-Time está
habilitado, Security Center bloquea el tráfico entrante a las máquinas
virtuales de Azure mediante la creación de una regla de grupo de seguridad de
red. Se deben seleccionar los puertos de la máquina virtual para la que se
bloqueará el tráfico entrante. Estos puertos los controla la solución Just-In-
Time.

Pasos siguientes
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad

de Azure y los servicios de Microsoft relacionados:

Blog del equipo de seguridad de Azure: ofrece información actualizada sobre

lo último en seguridad de Azure
Microsoft Security Response Center: aquí podrá notificar vulnerabilidades de
seguridad de Microsoft, incluidos problemas con Azure, o también mediante
correo electrónico a secure@[Link].
 Recomendaciones de seguridad para
imágenes de Azure Marketplace
23/03/2020 • 7 minutes to read • Edit Online

La imagen debe cumplir estas recomendaciones de configuración de seguridad.

Esto le ayuda a mantener un alto nivel de seguridad para las imágenes de la
solución del asociado de Azure Marketplace.

Ejecute siempre una detección de vulnerabilidades de seguridad en la imagen

antes de enviarla. Si detecta una vulnerabilidad de seguridad en su propia
imagen publicada, debe informar a los clientes de forma oportuna de la
vulnerabilidad y de cómo corregirlo.

Abrir imágenes basadas en origen

Categoría Comprobación

Seguridad Instalar todas las revisiones de seguridad más

recientes de la distribución de Linux.

Seguridad Seguir las directrices del sector para proteger

la imagen de la máquina virtual para la
distribución de Linux específica.

Seguridad Limitar la superficie expuesta a ataques al

mantener una superficie mínima con los roles,
las características, los servicios y los
puertos de red de Windows Server necesarios.

Seguridad Examinar el código fuente y la imagen de

máquina virtual resultante en busca de malware.

Seguridad La imagen de disco duro virtual solo incluye

las cuentas bloqueadas necesarias, que no
tienen las contraseñas predeterminadas que
permitirían un inicio de sesión interactivo; no
hay puertas traseras.

Seguridad Deshabilitar las reglas de firewall, a menos

que la aplicación se base funcionalmente en
ellas, como un dispositivo de firewall.

Seguridad Quitar toda la información confidencial de la

imagen de disco duro virtual, como las claves
SSH de prueba, los archivo de hosts conocidos,
los archivos de registro y los certificados
innecesarios.

Seguridad Evitar usar LVM.

Seguridad Incluir las versiones más recientes de las
bibliotecas necesarias:
- OpenSSL v1.0 o posterior.
- Python 2.5 o posterior (se recomienda Python
2.6+).
- Paquete pyans1 de Python, si no está ya
instalado.
- [Link] v 1.0 o posterior.

Seguridad Borrar las entradas del historial de

Bash/Shell.

Redes Incluir el servidor SSH de forma

predeterminada. Establezca la conexión
persistente de SSH en la configuración sshd con
la siguiente opción: ClientAliveInterval 180.

Redes Quitar cualquier configuración de red

personalizada de la imagen. Elimine
[Link]: rm /etc/[Link] .

Implementación Instalar la versión más reciente del agente

Linux de Azure.
-Instalar con el paquete RPM o Deb.
- También puede usar el proceso de instalación
manual, pero se recomienda y se prefiere que se
usen los paquetes del instalador.
- Si instala el agente manualmente desde el
repositorio de GitHub, copie primero el archivo
waagent en /usr/sbin y ejecute (como raíz):
# chmod 755 /usr/sbin/waagent
# /usr/sbin/waagent -install
El archivo de configuración del agente se
coloca en /etc/[Link] .

Implementación Garantizar que el soporte técnico de Azure

puede proporcionar a nuestros asociados la
salida de la consola de serie cuando sea
necesario y proporcionar el tiempo de espera
adecuado para el montaje del disco del sistema
operativo desde el almacenamiento en la nube.
Agregue los parámetros siguientes a la línea de
arranque de kernel de la imagen:
console=ttyS0 earlyprintk=ttyS0 rootdelay=300 .

Implementación No hay ninguna partición de intercambio en el

disco del SO. El agente de Linux puede
solicitar el intercambio para la creación en el
disco del recurso local.

Implementación Crear una sola partición raíz para el disco de

SO.

Implementación Solo el sistema operativo de 64 bits.

Imágenes basadas en Windows Server

 Categoría Comprobación

Seguridad Usar una imagen base de sistema operativo

segura. El disco duro virtual que se usa para
el origen de cualquier imagen basada en Windows
Server debe pertenecer a las imágenes del
sistema operativo de Windows Server que se
proporcionan a través de Microsoft Azure.

Seguridad Instalar todas las actualizaciones de

seguridad.

Seguridad Las aplicaciones no deben depender de nombres

de usuario con permisos restringidos, como
administrador o raíz.

Seguridad Habilitar el cifrado de unidad BitLocker tanto

para las unidades de disco duro del sistema
operativo como para las unidades de disco duro
de datos.

Seguridad Limitar la superficie expuesta a ataques al

mantener una superficie mínima habilitando solo
los roles, las características, los servicios y
los puertos de red de Windows Server
necesarios.

Seguridad Examinar el código fuente y la imagen de

máquina virtual resultante en busca de malware.

Seguridad Establecer la actualización de seguridad de las

imágenes de Windows Server para que se
actualicen automáticamente.

Seguridad La imagen de disco duro virtual solo incluye

las cuentas bloqueadas necesarias, que no
tienen las contraseñas predeterminadas que
permitirían un inicio de sesión interactivo; no
hay puertas traseras.

Seguridad Deshabilitar las reglas de firewall, a menos

que la aplicación se base funcionalmente en
ellas, como un dispositivo de firewall.

Seguridad Quitar toda la información confidencial de la

imagen de disco duro virtual, incluidos los
archivos de hosts, los archivos de registro y
los certificados innecesarios.

Implementación Solo el sistema operativo de 64 bits.

Incluso si su organización no tiene imágenes en Azure Marketplace, considere la

posibilidad de comprobar las configuraciones de imagen de Windows y Linux con
estas recomendaciones.

Ponerse en contacto con los clientes

 Para identificar a los clientes y sus mensajes de correo electrónico de
contacto:

1. En Cloud Partner Portal, en el raíl izquierdo, seleccione Insights .

2. En la pestaña Pedidos y uso , use los campos Fecha de inicio y Fecha de
finalización para consultar el uso dentro del intervalo de fechas requerido.
Esto muestra las suscripciones de Azure que se usaron para la oferta cada
día. Exporte estos datos.
3. Del mismo modo, en la pestaña Cliente , consulte y exporte la base de
clientes.
4. Haga coincidir el identificador de suscripción del paso 2 al identificador de
suscripción del paso 3 para encontrar la información necesaria del cliente.
 Información general del cifrado de
Azure
23/03/2020 • 25 minutes to read • Edit Online

Este artículo proporciona información general sobre cómo se usa el cifrado en

Microsoft Azure. Trata las áreas principales de cifrado, incluidos el cifrado
en reposo, el cifrado en paquetes piloto y la administración de claves con
Azure Key Vault. Cada sección incluye vínculos para obtener información más
detallada.

Cifrado de datos en reposo

Los datos en reposo incluyen información que se encuentra en el almacenamiento
persistente en un medio físico, en cualquier formato digital. El medio puede
incluir archivos de medios ópticos o magnéticos, datos archivados y copias de
seguridad de datos. Microsoft Azure ofrece una variedad de soluciones de
almacenamiento de datos para satisfacer diferentes necesidades, incluidos el
almacenamiento de tablas, blobs y archivos, así como el almacenamiento en
disco. Microsoft también proporciona cifrado para proteger Azure SQL Database,
Azure Cosmos DB y Azure Data Lake.

El cifrado de datos en reposo está disponible para los servicios a través de

los modelos en la nube de software como servicio (SaaS), plataforma como
servicio (PaaS) e infraestructura como servicio (IaaS). En este artículo se
resumen las opciones de cifrado de Azure y se proporcionan recursos para
ayudarle a usarlas.

Para más información detallada sobre cómo se cifran los datos en reposo en
Azure, vea Cifrado en reposo de datos de Azure.

Modelos de cifrado de Azure

Azure admite distintos modelos de cifrado, incluido el cifrado de servidor que
usa claves administradas por el servicio, claves administradas por el cliente
en Key Vault o las claves administradas por el cliente en el hardware
controlado por el cliente. Con el cifrado de cliente, puede administrar y
almacenar claves de forma local o en otra ubicación segura.

Cifrado de cliente
El cifrado de cliente se realiza fuera de Azure. Incluye:

Datos cifrados por una aplicación que se está ejecutando en el centro de

datos del cliente o por una aplicación de servicio.
Datos que ya están cifrados cuando Azure los recibe.

Con el cifrado de cliente, los proveedores de servicios en la nube no tienen

acceso a las claves de cifrado y no pueden descifrar estos datos. Mantenga un
control completo de las claves.

Cifrado del servidor

Los tres modelos de cifrado del servidor ofrecen características de
administración de claves diferentes, que se pueden elegir según sus requisitos:

Claves administradas del servicio : proporcionan una combinación de

control y comodidad con una sobrecarga reducida.

Claves administradas del cliente : le permiten controlar las claves,

incluyendo la con compatibilidad con Bring Your Own Keys (BYOK), o generar
claves nuevas.

Claves administradas del servicio en el hardware que controla el

cliente : le permiten administrar las claves en el repositorio de su
propiedad, fuera del control de Microsoft. Esta característica se denomina
Host Your Own Key (HYOK). Sin embargo, la configuración es compleja y la
mayoría de los servicios de Azure no son compatibles con este modelo.

Azure Disk Encryption

Para proteger las máquinas virtuales Windows y Linux, puede usar Azure Disk
Encryption, que usa la tecnología de BitLocker de Windows y DM-Crypt de Linux
para proteger los discos del sistema operativo y los discos de datos con el
cifrado de volumen completo.

Las claves de cifrado y secretos se protegen en la suscripción a Azure Key

Vault. El servicio Azure Backup permite hacer copias de seguridad y
restauraciones de máquinas virtuales (VM) cifradas que usan la configuración de
clave de cifrado de claves (KEK).

Cifrado del servicio Azure Storage

Los datos en reposo de Azure Blob Storage y los recursos compartidos de
archivos de Azure se pueden cifrar en escenarios de cliente y servidor.

Azure Storage Service Encryption (SSE) puede cifrar automáticamente los datos
antes de que se almacenen y los descifra automáticamente cuando los recupera.
Se trata de un proceso totalmente transparente para el usuario. Storage Service
Encryption usa un Estándar de cifrado avanzado (AES) de 256 bits, que es uno de
los cifrados en bloque más seguros que existen. AES controla el cifrado,
descifrado y administración de claves de un modo transparente.

Cifrado de cliente de blobs de Azure

Puede realizar el cifrado de cliente de blobs de Azure de varias maneras.

Puede usar la biblioteca cliente de Azure Storage para el paquete NuGet de .NET
para cifrar los datos dentro de las aplicaciones cliente antes de cargarlos en
Azure Storage.

Para obtener más información acerca de la biblioteca cliente de Azure Storage

para el paquete NuGet. de NET y descargarla, vea Microsoft Azure Storage 8.3.0.

Cuando se usa el cifrado de cliente con Key Vault, los datos se cifran con una
clave de cifrado de contenido (CEK) simétrica única generada por el SDK de
cliente de Azure Storage. La CEK se cifra mediante una clave de cifrado de
claves (KEK), que puede ser una clave simétrica o un par de claves asimétricas.
Puede administrarla de forma local o almacenarla en Key Vault. A continuación,
se cargan los datos cifrados en Azure Storage.

Para obtener más información acerca del cifrado del lado cliente con Key Vault
e iniciar las instrucciones sobre los procedimientos, consulte Tutorial:
cifrado y descifrado de blobs en Azure Storage mediante Key Vault.
Por último, también puede usar la biblioteca cliente de Azure Storage para Java
para realizar el cifrado de cliente antes de cargar datos en Azure Storage y
descifrar los datos cuando se descargan en el cliente. Esta biblioteca también
admite la integración con Key Vault para la administración de las claves de la
cuenta de almacenamiento.

Cifrado de datos en reposo con Azure SQL Database

Azure SQL Database es un servicio de base de datos relacional de uso general de
Azure que admite estructuras como datos relacionales, JSON, espacial y XML. SQL
Database admite el cifrado de servidor a través de la característica Cifrado de
datos transparente (TDE) y el cifrado de cliente a través de la característica
Always Encrypted.

Cifrado de datos transparente

TDE se utiliza para cifrar archivos de datos de SQL Server, Azure SQL Database
y Azure SQL Data Warehouse en tiempo real, con una clave de cifrado de base de
datos (DEK) que se almacena en el registro de arranque de base de datos para la
disponibilidad durante la recuperación.

TDE protege los archivos de registro y los datos con los algoritmos de cifrado
de AES y el estándar de cifrado de datos triple (3DES). El cifrado del archivo
de base de datos se realiza en el nivel de página. Las páginas en una base de
datos cifrada se cifran antes de que se escriban en disco y se descifran cuando
se leen en la memoria. TDE ahora está habilitado de forma predeterminada en las
bases de datos de Azure SQL recién creadas.

Característica Always Encrypted

Con la característica Always Encrypted de Azure SQL, puede cifrar los datos
dentro de aplicaciones de cliente antes de almacenarlos en Azure SQL Database.
También puede habilitar la delegación de la administración de la base de datos
local a terceros y mantener la separación entre aquellos que poseen y pueden
ver los datos y aquellos que los administran, pero no deben tener acceso a
ellos.

Cifrado de nivel de celda o columna

Con Azure SQL Database, puede aplicar el cifrado simétrico a una columna de
datos mediante Transact-SQL. Este enfoque se denomina cifrado de nivel de
columna o cifrado de nivel de celda (CLE), ya que se puede utilizar para cifrar
las columnas concretas o incluso determinadas celdas de datos con distintas
claves de cifrado. Esto proporciona una capacidad de cifrado más granular que
TDE, que cifra los datos en páginas.

CLE tiene funciones integradas que puede usar para cifrar datos con claves
simétricas o asimétricas, la clave pública de un certificado o una frase de
contraseña con 3DES.

Cifrado de base de datos Cosmos DB

Azure Cosmos DB es la base de datos multimodelo de distribución global de
Microsoft. Los datos de usuario almacenados en Cosmos DB en un almacenamiento
no volátil (unidades de estado sólido) se cifran de forma predeterminada. No
hay ningún control para activarlo o desactivarlo. El cifrado en reposo se
implementa mediante una serie de tecnologías de seguridad, como sistemas
seguros de almacenamiento de claves, redes cifradas y API criptográficas.
Microsoft administra las claves de cifrado y se alternan según las directivas
internas de Microsoft.
Cifrado en reposo en Data Lake
Azure Data Lake es un repositorio para toda la empresa de todos los tipos de
datos recopilados en un único lugar antes de cualquier definición formal de
requisitos o esquema. Data Lake Store admite el cifrado transparente "de forma
predeterminada" de los datos en reposo, que se configura durante la creación de
la cuenta. De forma predeterminada, Azure Data Lake Store administra las claves
en su nombre, pero tiene la opción de administrarlas usted mismo.

Se utilizan tres tipos de claves en el cifrado y descifrado de datos: la clave

de cifrado maestra (MEK), la clave de cifrado de datos (DEK) y la clave de
cifrado de bloque (BEK). La MEK se utiliza para cifrar la DEK, que se almacena
en medios persistentes, y la BEK se deriva de la DEK y el bloque de datos. Si
está administrando sus propias claves, puede alternar la MEK.

Cifrado de datos en tránsito

Azure ofrece varios mecanismos para mantener la privacidad de los datos cuando
se mueven de una ubicación a otra.

Cifrado TLS/SSL en Azure

Microsoft usa el protocolo Seguridad de la capa de transporte (TLS) para
proteger los datos cuando se transmiten entre los servicios en la nube y los
clientes. Los centros de datos de Microsoft negocian una conexión TLS con
sistemas cliente que se conectan a servicios de Azure. TLS proporciona una
autenticación sólida, privacidad de mensajes e integridad (lo que permite la
detección de la manipulación, interceptación y falsificación de mensajes),
interoperabilidad, flexibilidad de algoritmo, y facilidad de implementación y
uso.

Confidencialidad directa total (PFS) protege las conexiones entre los sistemas
cliente de los clientes y los servicios en la nube de Microsoft mediante claves
únicas. Las conexiones también usan longitudes de clave de cifrado RSA de 2048
bits. Esta combinación hace difícil para un usuario interceptar y acceder a
datos que están en tránsito.

Transacciones de Azure Storage

Si interactúa con Azure Storage a través de Azure Portal, todas las
transacciones se realizan a través de HTTPS. También se puede usar la API de
REST de Storage a través de HTTPS para interactuar con Azure Storage. Puede
exigir el uso de HTTPS al llamar a las API de REST para acceder a objetos de
cuentas de almacenamiento mediante la habilitación de la transferencia segura
para la cuenta de almacenamiento.

Las firmas de acceso compartido (SAS), que pueden utilizarse para delegar el
acceso a objetos de Azure Storage, incluyen una opción para especificar que se
pueda utilizar solo el protocolo HTTPS cuando se usen las firmas de acceso
compartido. Este enfoque garantiza que cualquier usuario que envíe vínculos con
tokens SAS use el protocolo adecuado.

SMB 3.0, que solía acceder a recursos compartidos de Azure Files, admite
cifrado y está disponible en Windows Server 2012 R2, Windows 8, Windows 8.1 y
Windows 10. Permite el acceso entre regiones e incluso el acceso en el
escritorio.

El cifrado de cliente cifra los datos antes de enviarlos a la instancia de

Azure Storage, por lo que se cifra a medida que pasa por la red.

Cifrado de SMB a través de redes virtuales de Azure

Si usa SMB 3.0 en VM que ejecutan Windows Server 2012 o posterior, puede
proteger las transferencias de datos mediante el cifrado de datos en tránsito a
través de redes virtuales de Azure. Al cifrar los datos, contribuye a
protegerlos de manipulaciones y ataques de interceptación. Los administradores
pueden habilitar el cifrado SMB para todo el servidor o, simplemente, algunos
recursos compartidos.

De forma predeterminada, una vez que se activa el cifrado SMB para un recurso
compartido o el servidor, solo se permite que los clientes SMB 3.0 tengan
acceso a los recursos compartidos cifrados.

Cifrado en tránsito en VM
Los datos en tránsito de destino, de origen y entre VM que ejecutan Windows se
cifran de diversas formas, según la naturaleza de la conexión.

Sesiones RDP
Puede conectarse e iniciar sesión en una VM mediante el Protocolo de escritorio
remoto (RDP) desde un equipo cliente de Windows o desde un equipo Mac con un
cliente RDP instalado. Los datos en tránsito a través de la red en las sesiones
RDP se pueden proteger mediante TLS.

Puede usar el escritorio remoto para conectarse a una VM Linux en Azure.

Acceso seguro a las VM de Linux con SSH

Para la administración remota, puede usar Secure Shell (SSH) para conectarse a
VM Linux que se ejecutan en Azure. SSH es un protocolo de conexión cifrada que
permite inicios de sesión seguros a través de conexiones no seguras. Es el
protocolo de conexión predeterminado de las máquinas virtuales Linux hospedadas
en Azure. Mediante el uso de claves de SSH para la autenticación, se elimina la
necesidad de contraseñas para iniciar sesión. SSH utiliza un par de claves
públicas/privadas (cifrado simétrico) para la autenticación.

Cifrado de VPN de Azure

Puede conectarse a Azure a través de una red privada virtual que crea un túnel
seguro para proteger la privacidad de los datos enviados a través de la red.

Puertas de enlace de VPN de Azure

Puede usar una puerta de enlace VPN de Azure para enviar tráfico cifrado entre
la red virtual y la ubicación local a través de una conexión pública o para
enviar tráfico entre redes virtuales.

Las VPN de sitio a sitio usan IPsec para el cifrado de transporte. Azure VPN
Gateway utiliza un conjunto de propuestas predeterminadas. Puede configurar
Azure VPN Gateway para usar una directiva IPsec/IKE personalizada con
determinados algoritmos criptográficos y ventajas claves, en lugar de conjuntos
de directivas predeterminadas de Azure.

VPN de punto a sitio

Las VPN de punto a sitio permiten a los equipos cliente individuales acceder a
una instancia de Azure Virtual Network. El protocolo de túnel de sockets de
seguros (SSTP) se utiliza para crear el túnel VPN. Puede atravesar firewalls
(el túnel aparece como conexión HTTPS). Puede usar su propia entidad de
certificación (CA) de raíz de infraestructura de clave pública (PKI) interna
para la conectividad de punto a sitio.

Puede configurar una conexión de VPN de punto a sitio a una red virtual con
Azure Portal con autenticación de certificados o PowerShell.

Para obtener más información acerca de las conexiones VPN de punto a sitio para
redes virtuales de Azure, vea:

Configuración de una conexión de punto a sitio a una red virtual mediante la

autenticación de certificación: Azure Portal

Configuración de una conexión de punto a sitio a una red virtual mediante la

autenticación de certificado: PowerShell

VPN de sitio a sitio

Puede usar una conexión de puerta de enlace VPN de sitio a sitio para conectar
su red local a una red virtual de Azure a través de un túnel VPN de IPsec/IKE
(IKEv1 o IKEv2). Este tipo de conexión requiere un dispositivo VPN local que
tenga una dirección IP pública asignada.

Puede configurar una conexión de VPN de sitio a sitio a una red virtual
mediante Azure Portal, PowerShell o CLI de Azure.

Para más información, consulte:

Creación de una conexión de sitio a sitio mediante Azure Portal

Creación de una conexión de sitio a sitio en PowerShell

Creación de una red virtual con una conexión VPN de sitio a sitio mediante la
CLI

Cifrado en tránsito en Data Lake

Los datos en tránsito (también conocidos como datos en movimiento) también se
cifran siempre en Data Lake Store. Además de que los datos se cifran antes de
almacenarse en un medio persistente, también se protegen cuando están en
tránsito mediante HTTPS. HTTPS es el único protocolo admitido para las
interfaces de REST de Data Lake Store.

Para más información acerca del cifrado de datos en tránsito en Data Lake, vea
Cifrado de datos en Data Lake Store.

Administración de claves con Key Vault

Sin la protección y administración adecuadas de las claves, el cifrado queda
inutilizable. Key Vault es la solución recomendada de Microsoft para
administrar y controlar el acceso a las claves de cifrado utilizadas por los
servicios en la nube. Los permisos para acceder a las claves se pueden asignar
a servicios o a usuarios a través de cuentas de Azure Active Directory.

Key Vault libera a las empresas de la necesidad de configurar, aplicar

revisiones y mantener los módulos de seguridad de hardware (HSM) y el software
de administración de claves. Cuando utiliza Key Vault, tiene el control.
Microsoft nunca ve las claves y las aplicaciones no tienen acceso directo a
ellas. También puede importar o generar claves en HSM.

Pasos siguientes
Información general de seguridad de Azure
Azure Network Security Overview (Información general sobre Azure Network
Security)
Introducción a la seguridad de base de datos de Azure
Información general de seguridad de Azure Virtual Machines
Cifrado de datos en reposo
Procedimientos recomendados de seguridad de datos y cifrado
 Procedimientos recomendados de cifrado
y seguridad de datos en Azure
23/03/2020 • 20 minutes to read • Edit Online

En este artículo se describen los procedimientos recomendados para el cifrado y

la seguridad de datos.

Los procedimientos recomendados se basan en un consenso de opinión y son

válidos para las funcionalidades y conjuntos de características actuales de la
plataforma Azure. Como las opiniones y las tecnologías cambian con el tiempo,
este artículo se actualiza de forma periódica para reflejar dichos cambios.

Protección de datos
Para contribuir a proteger los datos en la nube, debe tener en cuenta los
posibles estados que pueden tener los datos y los controles disponibles para
ese estado. Los procedimientos recomendados para el cifrado y seguridad de
datos de Azure están relacionados con los siguientes estados de datos:

En reposo: incluye toda la información acerca de los objetos de

almacenamiento, contenedores y tipos que existen de forma estática en los
soportes físicos, ya sean discos magnéticos u ópticos.
En tránsito: cuando se transfieren datos entre componentes, ubicaciones o
programas, están en tránsito. Algunos ejemplos son la transferencia a través
de la red, a través de un bus de servicio (del entorno local a la nube y
viceversa, incluidas las conexiones híbridas como ExpressRoute), o durante el
proceso de entrada/salida.

Elegir una solución de administración de claves

Proteger las claves es esencial para proteger los datos en la nube.

Azure Key Vault ayuda a proteger las claves criptográficas y los secretos que
usan los servicios y aplicaciones en la nube. Key Vault agiliza el proceso de
administración de claves y le permite mantener el control de claves que
obtienen acceso a sus datos y los cifran. Los desarrolladores pueden crear
claves para desarrollo y prueba en minutos y, a continuación, migrarlas a
claves de producción. Los administradores de seguridad pueden conceder (y
revocar) permisos a las claves según sea necesario.

Puedes usar Key Vault para crear múltiples contenedores seguros denominados
almacenes. Estos almacenes están respaldados por HSM. Los almacenes ayudan a
reducir las posibilidades de que se produzca una pérdida accidental de
información de seguridad centralizando el almacenamiento de los secretos de
aplicación. Los almacenes de claves también permiten controlar y registrar el
acceso a todo lo que está almacenado en ellos. Azure Key Vault puede
administrar la solicitud y renovación de certificados de Seguridad de la capa
de transporte (TLS). Proporciona características para una solución sólida para
la administración del ciclo de vida de certificados.

Azure Key Vault está diseñado para admitir secretos y claves de aplicación. Key
Vault no está pensado para usarse como almacén para las contraseñas de usuario.

A continuación se indican los procedimientos recomendados de seguridad para el

uso de Key Vault.

Procedimiento recomendado : conceda acceso a usuarios, grupos y aplicaciones

en un ámbito concreto.
Detalles : use los roles predefinidos de RBAC. Por ejemplo, para conceder
acceso a un usuario para administrar los almacenes de claves, se asignaría el
rol predefinido Colaborador de Key Vault a este usuario en un ámbito
específico. En este caso, el ámbito caso sería una suscripción, un grupo de
recursos o, simplemente, un almacén de claves específico. Si los roles
predefinidos no se ajustan a sus necesidades, puede definir sus propios roles.

Procedimiento recomendado : controle a qué tienen acceso los usuarios.

Detalles : El acceso a un almacén de claves se controla a través de dos
interfaces diferentes: plano de administración y plano de datos. Los controles
de acceso del plano de administración y del plano de datos funcionan de forma
independiente.

Use RBAC para controlar a qué tienen acceso los usuarios. Por ejemplo, si desea
conceder a una aplicación acceso para usar las claves de un almacén de claves,
solo necesita conceder permisos de acceso al plano de datos mediante directivas
de acceso de Key Vault y no se necesita acceso a ningún plano de administración
para esta aplicación. Por el contrario, si desea que un usuario pueda leer las
propiedades y etiquetas del almacén, pero no tenga acceso a las claves, los
secretos o los certificados, puede concederle acceso de lectura mediante RBAC y
no se requiere acceso al plano de datos.

Procedimiento recomendado : almacene los certificados en el almacén de

claves. Los certificados son de gran valor. En las manos equivocadas, la
seguridad de los datos o la aplicación puede estar en peligro.
Detalles : Azure Resource Manager puede implementar de manera segura los
certificados almacenados en Azure Key Vault para las máquinas virtuales de
Azure cuando estas se implementan. Al establecer directivas de acceso adecuadas
para el almacén de claves, también controla quién obtiene acceso al
certificado. Otra ventaja es que administra todos los certificados desde el
mismo sitio en Azure Key Vault. Consulte Deploy Certificates to VMs from
customer-managed Key Vault (Implementar certificados en VM desde una instancia
de Key Vault administrada por el usuario) para obtener más información.

Procedimiento recomendado : asegúrese de que puede recuperar almacenes de

claves u objetos de almacén de claves si se eliminan.
Detalles : la eliminación de almacenes de claves u objetos de almacén de claves
puede ser involuntaria o malintencionada. Habilite las características de
protección de purga y eliminación temporal de Key Vault, especialmente para las
claves que se usan para cifrar datos en reposo. La eliminación de estas claves
es equivalente a la pérdida de datos, así que, si es necesario, puede recuperar
almacenes eliminados y objetos de almacén. Practique las operaciones de
recuperación de Key Vault de forma periódica.
 NOTE
Si un usuario tiene permisos de colaborador (RBAC) en un plano de administración de Key Vault,
se puede conceder a sí mismo acceso al plano de datos estableciendo la directiva de acceso al
almacén de claves. Se recomienda controlar de forma estricta quién tiene acceso de colaborador
a los almacenes de claves, con el fin de garantizar que las personas autorizadas son las únicas
que pueden acceder a los almacenes de claves, las claves, los secretos y los certificados, y
administrarlos.

Administración con estaciones de trabajo seguras

NOTE
El administrador o propietario de la suscripción debe usar una estación de trabajo de acceso
seguro o una estación de trabajo con privilegios de acceso.

Puesto que la mayoría de los ataques van destinados al usuario final, el punto
de conexión se convierte en uno de los principales puntos de ataque. Un
atacante que ponga en peligro el punto de conexión puede aprovechar las
credenciales del usuario para acceder a los datos de la organización. La
mayoría de los ataques a los puntos de conexión aprovechan el hecho de que los
usuarios finales son administradores en sus estaciones de trabajo locales.

Procedimiento recomendado : use una estación de trabajo de administración

segura para proteger los datos, las tareas y las cuentas confidenciales.
Detalles : use una estación de trabajo con privilegios para reducir la
superficie expuesta a ataques de las estaciones de trabajo. Estas estaciones de
trabajo de administración seguras pueden ayudar a mitigar algunos de estos
ataques y a garantizar la mayor seguridad de sus datos.

Procedimiento recomendado : asegúrese de que los puntos de conexión están

protegidos.
Detalles : aplique directivas de seguridad en todos los dispositivos que se
usen para consumir datos, independientemente de la ubicación de dichos datos
(nube o entorno local).

Protección de los datos en reposo

El cifrado de los datos en reposo es un paso obligatorio en lo que respecta a
la privacidad de los datos, el cumplimiento y la soberanía de los datos.

Procedimiento recomendado : cifre los discos para proteger los datos.

Detalles : use Azure Disk Encryption. Permite que los administradores de TI
cifren discos de VM IaaS Windows y Linux. Disk Encryption combina la
característica BitLocker de Windows estándar del sector y la característica dm-
crypt de Linux para ofrecer el cifrado de volumen para el sistema operativo y
los discos de datos.

Azure Storage y Azure SQL Database cifran los datos en reposo de forma
predeterminada y muchos servicios ofrecen el cifrado como opción. Puede usar
Azure Key Vault para mantener el control de las claves que se usan para acceder
a los datos y cifrarlos. Consulte Compatibilidad con modelo de cifrado de
proveedores de recursos de Azure para obtener más información.
Procedimientos recomendados : use el cifrado para mitigar los riesgos
relacionados con el acceso no autorizado a los datos.
Detalles : cifre las unidades antes de escribir información confidencial en
ellas.

Las organizaciones que no aplican el cifrado de datos están más expuestas a

problemas de confidencialidad de los datos. Por ejemplo, los usuarios no
autorizados pueden robar datos de las cuentas en peligro u obtener acceso no
autorizado a los datos codificados en ClearFormat. Las compañías también tienen
que demostrar que son diligentes y que usan los controles de seguridad
adecuados para mejorar la seguridad de los datos a fin de cumplir las normas
del sector.

Protección de los datos en tránsito

La protección de los datos en tránsito debe ser una parte esencial de su
estrategia de protección de datos. Puesto que los datos se desplazan entre
muchas ubicaciones, la recomendación general es utilizar siempre los protocolos
SSL/TLS para intercambiar datos entre diferentes ubicaciones. En algunas
circunstancias, es posible que desee aislar el canal de comunicación completo
entre infraestructura local y en la nube mediante una VPN.

Para los datos que se desplazan entre la infraestructura local y Azure, debe
plantearse usar medidas de seguridad apropiadas, como HTTPS o VPN. Al enviar
tráfico cifrado entre una instancia de Azure Virtual Network y una ubicación
local a través de Internet público, use Azure VPN Gateway.

Estos son los procedimientos recomendados específicos para usar Azure VPN
Gateway, SSL/TLS y HTTPS.

Procedimiento recomendado : proteja el acceso a una red virtual de Azure

desde varias estaciones de trabajo situadas en el entorno local.
Detalles : use VPN de sitio a sitio.

Procedimiento recomendado : proteja el acceso a una red virtual de Azure

desde una estación de trabajo situada en el entorno local.
Detalles : use VPN de punto a sitio.

Procedimiento recomendado : mueva los conjuntos de datos grandes a través de

un vínculo WAN de alta velocidad dedicado.
Detalles : use ExpressRoute. Si decide usar ExpressRoute, también puede cifrar
los datos en el nivel de aplicación mediante SSL/TLS u otros protocolos para
una mayor protección.

Procedimiento recomendado : interactúe con Azure Storage a través de Azure

Portal.
Detalles : todas las transacciones se realizan a través de HTTPS. También se
puede usar la API de REST Storage a través de HTTPS para interactuar con Azure
Storage.

Las organizaciones que no protegen los datos en tránsito son más susceptibles a
los ataques del tipo "Man in the middle", a la interceptación y al secuestro de
sesión. Estos ataques pueden ser el primer paso para obtener acceso a datos
confidenciales.
Proteger el correo electrónico, los documentos y
los datos confidenciales
Es recomendable controlar y proteger el correo electrónico, los documentos y
los datos confidenciales que comparte fuera de su compañía. Azure Information
Protection es una solución basada en la nube que ayuda a las organizaciones a
clasificar, etiquetar y proteger sus documentos y correos electrónicos. Esto
puede ser automático para los administradores que definen reglas y condiciones,
manual para los usuarios o una combinación de ambas opciones cuando los
usuarios reciben recomendaciones.

Es posible identificar la clasificación en todo momento, independientemente de

dónde se almacenan los datos o con quién se comparten. Las etiquetas incluyen
distintivos visuales, como un encabezado, pie de página o marca de agua. Se
agregan metadatos a los archivos y encabezados de correo electrónico en texto
no cifrado. El texto no cifrado garantiza que otros servicios, como las
soluciones para evitar la pérdida de datos, puedan identificar la clasificación
y tomar las medidas adecuadas.

La tecnología de protección usa Azure Rights Management (Azure RMS). Esta

tecnología está integrada con otras aplicaciones y servicios en la nube de
Microsoft, como Office 365 y Azure Active Directory. Esta tecnología de
protección usa directivas de autorización, identidad y cifrado. La protección
que se aplica mediante Azure RMS se mantiene con los documentos y correos
electrónicos, independientemente de la ubicación, ya sea dentro o fuera de la
organización, las redes, los servidores de archivos y las aplicaciones.

Esta solución de protección de información le ofrece control sobre sus datos,

incluso cuando se comparten con otras personas. También puede usar Azure RMS
con sus propias aplicaciones de línea de negocio y soluciones de protección de
información de proveedores de software, tanto si estas aplicaciones y
soluciones están en un entorno local como si están en la nube.

Se recomienda que:

Implemente Azure Information Protection para su organización.

Aplique etiquetas que reflejen sus requisitos empresariales. Por ejemplo:
aplique la etiqueta "extremadamente confidencial" a todos los documentos y
correos electrónicos que contengan datos de alto secreto para clasificar y
proteger dichos datos. A continuación, solo los usuarios autorizados podrán
acceder a estos datos, con cualquier restricción que especifique.
Configure el registro de uso para Azure RMS para que pueda supervisar cómo
usa el servicio de protección su organización.

Las organizaciones con puntos débiles en la clasificación de datos y la

protección de archivos pueden ser más susceptibles a la fuga o el uso
incorrecto de datos. Con la protección adecuada de los archivos, puede analizar
los flujos de datos para extraer conclusiones sobre su negocio, detectar
comportamientos de riesgo y tomar medidas correctivas, realizar un seguimiento
del acceso a los documentos, etc.

Pasos siguientes
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad

de Azure y los servicios de Microsoft relacionados:

Blog del equipo de seguridad de Azure: ofrece información actualizada sobre

lo último en seguridad de Azure
Microsoft Security Response Center: aquí podrá notificar vulnerabilidades de
seguridad de Microsoft, incluidos problemas con Azure, o también mediante
correo electrónico a secure@[Link].
 Cifrado en reposo de datos de Azure
23/03/2020 • 47 minutes to read • Edit Online

Microsoft Azure incluye herramientas para proteger los datos de acuerdo con las
necesidades de seguridad y cumplimiento de su empresa. Este documento se centra
en:

Cómo se protegen los datos en reposo en Microsoft Azure.

Describir los distintos componentes que forman parte de la implementación de
protección de datos.
Revisar las ventajas y desventajas de los distintos enfoques clave de
protección de la administración.

El cifrado en reposo es un requisito de seguridad habitual. En Azure, las

organizaciones pueden cifrar datos en reposo sin el riesgo o el costo de una
solución de administración de claves personalizada. Las organizaciones tienen
la opción de permitir a Azure administrar completamente el cifrado en reposo.
Además, las organizaciones tienen varias opciones para administrar con
detenimiento el cifrado y las claves de cifrado.

¿Qué es el cifrado en reposo?

El cifrado en reposo es la codificación (cifrado) de datos cuando se conserva.
Los diseños del cifrado en reposo de Azure utilizan cifrado asimétrico para
cifrar o descifrar rápidamente grandes cantidades de datos según un modelo
conceptual sencillo:

Se usa una clave de cifrado simétrico para cifrar datos mientras se escriben
en el almacenamiento.
La misma clave de cifrado se utiliza para descifrar los datos tal y como se
prepararon para su uso en la memoria.
Se pueden particionar datos y se pueden usar claves diferentes para cada
partición.
Las claves deben almacenarse en una ubicación segura con el control de
acceso basado en identidades y directivas de auditoría. Las claves de
cifrado de datos se cifran a menudo con la clave de cifrado de claves en
Azure Key Vault para limitar aún más el acceso.

En la práctica, los escenarios de control y administración de la clave, así

como las convicciones de escala y disponibilidad, requieren construcciones
adicionales. A continuación se describen los componentes y conceptos del
cifrado en reposo de Microsoft Azure.

Propósito del cifrado en reposo

El cifrado en reposo proporciona protección de datos para los datos almacenados
(en reposo). Los ataques contra los datos en reposo incluyen intentos de
obtener acceso físico al hardware en el que se almacenan los datos y, a
continuación, poner en peligro los datos contenidos. En este tipo de ataque, la
unidad del disco duro de un servidor puede utilizarse de forma incorrecta
durante el mantenimiento permitiendo a un atacante eliminar la unidad de disco
duro. Más adelante el atacante tendría que poner el disco duro en un equipo
bajo su control para intentar obtener acceso a los datos.

El cifrado en reposo está diseñado para evitar que el atacante obtenga acceso a
los datos sin cifrar asegurándose de que los datos se cifran en el disco. Si un
atacante obtiene una unidad de disco duro con datos cifrados pero no las claves
de cifrado, el atacante debe anular el cifrado para leer los datos. Este ataque
es mucho más complejo y consume más recursos que el acceso a datos no cifrados
en una unidad de disco duro. Por este motivo, el cifrado en reposo es muy
recomendable y es un requisito de alta prioridad para muchas organizaciones.

También se requiere el cifrado en reposo por necesidad de la organización de

los esfuerzos de cumplimiento y gobernanza de datos. Las normas gubernamentales
y del sector, como HIPAA, PCI y FedRAMP, diseñan las medidas de seguridad
específicas a través de los requisitos de cifrado y la protección de datos. El
cifrado en reposo es una medida obligatoria necesaria para el cumplimiento de
algunas de esas regulaciones.

Además de satisfacer los requisitos de cumplimiento y regulatorios, el cifrado

en reposo proporciona protección de defensa en profundidad. Microsoft Azure
proporciona una plataforma compatible para servicios, aplicaciones y datos.
También proporciona servicios completos y seguridad física, control de acceso a
los datos y auditoría. Sin embargo, es importante proporcionar medidas de
seguridad "superpuestas" adicionales en caso de que se produzca un error en una
de las otras medidas de seguridad y el cifrado en reposo proporciona dicha
medida de seguridad.

Microsoft se compromete con el cifrado en las opciones de reposo a través de

servicios en la nube y proporcionando a los clientes el control de las claves
de cifrado y los registros de uso de claves. Además, Microsoft está trabajando
para conseguir cifrar todos los datos en reposo de los clientes de forma
predeterminada.

Componentes del cifrado en reposo de Azure

Como se describe anteriormente, el objetivo del cifrado en reposo es que los
datos que se guardan en el disco se cifren con una clave de cifrado secreta.
Para lograr la creación de una clave segura para el objetivo, se debe
proporcionar almacenamiento, control del acceso y administración de las claves
del cifrado. Aunque los detalles pueden variar, las implementaciones del
cifrado en reposo de los servicios de Azure se pueden describir en los términos
en los que se ilustran en el diagrama siguiente.
Azure Key Vault
La ubicación del almacenamiento de las claves de cifrado y el control de acceso
a esas claves es fundamental para un modelo de cifrado en reposo. Las claves
deben ser muy seguras pero fáciles de administrar por parte de los usuarios
especificados y deben estar disponibles para servicios concretos. Para los
servicios de Azure, Azure Key Vault es la solución de almacenamiento de claves
recomendada y proporciona una experiencia de administración habitual en los
servicios. Las claves se almacenan y administran en los almacenes de claves, y
se puede proporcionar acceso a Key Vault a los usuarios o servicios. Azure Key
Vault admite la creación del cliente de claves o importación de claves de
cliente para su uso en escenarios de clave de cifrado administrada por el
cliente.

Azure Active Directory

Los permisos para usar las claves almacenadas en Azure Key Vault, además de
para administrar o tener acceso a ellas para el cifrado en reposo y el
descifrado, se pueden dar a las cuentas de Azure Active Directory.

Jerarquía de las claves

Se usa más de una clave de cifrado en una implementación de cifrado en reposo.
Almacenar una clave de cifrado en Azure Key Vault garantiza el acceso de clave
segura y la administración central de claves. Sin embargo, el acceso local del
servicio a las claves de cifrado es más eficaz para el cifrado y descifrado
masivo que la interacción con Key Vault para cada operación de datos, lo que
permite un cifrado más seguro y un mejor rendimiento. Si se limita el uso de
una clave de cifrado única, se reduce el riesgo de que la clave se encuentre en
peligro y el costo de volver a cifrar cuando se debe reemplazar una clave. Los
modelos de cifrado en reposo de Azure utilizan una jerarquía de claves formada
por los siguientes tipos de claves a fin de abordar las necesidades que se
indican a continuación:

Clave de cifrado de datos (DEK) : Una clave simétrica AES256 usada para
cifrar una partición o un bloque de datos. Un único recurso puede tener
muchas particiones y muchas claves de cifrado de datos. Cifrar cada bloque
de datos con una clave diferente dificulta los ataques de análisis
criptográficos. Se necesita acceso a las DEK por la instancia de proveedor o
aplicación de recursos que cifra y descifra un bloque específico. Cuando se
reemplaza una DEK con una nueva clave, solo se deben volver a cifrar los
datos de su bloque asociado con una nueva clave.
 Clave de cifrado de claves (KEK) : una clave de cifrado utilizada para
cifrar las claves de cifrado de datos. El uso de una clave de cifrado de
claves que siempre permanece en Key Vault permite a las propias claves de
cifrado de datos cifrarse y controlarse. La entidad que tiene acceso a la
KEK puede ser diferente de la entidad que requiere la DEK. Una entidad puede
adaptar el acceso a la DEK para limitar el acceso de cada DEK a una
partición específica. Puesto que la KEK es necesaria para descrifrar la DEK,
la KEK es de manera eficaz un punto único por el que se pueden eliminar de
forma eficaz las DEK mediante la eliminación de la KEK.

Las claves de cifrado de datos cifradas con las claves de cifrado de claves se
almacenan por separado y solo una entidad con acceso a la clave de cifrado de
claves puede descifrar dichas claves de cifrado de datos. Se admiten diferentes
modelos de almacenamiento de claves. Analizaremos cada modelo con más detalle
más adelante en la sección siguiente.

Modelos de cifrado de datos

La comprensión de los distintos modelos de cifrado y sus ventajas y desventajas
es fundamental para entender cómo los distintos proveedores de recursos en
Azure implementan el cifrado en reposo. Estas definiciones se comparten entre
todos los proveedores de recursos en Azure para asegurar la taxonomía y el
idioma común.

Hay tres escenarios para el cifrado del lado servidor:

Cifrado del lado servidor mediante claves administradas del servicio

Los proveedores de recursos de Azure realizan las operaciones de cifrado

y descifrado
Microsoft administra las claves
Funcionalidad de nube completa
Cifrado del lado servidor mediante claves administradas por el cliente en
Azure Key Vault

Los proveedores de recursos de Azure realizan las operaciones de cifrado

y descifrado
El cliente controla las claves mediante Azure Key Vault
Funcionalidad de nube completa
Cifrado del lado servidor mediante claves administradas por el cliente en
el hardware controlado por el cliente

Los proveedores de recursos de Azure realizan las operaciones de cifrado

y descifrado
Claves de controles de cliente en el hardware controlado por el cliente
Funcionalidad de nube completa

Para el cifrado del lado cliente, tenga en cuenta lo siguiente:

Los servicios de Azure no pueden ver los datos descifrados

Los clientes administran y almacenan las claves en ubicaciones locales (o en
otras ubicaciones seguras). Las claves no están disponibles para los
servicios de Azure
Funcionalidad de nube reducida
Los modelos de cifrado admitidos en Azure se dividen en dos grupos principales:
"Cifrado del cliente" y "Cifrado del servidor" como se mencionó anteriormente.
Independientemente del modelo de cifrado en reposo utilizado, los servicios de
Azure siempre recomiendan el uso de un transporte seguro como TLS o HTTPS. Por
lo tanto, el cifrado de transporte debe tratarse con el protocolo de transporte
y no debe ser un factor importante para determinar qué modelo de cifrado en
reposo se utilizará.

Modelo de cifrado del cliente

El modelo de cifrado del cliente hace referencia al cifrado que se realiza
fuera del proveedor de recursos o Azure mediante el servicio o la aplicación
que realiza la llamada. El cifrado puede realizarse mediante la aplicación de
servicio de Azure o por una aplicación que se ejecuta en el centro de datos del
cliente. En cualquier caso, cuando se saca provecho de este modelo de cifrado,
el proveedor de recursos de Azure recibe un blob cifrado de datos sin la
capacidad de descifrar los datos de ninguna forma ni tener acceso a las claves
de cifrado. En este modelo, la administración de claves se realiza mediante el
servicio o aplicación que realiza la llamada y es opaca para el servicio de
Azure.

Modelo de cifrado del lado servidor

Los modelos de cifrado del lado servidor hacen referencia al cifrado que se
realiza mediante el servicio de Azure. En este modelo, el proveedor de recursos
realiza las operaciones de cifrado y descifrado. Por ejemplo, Azure Storage
puede recibir datos en las operaciones de texto sin formato y llevará a cabo el
cifrado y descifrado internamente. El proveedor de recursos podría utilizar
claves de cifrado que están administradas por Microsoft o por el cliente en
función de la configuración proporcionada.
Modelos de administración de claves de cifrado del lado servidor
Cada uno de los modelos de cifrado en reposo del lado servidor implica
características distintivas de administración de claves. Esto incluye dónde y
cómo se crean y almacenan las claves de cifrado, así como los modelos de acceso
y los procedimientos de rotación de claves.

Cifrado del lado servidor mediante claves administradas del servicio

Para muchos clientes, el requisito esencial es asegurarse de que los datos se

cifran siempre que estén en reposo. El cifrado del lado servidor mediante las
claves administradas del servicio habilita este modelo al permitir a los
clientes marcar el recurso específico (cuenta de almacenamiento, SQL Database,
etc.) para el cifrado y dejar todos los aspectos de la administración de
claves, como la emisión de claves, la rotación y la copia de seguridad a
Microsoft. La mayoría de los servicios de Azure que admiten cifrado en reposo
normalmente admiten este modelo de descarga de la administración de las claves
de cifrado de Azure. El proveedor de recursos de Azure crea las claves, las
coloca en un almacenamiento seguro y las recupera cuando es necesario. Esto
significa que el servicio tiene acceso completo a las claves y el servicio
tiene control total sobre la administración del ciclo de vida de las
credenciales.

Por lo tanto, el cifrado del lado servidor mediante las claves administradas
del servicio satisface rápidamente la necesidad de que tengan el cifrado en
reposo con poca sobrecarga al cliente. Cuando esté disponible, un cliente
abrirá con normalidad Azure Portal para la suscripción de destino y el
proveedor de recursos y comprobará un cuadro que indica si desearía que los
datos se cifraran. El cifrado del lado servidor de algunas instancias de
Resource Manager con las claves administradas del servicio se encuentra
activado de forma predeterminada.
El cifrado del lado servidor con las claves de Microsoft administradas implica
que el servicio tiene acceso completo para almacenar y administrar las claves.
Aunque algunos clientes podrían desear administrar las claves porque creen que
pueden conseguir mayor seguridad, se deben tener en cuenta los costos y riesgos
asociados a una solución de almacenamiento de claves personalizadas al evaluar
este modelo. En muchos casos, una organización podría determinar que los
riesgos o restricciones de recursos de una solución local pueden ser mayores
que el riesgo de administración en la nube de las claves de cifrado en reposo.
Sin embargo, este modelo podría no ser suficiente para las organizaciones que
tienen requisitos para controlar la creación o el ciclo de vida de las claves
de cifrado o tener personal diferente para administrar las claves de cifrado de
un servicio al que administra el servicio (es decir, la segregación de
administración de claves de todo el modelo de administración para el servicio).
Acceso a la clave

Cuando se usa el cifrado del lado servidor con las claves administradas del
servicio, el servicio administra la creación de claves, el almacenamiento y el
acceso al servicio. Normalmente, los proveedores fundamentales de recursos de
Azure almacenarán las claves de cifrado de datos en un almacén que se encuentra
cerca de los datos y está rápidamente disponible y accesible mientras las
claves de cifrado de clave se almacenan en un almacén interno seguro.

Ventajas

Instalación simple
Microsoft administra la rotación de claves, la copia de seguridad y la
redundancia
El cliente no tiene el costo asociado con la implementación o el riesgo de
un esquema personalizado de administración de claves.

Desventajas

No hay control al cliente sobre las claves de cifrado (revocación, ciclo de

vida, especificación de clave, etc.)
La administración de la clave no se puede separar del modelo de
administración global para el servicio

Cifrado del lado servidor mediante claves administradas por el cliente en Azure Key Vault

Para escenarios donde el requisito es cifrar los datos en reposo y controlar

los clientes de las claves de cifrado, los clientes pueden usar el cifrado de
lado servidor mediante las claves almacenadas por el cliente en Key Vault.
Algunos servicios solo pueden almacenar la clave de cifrado de clave de raíz en
Azure Key Vault y almacenar la clave de cifrado de datos cifrada en una
ubicación interna cercana a los datos. En este escenario, los clientes pueden
aportar sus propias claves a Key Vault (BYOK: aportar su propia clave), o
generar nuevas y usarlas para cifrar los recursos deseados. Mientras que el
proveedor de recursos realiza las operaciones de cifrado y descifrado, usa la
clave de cifrado de claves configurada como clave raíz para todas las
operaciones de cifrado.

La pérdida de claves de cifrado de claves significa también la pérdida de los

datos. Por esta razón, no se deben eliminar las claves. Se debe realizar una
copia de seguridad de las claves cada vez que se creen o giren. La eliminación
temporal debe estar habilitada en cualquier almacén que almacene claves de
cifrado de claves. En lugar de eliminar una clave, establezca la opción
Habilitado en "false" o defina la fecha de expiración.
Acceso a la clave

El modelo de cifrado del lado servidor con claves administradas del cliente en
Azure Key Vault implica el servicio de acceso a las claves para cifrar y
descifrar según sea necesario. Las claves del cifrado en reposo son accesibles
para un servicio a través de una directiva de control de acceso. Esta directiva
concede el acceso de identidad de servicio para recibir la clave. Un servicio
de Azure que se ejecuta en nombre de una suscripción asociada puede
configurarse con una identidad dentro de esa suscripción. El servicio puede
realizar la autenticación de Azure Active Directory y recibir un token de
autenticación que se identifica como el servicio que actúa en nombre de la
suscripción. A continuación, se puede presentar ese token al Key Vault para
obtener una clave a la que se le haya dado acceso.

Para las operaciones con claves de cifrado, una identidad de servicio puede
tener acceso a cualquiera de las siguientes operaciones: descifrar, cifrar,
unwrapKey, wrapKey, comprobar, iniciar sesión, obtener, enumerar, actualizar,
crear, importar, eliminar, backup y restaurar.

Para obtener una clave para usar al cifrar o descifrar datos en reposo, la
identidad de servicio con la que se ejecutará la instancia de Resource Manager
debe tener UnwrapKey (para obtener la clave de descifrado) y WrapKey (para
insertar una clave en el almacén de claves al crear una nueva clave).

NOTE
Para obtener más detalles sobre la autorización del Key Vault, vea la protección de la página
del almacén de claves en la documentación de Azure Key Vault.

Ventajas

Control total sobre las claves usadas: Las claves de cifrado se administran
en Key Vault del cliente bajo el control del cliente.
Capacidad de cifrar varios servicios en un patrón
Puede separar la administración de la clave del modelo de administración
global para el servicio
Puede definir el servicio y la ubicación de la clave en regiones

Desventajas

El cliente tiene responsabilidad total para la administración de acceso a

las claves
El cliente tiene responsabilidad total para la administración del ciclo de
vida de las claves
Sobrecarga de configuración e instalación adicional

Cifrado del lado servidor mediante claves administradas por el cliente en el hardware controlado por
el cliente

Algunos servicios de Azure permiten el modelo de administración de claves Host

Your Own Key (HYOK). Este modo de administración es útil en escenarios donde
hay una necesidad para cifrar los datos en reposo y administrar las claves en
un repositorio patentado fuera del control de Microsoft. En este modelo, el
servicio debe recuperar la clave de un sitio externo. Las garantías de
rendimiento y disponibilidad se ven afectadas y la configuración es más
compleja. Además, puesto que el servicio tiene acceso a la DEK durante las
operaciones de cifrado y descifrado de las garantías de seguridad general de
este modelo son similares a cuando las claves son administradas en Azure Key
Vault por el cliente. Como resultado, este modelo no es adecuado para la mayoría
de las organizaciones a menos que tengan requisitos específicos de
administración de claves. Debido a estas limitaciones, la mayoría de los
servicios de Azure no admiten el cifrado del lado del servidor mediante claves
de servidor administradas en el hardware controlado por el cliente.
Acceso a la clave

Cuando se usa el cifrado del lado servidor mediante las claves administradas
del servicio en el hardware controlado del cliente, las claves se mantienen en
un sistema configurado por el cliente. Los servicios de Azure que admiten este
modelo proporcionan un medio para establecer una conexión segura en un almacén
de claves proporcionado por el cliente.

Ventajas

Control total sobre la clave raíz usada: una tienda proporcionada por el un
cliente administra las claves de cifrado
Capacidad de cifrar varios servicios en un patrón
Puede separar la administración de la clave del modelo de administración
global para el servicio
Puede definir el servicio y la ubicación de la clave en regiones

Desventajas

Responsabilidad total para la disponibilidad, rendimiento, seguridad y

almacenamiento de claves
Responsabilidad total para la administración de acceso a las claves
Responsabilidad total para la administración del ciclo de vida de las claves
Costos significativos de mantenimiento en curso, instalación y configuración
Dependencia aumentada sobre la disponibilidad de la red entre el centro de
datos del cliente y los centros de datos de Azure.

Cifrado en reposo en servicios en la nube de

Microsoft
Los Servicios en la nube de Microsoft se utilizan en los tres modelos de la
nube: IaaS, PaaS, SaaS. A continuación encontrará ejemplos de cómo encajan en
cada modelo:

Servicios de software, que se conocen como software como servicio o SaaS,

que tienen la aplicación proporcionada por la nube, como Office 365.
Servicios de la plataforma de los que los clientes sacan provecho en la nube
en sus aplicaciones, que usan la nube para tareas como almacenamiento,
análisis y funcionalidad de bus de servicio.
Servicios de infraestructura o infraestructura como servicio (IaaS) en los
que el cliente implementa sistemas operativos y aplicaciones que se hospedan
en la nube y, posiblemente, saca provecho de otros servicios en la nube.

Cifrado en reposo para clientes de SaaS

Los clientes del software como servicio (SaaS) suelen tener el cifrado en
reposo habilitado o disponible en cada servicio. Office 365 dispone de varias
opciones para que los clientes comprueben o habiliten el cifrado en reposo.
Para información sobre los servicios de Office 365, vea Cifrado en Office 365.

Cifrado en reposo para clientes PaaS

Los datos del cliente de la plataforma como servicio (PaaS) residen normalmente
en un servicio de almacenamiento como Blob Storage, pero también pueden estar
guardados en caché o almacenados en el entorno de ejecución de la aplicación,
como una máquina virtual. Para ver las opciones disponibles del cifrado en
reposo, examine la tabla siguiente para las plataformas de aplicación y
almacenamiento que utiliza.

Cifrado en reposo para clientes de IaaS

Los clientes de la infraestructura como servicio (IaaS) pueden tener una
variedad de servicios y aplicaciones en uso. Los servicios de IaaS pueden
habilitar el cifrado en reposo en sus discos duros virtuales y máquinas
virtuales que se hospedan en Azure mediante Azure Disk Encryption.

Almacenamiento cifrado

Al igual que PaaS, las soluciones IaaS pueden sacar provecho de otros servicios
de Azure que almacenan los datos que se cifran en reposo. En estos casos, puede
habilitar el cifrado en el soporte del cifrado en reposo como proporciona cada
servicio consumido de Azure. La siguiente tabla enumera las principales
plataformas de aplicación, servicios y almacenamiento y el modelo de cifrado en
reposo admitido.

Compute de cifrado

Todos los discos, instantáneas e imágenes administrados están cifrados mediante

Storage Service Encryption con una clave administrada por servicio. Una
solución de cifrado en reposo más completa requiere que los datos no se
conserven nunca en un formato no cifrado. Al procesar los datos en una máquina
virtual, los datos se pueden conservar en el archivo de paginación de Windows o
el archivo de intercambio de Linux, un archivo de volcado o en un registro de
aplicaciones. Para asegurarse de que estos datos se cifran en reposo, las
aplicaciones IaaS pueden usar Azure Disk Encryption en una máquina virtual de
IaaS de Azure (Windows o Linux) y un disco virtual.

Cifrado de datos en reposo personalizado

Se recomienda que siempre que sea posible, las aplicaciones IaaS saquen
provecho de las opciones de cifrado en reposo y Azure Disk Encryption
proporcionadas por los servicios de Azure consumidos. En algunos casos, como
requisitos de cifrado irregulares o almacenamiento que no se basa en Azure, un
desarrollador de una aplicación de IaaS podría necesitar implementar el cifrado
en reposo. Las soluciones de los desarrolladores de IaaS podrían integrarse
mejor con las expectativas de administración y del cliente de Azure mediante el
aprovechamiento de ciertos componentes de Azure. En concreto, los
desarrolladores deben usar el servicio Azure Key Vault para proporcionar
almacenamiento seguro de claves, así como proporcionar a sus clientes opciones
de administración de claves coherentes con la mayoría de los servicios de la
plataforma de Azure. Además, las soluciones personalizadas deben usar
identidades de servicio administradas de Azure para habilitar las cuentas de
servicio para tener acceso a las claves de cifrado. Para encontrar información
para desarrolladores sobre Azure Key Vault y las identidades de servicio
administradas, consulte sus respectivos SDK.
Compatibilidad con modelo de cifrado de proveedores
de recursos de Azure
Los servicios de Microsoft Azure admitir uno o más modelos de cifrado en
reposo. Para algunos servicios, sin embargo, podrían no ser aplicables uno o
varios de los modelos de cifrado. Para los servicios que admiten escenarios
clave administrados por el cliente, puede que estos solo admitan un subconjunto
de los tipos de clave que admite Azure Key Vault para las claves de cifrado de
claves. Además, los servicios pueden liberar compatibilidad para estos
escenarios y tipos de claves en distintas programaciones. Esta sección describe
el soporte del cifrado en reposo en el momento de redactar este artículo para
cada uno de los servicios de almacenamiento de datos principales de Azure.

Azure Disk Encryption

Cualquier cliente mediante las características de la infraestructura de Azure
como servicio (IaaS) puede lograr el cifrado en reposo para sus discos y
máquinas virtuales de IaaS y discos mediante Azure Disk Encryption. Para más
información sobre Azure Disk Encryption, vea la documentación de Azure Disk
Encryption.

Almacenamiento de Azure

Todos los servicios de Azure Storage (Blob Storage, Queue Storage, Table
Storage y Azure Files) admiten el cifrado en reposo en el lado servidor;
algunos servicios admiten además el cifrado de las claves administradas por el
cliente y el cifrado del lado cliente.

Lado servidor: de forma predeterminada, todos los servicios de Azure Storage

admiten el cifrado en el lado servidor mediante claves administradas por el
servicio, lo que es transparente para la aplicación. Para más información,
consulte Cifrado del servicio Azure Storage para datos en reposo. Azure Blob
Storage y Azure Files también admiten las claves RSA de 2048 bits
administradas por el cliente en Azure Key Vault. Para más información,
consulte Cifrado del servicio Storage mediante claves administradas por el
cliente en Azure Key Vault.
Lado cliente: Azure Blobs, Tables y Queues admiten el cifrado en el lado
cliente. Cuando se usa el cifrado del lado cliente, los clientes cifran los
datos y los cargan como un blob cifrado. El cliente se encarga de la
administración de claves. Consulte Cifrado del lado de cliente y Azure Key
Vault para Microsoft Azure Storage para más información.

Azure SQL Database

Azure SQL Database admite actualmente el cifrado en reposo para escenarios de

cifrado en el lado cliente y en el lado servicio administrados por Microsoft.

Actualmente, la compatibilidad con el cifrado del servidor se proporciona a

través de una característica de SQL denominada Cifrado de datos transparente.
Una vez que un cliente de Azure SQL Database habilita la clave TDE, se crea y
administra automáticamente para él. El cifrado en reposo puede habilitarse en
los niveles de base de datos y servidor. Desde junio de 2017, el cifrado de
datos transparente (TDE) se habilita de forma predeterminada en las bases de
datos recién creadas. Azure SQL Database admite claves RSA de 2048 bits
administradas por el cliente en Azure Key Vault. Para más información, consulte
Cifrado de datos transparente con BYOK (Bring Your Own Key) para Azure SQL
Database y Azure SQL Data Warehouse.
Se admite el cifrado del lado cliente de los datos de Azure SQL Database a
través de la característica Always Encrypted. Always Encrypted utiliza una
clave que el cliente crea y almacena. Los clientes pueden almacenar la clave
maestra en el almacén de certificados de Windows, Azure Key Vault, o un módulo
de seguridad de hardware. Al usar SQL Server Management Studio, los usuarios de
SQL eligen qué clave que les gustaría usar para cifrar cada columna.

Tabla de modelo de cifrado y administración de claves

MODELO DE CIFRADO Y
ADMINISTRACIÓN DE
CLAVES

Cifrado del lado Lado servidor Lado cliente

servidor mediante mediante claves mediante clave
claves administradas por administrada por el
administradas del el cliente cliente
servicio

Inteligencia
artificial y
aprendizaje
automático

Azure Cognitive Search Sí Sí -

Azure Machine Learning Sí Sí -

Azure Machine Learning Sí Versión preliminar, -

Studio RSA de 2048 bits

Power BI Sí Versión preliminar, -

RSA de 2048 bits

Analytics

Azure Stream Analytics Sí - -

Event Hubs Sí Sí, todas las -

longitudes de RSA.

Functions Sí Sí, todas las -

longitudes de RSA.

Azure Analysis Sí - -
Services

Azure Data Catalog Sí - -

Apache Kafka en Azure Sí Todas las longitudes -

HDInsight de RSA.

Azure Monitor Sí Sí -
Application Insights

Azure Monitor Log Sí Sí -

Analytics
 MODELO DE CIFRADO Y
ADMINISTRACIÓN DE
CLAVES

Explorador de datos de Sí Sí -
Azure

Azure Data Factory Sí Sí -

Azure Data Lake Store Sí Sí, RSA de 2048 bits -

Contenedores

Azure Kubernetes Sí Sí -
Service

Azure Container Sí Sí -
Instances

Container Registry Sí Sí -

Proceso

Virtual Machines Sí Sí, RSA de 2048 bits -

Conjunto de escalado Sí Sí, RSA de 2048 bits -

de máquinas virtuales

SAP HANA Sí Sí, RSA de 2048 bits -

App Service Sí Sí -

Automation Sí Sí -

Azure Portal Sí Sí -

Logic Apps Sí Sí -

Azure Managed Sí Sí -
Applications

Azure Service Bus Sí Sí -

Site Recovery Sí Sí -

Bases de datos

SQL Server en máquinas Sí Sí, RSA de 2048 bits Sí

virtuales

Azure SQL Database Sí Sí, RSA de 2048 bits Sí

Azure SQL Database for Sí - -

MariaDB
 MODELO DE CIFRADO Y
ADMINISTRACIÓN DE
CLAVES

Azure SQL Database for Sí Sí -

MySQL

Azure SQL Database for Sí Sí -

PostgreSQL

Azure Synapse Sí Sí, RSA de 2048 bits Sí

Analytics

SQL Server Stretch Sí Sí, RSA de 2048 bits Sí

Database

Table Storage Sí Sí Sí

Azure Cosmos DB Sí Sí -

Azure Databricks Sí Sí -

DevOps

Azure DevOps Sí - Sí

Azure Repos Sí - Sí

Identidad

Azure Active Directory Sí - -

Azure Active Directory Sí Sí, RSA de 2048 bits -

Domain Services

Integración

Azure Service Bus Sí Sí Sí

Event Grid Sí - -

API Management Sí - -

Servicios IoT

IoT Hub Sí Sí Sí

Administración y
gobernanza

Azure Site Recovery Sí - -

Elementos
multimedia
 MODELO DE CIFRADO Y
ADMINISTRACIÓN DE
CLAVES

Media Services Sí - Sí

Storage

Blob Storage Sí Sí, RSA de 2048 bits Sí

Disk Storage Sí Sí -

Disk Storage Sí Sí -
administrado

File Storage Sí Sí, RSA de 2048 bits -

Queue Storage Sí Sí Sí

Avere vFXT Sí - -

Azure NetApp Files Sí - -

Archive Storage Sí Sí, RSA de 2048 bits -

StorSimple Sí Sí, RSA de 2048 bits Sí

Azure Backup Sí Sí Sí

Data Box Sí - Sí

Data Box Edge Sí Sí -

Conclusión
La protección de datos del cliente almacenados dentro de los servicios de Azure
es de gran importancia para Microsoft. Todos los servicios hospedados en Azure
se comprometen a proporcionar opciones de cifrado en reposo. Los servicios
fundamentales como Azure Storage, Azure SQL Database y análisis e inteligencia
de las claves proporcionan ya opciones de cifrado en reposo. Algunos de estos
servicios admiten claves controladas por el cliente y cifrado del lado cliente,
así como cifrado y claves administradas del servicio. Los servicios de
Microsoft Azure están mejorando ampliamente la disponibilidad del cifrado en
reposo y se planean nuevas opciones para la versión preliminar y la versión de
disponibilidad general en los próximos meses.
 Azure Disk Encryption para máquinas
virtuales y conjuntos de escalado de
máquinas virtuales
23/03/2020 • 4 minutes to read • Edit Online

Azure Disk Encryption se puede aplicar a máquinas virtuales Linux y Windows,

así como a conjuntos de escalado de máquinas virtuales.

Máquinas virtuales Linux

En los siguientes artículos se proporcionan instrucciones para el cifrado de
máquinas virtuales Linux.

Versión actual de Azure Disk Encryption

Introducción sobre el uso de Azure Disk Encryption para máquinas virtuales
Linux
Escenarios de Azure Disk Encryption en VM Linux
Creación y cifrado de una máquina virtual Linux con la CLI de Azure
Creación y cifrado de una máquina virtual Linux con Azure PowerShell
Creación y cifrado de una máquina virtual Linux en Azure Portal
Creación y configuración de un almacén de claves para Azure Disk Encryption
Scripts de ejemplo de Azure Disk Encryption
Solución de problemas de Azure Disk Encryption
Preguntas frecuentes sobre Azure Disk Encryption

Azure Disk Encryption con Azure AD (versión anterior)

Introducción sobre el uso de Azure Disk Encryption con Azure AD para máquinas
virtuales Linux
Escenarios de Azure Disk Encryption con Azure AD en máquinas virtuales Linux
Creación y configuración de un almacén de claves para Azure Disk Encryption
con Azure AD (versión anterior)

Máquinas virtuales Windows

En los siguientes artículos se proporcionan instrucciones para el cifrado de
máquinas virtuales Windows.

Versión actual de Azure Disk Encryption

Introducción sobre el uso de Azure Disk Encryption para máquinas virtuales
Windows
Escenarios de Azure Disk Encryption en máquinas virtuales Windows
Creación y cifrado de una máquina virtual Windows con la CLI de Azure
Creación y cifrado de una máquina virtual Windows con Azure PowerShell
Creación y cifrado de una máquina virtual Windows con Azure Portal
Creación y configuración de un almacén de claves para Azure Disk Encryption
Scripts de ejemplo de Azure Disk Encryption
Solución de problemas de Azure Disk Encryption
 Preguntas frecuentes sobre Azure Disk Encryption

Azure Disk Encryption con Azure AD (versión anterior)

Introducción sobre el uso de Azure Disk Encryption con Azure AD para máquinas
virtuales Windows
Escenarios de Azure Disk Encryption con Azure AD en máquinas virtuales
Windows
Creación y configuración de un almacén de claves para Azure Disk Encryption
con Azure AD (versión anterior)

Conjuntos de escalado de máquinas virtuales

En los siguientes artículos se proporcionan instrucciones para el cifrado de
conjuntos de escalado de máquinas virtuales.

Introducción al uso de Azure Disk Encryption para conjuntos de escalado de

máquinas virtuales
Cifrado de conjuntos de escalado de máquinas virtuales mediante la CLI de
Azure
Cifrado de conjuntos de escalado de máquinas virtuales mediante Azure
PowerShell
Cifrado de conjuntos de escalado de máquinas virtuales con Resource Manager
Creación y configuración de un almacén de claves para Azure Disk Encryption
Uso de Azure Disk Encryption con la secuenciación de extensiones de un
conjunto de escalado de máquinas virtuales

Pasos siguientes
Información general del cifrado de Azure
Cifrado de datos en reposo
Procedimientos recomendados de seguridad de datos y cifrado
 Introducción a la seguridad de base de
datos de Azure
23/03/2020 • 30 minutes to read • Edit Online

La seguridad es un aspecto importante a la hora de administrar bases de datos,

y siempre ha sido una prioridad para Azure SQL Database. Azure SQL Database
admite la seguridad de conexión con las reglas de firewall y el cifrado de
conexión. Es compatible con la autenticación mediante nombre de usuario y
contraseña y con la autenticación de Azure Active Directory (Azure AD), que usa
las identidades que administra Azure Active Directory. La autorización usa el
control de acceso basado en roles.

Azure SQL Database admite el cifrado mediante el cifrado y descifrado de la

base de datos en tiempo real, copias de seguridad asociadas y archivos de
registro de transacciones en reposo sin necesidad de efectuar cambios en la
aplicación.

Microsoft proporciona otros métodos para cifrar los datos de la empresa:

El Cifrado de nivel de celda está disponible para cifrar columnas concretas,

o incluso celdas de datos, con distintas claves de cifrado.
Si necesita un módulo de seguridad de hardware o la administración central de
la jerarquía de claves de cifrado, considere la posibilidad de usar Azure Key
Vault con SQL Server en una máquina virtual (VM) de Azure.
Asimismo, Always Encrypted (en versión preliminar) hace que el cifrado
resulte transparente para las aplicaciones. Es más, Always Encrypted permite
a los clientes cifrar información confidencial dentro de aplicaciones cliente
sin tener que revelar las claves de cifrado con SQL Database.

Gracias a la auditoría de Azure SQL Database, las empresas pueden registrar

eventos en un registro de auditoría de Azure Storage. La auditoría de SQL
Database también se integra con Microsoft Power BI, con el fin de facilitar la
generación de análisis e informes detallados.

Las bases de datos de Azure SQL pueden estar firmemente protegidas para
satisfacer la mayoría de los requisitos de seguridad o legales, como HIPAA, ISO
27001/27002 y PCI DSS nivel 1. En el sitio del Centro de confianza de Microsoft
Azure hay disponible una lista actualizada de certificaciones de cumplimiento
de seguridad.

En este artículo se describen los conceptos básicos de la protección de las

bases de datos de Microsoft Azure SQL para los datos estructurados, tabulares y
relacionales. En concreto, este artículo le ayudará a empezar a trabajar con
los recursos necesarios para proteger los datos, controlar el acceso y realizar
una supervisión proactiva.

Protección de datos
SQL Database le ayuda a proteger los datos mediante un cifrado:

Para los datos en movimiento mediante la Seguridad de la capa de transporte

(TLS).
 Para los datos en reposo mediante el Cifrado de datos transparente.
Para los datos en uso mediante Always Encrypted.

Si desea conocer otras formas de cifrar datos, considere:

Cifrado de nivel de celda para cifrar columnas concretas, o incluso celdas de

datos, con distintas claves de cifrado.
Si necesita un módulo de seguridad de hardware o la administración central de
la jerarquía de claves de cifrado, puede usar Azure Key Vault con SQL Server
en una máquina virtual de Azure.

Cifrado en movimiento
Un problema habitual de todas las aplicaciones cliente/servidor es la necesidad
de privacidad cuando los datos se desplazan a través de redes públicas y
privadas. Si los datos que se transfieren a través de una red no están
cifrados, existe la posibilidad de que usuarios no autorizados se hagan con
ellos y los roben. Cuando trabaje con servicios de bases de datos, asegúrese de
que los datos estén cifrados entre el cliente y el servidor de la base de
datos. Igualmente, asegúrese de que los datos se cifren entre los servidores de
bases de datos que se comunican entre sí y con aplicaciones de nivel medio.

Uno de los problemas existentes a la hora de administrar una red, es el de

proteger los datos que se envían entre aplicaciones a través de una red que no
es de confianza. Puede usar TLS/SSL para autenticar servidores y clientes y
usarlo para cifrar mensajes entre las partes autenticadas.

En el proceso de autenticación, un cliente de TLS/SSL envía un mensaje a un

servidor de TLS/SSL. El servidor responde con la información necesaria para
realizar la autenticación. El cliente y el servidor efectúan un intercambio
adicional de claves de sesión y se cierra el cuadro de diálogo de
autenticación. Una vez concluida la autenticación, se puede iniciar la
comunicación protegida con SSL entre el servidor y el cliente mediante las
claves de cifrado simétrico que se establecen durante el proceso de
autenticación.

Todas las conexiones a Azure SQL Database deben cifrarse (TLS/SSL) siempre que
haya datos "en tránsito" hacia y desde la base de datos. SQL Database usa
TLS/SSL para autenticar servidores y clientes y, a continuación, lo usa para
cifrar mensajes entre las partes autenticadas.

En la cadena de conexión de la aplicación, debe especificar los parámetros para

cifrar la conexión y no debe confiar en el certificado de servidor. (Esto se
hace automáticamente si copia la cadena de conexión en Azure Portal). En caso
contrario, la conexión no comprobará la identidad del servidor y será
susceptible de sufrir ataques de tipo "man in the middle". Por ejemplo, en el
caso del controlador de [Link], los parámetros de la cadena de conexión son
Encrypt=True y TrustServerCertificate=False .

Cifrado en reposo
Puede tomar varias precauciones para mantener la base de datos protegida. Por
ejemplo, puede diseñar un sistema seguro, cifrar recursos confidenciales y
compilar un firewall para los servidores de bases de datos. Aún así, en caso de
que se roben medios físicos (como unidades o cintas de copias de seguridad), un
usuario malintencionado puede restaurar o exponer la base de datos y examinar
los datos.
Una solución consiste en cifrar los datos confidenciales en la base de datos y
proteger las claves que se usan para cifrar los datos con un certificado. Con
ello se impide que cualquiera que no disponga de las claves use los datos, pero
este tipo de protección debe planificarse.

Para solucionar este problema, SQL Server y SQL Database admiten el cifrado de
datos transparente. El cifrado de datos transparente cifra los archivos de
datos de SQL Server y SQL Database, conocidos como datos de cifrado en reposo.

Asimismo, el cifrado de datos transparente le ayuda a protegerse contra la

amenaza que suponen las actividades malintencionadas. También realiza cifrado y
descifrado de la base de datos en tiempo real, copias de seguridad asociadas y
archivos de registro de transacciones en reposo sin necesidad de efectuar
cambios en la aplicación.

El cifrado de datos transparente se encarga de cifrar el almacenamiento de toda

una base de datos mediante una clave simétrica denominada clave de cifrado de
base de datos. En SQL Database, la clave de cifrado de base de datos está
protegida por un certificado de servidor integrado. El certificado de servidor
integrado es único para cada servidor de SQL Database.

Si una base de datos está en una relación de Geo-DR, está protegida por una
clave diferente en cada servidor. Si hay dos bases de datos conectadas al mismo
servidor, comparten el mismo certificado integrado. Microsoft alterna
automáticamente estos certificados al menos cada 90 días.

Para obtener más información, consulte Cifrado de datos transparente.

Cifrado en uso (cliente)

La mayoría de las infracciones de datos implican el robo de datos críticos,
como los números de tarjeta de crédito o información de identificación
personal. Las bases de datos pueden representar tesoros repletos de información
confidencial. Pueden contener datos personales de los clientes, (como números
de identificación nacional), información confidencial sobre la competencia y
propiedad intelectual. Los datos perdidos o robados (sobre todo los datos de
los clientes) pueden comportar daños de marca, desventajas competitivas e
importantes sanciones, incluso demandas.

Always Encrypted es una característica diseñada para proteger datos

confidenciales almacenados en bases de datos de Azure SQL Database o SQL
Server. Always Encrypted permite a los clientes cifrar información confidencial
dentro de aplicaciones cliente y no revelar las claves de cifrado al motor de
base de datos (SQL Database o SQL Server).

Asimismo, Always Encrypted proporciona una separación entre quienes poseen los
datos (y pueden verlos) y quienes administran los datos (pero no deben tener
acceso a estos). Gracias a ello, se garantiza que los administradores de bases
de datos locales, los operadores de bases de datos en la nube u otros usuarios
con privilegios elevados (pero no autorizados) no puedan obtener acceso a los
datos cifrados.

Además, Always Encrypted hace que el cifrado resulte transparente para las
aplicaciones. En el equipo cliente se instala un controlador habilitado para
Always Encrypted para que pueda cifrar y descifrar los datos confidenciales en
la aplicación cliente de forma automática. El controlador cifra los datos en
columnas confidenciales antes de pasarlos al motor de base de datos. A
continuación, vuelve a escribir automáticamente las consultas para que se
conserve la semántica de la aplicación. De forma similar, el controlador
descifra los datos de forma transparente, almacenados en columnas de bases de
datos cifradas, incluidas en los resultados de la consulta.

Control de acceso
Para proporcionar seguridad, SQL Database controla el acceso mediante:

Reglas de firewall que limitan la conectividad mediante una dirección IP.

Mecanismos de autenticación que solicitan a los usuarios sus identidades.
Mecanismos de autorización que limitan los usuarios a acciones y datos
específicos.

Acceso a la base de datos

La protección de datos comienza con el control de acceso a los datos. El centro
de datos que hospeda los datos administra el acceso físico. Puede configurar un
firewall para administrar la seguridad en el nivel de red. También puede
controlar el acceso configurando inicios de sesión para la autenticación y
definiendo permisos para los roles de servidor y de base de datos.

Firewall y reglas de firewall

Azure SQL Database ofrece un servicio de base de datos relacional para Azure y
otras aplicaciones basadas en Internet. Para ayudar a proteger los datos, los
firewalls impiden todo acceso al servidor de bases de datos, excepto a aquellos
equipos a los que haya concedido permiso. Asimismo, otorgan acceso a las bases
de datos según la dirección IP de origen de cada solicitud. Para más
información, consulte Introducción a las reglas de firewall de Azure SQL
Database.

El servicio Azure SQL Database solo está disponible a través del puerto TCP
1433. Para obtener acceso a una instancia de SQL Database desde el equipo,
asegúrese de que el firewall de equipos cliente permite la comunicación TCP
saliente en el puerto TCP 1433. Si no es necesario tener conexiones internas
para otras aplicaciones, bloquéelas en el puerto TCP 1433.

Authentication

La autenticación indica a cómo demostrar su identidad al conectarse a la base

de datos. SQL Database admite dos tipos de autenticación:

Autenticación de SQL Server : Cuando se crea una instancia lógica de SQL,

se crea también una cuenta de inicio de sesión único, que se denomina Cuenta
de suscriptor de SQL Database. Esta cuenta se conecta mediante la
autenticación de SQL Server (nombre de usuario y contraseña). Esta cuenta es
un administrador en la instancia del servidor lógico y en todas las bases de
datos de usuario asociadas a dicha instancia. Los permisos de la cuenta del
 suscriptor no se pueden restringir. Solo puede existir una de estas cuentas.
Autenticación de Azure Active Directory : La autenticación de Azure AD es
un mecanismo de conexión a Azure SQL Database y Azure SQL Data Warehouse
mediante identidades de Azure AD. Esto le permite administrar de forma
centralizada las identidades de los usuarios de bases de datos.

Las ventajas de la autenticación de Azure AD incluyen lo siguiente:

Ofrece una alternativa a la autenticación de SQL Server.

Permiten detener la proliferación de identidades de usuario en los servidores
de bases de datos y posibilita la rotación de contraseñas en un solo lugar.
Puede administrar los permisos de la base de datos con grupos externos (Azure
AD).
Puede eliminar el almacenamiento de contraseñas mediante la habilitación de
la autenticación integrada de Windows y otras formas de autenticación
compatibles con Azure AD.

Authorization

La autorización se refiere a lo que un usuario puede hacer en una base de datos

de Azure SQL. Se controla mediante las pertenencias a roles y los permisos de
nivel de objeto de la base de datos de su cuenta de usuario. La autorización es
el proceso en el que se determinan los recursos protegibles a los que puede
obtener acceso una entidad de seguridad y las operaciones permitidas para
dichos recursos.

Acceso a las aplicaciones

Enmascaramiento de datos dinámicos

Un representante del servicio en un centro de llamadas puede identificar a las

personas que llaman gracias a varios dígitos del número de seguro social o del
número de tarjeta de crédito. Pero esos elementos de datos no deben estar
completamente expuestos al representante del servicio.

Se puede definir una regla de enmascaramiento que enmascare todo excepto los
cuatro últimos dígitos de un número de seguridad social o un número de tarjeta
de crédito en el conjunto de resultados de cualquier consulta.
En otro ejemplo, se puede definir una máscara de datos adecuada para proteger
la información de identificación personal. Un desarrollador puede realizar
consultas a los entornos de producción para resolver problemas, sin tener que
infringir las normativas de cumplimiento.

El enmascaramiento dinámico de datos de SQL Database limita la exposición de

información confidencial mediante su enmascaramiento a los usuarios sin
privilegios. El enmascaramiento de datos dinámicos se admite con la versión V12
de Azure SQL Database.

El enmascaramiento dinámico de datos ayuda a impedir el acceso no autorizado a

datos confidenciales permitiéndole designar la cantidad de los datos
confidenciales que se revelarán con un impacto mínimo en el nivel de
aplicación. Es una característica de seguridad basada en directivas que oculta
los datos confidenciales en el conjunto de resultados de una consulta sobre los
campos designados de la base de datos, aunque que los datos de la base de datos
no cambian.

NOTE
El enmascaramiento de datos dinámicos puede configurarse mediante el administrador de Base de
datos de Azure, el administrador del servidor o los roles de autoridad de seguridad.

Seguridad de nivel de fila

Otro requisito de seguridad habitual de las bases de datos multiinquilino es la

seguridad de nivel de fila. Esta característica le permite controlar el acceso
a las filas de una tabla de base de datos en función de las características del
usuario que ejecuta una consulta. (Por ejemplo, la pertenencia a un grupo y el
contexto de ejecución).
La lógica de restricción de acceso está en el nivel de la base de datos, en
lugar de encontrarse en otro nivel de la aplicación lejos de los datos. El
sistema de base de datos aplica las restricciones de acceso cada vez que se
intenta acceder a los datos desde cualquier nivel. Esto hace que el sistema de
seguridad resulte más sólido y confiable al reducir el área expuesta del
sistema de seguridad.

La característica de seguridad de nivel de fila introduce el control de acceso

basado en predicados. Ofrece una evaluación flexible y centralizada que puede
tener en cuenta los metadatos o cualquier otro criterio que el administrador
determine como adecuado. El predicado se usa como criterio para determinar si
el usuario tiene el acceso adecuado a los datos en función de los atributos de
usuario. El control de acceso basado en etiquetas se puede implementar mediante
el control de acceso basado en predicados.

Supervisión proactiva
SQL Database protege los datos proporcionando capacidades de auditoría y
detección de amenazas.

Auditoría
La auditoría de Azure SQL Database aumenta la capacidad de obtener información
sobre los eventos y los cambios que se producen en la base de datos. Algunos
ejemplos son las actualizaciones y las consultas efectuadas en los datos.

La auditoría de SQL Database realiza un seguimiento de eventos de bases de

datos y los escribe en un registro de auditoría de su cuenta de Azure Storage.
La auditoría puede ayudarle a mantener el cumplimiento de normativas,
comprender la actividad de las bases de datos y conocer las discrepancias y
anomalías que pueden indicar problemas en el negocio o infracciones de
seguridad sospechosas. La auditoría posibilita y facilita la observancia de
estándares reguladores pero no garantiza el cumplimiento.

Puede usar la auditoría de SQL Database para:

Conservar una traza de auditoría de eventos seleccionados. Puede definir

categorías de acciones de base de datos para auditar.
Informar sobre la actividad de la base de datos. Puede usar informes
preconfigurados y un panel para dar los primeros pasos más rápido con el
informe de actividades y eventos.
Analizar informes. Puede buscar eventos sospechosos, actividades inusuales y
 tendencias.

Existen dos métodos de auditoría:

Auditoría de blobs : Los registros se escriben en Azure Blob Storage. Este

es el método de auditoría más reciente. Proporciona un mayor rendimiento,
admite auditorías de nivel de objeto de mayor granularidad y es más rentable.
Auditoría de tablas : Los registros se escriben en Azure Table Storage.

Detección de amenazas
La protección avanzada contra amenazas en Azure SQL Database detecta
actividades sospechosas que indican posibles amenazas de seguridad. La
detección de amenazas le permite responder a eventos sospechosos en la base de
datos (como las inserciones de SQL) en el momento en que se producen. Asimismo,
proporciona alertas y permite usar la auditoría de Azure SQL Database para
explorar eventos sospechosos.

SQL Advanced Threat Protection (ATP) proporciona un conjunto de funcionalidades

avanzadas de seguridad de SQL, entre las que se incluyen Clasificación y
detección de datos, Evaluación de vulnerabilidad y Detección de amenazas.

Clasificación y detección de datos:

Evaluación de vulnerabilidades:
Detección de amenazas

Advanced Threat Protection para Azure Database for PostgreSQL proporciona una
nueva capa de seguridad, que le permite detectar posibles amenazas y responder
a ellas cuando se producen, gracias a que proporciona alertas de seguridad
sobre actividades anómalas. Los usuarios reciben una alerta sobre actividades
sospechosas en las bases de datos, posibles puntos vulnerables, así como sobre
patrones anómalos de consulta y acceso a las bases de datos. Advanced Threat
Protection para Azure Database for PostgreSQL integra sus alertas con Azure
Security Center. Los tipos de alerta incluyen:

Acceso desde una ubicación inusual

Acceso desde un centro de datos de Azure inusual
Acceso desde una entidad de seguridad desconocida
Acceso desde una aplicación potencialmente dañina
Ataques por fuerza bruta a las credenciales de Azure Database for PostgreSQL

Advanced Threat Protection para Azure Database for MySQL proporciona una
protección similar a la protección avanzada de PostgreSQL.
Administración de seguridad centralizada
Azure Security Center ayuda a evita y a detectar las amenazas, además de a
responder a ellas. Proporciona una supervisión de la seguridad y una
administración de directivas integradas en suscripciones de Azure. Le ayuda a
detectar amenazas que podrían pasar desapercibidas, y funciona con un amplio
ecosistema de soluciones de seguridad.

Security Center ayuda a proteger los datos de SQL Database ofreciendo

visibilidad sobre la seguridad en todos los servidores y bases de datos. Con
Security Center puede realizar estas tareas:

Definir las directivas de auditoría y cifrado de SQL Database

Supervisar la seguridad de los recursos de SQL Database de todas sus
suscripciones
Identificar y corregir problemas de seguridad rápidamente
Integrar las alertas de detección de amenazas de Azure SQL Database

El Centro de seguridad admite el acceso basado en rol.

SQL Information Protection

SQL Information Protection detecta y clasifica automáticamente los datos
potencialmente confidenciales, proporciona un mecanismo de etiquetado para los
datos confidenciales con atributos de clasificación de forma persistente y
proporciona un panel detallado que muestra el estado de clasificación de la
base de datos.

Además, calcula la confidencialidad del conjunto de resultados de las consultas

SQL, para que las consultas que extraen datos confidenciales se puedan auditar
explícitamente y se protejan los datos. Para obtener más detalles acerca de SQL
Information Protection, consulte Clasificación y detección de datos de Azure
SQL Database.

Puede configurar las directivas de SQL Information Protection en Azure Security

Center.

Azure Marketplace
Azure Marketplace es una tienda de aplicaciones y servicios en línea que
permite a las nuevas empresas y a los fabricantes de software independientes
(ISV) ofrecer sus soluciones a clientes de Azure de todo el mundo. Azure
Marketplace combina los ecosistemas de asociados de Microsoft Azure en una
plataforma unificada para atender mejor a clientes y asociados. También puede
ejecutar una búsqueda para ver los productos de seguridad de base de datos
disponibles en Azure Marketplace.

Pasos siguientes
Protección de las bases de datos de Azure SQL
Servicios Azure Security Center y Azure SQL Database
Detectar amenazas de SQL Database
Mejorar el rendimiento de SQL Database
 Procedimientos recomendados para la
seguridad de las bases de datos de
Azure
23/03/2020 • 22 minutes to read • Edit Online

En este artículo se describen los procedimientos recomendados para la seguridad

de base de datos.

Los procedimientos recomendados se basan en un consenso de opinión y son

válidos para las funcionalidades y conjuntos de características actuales de la
plataforma Azure. Como las opiniones y las tecnologías cambian con el tiempo,
este artículo se actualiza de forma periódica para reflejar dichos cambios.

Seguridad de las bases de datos

La seguridad es un aspecto importante a la hora de administrar bases de datos,
y siempre ha sido una prioridad para Azure SQL Database. Las bases de datos
pueden protegerse de forma estricta para ayudar a satisfacer la mayoría de los
requisitos de seguridad o legales, como HIPAA, ISO 27001/27002 y PCI DSS nivel
1. En el sitio del Centro de confianza de Microsoft hay disponible una lista
actualizada de certificaciones de cumplimiento de seguridad. También puede
colocar las bases de datos en centros de datos de Azure específicos en función
de los requisitos normativos.

Uso de reglas de firewall para restringir el acceso

de las bases de datos
Microsoft Azure SQL Database ofrece un servicio de base de datos relacional
para Azure y otras aplicaciones basadas en Internet. Para proporcionar
seguridad de acceso, SQL Database controla el acceso mediante:

Reglas de firewall que limitan la conectividad mediante una dirección IP.

Mecanismos de autenticación que solicitan a los usuarios sus identidades.
Mecanismos de autorización que limitan los usuarios a acciones y datos
específicos.

Los firewalls impiden todo acceso al servidor de bases de datos, excepto a

aquellos equipos a los que haya concedido permiso. Asimismo, otorgan acceso a
las bases de datos según la dirección IP de origen de cada solicitud.

La siguiente imagen muestra dónde se establece un firewall de servidor en SQL

Database:
El servicio Azure SQL Database solo está disponible a través del puerto TCP
1433. Para obtener acceso a una instancia de SQL Database desde el equipo,
asegúrese de que el firewall de equipos cliente permite la comunicación TCP
saliente en el puerto TCP 1433. Bloquee las conexiones entrantes en el puerto
TCP 1433 mediante reglas de firewall, si no necesita estas conexiones para
otras aplicaciones.

Como parte del proceso de conexión, las conexiones de máquinas virtuales de

Azure se redirigen a una dirección IP y un puerto que son únicos para cada rol
de trabajo. El número de puerto está comprendido en el rango del 11000 al
11999. Para obtener más información sobre los puertos TCP, vea Puertos más allá
de 1433 para [Link] 4.5.

Para más información general acerca de las reglas de firewall de SQL Database,
consulte Introducción a las reglas de firewall de Azure SQL Database.

NOTE
Además de reglas de IP, el firewall administra reglas de red virtual. Las reglas de red virtual
se basan en los puntos de conexión de servicio de red virtual. Es posible que las reglas de red
virtual sean preferibles a las reglas de IP en algunos casos. Para obtener más información, vea
Uso de reglas y puntos de conexión de servicio de red virtual para Azure SQL Database y SQL
Data Warehouse.

Habilitación de la autenticación de bases de datos

SQL Database admite dos tipos de autenticación: autenticación de SQL Server y
autenticación de Azure AD.

Autenticación de SQL Server

Entre las ventajas se incluyen las siguientes:

Permite a SQL Database admitir entornos con sistemas operativos mixtos, donde
todos los usuarios no son autenticados por un dominio de Windows.
Permite a SQL Database admitir aplicaciones anteriores y otras proporcionadas
por socios que requieren autenticación de SQL Server.
Permite a los usuarios conectarse desde dominios desconocidos o que no son de
confianza. Un ejemplo es una aplicación en la que los clientes establecidos
se conectan con los inicios de sesión de SQL Server asignados para recibir el
estado de sus pedidos.
Permite a SQL Database admitir aplicaciones basadas en web en las que los
 usuarios crean sus propias identidades.
Permite a los programadores de software distribuir sus aplicaciones mediante
el uso de una compleja jerarquía de permisos basada en inicios de sesión de
SQL Server conocidos y preestablecidos.

NOTE
La autenticación de SQL Server no puede usar el protocolo de seguridad Kerberos.

Si usa autenticación de SQL Server, debe:

Administrar las credenciales seguras usted mismo.

Proteger las credenciales en la cadena de conexión.
Proteger (potencialmente) las credenciales transmitidas a través de la red
desde el servidor web a la base de datos. Para más información, vea: Cómo:
conectar con SQL Server mediante la Autenticación de SQL en [Link] 2.0.

Autenticación de Azure Active Directory (AD)

La autenticación de Azure AD es un mecanismo de conexión a Azure SQL Database y
SQL Data Warehouse mediante identidades de Azure AD. Con la autenticación de
Azure AD, puede administrar las identidades de los usuarios de la base de datos
y otros servicios de Microsoft en una ubicación central. La administración de
identificadores central ofrece una ubicación única para administrar usuarios de
base de datos y simplifica la administración de permisos.

NOTE
Se recomienda el uso de la autenticación de Azure AD por encima de la autenticación de SQL
Server.

Entre las ventajas se incluyen las siguientes:

Ofrece una alternativa a la autenticación de SQL Server.

Ayuda a detener la proliferación de identidades de usuario en los servidores
de base de datos.
Permite la rotación de contraseñas en un solo lugar.
Los clientes pueden administrar los permisos de la base de datos con grupos
externos (Azure AD).
Puede eliminar el almacenamiento de contraseñas mediante la habilitación de
la autenticación integrada de Windows y otras formas de autenticación
compatibles con Azure Active Directory.
Usa usuarios de base de datos independiente para autenticar identidades en el
nivel de base de datos.
Admite la autenticación basada en token para las aplicaciones que se conectan
a SQL Database.
Admite AD FS (federación de dominios) o autenticación nativa de usuario y
contraseña para una instancia local de Azure Active Directory sin
sincronización de dominios.
Azure AD admite conexiones de SQL Server Management Studio que usan la
autenticación universal de Active Directory, lo que incluye Multi-Factor
Authentication. Multi-Factor Authentication incluye una sólida autenticación
con una gama de opciones de comprobación: llamada de teléfono, mensaje de
 texto, tarjetas inteligentes con PIN o notificación de aplicación móvil. Para
obtener más información, vea Compatibilidad de SSMS con Azure AD MFA con SQL
Database y SQL Data Warehouse.

En los pasos de configuración se incluyen los siguientes procedimientos para

configurar y usar la autenticación de Azure AD:

Cree y rellene una instancia de Azure AD.

Opcional: asocie o cambie la instancia de Active Directory que esté asociada
a la suscripción de Azure.
Cree un administrador de Azure Active Directory para Azure SQL Database o
Azure SQL Data Warehouse.
Configure los equipos cliente.
Cree usuarios de bases de datos independientes en la base de datos y
asignados a identidades de Azure AD.
Conéctese a la base de datos mediante identidades de Azure AD.

Puede encontrar información detallada en Uso de la autenticación de Azure

Active Directory para autenticación con SQL Database, Instancia administrada o
SQL Data Warehouse.

Protección de los datos con cifrado y seguridad de

nivel de fila
El cifrado de datos transparente de Azure SQL Database ayuda a proteger los
datos en disco y protege frente a accesos no autorizados al hardware. También
realiza cifrado y descifrado de la base de datos en tiempo real, copias de
seguridad asociadas y archivos de registro de transacciones en reposo sin
necesidad de efectuar cambios en la aplicación. El cifrado de datos
transparente se encarga de cifrar el almacenamiento de toda una base de datos
mediante una clave simétrica denominada clave de cifrado de base de datos.

Incluso cuando se cifra el almacenamiento completo, es importante cifrar

también la base de datos. Se trata de una implementación del enfoque defensivo
en profundidad para la protección de los datos. Si usa Azure SQL Database y
quiere proteger datos confidenciales (como números de tarjetas de crédito o de
la seguridad social), puede cifrar las bases de datos con el cifrado AES de 256
bits validado por FIPS 140-2. Este cifrado cumple los requisitos de muchos
estándares del sector (por ejemplo, HIPAA y PCI).

Los archivos relacionados con la extensión del grupo de búferes (BPE) no se

cifran cuando se cifra una base de datos mediante cifrado de datos
transparente. Debe usar herramientas de cifrado de nivel de sistema de archivos
como BitLocker o el Sistema de cifrado de archivos (EFS) para los archivos
relacionados con la BPE.

Dado que un usuario autorizado, como un administrador de seguridad o de base de

datos, puede acceder a los datos aun cuando la base de datos esté cifrada con
cifrado de datos transparente, también se deben seguir estas recomendaciones:

Habilite la autenticación de SQL Server en el nivel de base de datos.

Use la autenticación de Azure AD mediante roles RBAC.
Asegúrese de que los usuarios y las aplicaciones usen cuentas independientes
para autenticarse. De este modo, puede limitar los permisos concedidos a
 usuarios y aplicaciones y reducir el riesgo de actividad malintencionada.
Implemente seguridad de nivel de base de datos mediante roles fijos de base
de datos (como db_datareader o db_datawriter). También puede crear roles
personalizados para la aplicación a fin de conceder permisos explícitos a
objetos de base de datos seleccionados.

Si desea conocer otras formas de proteger los datos, considere:

Cifrado de nivel de celda para cifrar columnas concretas, o incluso celdas de

datos, con distintas claves de cifrado.
Always Encrypted, que permite a los clientes cifrar información confidencial
dentro de aplicaciones cliente y no revelar las claves de cifrado al motor de
base de datos (SQL Database o SQL Server). En consecuencia, Always Encrypted
proporciona una separación entre quienes poseen los datos (y pueden verlos) y
quienes administran los datos (pero no deben tener acceso a los mismos).
Seguridad de nivel de fila, que permite a los clientes controlar el acceso a
las filas de una tabla de base de datos en función de las características del
usuario que ejecuta una consulta. (Por ejemplo, la pertenencia a un grupo y
el contexto de ejecución).

Las organizaciones que no usan el cifrado de nivel de base de datos pueden ser
más susceptibles a ataques que ponen en peligro los datos ubicados en bases de
datos SQL.

Para obtener más información sobre el cifrado de datos transparente de SQL

Database, lea el artículo Cifrado de datos transparente con Azure SQL Database.

Habilitación de la auditoría de bases de datos

La auditoría de una instancia del motor de base de datos de SQL Server o una
base de datos individual implica el seguimiento y el registro de eventos. En
SQL Server, puede crear auditorías que contengan especificaciones para eventos
de nivel de servidor y para eventos de nivel de base de datos. Los eventos
auditados se pueden escribir en los registros de eventos o en los archivos de
auditoría.

Hay varios niveles de auditoría de SQL Server, según los requisitos legales o
de estándares para la instalación. La auditoría de SQL Server proporciona
herramientas y procesos para habilitar, almacenar y ver auditorías en varios
objetos de servidor y base de datos.

La auditoría de Azure SQL Database realiza un seguimiento de eventos de base de

datos y los escribe en un registro de auditoría de la cuenta de Azure Storage.

La auditoría puede ayudarle a satisfacer el cumplimiento normativo, a

comprender la actividad de las bases de datos y a detectar discrepancias y
anomalías que podrían apuntar a problemas del negocio o infracciones de
seguridad. La auditoría facilita la observancia de estándares de cumplimiento,
pero no garantiza este.

Para obtener más información sobre la auditoría de bases de datos y cómo

habilitarla, vea Introducción a la auditoría de bases de datos SQL.

Habilitación de la detección de amenazas para las

bases de datos
La protección contra amenazas va más allá de la detección. La protección contra
amenazas de base de datos incluye:

Detectar y clasificar los datos más confidenciales, para poder protegerlos.

Implementar configuraciones seguras en la base de datos para poder
protegerla.
Detectar amenazas potenciales a medida que se producen para responder a ellas
y corregirlas rápidamente.

Procedimiento recomendado : detectar, clasificar y etiquetar los datos

confidenciales de las bases de datos.
Detalles : clasifique los datos de la instancia de SQL Database al habilitar
Detección y clasificación de datos en Azure SQL Database. Puede supervisar el
acceso a los datos confidenciales en el panel de Azure o descargar informes.

Procedimiento recomendado : realice un seguimiento de las vulnerabilidades de

la base de datos para mejorar la seguridad de esta de manera proactiva.
Detalles : use el servicio Evaluación de vulnerabilidad de Azure SQL Database,
que busca posibles vulnerabilidades de la base de datos. El servicio emplea una
base de conocimiento de reglas que marcan vulnerabilidades de seguridad y
muestran las desviaciones de los procedimientos recomendados, como errores de
configuración, permisos excesivos y datos confidenciales sin protección.

Las reglas se basan en los procedimientos recomendados de Microsoft y se

centran en los problemas de seguridad que presentan mayores riesgos para la
base de datos y sus valiosos datos. Tratan los problemas de nivel de base de
datos y los problemas de seguridad de nivel de servidor, como la configuración
del firewall de servidor y los permisos de nivel de servidor. Estas reglas
también representan muchos de los requisitos de diferentes organismos
reguladores para cumplir sus estándares de cumplimiento.

Procedimiento recomendado : Habilitar la detección de amenazas.

Detalles : habilite la Detección de amenazas de Azure SQL Database para obtener
alertas de seguridad y recomendaciones sobre cómo investigar y mitigar las
amenazas. Se obtienen alertas sobre actividades sospechosas en las bases de
datos, posibles vulnerabilidades y ataques por inyección de código SQL, así
como sobre patrones anómalos de acceso y consulta a las bases de datos.

Advanced Threat Protection es un paquete unificado de funcionalidades avanzadas

de seguridad de SQL. Incluye los servicios mencionados anteriormente:
Clasificación y detección de datos, evaluación de vulnerabilidades y detección
de amenazas. Proporciona una ubicación única para habilitar y administrar estas
funcionalidades.

La habilitación de estas funcionalidades ayuda a:

Cumplir los requisitos de cumplimiento de normas y los estándares

relacionados con la privacidad de datos.
Controlar el acceso a las bases de datos y endurecer su seguridad.
Supervisar un entorno de base de datos dinámico en el que es complicado
realizar un seguimiento de los cambios.
Detectar posibles amenazas y responder a ellas.

Además, la detección de amenazas integra las alertas con Azure Security Center
para obtener una vista centralizada del estado de seguridad de todos los
recursos de Azure.

Pasos siguientes
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad

de Azure y los servicios de Microsoft relacionados:

Blog del equipo de seguridad de Azure: ofrece información actualizada sobre

lo último en seguridad de Azure
Microsoft Security Response Center: aquí podrá notificar vulnerabilidades de
seguridad de Microsoft, incluidos problemas con Azure, o también mediante
correo electrónico a secure@[Link].
 Lista de comprobación de la seguridad
de Azure Database
23/03/2020 • 6 minutes to read • Edit Online

Para ayudar a mejorar la seguridad, Azure Database incluye una serie de

controles de seguridad integrados que puede usar para limitar y controlar el
acceso.

Entre ellas se incluyen las siguientes:

Un firewall que permite crear reglas de firewall que limitan la conectividad

en función de su dirección IP
Firewall de nivel de servidor accesible desde Azure Portal
Reglas de firewall de nivel de base de datos accesibles desde SSMS
Conectividad segura a una base de datos mediante cadenas de conexión seguras
Uso de la administración del acceso
Cifrado de datos
Auditoría de SQL Database
Detección de amenazas de SQL Database

Introducción
La informática en la nube requiere nuevos paradigmas de seguridad que son poco
conocidos para muchos usuarios de aplicaciones, administradores de bases de
datos y programadores. Como resultado, algunas organizaciones dudan de si
implementar una infraestructura en la nube para la administración de datos
debido a los riesgos de seguridad percibidos. Sin embargo, se puede mitigar
gran parte de este problema mediante una mejor comprensión de las
características de seguridad integradas en Microsoft Azure y Microsoft Azure
SQL Database.

Lista de comprobación
Le recomendamos que lea el artículo Prácticas recomendadas de seguridad de
Azure Database antes de revisar esta lista. Una vez que conozca las prácticas
recomendadas, podrá obtener el máximo partido de esta lista de comprobación. A
continuación, puede usarla para asegurarse de que ha abordado las cuestiones
importantes de la seguridad para las bases de datos de Azure.

CATEGORÍA DE LA LISTA DE COMPROBACIÓN DESCRIPCIÓN

Protección de datos
CATEGORÍA DE LA LISTA DE COMPROBACIÓN DESCRIPCIÓN

Seguridad de la capa de transporte, para

Cifrado en movimiento o tránsito el cifrado de datos cuando los datos se
pasan a las redes.
Las bases de datos requieren una
comunicación segura desde los clientes
basados en el protocolo TDS (Tabular Data
Stream) a través de TLS (Seguridad de la
capa de transporte).

Cifrado de datos transparente, cuando los

Cifrado en reposo datos inactivos se almacenan físicamente
en cualquier formato digital.

Control de acceso

Autenticación (Autenticación de Azure

Acceso a la base de datos Active Directory). La autenticación de AD
usa las identidades administradas por
Azure Active Directory.
Autorización. Conceda a los usuarios los
privilegios mínimos necesarios.

Seguridad de nivel de fila. Se usa la

Acceso a las aplicaciones directiva de seguridad, al mismo tiempo
que se restringe el acceso de nivel de
fila según el contexto de ejecución, rol o
identidad de un usuario).
Enmascaramiento dinámico de datos. El uso
de directivas y permisos limita la
exposición de información confidencial al
enmascararla para los usuarios sin
privilegios

Supervisión proactiva

La auditoría realiza un seguimiento de los

Seguimiento y detección eventos de bases de datos y los escribe en
un registro de auditoría y de actividad en
su cuenta de Azure Storage.
Seguimiento del estado de Azure Database
mediante registros de actividad de Azure
Monitor.
Detección de amenazas detecta actividades
anómalas en la base de datos que indican
posibles amenazas de seguridad.

Supervisión de datos Use Azure Security

Azure Security Center Center como solución de supervisión de
seguridad centralizada para SQL y otros
servicios de Azure.

Conclusión
Azure Database es una sólida plataforma de base de datos, con una amplia gama
de características de seguridad que satisfacen muchos de los requisitos de
cumplimiento tanto normativos como organizativos. Puede proteger fácilmente los
datos controlando el acceso físico a los mismos y con diversas opciones de
seguridad en el archivo (nivel de fila, de columna o de archivo) con el cifrado
de datos transparente, el cifrado de nivel de celda o la seguridad de nivel de
fila. Always Encrypted también permite operaciones en los datos cifrados,
simplificando el proceso de actualizaciones de las aplicaciones. A su vez, el
acceso a los registros auditoría de la actividad de SQL Database le proporciona
la información que necesita, lo que le permite saber cómo y cuándo se tiene
acceso a datos.

Pasos siguientes
Con unos pocos pasos sencillos puede mejorar la protección de su base de datos
contra usuarios malintencionados o acceso no autorizado. En este tutorial,
aprenderá a:

Configurar reglas de firewall para un servidor o una base de datos.

Proteger los datos con cifrado.
Habilitar la auditoría de SQL Database.
 Caja de seguridad del cliente de
Microsoft Azure
23/03/2020 • 11 minutes to read • Edit Online

NOTE
Para usar esta característica, su organización debe tener un plan de soporte técnico de Azure
con un nivel mínimo de tipoDesarrollador .

La Caja de seguridad del cliente de Microsoft Azure proporciona una interfaz

para los clientes y así permitirles revisar y aprobar o rechazar las
solicitudes de acceso de datos de cliente. Se utiliza en casos donde un
ingeniero de Microsoft necesita obtener acceso a los datos del cliente durante
una solicitud de soporte técnico.

Este artículo trata sobre cómo se inician, siguen y almacenan las solicitudes
de la Caja de seguridad del cliente para revisiones y auditorías posteriores.

La Caja de seguridad del cliente ya está disponible con carácter general y

actualmente está habilitada para poder acceder desde el escritorio remoto a las
máquinas virtuales.

Flujo de trabajo
Los siguientes pasos describen un flujo de trabajo típico para una solicitud de
la Caja de seguridad del cliente.

1. Un usuario en una organización tiene un problema con su carga de trabajo

de Azure.

2. Esta persona soluciona el problema pero, como no puede corregirlo, se abre

una incidencia de soporte técnico desde Azure Portal. La incidencia de
soporte técnico se asigna a un ingeniero del servicio de soporte técnico
de Azure.

3. Un ingeniero del soporte técnico de Azure revisa la solicitud de servicio

y determina los pasos siguientes para resolver el problema.

4. Si el ingeniero de soporte técnico no puede solucionar el problema

mediante la telemetría y las herramientas estándar, el siguiente paso es
solicitar permisos con privilegios elevados mediante un servicio de acceso
Just-In-Time (JIT). Esta solicitud puede proceder del ingeniero de soporte
técnico original. O bien, puede ser de un ingeniero diferente porque el
problema se escala al equipo de DevOps de Azure.

5. Una vez que el Ingeniero de Azure envía la solicitud de acceso, el

servicio Just-In-Time evalúa la solicitud teniendo en cuenta factores
como:

El ámbito del recurso

Si el solicitante es una identidad aislada o si usa autenticación
multifactor.
 Niveles de permisos
De acuerdo con la regla JIT, esta solicitud también puede incluir una
aprobación de los aprobadores internos de Microsoft. Por ejemplo, el
aprobador podría ser el líder del soporte técnico al cliente o el
encargado de DevOps.

6. Cuando la solicitud requiere obtener acceso directo a los datos del

cliente, se inicia una solicitud de Caja de seguridad del cliente. Por
ejemplo, se obtiene acceso desde el escritorio remoto a la máquina virtual
de un cliente.

La solicitud se encuentra ahora en un estado de Cliente notificado , según

el cual se espera la aprobación del cliente antes de conceder el acceso.

7. En la organización del cliente, el usuario que tiene el rol de propietario

de la suscripción de Azure recibe un correo electrónico de Microsoft para
notificarle sobre la solicitud de acceso pendiente. Para las solicitudes
de la Caja de seguridad del cliente, esta persona es el aprobador
designado.

Correo electrónico de ejemplo:

8. La notificación por correo electrónico proporciona un enlace a la hoja
Caja de seguridad del cliente en Azure Portal. Al usar este enlace, el
aprobador designado inicia sesión en Azure Portal para ver las solicitudes
pendientes que su organización tiene para la Caja de seguridad del
cliente:
 La solicitud permanece en la cola del cliente durante cuatro días.
Transcurrido ese tiempo, la solicitud de acceso expira automáticamente y
no se concede acceso a los ingenieros de Microsoft.

9. Para obtener los detalles de la solicitud pendiente, el aprobador

designado puede seleccionar la solicitud de la caja de seguridad desde
Solicitudes pendientes :

10. El aprobador designado también puede seleccionar el ID DE SOLICITUD DE

SERVICIO para ver la solicitud de la incidencia de soporte técnico que
creó el usuario original. Esta información proporciona un contexto para el
motivo por el cual el Soporte técnico de Microsoft está involucrado y el
historial del problema informado. Por ejemplo:
11. Después de revisar la solicitud, el aprobador designado selecciona Aprobar
o Denegar :

Como resultado de la selección:

Aprobar : Se concede acceso al ingeniero de Microsoft. El acceso se

concede durante un período predeterminado de ocho horas.
Denegar : La solicitud de acceso con privilegios elevados del ingeniero
de Microsoft se rechaza y no se realiza ninguna otra acción.

Con fines de auditoría, las acciones realizadas en este flujo de trabajo se

registran en los registros de solicitud de la Caja de seguridad del cliente.

Registros de auditoría
Los registros de la Caja de seguridad del cliente se almacenan en los registros
de actividad. En Azure Portal, seleccione Registros de actividad para ver la
información de auditoría relacionada con las solicitudes de la Caja de
seguridad del cliente. Puede filtrar acciones específicas, tales como:

Denegar la solicitud de la caja de seguridad

Crear la solicitud de la caja de seguridad
Aprobar la solicitud de la caja de seguridad
Expiración de la solicitud de la caja de seguridad
Por ejemplo:

Servicios y escenarios admitidos con disponibilidad

general
Los siguientes servicios y escenarios ya están disponibles con carácter general
para la Caja de seguridad del cliente.

Acceso del escritorio remoto a las máquinas virtuales

La Caja de seguridad del cliente está actualmente habilitada para poder acceder
desde el escritorio remoto a las máquinas virtuales. Se admiten las siguientes
áreas de trabajo:

Plataforma como servicio (PaaS): Azure Cloud Services (rol web y rol de
trabajo)
Infraestructura como servicio (IaaS): Windows y Linux (solo Azure Resource
Manager)
Conjunto de escalado de máquinas virtuales: Windows y Linux

NOTE
Las instancias del modelo clásico de IaaS no son compatibles con la Caja de seguridad del
cliente. Si tiene cargas de trabajo ejecutándose en instancias del modelo clásico de IaaS, le
recomendamos que las migre de los modelos de implementación Classic a Resource Manager. Para
obtener más información, consulte Migración compatible con la plataforma de recursos de IaaS
del modelo clásico al de Azure Resource Manager

Registros de auditoría detallados

En cuanto a los escenarios que usan el acceso al escritorio remoto, puede usar
los registros de eventos de Windows para revisar las acciones del ingeniero de
Microsoft. Asimismo, puede usar Azure Security Center para recopilar sus
registros de eventos y copiar los datos a su área de trabajo para analizarlos.
Para obtener más información, consulte Recolección de datos en Azure Security
Center.

Servicios y escenarios admitidos en versión

preliminar
Los siguientes servicios están actualmente en versión preliminar para Caja de
seguridad del cliente:

Azure Storage
 Azure SQL DB

Explorador de datos de Azure

Máquinas virtuales (que ahora también abarcan el acceso a volcados de

memoria y discos administrados)

Transferencias de suscripciones de Azure

Para habilitar estas ofertas en versión preliminar de Caja de seguridad del

cliente para su organización, regístrese en la versión preliminar pública de
Azure de Caja seguridad del cliente.

Exclusiones
Las solicitudes de la Caja de seguridad del cliente no se activan en los
siguientes escenarios del soporte técnico de ingeniería:

Un ingeniero de Microsoft debe realizar una actividad que esté fuera de

los procedimientos operativos estándar. Por ejemplo, para recuperar o
restaurar servicios en escenarios inesperados o impredecibles.

Un ingeniero de Microsoft accede a la plataforma de Azure como parte de la

solución de problemas y, sin darse cuenta, obtiene acceso a los datos del
cliente. Por ejemplo, el equipo de Azure Network realiza la resolución de
problemas que resulta en una captura de paquetes en un dispositivo de red.
Sin embargo, si el cliente cifró los datos mientras estaba en tránsito, el
ingeniero no podrá leerlos.

Pasos siguientes
La Caja de seguridad del cliente está disponible automáticamente para todos los
clientes que tengan un plan de soporte técnico de Azure con un nivel mínimo de
tipo Desarrollador .

Cuando tenga un plan de soporte técnico adecuado, no tendrá que hacer nada para
habilitar la Caja de seguridad del cliente. Las solicitudes de la Caja de
seguridad del cliente de seguridad del cliente las iniciará un ingeniero de
Microsoft si esta acción es necesaria para poder seguir con una incidencia de
soporte técnico que archive alguien de su organización.
 Protección de implementaciones de PaaS
23/03/2020 • 27 minutes to read • Edit Online

En este artículo se proporciona información que ayuda a:

Comprender las ventajas de seguridad del hospedaje de aplicaciones en la nube

Evaluar las ventajas de seguridad de plataforma como servicio (PaaS) en
comparación con otros modelos de servicio en la nube
Cambiar el enfoque de seguridad de un perímetro basado en la red por un
perímetro basado en identidades
Implementar recomendaciones generales de procedimientos recomendados de PaaS

Desarrollo de aplicaciones seguras en Azure es una guía general que incluye los
controles y las preguntas de seguridad que se deben considerar en cada fase del
ciclo de vida de desarrollo de software al desarrollar aplicaciones para la
nube.

Ventajas de seguridad en la nube

Es importante comprender la división de responsabilidad entre usted y
Microsoft. De forma local, es propietario de la pila completa, pero a medida
que se pasa a la nube, algunas responsabilidades se transfieren a Microsoft.

La nube ofrece ventajas de seguridad. En un entorno local, las organizaciones

probablemente tengan responsabilidades inadecuadas y recursos limitados
disponibles para invertir en seguridad, de tal manera que se crea un entorno
donde los atacantes pueden aprovechar vulnerabilidades a todos los niveles.

Las organizaciones pueden mejorar los tiempos de detección de amenazas y

respuesta mediante la utilización de inteligencia de la nube y funciones de
seguridad basada en la nube del proveedor. Con la transferencia de
responsabilidades al proveedor de nube, las organizaciones pueden obtener más
cobertura de seguridad, lo que les permite reasignar recursos de seguridad y
presupuestos a otras prioridades empresariales.

Ventajas de seguridad de un modelo de servicio en

la nube de PaaS
Echemos un vistazo a las ventajas de seguridad de una implementación de PaaS de
Azure frente a las instalaciones locales.
A partir de la parte inferior de la pila, la infraestructura física, Microsoft
mitiga las responsabilidades y los riesgos comunes. Dado que Microsoft
supervisa continuamente Microsoft Cloud, es difícil atacarla. No tiene sentido
que un atacante se fije Microsoft Cloud como un objetivo. A menos que el
atacante tenga una gran cantidad de dinero y recursos, lo más probable es que
el atacante se fije otro objetivo.

En el medio de la pila, no hay ninguna diferencia entre una implementación de

PaaS y una implementación local. A nivel de aplicación y de cuenta y
administración del acceso, tiene riesgos similares. En la siguiente sección de
pasos de este artículo, presentamos los procedimientos recomendados para
eliminar o minimizar estos riesgos.

En la parte superior de la pila, gobernanza de datos y administración de

derechos, corre un riesgo que puede mitigarse con la administración de claves.
(La administración de claves se cubre en los procedimientos recomendados). Si
bien la administración de claves es una responsabilidad adicional, tiene áreas
en una implementación de PaaS que ya no tiene que administrar, por lo que puede
mover recursos a la administración de claves.

La plataforma Azure también proporciona protección segura contra ataques DDoS

mediante el uso de varias tecnologías basadas en red. Sin embargo, todos los
tipos de métodos de protección contra ataques DDoS basados en red tienen sus
límites por vínculo y por centro de datos. Para ayudar a evitar el impacto de
los ataques DDoS grandes, puede beneficiarse de la funcionalidad de la nube
principal de Azure que permite escalar horizontalmente de manera rápida y
automática para defenderse frente a ataques DDoS. En los artículos de
procedimientos recomendados se proporcionan más detalles sobre cómo se puede
hacer esto.

Modernización de la mentalidad del defensor

Las implementaciones de PaaS conllevan un cambio del enfoque general en
relación con la seguridad. Se pasa de la necesidad de controlar todo por uno
mismo a compartir la responsabilidad con Microsoft.
Otra importante diferencia entre las implementaciones de PaaS y las
implementaciones locales tradicionales es una nueva visión de lo que define el
perímetro de seguridad principal. Históricamente, el perímetro de seguridad
local principal era la red, y la mayoría de los diseños de seguridad locales
utilizan la red como la dinámica de seguridad principal. Para las
implementaciones de PaaS, se recomienda considerar la identidad como el
perímetro de seguridad principal.

Adoptar una directiva de identidad como perímetro

de seguridad principal
Una de las cinco características fundamentales de la informática en la nube es
el acceso amplio a la red, lo que hace que el concepto basado en la red resulte
menos relevante. El objetivo de gran parte de la informática en la nube es
permitir a los usuarios acceder a los recursos con independencia de su
ubicación. Para la mayoría de los usuarios, su ubicación estará en alguna parte
de Internet.

En la figura siguiente se muestra cómo el perímetro de seguridad ha

evolucionado de un perímetro de red a un perímetro de identidad. La seguridad
se centra menos en proteger la red y más en proteger los datos, así como en
administrar la seguridad de las aplicaciones y los usuarios. La diferencia
principal es que la intención es basar más la seguridad en lo que resulta
importante para su empresa.

Inicialmente, los servicios PaaS en Azure (por ejemplo, los roles web y Azure
SQL) ofrecían poca o ninguna defensa para el perímetro de red tradicional. Se
entiende que el propósito del elemento era exponerse a Internet (rol web) y que
la autenticación ofrece el nuevo perímetro (por ejemplo, BLOB o Azure SQL).

Las prácticas de seguridad modernas asumen que el adversario ha infringido el

perímetro de red. Por lo tanto, las prácticas de defensa modernas se han pasado
al perímetro de identidad. Las organizaciones deben establecer un perímetro de
seguridad basado en identidades con autenticación sólida e higiene de
autorización (procedimientos recomendados).

Durante décadas, se han encontrado disponibles principios y patrones para el

perímetro de red. En cambio, el sector tiene relativamente poca experiencia con
el uso de la identidad como el perímetro de seguridad principal. Dicho esto, se
ha adquirido suficiente experiencia para ofrecer algunas recomendaciones
generales que se han probado sobre el terreno y que se han aplicado a casi
todos los servicios PaaS.

Aquí tiene unas recomendaciones para administrar el perímetro de identidad.

Procedimiento recomendado : proteger las claves y las credenciales para

proteger la implementación de PaaS.
Detalles : La pérdida de claves y credenciales es un problema común. Puede usar
una solución centralizada que permita almacenar claves y secretos en módulos de
seguridad de hardware (HSM). Azure Key Vault guarda claves y secretos mediante
el cifrado de claves de autenticación, claves de cuenta de almacenamiento,
claves de cifrado de datos, archivos .pfx y contraseñas a través del uso de
claves protegidas por HSM.

Procedimiento recomendado : no incluya credenciales ni otros secretos en el

código fuente ni en GitHub.
Detalles : mucho peor que perder las claves y las credenciales es que otra
persona no autorizada acceda a ellas. Los atacantes pueden aprovechar las
tecnologías de bots para encontrar claves y secretos almacenados en
repositorios de código, como GitHub. No guarde claves ni secretos en estos
repositorios públicos de código.

Procedimiento recomendado : proteja las interfaces de administración de las

máquinas virtuales en servicios híbridos PaaS e IaaS. Para ello, use una
interfaz de administración que permita administrar de manera remota estas
máquinas virtuales directamente.
Detalles : se pueden usar protocolos de administración remota como SSH, RDP y
de comunicación remota de PowerShell. En general, se recomienda no habilitar el
acceso remoto directo a máquinas virtuales desde Internet.

Si es posible, siga otros enfoques, como usar redes privadas virtuales en una
red virtual de Azure. Si no hay otros métodos disponibles, asegúrese de usar
frases de contraseña complejas y la autenticación en dos fases (como Azure
Multi-Factor Authentication).

Procedimiento recomendado : use plataformas sólidas de autenticación y

autorización.
Detalles : Use identidades federadas en Azure AD en lugar de tiendas de
usuarios personalizadas. Cuando se usan identidades federadas, se puede
beneficiar de un enfoque basado en plataformas y delegar la administración de
identidades autorizadas en sus asociados. Un enfoque federado resulta
especialmente importante cuando los empleados terminan los contratos y dicha
información necesita reflejarse a través de varios sistemas de identidad y
autorización.
Use los mecanismos de autenticación y autorización proporcionados en la
plataforma en lugar del código personalizado. La razón es que desarrollar
código de autenticación personalizado puede resultar un método propenso a
errores. La mayoría de los desarrolladores no son expertos en seguridad y es
poco probable que conozcan los detalles y los últimos desarrollos en términos
de autenticación y autorización. El código comercial (por ejemplo, de
Microsoft) suele revisarse de manera amplia a efectos de seguridad.

Use la autenticación en dos fases. La autenticación en dos fases es el estándar

actual para la autenticación y autorización porque evita las vulnerabilidades
de seguridad inherentes a tipos de nombres de usuario y contraseñas de
autenticación. El acceso a las interfaces de administración de Azure
(portal/PowerShell remoto) y a los servicios usados por el cliente debe
diseñarse y configurarse para que use Azure Multi-Factor Authentication.

Use los protocolos de autenticación estándar, como OAuth2 y Kerberos. Estos

protocolos se han sometido a revisiones exhaustivas del mismo nivel y
posiblemente se implementen como parte de las bibliotecas de la plataforma a
efectos de autenticación y autorización.

Usar el modelado de amenazas durante el diseño de

la aplicación
El ciclo de vida de desarrollo de seguridad de Microsoft especifica que los
equipos deben llevar a cabo un proceso denominado modelado de amenazas durante
la fase de diseño. Para que este proceso sea más sencillo, Microsoft ha creado
SDL Threat Modeling Tool. Al modelar el diseño de la aplicación y enumerar las
amenazas de STRIDE en todos los límites de confianza, pueden detectarse errores
de diseño desde el principio.

En esta tabla se enumeran las amenazas STRIDE y se incluyen algunos ejemplos de

mitigación donde se usan características de Azure. Estas mitigaciones no
funcionarán en todas las situaciones.

POSIBLES MITIGACIONES DE LA
THREAT PROPIEDAD DE SEGURIDAD PLATAFORMA AZURE

Suplantación de identidad Authentication Necesita conexiones HTTPS.

Alteración de datos Integridad Valida certificados SSL.

Rechazo No rechazo Habilita opciones de

supervisión y diagnóstico de
Azure.

Divulgación de información Confidencialidad Cifra datos confidenciales en

reposo mediante certificados
de servicio.

Denegación de servicio Disponibilidad Supervisa las métricas de

rendimiento de las posibles
condiciones de denegación de
servicio. Implementa filtros
de conexión.
 POSIBLES MITIGACIONES DE LA
THREAT PROPIEDAD DE SEGURIDAD PLATAFORMA AZURE

Elevación de privilegios Authorization Usa Privileged Identity

Management.

Desarrollar en Azure App Service

Azure App Service es una oferta PaaS que permite crear aplicaciones web y
móviles para cualquier plataforma o dispositivo y conectarse a datos en
cualquier lugar, en la nube o en un entorno local. App Service incluye las
funcionalidades web y móviles que anteriormente se ofrecían por separado como
Azure Websites y Azure Mobile Services. También incluye nuevas funcionalidades
para automatizar procesos empresariales y hospedar las API en la nube. Como
único servicio integrado, App Service ofrece un amplio conjunto de
funcionalidades para escenarios web, móviles y de integración.

Estas son algunos procedimientos recomendados para usar App Service.

Procedimiento recomendado : autenticación mediante Azure Active Directory.

Detalles : App Service proporciona un servicio OAuth 2.0 para el proveedor de
identidades. OAuth 2.0 se centra en la sencillez del desarrollador del cliente
y ofrece flujos de autorización específicos de aplicaciones web, aplicaciones
de escritorio y teléfonos móviles. Azure AD usa OAuth 2.0 para permitir la
autorización del acceso a los dispositivos móviles y a las aplicaciones web.

Procedimiento recomendado : Restricción del acceso siguiendo los principios

de seguridad de limitar el acceso a lo que se necesita saber y a los principios
de seguridad con privilegios mínimos.
Detalles : La restricción del acceso es fundamental para las organizaciones que
deseen aplicar directivas de seguridad para el acceso a los datos. Puede usar
RBAC para asignar permisos a los usuarios, los grupos y las aplicaciones en un
ámbito determinado. Vea Introducción a la administración de acceso para
aprender más sobre cómo conceder acceso a los usuarios a las aplicaciones.

Procedimiento recomendado : Protección de las claves.

Detalles : Azure Key Vault ayuda a proteger las claves criptográficas y los
secretos que usan los servicios y aplicaciones en la nube. Con Key Vault, puede
cifrar claves y secretos (por ejemplo claves de autenticación, claves de cuenta
de almacenamiento, claves de cifrado de datos, archivos .PFX y contraseñas) a
través del uso de claves que están protegidas por módulos de seguridad de
hardware (HSM). Para tener mayor seguridad, puede importar o generar las claves
en HSM. Vea Azure Key Vault para más información. También puede utilizar Key
Vault para administrar los certificados TLS con renovación automática.

Procedimiento recomendado : Restricción de las direcciones IP de origen

entrantes.
Detalles : App Service Environment tiene una característica de integración de
la red virtual que ayuda a restringir las direcciones IP de origen entrantes
mediante grupos de seguridad de red. Las redes virtuales permiten colocar
recursos de Azure en una red que se pueda enrutar distinta de Internet y a la
que se controla el acceso. Vea Integración de su aplicación con una instancia
de Azure Virtual Network para más información.

Procedimiento recomendado : supervise el estado de seguridad de los entornos

de App Service.
Detalles : use Azure Security Center para supervisar los entornos de App
Service. Cuando Security Center identifica posibles vulnerabilidades de
seguridad, crea recomendaciones que lo guiarán por el proceso de configuración
de los controles necesarios.

NOTE
La supervisión de App Service se encuentra en versión preliminar y solo está disponible en el
nivel estándar de Security Center.

Instalar un firewall de aplicaciones web

Las aplicaciones web son cada vez más los objetivos de ataques malintencionados
que aprovechan vulnerabilidades comunes conocidas, como ataques por inyección
de código SQL o ataques de scripts de sitios, por nombrar unos pocos. Impedir
tales ataques en el código de aplicación puede ser un verdadero desafío y
requerir tareas rigurosas de mantenimiento, aplicación de revisiones y
supervisión en varias capas de la topología de aplicación. Un firewall de
aplicaciones web centralizado facilita enormemente la administración de la
seguridad y proporciona mayor protección a los administradores de la aplicación
frente a amenazas o intrusiones. Las soluciones de WAF también pueden
reaccionar más rápido ante una amenaza de la seguridad aplicando revisiones que
aborden una vulnerabilidad conocida en una ubicación central en lugar de
proteger cada una de las aplicaciones web por separado. Las puertas de enlace
de aplicaciones existentes pueden transformarse rápidamente en puertas de
enlace con un firewall de aplicaciones web habilitado.

Firewall de aplicaciones web (WAF) es una característica de Application Gateway

que proporciona a las aplicaciones una protección centralizada contra
vulnerabilidades de seguridad comunes. Firewall de aplicaciones web se basa en
las reglas contenidas en el conjunto de reglas básicas de OWASP (Open Web
Application Security Project) 3.0 o 2.2.9.

Supervisar el rendimiento de las aplicaciones

La supervisión es el acto de recopilar y analizar datos para determinar el
rendimiento, el mantenimiento y la disponibilidad de su aplicación. Una
estrategia de supervisión eficaz le ayuda a comprender el funcionamiento
detallado de los componentes de la aplicación. También sirve para aumentar el
tiempo de actividad, ya que le notifica de cuestiones críticas para que pueda
resolverlas antes de que se conviertan en problemas. También permite detectar
anomalías que podrían estar relacionados con la seguridad.

Use Azure Application Insights para supervisar la disponibilidad, el

rendimiento y el uso de la aplicación, tanto si se hospeda en la nube como en
un entorno local. Con Application Insights, podrá identificar y diagnosticar
rápidamente errores en la aplicación sin tener que esperar a que un usuario
informe de ellos. Con la información que recopile, puede tomar decisiones
informadas sobre el mantenimiento y las mejoras de la aplicación.

Application Insights tiene numerosas herramientas para interactuar con los

datos que recopila. Application Insights almacena sus datos en un repositorio
común. Puede sacar partido a las funciones compartidas, como alertas, paneles y
análisis detallados con el lenguaje de consulta de Kusto.

Realizar pruebas de penetración de seguridad

Validar defensas de seguridad es tan importante como probar cualquier otra
característica. Convierta las pruebas de penetración en una parte estándar del
proceso de compilación e implementación. Programe pruebas de seguridad y
exámenes de vulnerabilidades periódicos en las aplicaciones, y supervise si hay
puertos abiertos, ataques y puntos de conexión.

Las pruebas de vulnerabilidad ante datos aleatorios o inesperados son un método

para buscar errores de programa (errores de código), proporcionando los datos
de entrada con formato incorrecto para interfaces de programación (puntos de
entrada) que analizan y consumen estos datos. Detección de riesgos de seguridad
de Microsoft es una herramienta en la nube que puede usar para buscar errores y
otras vulnerabilidades de seguridad en el software antes de implementarlo en
Azure. La herramienta está diseñada para detectar vulnerabilidades antes de
implementar software para que no tenga que aplicar revisiones a un error,
controlar bloqueos o responder a un ataque después del lanzamiento del
software.

Pasos siguientes
Este artículo se centra en las ventajas de seguridad que ofrece una
implementación de PaaS de Azure y los procedimientos de seguridad recomendados
para aplicaciones en la nube. Después, conocerá los procedimientos recomendados
para proteger las soluciones móviles y web de PaaS mediante determinados
servicios de Azure. Empezaremos con Azure App Service, Azure SQL Database,
Azure SQL Data Warehouse y Azure Storage. A medida que estén disponibles los
artículos sobre procedimientos recomendados para otros servicios de Azure, se
proporcionarán los vínculos correspondientes en la lista siguiente:

Azure App Service

Azure SQL Database y Azure SQL Data Warehouse
Almacenamiento de Azure
Azure Cache for Redis
Azure Service Bus
Firewall de aplicaciones web

Vea Desarrollo de aplicaciones seguras en Azure para profundizar en los

controles y las preguntas de seguridad que se deben considerar en cada fase del
ciclo de vida de desarrollo de software al desarrollar aplicaciones para la
nube.

Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener

más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad

de Azure y los servicios de Microsoft relacionados:

Blog del equipo de seguridad de Azure: ofrece información actualizada sobre

lo último en seguridad de Azure
Microsoft Security Response Center: aquí podrá notificar vulnerabilidades de
seguridad de Microsoft, incluidos problemas con Azure, o también mediante
correo electrónico a secure@[Link].
 Procedimientos recomendados para
proteger aplicaciones web y móviles
PaaS con Azure App Service
23/03/2020 • 5 minutes to read • Edit Online

En este artículo se expone una colección de procedimientos recomendados de

seguridad de Azure App Service para proteger las aplicaciones web y móviles
PaaS. Estos procedimientos recomendados proceden de nuestra experiencia con
Azure y las experiencias de clientes como usted.

Azure App Service es una oferta de plataforma como servicio (PaaS) que permite
crear aplicaciones web y móviles para cualquier plataforma o dispositivo y
conectarse a datos en cualquier lugar, en la nube o en un entorno local. App
Service incluye las funcionalidades web y móviles que anteriormente se ofrecían
por separado como Azure Websites y Azure Mobile Services. También incluye
nuevas funcionalidades para automatizar procesos empresariales y hospedar las
API en la nube. Como único servicio integrado, App Service ofrece un amplio
conjunto de funcionalidades para escenarios web, móviles y de integración.

Autenticación mediante Azure Active Directory (AD)

App Service proporciona un servicio OAuth 2.0 para el proveedor de identidades.
OAuth 2.0 se centra en la sencillez del desarrollador del cliente y ofrece
flujos de autorización específicos de aplicaciones web, aplicaciones de
escritorio y teléfonos móviles. Azure AD usa OAuth 2.0 para permitir la
autorización del acceso a los dispositivos móviles y a las aplicaciones web.
Para obtener más información, vea Autenticación y autorización en Azure App
Service.

Restricción de acceso según el rol

La restricción del acceso es fundamental para las organizaciones que deseen
aplicar directivas de seguridad para el acceso a los datos. Puede usar el
control de acceso basado en rol (RBAC) para asignar permisos a usuarios, grupos
y aplicaciones en un ámbito determinado, como el principio de necesidad de
conocer y el principio de seguridad con privilegios mínimos. Si quiere saber
más sobre cómo conceder a los usuarios acceso a las aplicaciones, vea ¿Qué es
el control de acceso basado en rol (RBAC)?.

Protección de las claves

No importa la calidad de la seguridad si pierde las claves de suscripción.
Azure Key Vault ayuda a proteger claves criptográficas y secretos usados por
servicios y aplicaciones en la nube. Con Key Vault, puede cifrar claves y
secretos (por ejemplo claves de autenticación, claves de cuenta de
almacenamiento, claves de cifrado de datos, archivos .PFX y contraseñas) a
través del uso de claves que están protegidas por módulos de seguridad de
hardware (HSM). Para tener mayor seguridad, puede importar o generar las claves
en HSM. También puede utilizar Key Vault para administrar los certificados TLS
con renovación automática. Vea ¿Qué es Azure Key Vault? para más información.

Restricción de las direcciones IP de origen

entrante
App Service Environments tiene una característica de integración de la red
virtual con la que es más fácil restringir las direcciones IP de origen
entrantes mediante grupos de seguridad de red (NSG). Si no conoce Azure Virtual
Network, se trata de una funcionalidad que permite colocar muchos de los
recursos de Azure en una red no enrutable sin conexión a Internet cuyo acceso
controla. Consulte Integración de su aplicación con una instancia de Azure
Virtual Network para más información.

En Windows, App Service también permite restringir las direcciones IP

dinámicamente mediante el archivo [Link]. Para más información, consulte
Seguridad de direcciones IP dinámicas.

Pasos siguientes
En este artículo se presenta una colección de procedimientos recomendados de
seguridad de App Service para proteger las aplicaciones web y móviles PaaS.
Para obtener más información sobre cómo proteger las implementaciones de PaaS,
vea:

Protección de implementaciones de PaaS

Protección de bases de datos PaaS en Azure
 Procedimientos recomendados para
proteger aplicaciones web y móviles
PaaS con Azure Storage
23/03/2020 • 11 minutes to read • Edit Online

En este artículo se explican una serie de procedimientos recomendados de

seguridad de Azure Storage para proteger las aplicaciones web y móviles PaaS
(plataforma como servicio). Estos procedimientos recomendados proceden de
nuestra experiencia con Azure y las experiencias de clientes como usted.

Azure permite implementar y usar el almacenamiento de formas inauditas con un

entorno local. Gracias a Azure Storage, se pueden alcanzar altos niveles de
escalabilidad y disponibilidad con relativamente poco esfuerzo. Azure Storage
no solo constituye la base de Azure Virtual Machines con Windows y Linux, sino
que también puede admitir aplicaciones distribuidas de gran tamaño.

Azure Storage proporciona los cuatro servicios siguientes: Blob storage, Table
storage, Queue storage y File storage. Para obtener más información, consulte
Introducción a Microsoft Azure Storage.

La Guía de seguridad de Azure Storage es una excelente fuente para obtener

información detallada sobre Azure Storage y la seguridad. Este artículo de
procedimientos recomendados aborda de forma resumida algunos de los conceptos
de la guía de seguridad. Además, se ofrecen vínculos a dicha guía y otras
fuentes de información.

En este artículo se explican los siguientes procedimientos recomendados:

Firmas de acceso compartido (SAS)

Control de acceso basado en roles (RBAC)
Cifrado del lado cliente para datos de gran valor
Cifrado del servicio Storage

Usar una firma de acceso compartido en lugar de una

clave de cuenta de almacenamiento
El control de acceso es fundamental. Para ayudar a controlar el acceso a Azure
Storage, Azure genera dos claves de cuenta de almacenamiento (SAK) de 512 bits
al crear una cuenta de almacenamiento. El nivel de redundancia de claves
permite evitar interrupciones del servicio durante la rotación de claves
rutinaria.

Las claves de acceso de almacenamiento son secretos de prioridad alta y solo

deben estar accesibles a los responsables del control de acceso de
almacenamiento. Si los usuarios equivocados consiguen acceder a estas claves,
controlarían por completo el almacenamiento y podrían reemplazar, eliminar o
agregar archivos en él. Por ejemplo, software malintencionado y otro tipo de
contenido que puede poner en peligro a sus clientes u organización.

Seguirá necesitando una forma de proporcionar acceso a los objetos del

almacenamiento. Para proporcionar un acceso más detallado, puede aprovechar la
firma de acceso compartido (SAS). La SAS permite compartir objetos específicos
en el almacenamiento durante intervalo de tiempo predefinido y con permisos
concretos. Una firma de acceso compartido permite definir lo siguiente:

El intervalo durante el que la SAS es válida, incluida la hora de inicio y la

hora de caducidad.
Los permisos concedidos por la SAS. Por ejemplo, una SAS de un blob podría
conceder a un usuario permisos de lectura y escritura para el blob, pero no
permisos de eliminación.
Una dirección IP opcional o un intervalo de direcciones IP de las que Azure
Storage aceptará la SAS. Por ejemplo, podría especificar un intervalo de
direcciones IP que pertenezcan a su organización. Esto proporciona otra
medida de seguridad para su SAS.
El protocolo a través del cual Azure Storage aceptará la SAS. Puede usar este
parámetro opcional para restringir el acceso a los clientes mediante HTTPS.

SAS permite compartir contenido de la forma que se quiera sin tener que
proporcionar las claves de cuenta de almacenamiento. Utilizar siempre SAS en la
aplicación es una forma segura de compartir los recursos de almacenamiento sin
poner en peligro las claves de cuenta de almacenamiento.

Para obtener más información sobre la firma de acceso compartido, vea Uso de
firmas de acceso compartido (SAS).

Uso del control de acceso basado en rol

Otra forma administrar el acceso es usar el control de acceso basado en rol
(RBAC). Gracias a RBAC, podrá centrarse en proporcionar a los empleados los
permisos exactos que necesiten, según la necesidad de información y los
principios de seguridad de privilegios mínimos. Un número elevado de permisos
puede provocar que la cuenta esté expuesta a los atacantes. Si se conceden muy
pocos, los empleados no podrán realizar su trabajo de manera eficaz. RBAC ayuda
a abordar este problema, ya que es posible realizar una administración avanzada
del acceso para Azure. Esto es fundamental para las organizaciones que deseen
aplicar directivas de seguridad para el acceso a los datos.

Puede usar los roles de RBAC integrados en Azure para asignar privilegios a los
usuarios. Por ejemplo, use Colaborador de la cuenta de almacenamiento para los
operadores en la nube que necesiten administrar cuentas de almacenamiento, y el
rol Colaborador de la cuenta de almacenamiento clásica para administrar cuentas
de almacenamiento clásicas. En el caso de los operadores en la nube que
necesitan administrar máquinas virtuales, pero no la red virtual ni la cuenta
de almacenamiento a la que están conectadas, puede agregarlos al rol
Colaborador de la máquina virtual.

Puede que las organizaciones que no aplican el control de acceso de datos

mediante funcionalidades como RBAC estén concediendo más privilegios de los
necesarios a sus usuarios. Esto puede poner en peligro los datos si algunos
usuarios acceden a datos que no les conciernen.

Para obtener más información sobre RBAC, consulte los siguientes artículos:

Administración del acceso mediante RBAC y Azure Portal

Roles integrados en los recursos de Azure
Guía de seguridad de Azure Storage
Uso del cifrado del lado cliente para datos de gran
valor
El cifrado del lado cliente permite cifrar datos en tránsito mediante
programación antes de cargarlos en Azure Storage y descifrarlos de la misma
manera al recuperarlos. De este modo, se cifran tanto los datos en tránsito
como los que están en reposo. El cifrado del lado cliente el método más seguro
para cifrar los datos, pero hay que realizar cambios mediante programación en
la aplicación e implementar procesos de administración de claves.

El cifrado del lado cliente también permite controlar de forma exclusiva las
claves de cifrado. Puede generar y administrar sus propias claves de cifrado.
Usa una técnica de sobre que consiste en que la biblioteca cliente de Azure
Storage genera una clave de cifrado de contenido (CEK) que se encapsula (se
cifra) mediante la clave de cifrado de claves (KEK). La KEK se identifica
mediante un identificador de clave y puede ser un par de clave asimétrico o una
clave simétrica que puede administrarse de forma local o guardarse en Azure Key
Vault.

El cifrado del lado cliente se integra en las bibliotecas de cliente de

almacenamiento. de Java y .NET. Vea Cifrado del lado de cliente y Azure Key
Vault para Microsoft Azure Storage para obtener información sobre cómo cifrar
los datos en las aplicaciones cliente y cómo generar y administrar claves de
cifrado propias.

Habilitar Storage Service Encryption para datos en

reposo
Cuando el cifrado del servicio Storage está habilitado en File Storage, los
datos se cifran automáticamente con el cifrado AES-256. Microsoft controla todo
el proceso de cifrado, descifrado y administración de claves. Esta
característica está disponible en los tipos de redundancia LRS y GRS.

Pasos siguientes
En este artículo se presenta una serie de procedimientos recomendados de
seguridad de Azure Storage para proteger aplicaciones web y móviles PaaS. Para
obtener más información sobre cómo proteger las implementaciones de PaaS, vea:

Protección de implementaciones de PaaS

Protección de aplicaciones web y móviles PaaS con Azure App Services
Protección de bases de datos PaaS en Azure
 Procedimientos recomendados para
proteger bases de datos PaaS en Azure
23/03/2020 • 11 minutes to read • Edit Online

En este artículo se presenta una colección de procedimientos recomendados de

seguridad de Azure SQL Database y SQL Data Warehouse para proteger las
aplicaciones web y móviles de plataforma como servicio (PaaS). Estos
procedimientos recomendados proceden de nuestra experiencia con Azure y las
experiencias de clientes como usted.

Azure SQL Database y SQL Data Warehouse proporcionan un servicio de base de

datos relacional para aplicaciones basadas en Internet. Se van a considerar los
servicios que ayudan a proteger las aplicaciones y los datos al utilizar Azure
SQL Database y SQL Data Warehouse en una implementación de PaaS:

Autenticación de Azure Active Directory (en lugar de la autenticación de SQL

Server)
Firewall de Azure SQL
Cifrado de datos transparente (TDE)

Usar un repositorio centralizado de identidades

Las bases de datos de Azure SQL pueden configurarse para usar uno de los dos
tipos de autenticación:

Autenticación de SQL usa un nombre de usuario y una contraseña. Al crear

el servidor lógico de la base de datos, especificó un inicio de sesión de
"administrador de servidor" con un nombre de usuario y una contraseña. Con
estas credenciales, puede autenticarse en cualquier base de datos en ese
servidor como propietario de la base de datos.

Autenticación de Azure Active Directory usa las identidades

administradas por Azure Active Directory y es compatible con dominios
administrados e integrados. Para usar la autenticación de Azure Active
Directory, debe crear otro administrador de servidor llamado
"administrador de Azure AD" con permiso para administrar usuarios y grupos
de Azure AD. Este administrador también puede realizar todas las
operaciones de un administrador de servidor normal.

La autenticación de Azure Active Directory es un mecanismo de conexión a Azure

SQL Database y SQL Data Warehouse mediante identidades de Azure Active
Directory (AD). Azure AD proporciona una alternativa a la autenticación de SQL
Server, por lo que puede detener la proliferación de identidades de usuario
entre los servidores de base de datos. La autenticación de Azure AD permite
administrar centralmente las identidades de los usuarios de la base de datos y
otros servicios de Microsoft en una ubicación central. La administración de
identificadores central ofrece una ubicación única para administrar usuarios de
base de datos y simplifica la administración de permisos.

Ventajas de usar la autenticación de Azure AD en lugar de la autenticación de SQL

Permite la rotación de contraseñas en un solo lugar.
 Administra los permisos de la base de datos con grupos externos de Azure AD.
Elimina el almacenamiento de contraseñas mediante la habilitación de la
autenticación integrada de Windows y otras formas de autenticación
compatibles con Azure AD.
Usa usuarios de base de datos independiente para autenticar las identidades
en el nivel de base de datos.
Admite la autenticación basada en token para las aplicaciones que se
conectan a SQL Database.
Admite la federación de dominios con Servicios de federación de Active
Directory (ADFS) o la autenticación nativa de usuario y contraseña para una
instancia de Azure Active Directory local sin sincronización de dominios.
Admite conexiones de SQL Server Management Studio que usan la autenticación
universal de Active Directory, lo cual incluye Multi-Factor Authentication
(MFA). MFA incluye una sólida autenticación con una gama de sencillas
opciones de comprobación: llamada de teléfono, mensaje de texto, tarjetas
inteligentes con PIN o notificación de aplicación móvil. Para más
información, vea Autenticación universal con SQL Database y SQL Data
Warehouse (compatibilidad de SSMS con MFA).

Para obtener más información sobre la autenticación de Azure AD, vea:

Uso de la autenticación de Azure Active Directory para autenticación con SQL

Database, Instancia administrada o SQL Data Warehouse
Autenticación a Azure SQL Data Warehouse
Token-based authentication support for Azure SQL DB using Azure AD
authentication (Compatibilidad de la autenticación basada en tokens para
Azure SQL DB mediante la autenticación de Azure AD)

NOTE
Para asegurarse de que Azure Active Directory sea una buena elección para su entorno, vea
Características y limitaciones de Azure AD.

Restricción de acceso según la dirección IP

Puede crear reglas de firewall que especifiquen intervalos de direcciones IP
aceptables. Estas reglas pueden orientarse a los niveles de servidor y de base
de datos. Se recomienda usar reglas de firewall de nivel de base de datos
siempre que sea posible a fin de mejorar la seguridad y aumentar la
portabilidad de la base de datos. Las reglas de firewall de nivel de servidor
son más eficaces para administradores y cuando tenga muchas bases de datos con
los mismos requisitos de acceso y no quiera dedicar tiempo a configurar cada
una de ellas por separado.

Las restricciones de direcciones IP de origen predeterminadas de SQL Database

permiten acceder desde cualquier dirección de Azure (incluidas otras
suscripciones y otros inquilinos). Puede restringir esto para permitir que solo
sus direcciones IP accedan a la instancia. A pesar de las restricciones de
direcciones IP y del firewall de SQL, también se necesita una autenticación
sólida. Vea las recomendaciones que se han realizado anteriormente en este
artículo.

Para obtener más información sobre las restricciones de IP y el firewall de

Azure SQL, vea:

Control de acceso a Azure SQL Database y SQL Data Warehouse

Reglas de firewall de Azure SQL Database y SQL Data Warehouse

Cifrado de datos en reposo

Cifrado de datos transparente (TDE) está habilitado de forma predeterminada.
TDE cifra de forma transparente los archivos de datos y de registro de SQL
Server, Azure SQL Database y Azure SQL Data Warehouse. TDE protege contra un
posible peligro de acceso directo a los archivos o las copias de seguridad.
Esto le permite cifrar los datos en reposo sin cambiar las aplicaciones
existentes. TDE siempre debería permanecer habilitado, si bien esto no impedirá
que un atacante use la ruta de acceso normal. TDE ofrece la posibilidad de
cumplir muchas leyes, normativas y directrices establecidas en diversos
sectores.

Azure SQL administra los problemas relacionados con las claves para TDE. Al
igual que con TDE, debe tener especial cuidado en el entorno local para
garantizar la capacidad de recuperación y al mover las bases de datos. En
escenarios más complejos, las claves se pueden administrar explícitamente en
Azure Key Vault mediante la administración extensible de claves. Vea Habilitar
TDE en SQL Server con EKM. Esto también permite la funcionalidad Bring Your Own
Key (BYOK), que incorpora Azure Key Vault.

Azure SQL ofrece cifrado de columnas mediante Always Encrypted. Esta

funcionalidad permite que solo las aplicaciones autorizadas accedan a las
columnas confidenciales. Mediante este tipo de cifrado, se limitan las
consultas SQL en las columnas cifradas a valores basados en la igualdad.

También debe usarse el cifrado a nivel de aplicación para datos selectivos. Las
cuestiones sobre la soberanía de los datos se pueden mitigar en ocasiones
mediante el cifrado de datos con una clave que se mantiene en el país o región
correctos. Esto impide incluso que las transferencias de datos accidentales
causen algún error, ya que resultará imposible descifrar los datos sin la
clave, suponiendo que se emplee un algoritmo seguro (como AES 256).

Puede tomar precauciones adicionales con las que proteger aún más la base de
datos, como diseñar un sistema seguro, cifrar los recursos confidenciales e
instalar un firewall alrededor de los servidores de base de datos.

Pasos siguientes
En este artículo se presenta una colección de procedimientos recomendados de
seguridad de SQL Database y SQL Data Warehouse para proteger las aplicaciones
web y móviles PaaS. Para obtener más información sobre cómo proteger las
implementaciones de PaaS, vea:

Protección de implementaciones de PaaS

Protección de aplicaciones web y móviles PaaS con Azure App Services
 Procedimientos recomendados de
seguridad de Azure Service Fabric
23/03/2020 • 23 minutes to read • Edit Online

La implementación de una aplicación en Azure es un proceso rápido, sencillo y

rentable. Antes de implementar la aplicación en la nube en producción, revise
la lista de procedimientos recomendados y fundamentales para implementar
clústeres seguros en la aplicación.

Azure Service Fabric es una plataforma de sistemas distribuidos que facilita el

empaquetamiento, la implementación y la administración de microservicios
escalables y confiables. Service Fabric también aborda los desafíos importantes
en el desarrollo y la administración de aplicaciones en la nube. Los
desarrolladores y administradores pueden evitar problemas complejos de
infraestructura y centrarse en su lugar en las cargas de trabajo más exigentes
y críticas que son escalables, confiables y fáciles de administrar.

Para cada procedimiento recomendado, explicaremos:

El procedimiento recomendado.
Por qué debería implementar el procedimiento recomendado.
Qué puede ocurrir si no se implementa el procedimiento recomendado.
Cómo aprender a implementar el procedimiento recomendado.

Disponemos de los siguientes procedimientos recomendados de seguridad de Azure

Service Fabric:

Usar plantillas de Azure Resource Manager y el módulo de PowerShell de

Service Fabric para crear clústeres seguros.
Usar certificados X.509.
Configurar directivas de seguridad.
Implementar la configuración de seguridad de Reliable Actors.
Configurar SSL para Azure Service Fabric.
Usar aislamiento y seguridad de red con Azure Service Fabric.
Configurar Azure Key Vault para la seguridad.
Asignar usuarios a roles.

Procedimientos recomendados para proteger los

clústeres
Use siempre un clúster seguro:

Implemente la seguridad del clúster mediante el uso de certificados.

Proporcione acceso de cliente (administrador y de solo lectura) mediante el
uso de Azure Active Directory (Azure AD).

Use implementaciones automatizadas:

Use scripts para generar, implementar y sustituir secretos.

Almacene los secretos en Azure Key Vault y use Azure AD para todos los otros
accesos de cliente.
 Requiera autenticación para el acceso de usuario a los secretos.

Además, tenga en cuenta las siguientes opciones de configuración:

Cree redes perimetrales (también conocido como DMZ y subredes filtradas)

mediante el uso de grupos de seguridad de red (NSG) de Azure.
Use servidores de salto con conexión a Escritorio remoto para obtener acceso
a las máquinas virtuales (VM) del clúster o administrar el clúster.

Los clústeres deben estar protegidos para evitar que usuarios no autorizados se
conecten a ellos, especialmente cuando un clúster está en producción. Aunque es
posible crear un clúster sin protección, si este expone los puntos de conexión
de administración a Internet público, podrían conectarse a él usuarios
anónimos.

Hay tres escenarios para implementar la seguridad del clúster mediante el uso
de varias tecnologías:

Seguridad de nodo a nodo: este escenario protege la comunicación entre las

máquinas virtuales y los equipos del clúster. Esta forma de seguridad
garantiza que solo los equipos que están autorizados a unirse al clúster
pueden hospedar aplicaciones y servicios en el clúster. En este escenario,
los clústeres que se ejecutan en Azure o los independientes que se ejecutan
en Windows pueden utilizar una seguridad basada en certificados o la
seguridad de Windows para las máquinas con Windows Server.
Seguridad de cliente a nodo: este escenario protege la comunicación entre un
cliente de Service Fabric y los nodos individuales del clúster.
Control de acceso basado en rol (RBAC): este escenario utiliza identidades
diferentes (certificados, Azure AD, etc) para cada rol de cliente de
administrador y usuario que tiene acceso al clúster. Se especifican las
identidades de rol cuando se crea el clúster.

NOTE
Recomendación de seguridad para los clústeres de Azure : utilice la seguridad de Azure AD
para autenticar a los clientes y certificados para la seguridad de nodo a nodo.

Para configurar el clúster de Windows independiente, consulte Opciones de

configuración de un clúster de Windows independiente.

Use plantillas de Azure Resource Manager y el módulo de PowerShell de Service

Fabric para crear un clúster seguro. Para instrucciones paso a paso sobre la
creación de un clúster seguro de Service Fabric con las plantillas de Azure
Resource Manager, consulte Creación de un clúster de Service Fabric.

Utilice la plantilla de Azure Resource Manager:

Personalice el clúster mediante la plantilla para configurar el

almacenamiento administrado para los discos duros virtuales (VHD) de la
máquina virtual.
Realice los cambios al grupo de recursos mediante la plantilla para facilitar
la administración de la configuración y la auditoría.

Trate la configuración del clúster como código:

 Sea exhaustivo al comprobar las configuraciones de implementación.
Evite el uso de comandos implícitos para modificar directamente los recursos.

Muchos aspectos del ciclo de vida de la aplicación de Service Fabric pueden

automatizarse. El módulo de PowerShell de Service Fabric automatiza las tareas
comunes para implementar, actualizar, eliminar y probar aplicaciones de Azure
Service Fabric. También cuenta con API HTTP y administradas para la
administración de aplicaciones.

Uso de certificados X.509

Proteja siempre los clústeres mediante el uso de certificados X.509 o con la
seguridad de Windows. Solo se configura la seguridad en el momento de creación
de clúster. No es posible activar la seguridad una vez creado el clúster.

Para especificar un certificado de clúster, establezca el valor de la propiedad

ClusterCredentialType en X509. Para especificar un certificado de servidor
para conexiones externas, establezca la propiedad ServerCredentialType en
X509.

Además, siga estos procedimientos:

Cree los certificados para los clústeres de producción mediante un servicio

de certificados de Windows Server configurado correctamente. También puede
obtener los certificados de una entidad de certificación aprobada (CA).
Nunca utilice a un certificado temporal o de prueba para clústeres de
producción si el certificado se creó mediante [Link] u otra herramienta
similar.
Use un certificado autofirmado para clústeres de prueba, pero no para
clústeres de producción.

Si el clúster no es seguro, cualquiera puede conectarse de forma anónima y

realizar operaciones de administración. Por esta razón, proteja siempre los
clústeres de producción mediante el uso de certificados X.509 o con la
seguridad de Windows.

Para más información sobre el uso de certificados X.509, consulte Agregar o

quitar certificados para un clúster de Service Fabric.

Configuración de directivas de seguridad

Service Fabric también protege los recursos utilizados por las aplicaciones.
Los recursos tales como archivos, directorios y certificados se almacenan en
las cuentas de usuario cuando se implementa la aplicación. Esta característica
aumenta la seguridad entre las aplicaciones en ejecución, incluso en un entorno
hospedado compartido.

Use un usuario o un grupo de dominios de Active Directory: ejecute el

servicio con las credenciales de una cuenta de usuario o grupo de Active
Directory. Asegúrese de utilizar Active Directory local dentro del dominio
y no Azure Active Directory. Utilice un usuario o grupo de dominio para
tener acceso a otros recursos del dominio en los que se le hayan concedido
permisos. Por ejemplo, recursos compartidos de archivos.

Asigne una directiva de acceso de seguridad a los puntos de conexión HTTP

 y HTTPS: especifique la propiedad SecurityAccessPolicy para aplicar una
directiva RunAs a un servicio cuando el manifiesto de servicio declare los
recursos del punto de conexión con HTTP. Los puertos asignados a los
puntos de conexión HTTP son listas de acceso controlado para la cuenta de
usuario RunAs en la que se ejecuta el servicio. Cuando la directiva no
está establecida, [Link] no tiene acceso al servicio y pueden aparecer
errores en las llamadas del cliente.

Para más información sobre el uso de directivas de seguridad en un clúster de

Service Fabric, consulte Configuración de directivas de seguridad para la
aplicación.

Implementación de la configuración de seguridad de

Reliable Actors
Service Fabric Reliable Actors es una implementación del modelo de diseño del
actor. Al igual que sucede con cualquier modelo de diseño de software, la
decisión de usar un modelo específico se toma en función de si un problema de
diseño de software se adapta al modelo o no.

En general, utilice el modelo de diseño de actor para ayudar a modelar

soluciones para los siguientes problemas de software o escenarios de seguridad:

El espacio del problema implica un gran número (miles o más) de unidades

pequeñas, independientes y aisladas de estado y lógica.
Trabaja con objetos de un único subproceso que no requieren una interacción
importante con componentes externos, incluida la consulta del estado en un
conjunto de actores.
Las instancias de actor no bloquean a los autores de llamadas con retrasos
imprevisibles emitiendo operaciones de E/S.

En Service Fabric, los actores se implementan en el marco de trabajo de la

aplicación de Reliable Actors. Este marco de trabajo se basa en el patrón de
actor y está construido sobre Reliable Services de Service Fabric. Cada
servicio de Reliable Actors que escribe es un servicio de confianza con estado
particionado.

Cada actor se define como una instancia de un tipo de actor, similar a la forma
en que un objeto de .NET es una instancia de un tipo de .NET. Por ejemplo, un
tipo de actor que implementa la funcionalidad de una calculadora puede tener
muchos actores de ese tipo distribuidos en varios nodos en un clúster. Cada uno
de los actores distribuidos se caracteriza de forma única por un identificador
de actor.

Las configuraciones de seguridad del replicador se usan para proteger el canal

de comunicación que se utiliza durante la replicación. Esta configuración
impide que los servicios vean el tráfico de replicación de otros servicios y
garantiza que los datos de alta disponibilidad son seguros. De forma
predeterminada, una sección de configuración de seguridad vacía impide la
seguridad de la replicación. Las configuraciones de replicador configuran el
replicador que es responsable de hacer que el proveedor de estado del actor
resulte altamente confiable.

Configuración de SSL para Azure Service Fabric

El proceso de autenticación de servidor autentica los puntos de conexión de
administración del clúster a un cliente de administración. El cliente de
administración, a continuación, reconoce que se comunica con el clúster real.
Este certificado proporciona también SSL para la API de administración de HTTPS
y para Service Fabric Explorer sobre HTTPS. Debe adquirir un nombre de dominio
personalizado para el clúster. Cuando solicite un certificado de una entidad de
certificación, el nombre de sujeto del certificado debe coincidir con el nombre
de dominio personalizado del clúster.

Para configurar SSL para una aplicación, primero debe obtener un certificado
SSL firmado por una entidad de certificación. La entidad de certificación es un
tercero de confianza que emite certificados SSL por motivos de seguridad. Si
todavía no tiene un certificado SSL, deberá obtenerlo mediante una compañía que
venda certificados SSL.

El certificado debe cumplir los siguientes requisitos de certificados SSL en

Azure:

El certificado debe contener una clave privada.

El certificado debe crearse para el intercambio de claves, que se puedan

exportar a un archivo Personal Information Exchange (.pfx).

El nombre de sujeto del certificado debe coincidir con el nombre de

dominio usado para tener acceso al servicio en la nube.

Debe adquirir un nombre de dominio personalizado para el acceso a su

servicio en la nube.
Solicite un certificado a una entidad de certificación con un nombre de
sujeto que coincida con el nombre de dominio personalizado del servicio.
Por ejemplo, si el nombre de dominio personalizado es contoso .com , el
certificado de la CA debe tener el nombre de sujeto .[Link] o www
.[Link] .

NOTE
No se puede obtener un certificado SSL de una entidad de certificación para el dominio
cloudapp .net .

Este certificado debe usar un cifrado de 2,048 bits como mínimo.

El protocolo HTTP no es seguro y está sujeto a ataques de interceptación. Los

datos que se transmiten a través de HTTP se envían como texto sin formato desde
el explorador web al servidor web o entre otros puntos de conexión. Los
atacantes pueden interceptar y ver datos confidenciales enviados a través de
HTTP, como los detalles de las tarjetas de crédito e inicios de sesión de
cuenta. Cuando los datos se envían o se publican a través de un explorador
mediante HTTPS, SSL garantiza que esa información se cifra y protege de la
interceptación.

Para más información sobre el uso de certificados SSL, consulte Configuración

de SSL para aplicaciones de Azure.

Uso de aislamiento y seguridad de red con Azure

Service Fabric
 Configure un clúster seguro de 3 tipos de nodo mediante la plantilla de Azure
Resource Manager como ejemplo. Controle el tráfico de red entrante y saliente
mediante el uso de la plantilla y los grupos de seguridad de red.

La plantilla tiene un grupo de seguridad de red para cada uno de los conjuntos
de escalado de máquinas virtuales a fin de controlar el tráfico dentro y fuera
del conjunto. De forma predeterminada, las reglas se configuran para permitir
todo el tráfico que necesitan los servicios del sistema y los puertos de la
aplicación especificados en la plantilla. Revise esas reglas y realice los
cambios que necesite, incluido agregar nuevas reglas para las aplicaciones.

Para más información, consulte Escenarios comunes de redes para Azure Service
Fabric.

Configuración de Azure Key Vault para la seguridad

Service Fabric usa certificados para proporcionar autenticación y cifrado con
el fin de proteger un clúster y sus aplicaciones.

Service Fabric usa certificados X.509 para proteger un clúster y proporcionar

características de seguridad de las aplicaciones. Azure Key Vault se usa para
administrar certificados para clústeres de Service Fabric en Azure. El
proveedor de recursos de Azure que crea los clústeres extrae los certificados
de un almacén de claves. El proveedor, a continuación, instala los certificados
en las máquinas virtuales cuando el clúster se implementa en Azure.

Existe una relación de certificados entre Azure Key Vault, el clúster de

Service Fabric y el proveedor de recursos que usa los certificados. Cuando se
crea el clúster, la información sobre la relación de certificados se almacena
en un almacén de claves.

Hay dos pasos básicos para configurar un almacén de claves:

1. Crear un grupo de recursos específico para el almacén de claves.

Se recomienda colocar el almacén de claves en su propio grupo de recursos.

Esta acción ayuda a evitar la pérdida de las claves y secretos si se
eliminan otros grupos de recursos, como almacenamiento, proceso o el grupo
que contiene el clúster. El grupo de recursos que contiene el almacén de
claves debe estar en la misma región que el clúster que lo usa.

2. Crear un almacén de claves en el nuevo grupo de recursos.

El almacén de claves debe estar habilitado para la implementación. El

proveedor de recursos de proceso, a continuación, puede obtener los
certificados del almacén e instalarlos en las instancias de máquina
virtual.

Para obtener más información sobre cómo configurar un almacén de claves,

consulte ¿Qué es Azure Key Vault?.

Asignación de usuarios a roles

Una vez que haya creado las aplicaciones para representar el clúster, debe
asignar los usuarios a los roles compatibles con Service Fabric: solo lectura y
administrador. Puede asignar los roles mediante Azure Portal.
 NOTE
Para más información sobre el uso de roles en Service Fabric, consulte Control de acceso basado
en roles para clientes de Service Fabric.

Azure Service Fabric admite dos tipos de control de acceso para los clientes
que están conectados a un clúster de Service Fabric: administrador y usuario.
El administrador del clúster puede usar el control de acceso para limitarlo a
determinadas operaciones del clúster para los diferentes grupos de usuarios. El
control de acceso hace que el clúster sea más seguro.

Pasos siguientes
Lista de comprobación de seguridad de Service Fabric
Configurar el entorno de desarrollo de Service Fabric.
Más información sobre las opciones de soporte técnico de Service Fabric.
 Detección de amenazas avanzada de
Azure
23/03/2020 • 49 minutes to read • Edit Online

Azure ofrece funciones de detección de amenazas avanzada integradas en

servicios como Azure Active Directory (Azure AD), registros de Azure Monitor y
Azure Security Center. Esta colección de servicios de seguridad y
funcionalidades ofrece una manera sencilla y rápida de comprender lo que ocurre
en las implementaciones de Azure.

Azure proporciona una amplia gama de opciones para configurar y personalizar la

seguridad para que cumpla los requisitos de las implementaciones de la
aplicación. En este artículo se explica cómo cumplir estos requisitos.

Azure Active Directory Identity Protection

Azure AD Identity Protection es una característica de la edición Azure Active
Directory Premium P2 que proporciona información general de las detecciones de
riesgo y las posibles vulnerabilidades que pueden afectar a las identidades de
la organización. Identity Protection usa las funcionalidades de detección de
anomalías existentes de Azure AD que están disponibles mediante informes de
actividad anómala de Azure AD e introduce nuevos tipos de detección de riesgo
que pueden detectar anomalías en tiempo real.

En Identity Protection se usan algoritmos y heurística de aprendizaje

automático adaptable para detectar anomalías y detecciones de riesgo que es
posible que indiquen que una identidad se ha puesto en peligro. Con estos
datos, Identity Protection genera informes y alertas que permiten investigar
estas detecciones de riesgo y tomar las acciones de corrección o mitigación
adecuadas.

Azure Active Directory Identity Protection es más que una herramienta de

supervisión e informes. En función de las detecciones de riesgo, Identity
Protection calcula un nivel de riesgo del usuario para cada usuario, de modo
que pueda configurar las directivas basadas en riesgos con el fin de proteger
de forma automática las identidades de la organización.

Estas directivas basadas en riesgos, además de otros controles de acceso

condicional proporcionados por Azure Active Directory y EMS, pueden bloquear
automáticamente u ofrecer acciones de corrección adaptables que incluyen el
restablecimiento de contraseñas y el cumplimiento de la autenticación
multifactor.

Funcionalidades de Identity Protection

Azure Active Directory Identity Protection es más que una herramienta de
supervisión e informes. Para proteger las identidades de la organización, puede
configurar directivas basadas en riesgos que respondan automáticamente a
problemas detectados si se alcanza un nivel de riesgo específico. Estas
directivas, además de otros controles de acceso condicional proporcionados por
Azure Active Directory y EMS, pueden bloquear automáticamente o iniciar
acciones de corrección adaptables que incluyen el restablecimiento de
contraseñas y el cumplimiento de la autenticación multifactor.

Ejemplos de algunas de las maneras en que Azure Identity Protection puede

ayudar a proteger las cuentas e identidades:

Detecciones de riesgo y cuentas peligrosas

Detecte seis tipos de detecciones de riesgo mediante el aprendizaje

automático y las reglas heurísticas.
Calcular los niveles de riesgo del usuario.
Proporcionar recomendaciones personalizadas para mejorar la posición de
seguridad general al resaltar los puntos vulnerables.

Investigación de las detecciones de riesgo

Enviar notificaciones de las detecciones de riesgo.

Investigar las detecciones de riesgo con información pertinente y contextual.
Proporcionar los flujos de trabajo básicos para realizar un seguimiento de
las investigaciones.
Proporcionar un acceso fácil a las acciones de corrección, como el
restablecimiento de contraseñas.

Directivas de acceso condicional basadas en riesgos

Mitigar los inicios de sesión peligrosos mediante el bloqueo de los inicios

de sesión o requerir desafíos de la autenticación multifactor.
Proteger o bloquear cuentas de usuario peligrosas.
Exigir a los usuarios que se registren en la autenticación multifactor.

Administración de identidades con privilegios de Azure AD

Con Azure Active Directory Privileged Identity Management (PIM), puede
administrar, controlar y supervisar el acceso dentro de la organización. Esta
característica incluye el acceso a los recursos de Azure AD y otros servicios
en línea de Microsoft, como Office 365 o Microsoft Intune.
PIM ayuda a:

Obtener alertas e informes sobre los administradores de Azure AD y el

acceso administrativo Just-In-Time (JIT) a los servicios en línea de
Microsoft, como Office 365 e Intune.

Obtener informes sobre el historial de acceso de administrador y los

cambios en las asignaciones de administrador.

Obtener alertas sobre el acceso a un rol con privilegios.

Registros de Azure Monitor

Los registros de Azure Monitor son una solución de administración de TI basada
en la nube de Microsoft que permiten administrar y proteger la infraestructura
local y en la nube. Como los registros de Azure Monitor se implementan como un
servicio basado en la nube, puede ponerlos en funcionamiento rápidamente con
una inversión mínima en servicios de infraestructura. Las características
nuevas de seguridad se entregan de forma automática, lo que supone un ahorro en
costos permanentes de mantenimiento y actualización.

Además de proporcionar servicios útiles, los registros de Azure Monitor se

pueden integrar con componentes de System Center, como System Center Operations
Manager, para ampliar a la nube las inversiones de administración de seguridad
existentes. System Center y los registros de Azure Monitor pueden funcionar de
forma conjunta para ofrecer una experiencia de administración híbrida completa.

Seguridad integral y postura de cumplimiento

En el panel Seguridad y auditoría de Log Analytics, se muestra una vista
completa de la posición de seguridad de TI de la organización, con consultas de
búsqueda integradas para problemas relevantes que necesiten su atención. El
panel Seguridad y auditoría es la pantalla principal para todo lo relacionado
con la seguridad en los registros de Azure Monitor. Proporciona información
detallada sobre el estado de seguridad de los equipos. También se pueden ver
todos los eventos de las últimas 24 horas, siete días o cualquier otro
intervalo personalizado.
Los registros de Azure Monitor permiten comprender de forma rápida y sencilla
la posición de seguridad global de cualquier entorno, todo ello en el contexto
de las operaciones de TI, como la evaluación de actualizaciones de software, la
evaluación de antimalware y las líneas base de configuración. Los datos del
registro de seguridad son accesibles en todo momento para simplificar los
procesos de auditoría de seguridad y cumplimiento.

El panel Seguridad y auditoría de Log Analytics se divide en cuatro categorías

principales:

Dominios de seguridad : permite explorar más los registros de seguridad a

lo largo del tiempo, acceder a evaluaciones de malware, actualizar las
evaluaciones, ver información de seguridad de la red, identidad y acceso,
ver equipos con eventos de seguridad y acceder rápidamente al panel de
Azure Security Center.

Problemas importantes : permite identificar de forma rápida la cantidad

de problemas activos y su gravedad.

Detecciones (versión preliminar) : permite identificar los patrones de

ataque mediante la visualización de alertas de seguridad a medida que se
producen contra sus recursos.

Información sobre amenazas : permite identificar los patrones de ataque

mediante la visualización del número total de servidores con tráfico IP
malintencionado de salida, el tipo de amenaza malintencionada y un mapa de
las ubicaciones IP.

Consultas comunes de seguridad : enumera las consultas de seguridad más

comunes que se pueden usar para supervisar el entorno. Al seleccionar
cualquier consulta, se abre el panel de búsqueda y se muestran los
resultados para esa consulta.

Insight y Analytics
En el centro de los registros de Azure Monitor se encuentra el repositorio de
OMS, que está hospedado en Azure.
Los datos se recopilan en el repositorio desde los orígenes conectados mediante
la configuración de orígenes de datos y la incorporación de soluciones a la
suscripción.

Cada uno de los orígenes de datos y soluciones crea tipos de registros

distintos con su propio conjunto de propiedades, pero se pueden seguir
analizando de forma conjunta en consultas al repositorio. Se pueden usar las
mismas herramientas y métodos para trabajar con una variedad de datos que se
recopilan mediante diversos orígenes.

La mayor parte de la interacción con los registros de Azure Monitor se realiza

mediante Azure Portal, que se ejecuta en cualquier explorador y proporciona
acceso a opciones de configuración y a herramientas para analizar los datos
recopilados y realizar acciones en estos. Desde el portal, puede usar:

Búsquedas de registros donde se crean consultas para analizar los datos

recopilados.
Paneles, que se pueden personalizar con vistas gráficas de las búsquedas más
valiosas.
Soluciones, que proporcionan herramientas de análisis y funcionalidad
adicionales.
Las soluciones agregan funcionalidad a los registros de Azure Monitor. Se
ejecutan principalmente en la nube y proporcionan análisis de los datos
recopilados en el repositorio de Log Analytics. Puede que las soluciones
también definan nuevos tipos de registro para recopilar que se pueden analizar
con las búsquedas de registros o mediante una interfaz de usuario adicional que
la solución proporciona en el panel de Log Analytics.

El panel Seguridad y auditoría es un ejemplo de estos tipos de solución.

Automatización y control: desviación de la alerta de configuración de seguridad

Azure Automation automatiza los procesos administrativos con runbooks que se
basan en PowerShell y se ejecutan en la nube. Los runbooks pueden ejecutarse en
un servidor en el centro de datos local para administrar recursos locales.
Azure Automation proporciona administración de configuración con Desired State
Configuration (DSC) de PowerShell.
Puede crear y administrar recursos de DSC hospedados en Azure y aplicarlos a
los sistemas de nube y locales. Al hacerlo, puede definir y aplicar de forma
automática su configuración, o bien obtener informes de la desviación para
ayudar a garantizar que las configuraciones de seguridad se ajusten siempre a
las directivas.

Azure Security Center

Azure Security Center ayuda a proteger los recursos de Azure. Proporciona una
supervisión de la seguridad y una administración de directivas integradas en
suscripciones de Azure. En el servicio, puede definir directivas para las
suscripciones de Azure y los grupos de recursos para obtener una mayor
granularidad.

Los investigadores de seguridad de Microsoft trabajan sin descanso para

localizar amenazas. Tienen acceso al amplio conjunto de recursos de telemetría
que les proporciona la presencia global de Microsoft en la nube y en sistemas
locales. La amplitud y diversidad de estos conjuntos de datos permite a
Microsoft detectar nuevos patrones y tendencias de ataque tanto en sus
productos locales, destinados a particulares y empresas, como en sus servicios
en línea.

Por lo tanto, Security Center es capaz de actualizar rápidamente los algoritmos

de detección a medida que los atacantes idean nuevos y más sofisticados ataques
de seguridad. Este enfoque le ayuda a mantenerse al día en entornos con
amenazas que cambian continuamente.
La detección de amenazas de Security Center recopila automáticamente
información de seguridad de sus recursos de Azure, de la red y de soluciones de
asociados relacionadas. Analiza estos datos (a menudo, al relacionar la
información de diferentes orígenes) para identificar las amenazas.

En Security Center, las alertas de seguridad están clasificadas por prioridad y

se incluyen recomendaciones para solucionar la amenaza.

Security Center utiliza análisis avanzados que superan con creces los enfoques
basados en firmas. Se usan innovaciones en tecnologías de macrodatos y
aprendizaje automático para evaluar eventos en todo el tejido en la nube. El
análisis avanzado puede detectar amenazas que sería imposible identificar
mediante enfoques manuales y predice la evolución de los ataques. Estos tipos
de análisis de seguridad se tratan en las secciones siguientes.

Información sobre amenazas

Microsoft tiene acceso a una cantidad ingente de información sobre amenazas
globales.

Los recursos telemétricos proceden de diferentes fuentes, como Azure, Office

365, Microsoft CRM Online, Microsoft Dynamics AX, [Link], [Link], la
Unidad de crímenes digitales de Microsoft (DCU) y Microsoft Security Response
Center (MSRC).
Los investigadores también cuentan con la información de inteligencia sobre
amenazas que comparten los principales proveedores de servicios en la nube y
que procede de fuentes de terceros. Azure Security Center puede usar todos
estos datos para avisarle de las amenazas procedentes de actores
malintencionados conocidos. Estos son algunos ejemplos:

Aprovechamiento de la capacidad del aprendizaje automático : Azure

Security Center tiene acceso a una gran cantidad de datos sobre la
actividad de red en la nube, que se puede usar para detectar amenazas
dirigidas a las implementaciones de Azure.

Detección de fuerza bruta : el aprendizaje automático se usa para crear

un patrón histórico de los intentos de acceso remoto, lo que permite
detectar los ataques de fuerza bruta contra los puertos Secure Shell (SSH),
Protocolo de escritorio remoto (RDP) y SQL.

Salida DDoS y detección de botnet : un objetivo común de los ataques

dirigidos a los recursos de nube consiste en usar la capacidad de proceso
de estos recursos para ejecutar otros ataques.

Nuevos servidores de análisis de comportamiento y máquinas

virtuales : después de poner en peligro un servidor o una máquina virtual,
los atacantes emplean una gran variedad de técnicas para ejecutar código
malintencionado en el sistema sin ser detectados, lo que garantiza la
persistencia y consigue evitar los controles de seguridad.

Detección de amenazas de Azure SQL Database : la detección de amenazas

de Azure SQL Database identifica actividades anómalas de la base de datos
 que indican intentos inusuales o posiblemente dañinos de acceso o ataque a
las bases de datos.

Análisis del comportamiento

El análisis del comportamiento es una técnica que analiza datos y los compara
con una serie de patrones conocidos. No obstante, estos patrones no son simples
firmas, sino que están determinados por unos complejos algoritmos de
aprendizaje automático que se aplican a conjuntos de datos masivos.

Los patrones también se determinan por medio de un análisis cuidadoso, llevado

a cabo por analistas expertos, de los comportamientos malintencionados. Azure
Security Center puede utilizar el análisis del comportamiento para identificar
recursos en peligro a partir del análisis de registros de las máquinas
virtuales, registros de los dispositivos de redes virtuales, registros de los
tejidos, volcados de memoria y otros orígenes.

Además, los patrones se ponen en correlación con otras señales que se

comprueban para fundamentar las pruebas de que se trata una campaña de gran
difusión. Dicha correlación permite identificar eventos que se ajustan a unos
indicadores de peligro establecidos.

Estos son algunos ejemplos:

Ejecución de procesos sospechosos : los atacantes utilizan varias

técnicas para ejecutar software malintencionado sin que se detecte. Por
ejemplo, un atacante podría asignar a un malware los mismos nombres que se
usan en los archivos legítimos del sistema, pero colocarlos en otras
ubicaciones, usar un nombre muy parecido al de un archivo legítimo o
enmascarar la verdadera extensión del archivo. Security Center adapta los
comportamientos de los procesos y supervisa su ejecución para detectar
valores atípicos como estos.

Malware oculto e intentos de aprovecharse de vulnerabilidades de

seguridad : el malware sofisticado puede eludir los productos antimalware
tradicionales, para lo que evita escribir en el disco o cifra los
 componentes de software almacenados en el disco. Pero este malware se puede
detectar mediante un análisis de memoria, ya que, para funcionar, deja
rastros en la memoria. En el momento en que el software se bloquea, un
volcado de memoria captura una porción de la memoria. Con un análisis de la
memoria durante el volcado, Azure Security Center puede detectar las
técnicas usadas para aprovechar las vulnerabilidades del software, acceder
a información confidencial y permanecer en secreto en un equipo afectado
sin que esto afecte a su rendimiento.

Movimiento lateral y reconocimiento interno : para poder permanecer en

una red afectada y localizar y recopilar información valiosa, los atacantes
suelen tratar de desplazar lateralmente el contenido de la máquina afectada
a otras de la misma red. Security Center supervisa las actividades de los
procesos e inicios de sesión para detectar cualquier intento de expandir el
punto de apoyo del atacante en la red, como sondeos de redes de ejecución
remota de comandos y enumeración de cuentas.

Scripts de PowerShell malintencionados : los atacantes usan PowerShell

para ejecutar código malintencionado en las máquinas virtuales objetivo con
diferentes propósitos. Security Center analiza la actividad de PowerShell
en busca de evidencias de actividad sospechosa.

Ataques de salida : a menudo, el objetivo de los atacantes son recursos en

la nube, que utilizan con el propósito de perpetrar otros ataques. Por
ejemplo, es posible que las máquinas virtuales afectadas se usen para
iniciar ataques por fuerza bruta contra otras máquinas virtuales, enviar
correo no deseado o buscar puertos abiertos y otros dispositivos en
Internet. Gracias a la aplicación del aprendizaje automático en el tráfico
de red, Security Center puede detectar cuándo las comunicaciones de red
salientes superan la norma establecida. Cuando se detecta correo no
deseado, Security Center relaciona el tráfico inusual de correo electrónico
con la información de Office 365 para determinar si es probable que el
mensaje sea fraudulento o si es el resultado de una campaña de correo
electrónico legítima.

Detección de anomalías
Azure Security Center también utiliza la detección de anomalías para
identificar amenazas. A diferencia del análisis del comportamiento, que depende
de patrones conocidos obtenidos a partir de grandes conjuntos de datos, la
detección de anomalías es una técnica más “personalizada” y se basa en
referencias que son específicas de las implementaciones. El aprendizaje
automático se aplica para determinar la actividad normal de las
implementaciones y, después, se generan reglas para definir condiciones de
valores atípicos que podrían constituir un evento de seguridad. Veamos un
ejemplo:

Ataques ataque por fuerza bruta de RDP/SSH de entrada : es posible que

las implementaciones integren máquinas virtuales con mucha actividad que
tengan multitud de inicios de sesión al día y otras máquinas virtuales que
tengan pocos inicios de sesión o ninguno. Azure Security Center puede
determinar la actividad de referencia de los inicios de sesión de estas
máquinas virtuales y utilizar el aprendizaje automático para definir las
actividades relacionadas con el inicio de sesión normal. Si hay alguna
discrepancia con la línea de base definida para las características
 relacionadas con el inicio de sesión, es posible que se genere una alerta.
Una vez más, es el aprendizaje automático el que se encarga de determinar qué
es significativo.

Supervisión continuada de la información sobre amenazas

Azure Security Center cuenta con equipos de científicos de datos e
investigadores de seguridad de todo el mundo que supervisan sin descanso los
cambios que se registran en el terreno de las amenazas. Estos son algunas de
las iniciativas que llevan a cabo:

Supervisión de la inteligencia sobre amenazas : la inteligencia sobre

amenazas incluye mecanismos, indicadores, implicaciones y notificaciones
para las amenazas nuevas o existentes. Esta información se comparte con la
comunidad de seguridad, y Microsoft supervisa sin descanso las fuentes de
inteligencia sobre amenazas de orígenes internos y externos.

Uso compartido de señales : se comparte y analiza la información que

recopilan los equipos de seguridad a partir de la amplia cartera de
servicios de Microsoft en la nube y locales, de servidores y de
dispositivos cliente de punto de conexión.

Especialistas en seguridad de Microsoft colaboración continua con

equipos de Microsoft que trabajan en campos de seguridad especializados,
como análisis forense y detección de ataques web.

Ajuste de la detección : los algoritmos se ejecutan en conjuntos de datos

de clientes reales y los investigadores de seguridad trabajan en conjunción
con los clientes para validar los resultados. Los falsos positivos y los
positivos verdaderos se utilizan para perfeccionar los algoritmos de
aprendizaje automático.

Toda esta combinación de esfuerzos culmina en técnicas de detección nuevas y

mejoradas, de las que puede beneficiarse al instante. No es necesaria ninguna
acción por su parte.

Funciones de detección de amenazas avanzada: Otros

servicios de Azure
Máquinas virtuales: Microsoft Antimalware
Microsoft Antimalware para Azure es una solución de un único agente dirigida a
entornos de aplicaciones e inquilinos, diseñada para la ejecución en segundo
plano sin intervención humana. Puede implementar la protección en función de
las necesidades de sus cargas de trabajo de aplicaciones, con configuración de
protección básica o personalizada avanzada que incluye supervisión antimalware.
Azure Antimalware es una opción de seguridad para máquinas virtuales de Azure
que se instala automáticamente en todas las máquinas virtuales de PaaS de
Azure.

Características principales de Microsoft Antimalware

Estas son las características de Azure que implementan y habilitan Microsoft

Antimalware para las aplicaciones:

Protección en tiempo real : supervisa la actividad en los servicios en la

nube y las máquinas virtuales para detectar y bloquear la ejecución de
malware.
 Análisis programado : realiza periódicamente exámenes dedicados a detectar
malware, lo que incluye programas que se ejecutan activamente.

Corrección de malware : actúa automáticamente sobre el malware detectado

y elimina o pone en cuarentena los archivos malintencionados y limpia las
entradas del Registro malintencionadas.

Actualizaciones de firmas : instala de forma automática las firmas de

protección (definiciones de virus) más recientes para garantizar que la
protección está actualizada con una frecuencia determinada previamente.

Actualizaciones de Antimalware Engine : actualiza automáticamente

Microsoft Antimalware Engine.

Actualizaciones de la plataforma antimalware : actualiza

automáticamente la plataforma de Microsoft Antimalware.

Protección activa : envía a Microsoft Azure informes de metadatos de

telemetría sobre las amenazas detectadas y los recursos sospechosos para
garantizar una respuesta rápida a las amenazas en constante evolución, lo
que permite la entrega sincrónica de firmas en tiempo real a través del
sistema de protección activa de Microsoft.

Informes de ejemplos: proporciona informes de ejemplos al servicio

Microsoft Antimalware que ayudan a mejorar el servicio y permiten la
solución de problemas.

Exclusiones : permite a los administradores de aplicaciones y servicios

configurar determinados archivos, procesos y unidades para que se excluyan
de la protección y el examen por motivos de rendimiento o de otro tipo.

Recopilación de eventos antimalware : registra el estado del servicio de

antimalware, las actividades sospechosas y las acciones de corrección
adoptadas en el registro de eventos del sistema operativo y los recopila en
la cuenta de Azure Storage del cliente.

Detección de amenazas de Azure SQL Database

Detección de amenazas de Azure SQL Database es una nueva característica de
inteligencia de seguridad integrada en el servicio de Azure SQL Database.
Estamos trabajando permanentemente para conocer y detectar actividades anómalas
de la base de datos y generar perfiles; Detección de amenazas de Azure SQL
Database identifica las posibles amenazas a la base de datos.

Los responsables de seguridad u otros administradores designados pueden recibir

una notificación inmediata sobre las actividades sospechosas en las bases de
datos cuando se producen. Cada notificación proporciona detalles de la
actividad sospechosa y recomienda cómo investigar más y mitigar la amenaza.

Actualmente, Detección de amenazas de Azure SQL Database detecta posibles

vulnerabilidades y ataques de inyección de SQL, así como patrones de acceso
anómalos a las bases de datos.

Al recibir una notificación por correo electrónico de detección de amenazas,

los usuarios pueden navegar y ver los registros de auditoría pertinentes a
través de un vínculo profundo en el correo electrónico. El vínculo abre un
visor de auditoría o una plantilla de Excel de auditoría preconfigurada en la
que se muestran los registros de auditoría pertinentes en torno a la hora del
evento sospechoso, según lo siguiente:

El almacenamiento de información de auditoría para el servidor o la base de

datos con las actividades anómalas de la base de datos.

La tabla de almacenamiento de información de auditoría correspondiente que

se usó en el momento del evento para escribir el registro de auditoría.

Los registros de auditoría de la hora inmediatamente posterior a la

aparición del evento.

Los registros de auditoría con identificadores de evento similares en el

momento del evento (opcional para algunos detectores).

Los detectores de amenazas de SQL Database usan una de las metodologías de

detección siguientes:

Detección determinista : detecta patrones sospechosos (en función de

reglas) en las consultas de cliente SQL que coinciden con ataques
conocidos. Esta metodología tiene un grado alto de detección y bajo de
falsos positivos; pero la cobertura es limitada, ya que se encuentra dentro
de la categoría de "detecciones atómicas".

Detección de comportamiento : detecta la actividad anómala, que es el

comportamiento anómalo de la base de datos que no se haya observado durante
los últimos 30 días. Ejemplos de actividad anómala del cliente SQL pueden
ser un pico de consultas o inicios de sesión fallidos, un gran volumen de
datos extraídos, consultas canónicas inusuales, o bien direcciones IP no
familiares que se hayan usado para acceder a la base de datos.

Firewall de aplicaciones web de Application Gateway

El firewall de aplicaciones web (WAF) es una característica de Azure
Application Gateway que protege las aplicaciones web en las que se usa una
puerta de enlace de aplicaciones para las funciones estándar de control de
entrega de aplicaciones. Para hacerlo, el firewall de aplicaciones web ofrece
protección contra las 10 vulnerabilidades web más comunes identificadas por
Proyecto de seguridad de aplicación web abierta (OWASP).
Las protecciones incluyen lo siguiente:

Protección contra la inyección de código SQL.

Protección contra scripts entre sitios.

Protección contra ataques web comunes, como inyección de comandos,

contrabando de solicitudes HTTP, división de respuestas HTTP y ataque
remoto de inclusión de archivos.

Protección contra infracciones del protocolo HTTP.

Protección contra anomalías del protocolo HTTP, como la falta de agentes de

usuario de host y encabezados de aceptación.

Prevención contra bots, rastreadores y escáneres.

Detección de errores de configuración comunes en aplicaciones (es decir,

Apache, IIS, etc.).

La configuración de WAF en Application Gateway proporciona las siguientes

ventajas:

Protección de la aplicación web contra las vulnerabilidades y los ataques

web sin modificación del código de back-end.

Protección de varias aplicaciones web al mismo tiempo detrás de una

instancia de Application Gateway. Una instancia de Application Gateway
admite el hospedaje de hasta 20 sitios web.

Supervisión de las aplicaciones web de cara a los ataques mediante informes

en tiempo real generados por los registros WAF de la puerta de enlace de
aplicaciones.

Ayuda a cumplir los requisitos de cumplimiento. Algunos controles de

cumplimiento requieren que todos los puntos de conexión accesibles desde
Internet estén protegidos por una solución WAF.
Anomaly Detection API: integrada con Azure Machine Learning
La API de detección de anomalías es una API útil para detectar una variedad de
patrones anómalos en datos de series temporales. La API asigna una puntuación
de anomalía a cada punto de datos de la serie temporal, que se puede usar para
generar alertas, supervisar a través de paneles o conectar con los sistemas de
vales.

La API de detección de anomalías detecta los siguientes tipos de anomalías en

datos de series temporales:

Cambios abruptos e interrupciones : al supervisar el número de errores

de inicio de sesión en un servicio o el número de finalizaciones de compras
en un sitio de comercio electrónico, los cambios abruptos y las
interrupciones inusuales podrían indicar ataques a la seguridad o
interrupciones en el servicio.

Tendencias positivas y negativas : cuando se está supervisando el uso de

memoria en informática, la reducción del tamaño de memoria libre indica una
posible pérdida de memoria. Para supervisar la longitud de la cola del
servicio, una tendencia al alza persistente puede indicar un problema de
software subyacente.

Cambios de nivel y cambios en el intervalo dinámico de valores :

puede ser interesante supervisar los cambios de nivel en las latencias de
un servicio después de una actualización del servicio o los niveles menores
de excepciones después de una actualización.

La API basada en aprendizaje automático permite lo siguiente:

Detección fiable y flexible : los modelos de detección de anomalías

permiten a los usuarios configurar las opciones de confidencialidad y
detectar anomalías en conjuntos de datos de temporada y no estacionales.
Los usuarios pueden ajustar el modelo de detección de anomalías para que la
API de detección tenga más o menos sensibilidad en función de sus
necesidades. Esto significaría detectar las anomalías más o menos visibles
en los datos con y sin patrones estacionales.

Detección escalable y a tiempo : la forma tradicional de supervisión con

umbrales presentes definidos por el conocimiento de dominios de los
expertos es costosa y no escalable a millones de conjuntos de datos que
cambian de forma dinámica. Los modelos de detección de anomalías de esta
API se aprenden y los modelos se optimizan automáticamente a partir de
datos tanto históricos como en tiempo real.

Detección proactiva y factible : la detección de cambios lentos en las

tendencias y los niveles se puede aplicar a la detección de anomalías
tempranas. Las señales anómalas tempranas que se detectan sirven para
dirigir a las personas para que investiguen y tomen medidas en las zonas
problemáticas. Por otra parte, además de este servicio de API de detección
de anomalías se pueden desarrollar modelos de análisis de causa principal y
herramientas de alerta.

La API de detección de anomalías es una solución eficaz y eficiente para una

amplia gama de escenarios, como el estado del servicio y la supervisión de KPI,
IoT, la supervisión del rendimiento y la del tráfico de red. Estos son algunos
escenarios populares donde esta API puede resultar útil:
 Los departamentos de TI necesitan herramientas de seguimiento de eventos,
códigos de error, registros de uso y rendimiento (CPU, memoria, etc.) de
manera puntual.

Los sitios de comercio en línea desean realizar el seguimiento de las

actividades de los clientes, las vistas a la página, los clics y mucho más.

Las empresas de servicios públicos desean realizar el seguimiento del

consumo de agua, gas, electricidad y otros recursos.

A los servicios de administración de instalaciones o edificios les interesa

supervisar la temperatura, la humedad, el tráfico y mucho más.

Los fabricantes e IoT desean utilizar datos de detección de series

temporales para supervisar el flujo de trabajo, la calidad y mucho más.

Los proveedores de servicios, como los centros de llamadas, necesitan

supervisar las tendencias de demanda del servicio, el volumen de
incidentes, la longitud de la cola de espera y mucho más.

A los grupos de análisis de negocios les interesa supervisar los

movimientos anómalos en los KPI (como el volumen de ventas, las opiniones
de los clientes o los precios) en tiempo real.

Cloud App Security

Cloud App Security es un componente esencial de la pila de seguridad de
Microsoft Cloud. Es una solución integral que ayuda a la organización a medida
que avanza para aprovechar al máximo la promesa de las aplicaciones en la nube.
Permite mantener el control gracias a la mejor visibilidad de la actividad.
También ayuda a aumentar la protección de los datos críticos en todas las
aplicaciones de la nube.

Con las herramientas que ayudan a descubrir zonas oscuras de TI, evaluar los
riesgos, aplicar directivas, investigar actividades y detener amenazas, la
organización puede mover datos a la nube con mayor seguridad y sin perder el
control sobre los datos críticos.

Descubra Descubra las zonas oscuras de TI con Cloud App

Security. Gane visibilidad al descubrir
aplicaciones, actividades, usuarios, datos y
archivos del entorno de la nube. Descubra las
aplicaciones de terceros conectadas a su nube.

Investigación Investigue las aplicaciones de nube mediante

herramientas forenses de nube en profundidad en
las aplicaciones de riesgo o archivos y
usuarios específicos de la red. Identifique
patrones en los datos recopilados de la nube.
Genere informes para supervisar su nube.

Control Mitigue el riesgo al establecer directivas y

alertas para lograr el máximo control sobre el
tráfico de red en la nube. Use Cloud App
Security para migrar los usuarios a
alternativas de aplicaciones de nube seguras y
autorizadas.
 Protección Use Cloud App Security para autorizar o
prohibir aplicaciones, prevenir la pérdida de
datos, otorgar permisos de control, compartir y
generar alertas e informes personalizados.

Control Mitigue el riesgo al establecer directivas y

alertas para lograr el máximo control sobre el
tráfico de red en la nube. Use Cloud App
Security para migrar los usuarios a
alternativas de aplicaciones de nube seguras y
autorizadas.

Cloud App Security integra visibilidad con la nube mediante lo siguiente:

El uso de Cloud Discovery para asignar e identificar el entorno de la nube

y las aplicaciones de nube que usa la organización.

La prohibición y autorización de aplicaciones en la nube.

El uso de conectores de aplicaciones fáciles de implementar que aprovechan

las ventajas de las API de proveedor, para ganar visibilidad y gobernanza
de las aplicaciones a las que se conecte.

La ayuda para mantener el control constante mediante la configuración y

posterior ajuste permanente de las directivas.

En la recopilación de datos de estos orígenes, Cloud App Security ejecuta un

sofisticado análisis sobre los datos. Le avisa inmediatamente en caso de
actividades anómalas y proporciona visibilidad profunda en el entorno de nube.
Puede configurar una directiva en Cloud App Security y usarla para proteger
todo el contenido del entorno de nube.

Funciones de detección de amenazas avanzada de

terceros a través de Azure Marketplace
Firewall de aplicaciones web
El firewall de aplicaciones web inspecciona el tráfico web entrante y bloquea
las inyecciones de SQL, el scripting entre sitios, las cargas de malware, los
ataques DDoS de aplicación, así como otros ataques dirigidos a las aplicaciones
web. También inspecciona las respuestas de los servidores web back-end para la
prevención de pérdida de datos (DLP). El motor de control de acceso integrado
permite a los administradores crear directivas de control de acceso
pormenorizadas para la autenticación, la autorización y la contabilidad (AAA),
lo que proporciona autenticación fiable a las organizaciones así como control
sobre los usuarios.

Firewall de aplicaciones web proporciona las ventajas siguientes:

Detecta y bloquea las inyecciones de SQL, el scripting entre sitios, las

cargas de malware, el DDoS de aplicación y cualquier otro ataque contra la
aplicación.

Autenticación y control de acceso.

Analiza el tráfico saliente para detectar los datos confidenciales y oculta

o bloquea la información para que no se filtre.

Acelera la entrega de contenido de aplicación web, con funcionalidades como

el almacenamiento en caché, la compresión y otras optimizaciones del
tráfico.

Para obtener ejemplos de los firewalls de aplicaciones web que están

disponibles en Azure Marketplace, vea Barracuda WAF, firewall de aplicaciones
web virtual Brocade (vWAF), Imperva SecureSphere y el firewall ThreatSTOP IP.

Pasos siguientes
Respuesta a las amenazas actuales: ayuda a identificar las amenazas activas
dirigidas a los recursos de Azure y proporciona la información necesaria
para responder a estas amenazas con rapidez.

Detección de amenazas de Azure SQL Database: ayuda a eliminar las

preocupaciones sobre las amenazas contra las bases de datos.
 Registro y auditoría de seguridad de
Azure
23/03/2020 • 7 minutes to read • Edit Online

Azure proporciona una amplia gama de opciones de registro y auditoría de

seguridad configurables para ayudarle a identificar vacíos en las directivas y
mecanismos de seguridad. Este artículo describe la generación, recopilación y
análisis de los registros de seguridad provenientes de los servicios hospedados
en Azure.

NOTE
Algunas de las recomendaciones de este artículo pueden provocar un aumento del uso de datos, de
la red o de los recursos de proceso, lo que podría incrementar los costos de las licencias o
las suscripciones.

Tipos de registros de Azure

Las aplicaciones de nube son complejas y tienen muchas partes móviles. Los
datos de registro pueden proporcionar información detallada sobre las
aplicaciones y ayudarle a:

Solucionar problemas pasados o impedir posibles problemas

Mejorar el rendimiento o el mantenimiento de la aplicación
Automatizar acciones que, de otro modo, requerirían intervención manual

Los registros de Azure se clasifican en los tipos siguientes:

Los registros de control y administración proporcionan información

sobre las operaciones CREATE, UPDATE y DELETE de Azure Resource Manager.
Para más información, consulte Registros de actividad de Azure.

Los registros del plano de datos proporcionan información sobre los

eventos desencadenados como parte del uso de los recursos de Azure.
Ejemplos de este tipo de registro son los registros de eventos del sistema
de Windows, de seguridad y de aplicaciones en una máquina virtual, así
como los registros de diagnóstico que se han configurado mediante Azure
Monitor.

Los eventos procesados proporcionan información sobre eventos y alertas

analizados que se han procesado en su nombre. Ejemplos de este tipo son
las alertas de Azure Security Center, donde Azure Security Center ha
procesado y analizado su suscripción y proporciona unas alertas de
seguridad concisas.

En la tabla siguiente se enumeran los tipos más importante de registros

disponibles en Azure.
CATEGORÍA DEL REGISTRO TIPO DE REGISTRO USO INTEGRACIÓN

Registros de actividad Eventos de plano de Proporciona API REST y Azure

control de los información detallada Monitor
recursos de Azure sobre las operaciones
Resource Manager que se realizaron en
los recursos de la
suscripción.

Registros de recursos Datos frecuentes Proporciona Azure Monitor

de Azure acerca del información detallada
funcionamiento de los sobre las operaciones
recursos de Azure que el mismo recurso
Resource Manager de la realiza.
suscripción

Informes de Registros e informes Informa sobre las Graph API

Azure Active Directory actividades de inicio
de sesión de usuario e
información de
actividades del
sistema acerca de la
administración de
grupos y usuarios.

Máquinas virtuales y Servicio de Registro Captura los datos del Windows con WAD
servicios en la nube de eventos de Windows sistema y los datos de (almacenamiento de
y Syslog de Linux registro en las Windows Azure
máquinas virtuales, y Diagnostics) y Linux
transfiere estos datos en Azure Monitor
a la cuenta de
almacenamiento que
elija.

Análisis de Azure El registro de Proporciona API de REST o

Storage almacenamiento información detallada biblioteca de cliente
proporciona datos de sobre seguimiento de
métricas de una cuenta solicitudes, análisis
de almacenamiento de tendencias de uso y
diagnóstico de
problemas con la
cuenta de
almacenamiento.

Registros de flujo de Tiene formato JSON y Muestra información Azure Network Watcher
los grupos de muestra flujos sobre el tráfico IP de
seguridad de red (NSG) entrantes y salientes entrada y salida a
por cada regla través de un grupo de
seguridad de red.

Application Insights Registros, excepciones Proporciona un API de REST, Power BI

y diagnósticos servicio de
personalizados supervisión de
rendimiento de
aplicaciones (APM)
para desarrolladores
web en varias
plataformas.
 CATEGORÍA DEL REGISTRO TIPO DE REGISTRO USO INTEGRACIÓN

Datos de proceso y Alertas de Azure Proporciona API de REST, JSON

alertas de seguridad Security Center, información y alertas
alertas de registro de de seguridad.
Azure Monitor

Integración de registros con sistemas locales de

SIEM
En Integración de alertas de Security Center se describe cómo sincronizar las
alertas de Security Center, los eventos de seguridad de máquina virtual
recopilados por los registros de diagnóstico de Azure y los registros de
auditoría de Azure, con los registros de Azure Monitor o una solución SIEM.

Pasos siguientes
Auditoría y registro: proteja los datos mediante el mantenimiento de la
visibilidad y la rápida respuesta a las alertas de seguridad puntuales.

Registro de seguridad y recopilación de registros de auditoría en Azure:

aplique esta configuración para asegurarse de que las instancias de Azure
están recopilando los registros de seguridad y auditoría correctos.

Configuración de auditoría para una colección de sitios: si es el

administrador de una colección de sitios, recupere el historial de las
acciones de un usuario individua y el historial de las acciones realizadas
durante un intervalo de fechas concreto.

Búsqueda en el registro de auditoría en el Centro de seguridad y

cumplimiento de Office 365: utilice el Centro de seguridad y cumplimiento
de Office 365 para buscar en el registro de auditoría unificado y ver la
actividad de usuario y de administrador en la organización de Office 365.
 Información general sobre la
administración y la supervisión de la
seguridad en Azure
23/03/2020 • 12 minutes to read • Edit Online

En este artículo se proporciona información general sobre los servicios y

características de seguridad que proporciona Azure para ayudarle a administrar
y supervisar servicios en la nube y máquinas virtuales de Azure.

Control de acceso basado en roles

El control de acceso basado en roles (RBAC) le permite administrar de forma
avanzada el acceso a los recursos de Azure. Gracias a RBAC, puede conceder a
los usuarios únicamente el grado de acceso que necesitan para realizar sus
trabajos. Asimismo, RBAC le ayudará a garantizar que cuando los usuarios dejan
la organización, pierden el acceso a los recursos en la nube.

Más información:

Blog del equipo de Active Directory sobre RBAC

Control de acceso basado en roles de Azure

Antimalware
Con Azure, puede usar el software antimalware que ofrecen los principales
proveedores de seguridad como Microsoft, Symantec, Trend Micro, McAfee y
Kaspersky. Este software le ayudará a proteger las máquinas virtuales de
archivos malintencionados, adware y otras amenazas.

Microsoft Antimalware para Azure Cloud Services y Virtual Machines le ofrece la

posibilidad de instalar un agente antimalware tanto para roles PaaS como para
máquinas virtuales. Esta característica, basada en System Center Endpoint
Protection, lleva a la nube tecnología de seguridad local de demostrada
eficacia.

También ofrecemos una profunda integración con los productos Deep Security y
SecureCloud en la plataforma de Azure. Deep Security es una solución antivirus
y SecureCloud es una solución de cifrado. Deep Security se implementa dentro de
máquinas virtuales mediante un modelo de extensión. Gracias a la interfaz de
usuario de Azure Portal y PowerShell, puede usar Deep Security en máquinas
virtuales nuevas que se estén implementando, o en máquinas virtuales existentes
que ya están implementadas.

Symantec Endpoint Protection (SEP) también se admite en Azure. Mediante la

integración del portal, tiene la posibilidad de especificar su intención de
usar SEP en una máquina virtual. SEP puede instalarse en una máquina virtual
nueva a través de Azure Portal, o bien en una máquina virtual existente
mediante PowerShell.

Más información:

Implementación de soluciones antimalware en Azure Virtual Machines

 Microsoft Antimalware para Azure Cloud Services y Virtual Machines
Instalación y configuración de Trend Micro Deep Security como servicio en una
máquina virtual de Azure
Instalación y configuración de Endpoint Protection en una máquina virtual de
Azure
New Antimalware Options for Protecting Azure Virtual Machines (Nuevas
opciones de antimalware para proteger máquinas virtuales de Azure)

Multi-Factor Authentication
Azure Multi-Factor Authentication es un método de autenticación que requiere el
uso de más de un método de comprobación. Proporciona una segunda capa de
seguridad crítica a los inicios de sesión y transacciones de los usuarios.

Multi-Factor Authentication le ayudará a proteger el acceso a los datos y las

aplicaciones, además de satisfacer la demanda de los usuarios de un proceso de
inicio de sesión simple. Asimismo, proporciona autenticación sólida mediante
una gran variedad de opciones de comprobación, como llamadas telefónicas,
mensajes de texto, notificaciones de aplicaciones móviles, códigos de
verificación y tokens OATH de terceros.

Más información:

Multi-Factor Authentication
¿Qué es Azure Multi-Factor Authentication?
Cómo funciona Azure Multi-Factor Authentication

ExpressRoute
Puede usar Azure ExpressRoute para ampliar sus redes locales en Microsoft Cloud
a través de una conexión privada y dedicada que facilita un proveedor de
conectividad. Con ExpressRoute se pueden establecer conexiones a servicios en
la nube de Microsoft, como Azure, Office 365 y CRM Online. La conectividad
puede provenir de:

Una red cualquiera (IP VPN).

Una red de ethernet de punto a punto.
Una conexión cruzada virtual a través de un proveedor de conectividad en una
instalación de colocalización.

Conexiones de ExpressRoute que no fluyen a través de la red pública de

Internet. Ofrecen más confiabilidad, velocidades más altas, menores latencias y
mayor seguridad que las conexiones habituales a través de Internet.

Más información:

Información técnica de ExpressRoute

Puertas de enlace de red virtual

Las puertas de enlace de VPN, también llamadas puertas de enlace de Azure
Virtual Network, se usan para enviar tráfico de red entre las redes virtuales y
las ubicaciones locales. También se usan para enviar el tráfico entre varias
redes virtuales dentro de Azure (de red a red). Las puertas de enlace de VPN
proporcionan conectividad local segura entre Azure y su infraestructura.
Más información:

Información acerca de las puertas de enlace de VPN

Azure Network Security Overview (Información general sobre Azure Network
Security)

Privileged Identity Management

En ocasiones, los usuarios necesitan llevar a cabo operaciones con privilegios
en recursos de Azure u otras aplicaciones para SaaS. A menudo esto significa
que las organizaciones tienen que concederles acceso con privilegios permanente
en Azure Active Directory (Azure AD).

Este hecho representa un riesgo creciente para la seguridad de los recursos

hospedados en la nube, ya que las organizaciones no pueden supervisar lo
suficiente todo lo que hacen esos usuarios con su acceso privilegiado. Además,
si se pone en peligro una cuenta de usuario que tiene acceso con privilegios,
esta situación podría afectar a la seguridad de la organización en la nube
global. Privileged Identity Management de Azure AD ayuda a resolver este riesgo
al reducir el tiempo de exposición de los privilegios y aumentar la visibilidad
sobre el uso.

Privileged Identity Management introduce el concepto de administrador temporal

para un rol o acceso de administrador "just in time". Este tipo de
administrador es un usuario que necesita completar un proceso de activación
para ese rol asignado. El proceso de activación cambia la asignación del
usuario a un rol en Azure AD de inactiva a activa durante un período de tiempo
especificado.

Más información:

Administración de identidades con privilegios de Azure AD

Introducción a Privileged Identity Management de Azure AD

Protección de identidad
Azure AD Identity Protection proporciona una vista consolidada de actividades
de inicio de sesión sospechosas y posibles vulnerabilidades que ayudan a
proteger su negocio. Identity Protection detecta actividades sospechosas en los
usuarios e identidades con privilegios (administradores), en función de señales
como:

Ataques por fuerza bruta.

Filtración de credenciales.
Inicios de sesión desde ubicaciones desconocidas y dispositivos infectados.

Al proporcionar notificaciones y soluciones recomendadas, Identity Protection

ayuda a mitigar los riesgos en tiempo real. Calcula la gravedad del riesgo para
el usuario. Permite configurar directivas basadas en el riesgo que ayudan a
proteger automáticamente el acceso a la aplicación frente a futuras amenazas.

Más información:

Azure Active Directory Identity Protection

Channel 9: Azure AD and Identity Show: Identity Protection Preview
Security Center
Azure Security Center ayuda a evita y a detectar las amenazas, además de a
responder a ellas. Security Center aporta visibilidad mejorada y control sobre
la seguridad de los recursos de Azure. Proporciona una supervisión de la
seguridad y una administración de directivas integradas en suscripciones de
Azure. Le ayuda a detectar amenazas que podrían pasar desapercibidas, y
funciona con un amplio ecosistema de soluciones de seguridad.

Security Center ayuda a optimizar y supervisar la seguridad de los recursos de

Azure de la manera siguiente:

Le permite definir directivas para los recursos de suscripción de Azure de

acuerdo con:
Las necesidades de seguridad de la empresa.
El tipo de aplicaciones o confidencialidad de los datos en cada
suscripción.
Supervisa el estado de las máquinas virtuales, las redes y las aplicaciones
de Azure.
Proporciona una lista de alertas de seguridad clasificadas por orden de
prioridad, incluyendo alertas de soluciones de socios integradas. Asimismo,
también proporciona la información que necesita para investigar rápidamente
un ataque y recomendaciones sobre cómo remediarlo.

Más información:

Introducción al Centro de seguridad de Azure

Mejorar la puntuación segura de Azure Security Center

Intelligent Security Graph

Intelligent Security Graph proporciona una protección contra amenazas en tiempo
real en los servicios y productos de Microsoft. Utiliza análisis avanzados que
vinculan una enorme cantidad de datos de inteligencia y seguridad contra
amenazas para proporcionar información detallada que pueda reforzar la
seguridad de la organización. Microsoft utiliza análisis avanzados que procesan
más de 450 000 millones de autenticaciones al mes, buscan malware y
suplantaciones de identidad (phishing) en 400 000 de correos electrónicos y
actualizan 1000 millones de dispositivos. Esta información puede ayudar a su
organización a detectar y responder rápidamente a los ataques.

Intelligent Security Graph

Pasos siguientes
Información sobre el modelo de responsabilidad compartida y las tareas de
seguridad que administra Microsoft y las que administra el usuario.

Para obtener más información sobre la administración de la seguridad, consulte

Administración de la seguridad en Azure.
 Información general sobre la seguridad
operativa de Azure
23/03/2020 • 24 minutes to read • Edit Online

Con seguridad operativa de Azure, se hace referencia a los servicios, los

controles y las características disponibles para los usuarios para proteger sus
datos, aplicaciones y otros recursos en Microsoft Azure. Es un marco que
incorpora el conocimiento adquirido a través de una variedad de funcionalidades
exclusivas de Microsoft. Estas funcionalidades incluyen el Ciclo de vida de
desarrollo de seguridad (SDL) de Microsoft, el programa Microsoft Security
Response Center y un conocimiento profundo del panorama de amenazas de
ciberseguridad.

Servicios de administración de Azure

Un equipo de operaciones de TI es el responsable de administrar la
infraestructura del centro de datos, las aplicaciones y los datos, incluida la
estabilidad y la seguridad de estos sistemas. Sin embargo, la obtención de
información de seguridad sobre el cada vez mayor número de entornos de TI
complejos, a menudo requiere que las organizaciones reúnan datos a partir de
distintos sistemas de administración y seguridad.

Los registros de Microsoft Azure Monitor es una solución de administración de

TI basada en la nube de Microsoft que le permite administrar y proteger su
infraestructura local y en la nube. Los siguientes servicios que se ejecutan en
Azure proporcionan su funcionalidad principal. En Azure, se incluyen varios
servicios que le permiten administrar y proteger la infraestructura local y en
la nube. Cada servicio proporciona una función de administración específica.
Puede combinar los servicios para lograr distintos escenarios de
administración.

Azure Monitor
Azure Monitor recopila datos de orígenes administrados en almacenes de datos
centralizados. Estos datos pueden incluir eventos, datos de rendimiento o datos
personalizados proporcionados mediante la API. Una vez recopilados los datos,
están disponibles para las alertas, el análisis y la exportación.

Puede consolidar datos de varios orígenes y combinar datos de los servicios de

Azure con el entorno local existente. Los registros de Azure Monitor también
separan claramente la recopilación de los datos de la acción realizada en los
datos para que todas las acciones estén disponibles para todos los tipos de
datos.

Automation
Azure Automation le ofrece una manera de automatizar las tareas manuales,
propensas a errores, con una ejecución prolongada y repetidas con frecuencia
que se realizan normalmente en un entorno empresarial y en la nube. Ahorra
tiempo y aumenta la confiabilidad de las tareas administrativas. Incluso
programa estas tareas para que se realicen automáticamente a intervalos
regulares. Puede automatizar procesos mediante runbooks o automatizar la
administración de configuración mediante la configuración de estado deseada.

Copia de seguridad
Azure Backup es el servicio de Azure que puede usar para hacer una copia de
seguridad de los datos (protegerlos) y restaurarlos en Microsoft Cloud. Azure
Backup reemplaza su solución de copia de seguridad local o remota existente por
una solución confiable, segura y rentable basada en la nube.

Azure Backup ofrece componentes que se descargan e implementan en el equipo o

servidor adecuados, o en la nube. El componente, o agente, que se implemente
depende de lo que quiera proteger. Todos los componentes de Azure Backup (tanto
si va a proteger los datos de forma local como en la nube) se pueden usar para
realizar una copia de seguridad de datos en un almacén de Azure Recovery
Services en Azure.

Para obtener más información, consulte la tabla de componentes de Azure Backup.

Site Recovery
Azure Site Recovery proporciona continuidad del negocio a través de la
organización de la replicación de máquinas virtuales y físicas locales en Azure
o en un sitio secundario. Si su sitio primario no está disponible, se realizará
la conmutación por error a la ubicación secundaria para que los usuarios pueden
seguir trabajando. Se realizará una conmutación por recuperación cuando los
sistemas vuelvan a las condiciones de funcionamiento normales. Use Azure
Security Center para realizar una detección de amenazas más inteligente y
eficaz.

Azure Active Directory

Azure Active Directory (Azure AD) es un servicio de identidad completo que:

Habilita la Administración de identidad y acceso (IAM) como servicio en la

nube.
Proporciona administración de acceso central, inicio de sesión único (SSO) y
creación de informes.
Admite la administración de acceso integrado para miles de aplicaciones de
Azure Marketplace, como Salesforce, Google Apps, Box y Concur.

Azure AD también incluye un conjunto completo de funcionalidades de

administración de identidades, como las siguientes:

Autenticación multifactor
Administración de contraseñas de autoservicio
Administración de grupos de autoservicio
Administración de cuentas con privilegios
Control de acceso basado en rol
Supervisión del uso de la aplicación
Auditoría avanzada
Supervisión de seguridad y alertas

Con Azure Active Directory, todas las aplicaciones que publica para sus
asociados y clientes (empresa o consumidor) tendrán las mismas funcionalidades
de administración de identidad y acceso. Esto permite reducir
significativamente los costos operativos.
Azure Security Center
Azure Security Center ayuda a evitar, detectar y responder a amenazas con más
visibilidad y control sobre la seguridad de sus recursos de Azure. Proporciona
una supervisión de la seguridad y una administración de directivas integradas
en sus suscripciones. Le ayuda a detectar amenazas que podrían pasar
desapercibidas, y funciona con un amplio ecosistema de soluciones de seguridad.

Proteja los datos de máquinas virtuales (VM) en Azure proporcionando

visibilidad a la configuración de seguridad de su máquina virtual y
supervisando las amenazas. Security Center puede supervisar las máquinas
virtuales con los siguientes fines:

Configuración de seguridad del sistema operativo con las reglas de

configuración recomendadas.
Seguridad del sistema y actualizaciones críticas que faltan.
Recomendaciones de protección de puntos de conexión.
Validación de cifrado de disco.
Ataques basados en la red.

Security Center usa el control de acceso basado en rol (RBAC). RBAC proporciona
roles integrados que se pueden asignar a usuarios, grupos y servicios de Azure.

Security Center evalúa la configuración de los recursos para identificar

problemas de seguridad y vulnerabilidades. En Security Center, solo se muestra
información relacionada con un recurso cuando tiene asignado el rol de
propietario, colaborador o lector para la suscripción o grupo de recursos al
que pertenece un recurso.

NOTE
Consulte Permisos en Azure Security Center para obtener más información sobre los roles y las
acciones permitidas en Security Center.

Security Center usa Microsoft Monitoring Agent. Es el mismo agente que usa el
servicio de Azure Monitor. Los datos que recopila este agente se almacenan en
una área de trabajo existente de Log Analytics asociada con la suscripción a
Azure o en una nueva área de trabajo, según la geolocalización de la VM.

Azure Monitor
Los problemas de rendimiento de la aplicación en la nube pueden afectar a su
negocio. Con varios componentes interconectados y versiones frecuentes, las
degradaciones pueden ocurrir en cualquier momento. Y, si va a desarrollar una
aplicación, los usuarios normalmente encuentran problemas que no se han
detectado durante las pruebas. Debe tener conocimiento de estos problemas de
inmediato y disponer de las herramientas de diagnóstico y solución de
problemas.

Azure Monitor es una herramienta básica para la supervisión de servicios que se

ejecutan en Azure. Proporciona datos a nivel de infraestructura sobre el
rendimiento de un servicio y el entorno circundante. Si va a administrar todas
las aplicaciones en Azure y debe decidir si quiere ampliar o reducir los
recursos, Azure Monitor es el punto de partida.
También puede usar datos de supervisión para extraer conclusiones detalladas
sobre la aplicación. Este conocimiento puede ayudarle a mejorar el rendimiento
o mantenimiento de la aplicación, o a automatizar acciones que de lo contrario
requerirían intervención manual.

Azure Monitor incluye los siguientes componentes.

Azure Activity Log

El registro de actividad de Azure proporciona información sobre las operaciones
que se realizaron en los recursos de su suscripción. Antes, se conocía como
"Registro de auditoría" o "Registro operativo", ya que notifica eventos del
plano de control para las suscripciones.

Registros de diagnósticos de Azure

Un recurso emite registros de diagnóstico de Azure que proporcionan datos
exhaustivos y frecuentes acerca del funcionamiento de ese recurso. El contenido
de estos registros varía según el tipo de recurso.

Los registros del sistema de eventos de Windows son una categoría de registros
de diagnóstico para VM. Los registros de BLOB, tabla y cola son categorías de
registros de diagnóstico para cuentas de almacenamiento.

Lo registros de diagnóstico son distintos del registro de actividad. El

registro de actividad proporciona información sobre las operaciones que se
realizaron en los recursos de su suscripción. Los registros de diagnóstico
proporcionan conclusiones detalladas sobre las operaciones que el propio
recurso realiza.

Métricas
Azure Monitor proporciona telemetría que le ofrece visibilidad sobre el
rendimiento y el estado de las cargas de trabajo en Azure. El tipo de
telemetría de datos de Azure más importante son las métricas (también
denominadas contadores de rendimiento) emitidas por la mayoría de los recursos
de Azure. Azure Monitor proporciona varias maneras de configurar y usar estas
métricas para supervisar y solucionar problemas.

Diagnóstico de Azure
Azure Diagnostics habilita la recopilación de datos de diagnóstico en una
aplicación implementada. Puede utilizar la extensión de Diagnostics desde
diversos orígenes. Actualmente, se admiten roles de servicio en la nube de
Azure, máquinas virtuales de Azure que ejecutan Microsoft Windows y Azure
Service Fabric.

Azure Network Watcher

Los clientes pueden crear una red integral en Azure mediante la orquestación y
composición de varios recursos de red individuales, como, por ejemplo, redes
virtuales, Azure ExpressRoute, Azure Application Gateway y equilibradores de
carga. Se puede supervisar cada uno de los recursos de la red.

La red integral puede tener configuraciones complejas e interacciones entre

recursos. El resultado es un escenario complejo que necesita supervisión basada
en el escenario a través de Azure Network Watcher.

Network Watcher simplifica la supervisión y diagnóstico de la red de Azure.

Puede usar las herramientas de diagnóstico y visualización de Network Watcher
para:

Realizar capturas de paquetes remotos en una máquina virtual de Azure.

Extraer conclusiones sobre el tráfico de la red mediante registros de flujo.
Diagnosticar Azure VPN Gateway y conexiones.

En la actualidad, Network Watcher dispone de las siguientes funcionalidades:

Topología: proporciona una vista de las diversas interconexiones y

asociaciones entre los recursos de red de un grupo de recursos.
Captura de paquetes variable: captura datos de paquetes dentro y fuera de una
máquina virtual. Las opciones de filtrado avanzadas y controles optimizados,
con los que se pueden establecer límites de tiempo y de tamaño, proporcionan
una gran versatilidad. Los datos de paquete se pueden almacenar en un almacén
de blobs o en el disco local en formato .cap.
Comprobar el flujo de IP: comprueba si un paquete está permitido o no en
función de los parámetros del paquete de 5 tuplas de información del flujo
(IP de destino, IP de origen, puerto de destino, puerto de origen y
protocolo). Si un grupo de seguridad deniega un paquete, se devuelve la regla
y el grupo que lo deniegan.
Próximo salto: determina el próximo salto para los paquetes que se enrutan en
el tejido de red de Azure, lo que le permite diagnosticar cualquier ruta
definida por el usuario que se haya configurado incorrectamente.
Vista de grupo de seguridad: Obtiene las reglas de seguridad eficaces que se
aplican en una máquina virtual.
Registros de flujo de NSG para grupos de seguridad de red : Permiten capturar
registros relacionados con el tráfico que las reglas de seguridad del grupo
aprueban o deniegan. El flujo se define mediante una información de 5 tuplas:
IP de origen, IP de destino, puerto de origen, puerto de destino y protocolo.
Solución de problemas de las conexiones y la puerta de enlace de Virtual
Network: Proporciona la capacidad para solucionar problemas con las puertas
de enlace de red virtual y las conexiones.
Límites de suscripción de red: permite ver el uso de los recursos de la red
en comparación con los límites.
Registros de diagnóstico: Proporciona un único panel para habilitar o
deshabilitar los registros de diagnóstico para los recursos de red de un
grupo de recursos.

Para más información, consulte Configurar Network Watcher.

Transparencia de acceso del proveedor de servicio

en la nube
Caja de seguridad del cliente de Microsoft Azure es un servicio integrado en
Azure Portal que proporciona un control explícito en aquellos casos poco
frecuentes en que el ingeniero de soporte técnico de Microsoft necesita acceso
a sus datos para resolver un problema. Son muy escasas las ocasiones en que un
ingeniero de soporte técnico de Microsoft requiere permisos elevados para
resolver un problema; por ejemplo, la depuración de un acceso remoto. En tales
casos, los ingenieros de Microsoft usan el servicio de acceso just-in-time que
proporciona autorización temporal y limitada con acceso restringido al
servicio.
Si bien Microsoft siempre ha obtenido el consentimiento del usuario para el
acceso, la Caja de seguridad del cliente ahora la ofrece la posibilidad de
revisar y aprobar o denegar tales solicitudes desde Azure Portal. Los
ingenieros de soporte técnico de Microsoft no tendrán acceso hasta que se
apruebe la solicitud.

Implementaciones estandarizadas y conformes

Los planos técnicos de Azure permiten a los grupos de arquitectos de la nube y
de TI central definir un conjunto repetible de recursos de Azure que implementa
y cumple los estándares de la organización, sus requisitos y sus patrones.
Esto hace posible que los equipos de DevOps compilen y pongan en funcionamiento
rápidamente nuevos entornos y confíen en que los están generando con una
infraestructura que mantiene el cumplimiento de la organización. Los planos
técnicos ofrecen una manera declarativa de organizar la implementación de
varias plantillas de recursos y de otros artefactos, como son:

Asignaciones de roles
Asignaciones de directiva
Plantillas del Administrador de recursos de Azure
Grupos de recursos

DevOps
Antes del desarrollo de aplicaciones de Developer Operations (DevOps), los
equipos eran los responsables de recopilar los requisitos de negocio para un
programa de software y de escribir el código. A continuación, un equipo
independiente de QA probaba el programa en un entorno de desarrollo aislado. Si
se cumplían los requisitos, el equipo de QA liberaba el código de las
operaciones para implementarlo. Los equipos de implementación se dividieron más
en grupos, como redes y bases de datos. Cada vez que se pasaba un programa de
software a un equipo independiente, se agregaban cuellos de botella.

DevOps permite a los equipos ofrecer soluciones más seguras y de mayor calidad,
además de más rápidas y baratas. Los clientes esperan una experiencia dinámica
y confiable al consumir servicios y software. Los equipos deben iterar
rápidamente en actualizaciones de software y medir el impacto de las
actualizaciones. Deben responder rápidamente con nuevas iteraciones de
desarrollo para solucionar problemas o para proporcionar más valor.

Las plataformas en la nube, como Microsoft Azure, han quitado los cuellos de
botella tradicionales y ayudaron a homogeneizar la infraestructura. El software
impera en cada negocio como factor y diferenciador claves en los resultados
empresariales. Ninguna organización, desarrollador o trabajador de TI puede o
debe evitar el movimiento de DevOps.

Los profesionales de DevOps consolidados adoptarán algunos de los siguientes

procedimientos. Estos procedimientos implican que personas realicen estrategias
basadas en escenarios empresariales. Las herramientas pueden ayudar a
automatizar varios procedimientos.

Las técnicas de administración de proyectos y planificación ágiles se usan

para planear y aislar el trabajo en sprints, administrar la capacidad del
 equipo y ayudar a los equipos a adaptarse rápidamente ante las cambiantes
necesidades empresariales.
Control de versiones, normalmente con Git, permite que los equipos ubicados
en cualquier lugar del mundo para compartir código fuente e integrarlo con
herramientas de desarrollo de software para automatizar la canalización de
versiones.
La integración continua impulsa la fusión en curso y la prueba de código, que
permite la detección temprana de defectos. Entre otras ventajas se incluye
menos tiempo perdido en la lucha de problemas de fusión y comentarios rápidos
para los equipos de desarrollo.
La entrega continua de soluciones de software para los entornos de producción
y prueba ayudan a las organizaciones a solucionar los problemas rápidamente y
a responder a los requisitos empresariales en constante cambio.
La supervisión de aplicaciones en ejecución, incluidos los entornos de
producción para el estado de la aplicación, así como el uso del cliente,
ayudan a las organizaciones a plantear una hipótesis y validar o refutar
estrategias rápidamente. Los datos enriquecidos se capturan y almacenan en
distintos formatos de registro.
La infraestructura como código (IaC) es un procedimiento que permite la
automatización y validación de la creación y destrucción de redes y máquinas
virtuales para ayudar a proporcionar plataformas de hospedaje de aplicaciones
estables y seguras.
La arquitectura de microservicios se usa para aislar casos de uso
empresariales en pequeños servicios reutilizables. Esta arquitectura permite
la escalabilidad y la eficacia.

Pasos siguientes
Para obtener información sobre la solución Seguridad y auditoría, vea los
artículos siguientes:

Seguridad y cumplimiento normativo

Azure Security Center
Azure Monitor
 Procedimientos recomendados de
seguridad operativa de Azure
23/03/2020 • 38 minutes to read • Edit Online

En este artículo se proporciona un conjunto de procedimientos recomendados

operativos para proteger los datos, aplicaciones y otros recursos en Azure.

Los procedimientos recomendados se basan en un consenso de opinión y son

válidos para las funcionalidades y conjuntos de características actuales de la
plataforma Azure. Como las opiniones y las tecnologías cambian con el tiempo,
este artículo se actualiza de forma periódica para reflejar dichos cambios.

Definición e implementación de procedimientos de

seguridad operativa exhaustivos
Por seguridad operativa de Azure, se entienden los servicios, los controles y
las características disponibles para los usuarios para proteger sus datos,
aplicaciones y otros recursos en Azure. La seguridad operativa de Azure se basa
en un marco que incorpora el conocimiento adquirido a través de diversas
funcionalidades exclusivas de Microsoft, incluido el ciclo de vida de
desarrollo de seguridad (SDL), el programa Microsoft Security Response Center y
un conocimiento en profundidad del panorama de amenazas de ciberseguridad.

Administración y supervisión de contraseñas de

usuario
En la tabla siguiente se enumeran varios procedimientos recomendados
relacionados con la administración de contraseñas de usuario:

Procedimiento recomendado : Asegúrese de que tiene el nivel adecuado de

protección de contraseñas en la nube.
Detalles : Siga las instrucciones de Microsoft Password Guidance (Instrucciones
para contraseñas de Microsoft), dirigidas a los usuarios de las plataformas de
identidad de Microsoft (Azure Active Directory, Active Directory y cuenta de
Microsoft).

Procedimiento recomendado : Supervise acciones sospechosas relacionadas con

las cuentas de usuario.
Detalles : Supervise usuarios en riesgo e inicios de sesión en riesgo mediante
los informes de seguridad de Azure AD.

Procedimiento recomendado : Detectar y corregir de forma automática las

contraseñas de alto riesgo.
Detalles : Azure AD Identity Protection es una característica de la edición
Azure AD Premium P2 que permite:

Detectar posibles vulnerabilidades que afectan a las identidades de la

organización
Configurar respuestas automatizadas a acciones sospechosas detectadas que
están relacionadas con las identidades de la organización
 Investigar incidentes sospechosos y tomar las medidas adecuadas para
resolverlos

Recepción de notificaciones de incidentes de

Microsoft
Asegúrese de que el equipo de operaciones de seguridad recibe notificaciones de
incidentes de Azure de Microsoft. Una notificación de incidentes permite al
equipo de seguridad saber que hay recursos de Azure en peligro, para que puedan
responder rápidamente y corregir posibles riesgos de seguridad.

En el portal de inscripción de Azure, puede asegurarse de que la información de

contacto del administrador incluye detalles que notifican operaciones de
seguridad. La información de los contactos es una dirección de correo
electrónico y un número de teléfono.

Organización de las suscripciones de Azure en

grupos de administración
Si su organización tiene varias suscripciones, podría necesitar una manera de
administrar el acceso, las directivas y el cumplimiento de esas suscripciones
de forma eficaz. Los grupos de administración de Azure proporcionan un nivel de
ámbito por encima de las suscripciones. Las suscripciones se organizan en
contenedores llamados grupos de administración y las condiciones de gobernanza
se aplican a los grupos de administración. Todas las suscripciones dentro de un
grupo de administración heredan automáticamente las condiciones que se aplican
al grupo de administración.

Puede crear una estructura flexible de grupos de administración y suscripciones

en un directorio. A cada directorio se le asigna un único grupo de
administración de nivel superior denominado grupo de administración raíz. Este
grupo de administración raíz está integrado en la jerarquía de manera que
contiene todos los grupos de administración y suscripciones. Este grupo de
administración raíz permite que las directivas globales y las asignaciones de
control de acceso basado en rol (RBAC) se apliquen en el nivel de directorio.

Estos son algunos procedimientos recomendados para el uso de grupos de

administración:

Procedimiento recomendado : Asegúrese de que las suscripciones nuevas aplican

los elementos de gobernanza, como directivas y permisos, a medida que se
agregan.
Detalles : Use el grupo de administración raíz para asignar elementos de
seguridad de toda la empresa que se apliquen a todos los recursos de Azure. Las
directivas y los permisos son ejemplos de elementos.

Procedimiento recomendado : Alinee los niveles superiores de los grupos de

administración con la estrategia de segmentación para proporcionar un punto de
control y directivas coherentes dentro de cada segmento.
Detalles : Cree un único grupo de administración para cada segmento del grupo
de administración raíz. No cree otros grupos de administración en el directorio
raíz.

Procedimiento recomendado : Limite la profundidad del grupo de administración

para evitar la confusión que imposibilita las operaciones y la seguridad.
Detalles : Limite la jerarquía a tres niveles, incluido el nivel raíz.

Procedimiento recomendado : Seleccione cuidadosamente qué elementos se aplican

a toda la empresa con el grupo de administración raíz.
Detalles : Asegúrese de que la necesidad de aplicar los elementos del grupo de
administración raíz en todos los recursos sea evidente y de que su impacto sea
bajo.

Entre los candidatos adecuados destacan los siguientes:

Requisitos normativos que tengan un impacto empresarial claro (por ejemplo,

restricciones relacionadas con la soberanía de datos)
Requisitos con un posible efecto negativo casi nulo en las operaciones, como
directivas con efecto de auditoría o asignaciones de permisos RBAC que se
hayan revisado con cuidado

Procedimiento recomendado : Planifique y pruebe con atención todos los cambios

en toda la empresa en el grupo de administración raíz antes de aplicarlos
(directiva, modelo RBAC, etc.).
Detalles : Los cambios en el grupo de administración raíz pueden afectar a
todos los recursos en Azure. Aunque proporcionan una manera eficaz de
garantizar la coherencia en toda la empresa, los errores o un uso incorrecto
pueden afectar negativamente a las operaciones de producción. Pruebe todos los
cambios en el grupo de administración raíz en un laboratorio de pruebas o
piloto de producción.

Optimización de la creación de entornos con

Blueprints
El servicio Azure Blueprints permite a los arquitectos de nube y grupos de TI
central definir un conjunto repetible de recursos de Azure que implementa y
cumple los estándares, patrones y requisitos de la organización. Azure
Blueprints permite a los equipos de desarrollo aprovisionar y crear rápidamente
entornos con un conjunto de componentes integrados, con la confianza de que se
crean de acuerdo a la normativa de la organización.

Supervisar servicios de almacenamiento para

detectar cambios inesperados de comportamiento
Diagnosticar y solucionar problemas en una aplicación distribuida hospedada en
un entorno de nube puede ser más complicado que en los entornos tradicionales.
Las aplicaciones se pueden implementar en una infraestructura PaaS o IaaS, en
una ubicación local, en un dispositivo móvil o en varios de estos entornos
combinados. El tráfico de red de la aplicación puede atravesar redes públicas y
privadas, y la aplicación podría usar varias tecnologías de almacenamiento.

Debe supervisar continuamente los servicios de almacenamiento que usa la

aplicación para detectar cualquier cambio inesperado de comportamiento (por
ejemplo, tiempos de respuesta más lentos). Use los registros para recopilar
datos más detallados y analizar un problema en profundidad. La información de
diagnóstico obtenida de la supervisión y los registros le ayuda a determinar la
causa raíz del problema detectado por la aplicación. Luego puede solucionar el
problema y determinar los pasos adecuados para remediarlo.
Azure Storage Analytics registra y proporciona datos de métricas de una cuenta
de Azure Storage. Se recomienda usar estos datos para hacer un seguimiento de
solicitudes, analizar tendencias de uso y diagnosticar problemas con la cuenta
de almacenamiento.

Prevención de las amenazas, detección y respuesta

Para ayudar a evitar, detectar y responder a amenazas, Azure Security Center
proporciona más visibilidad y control sobre la seguridad de los recursos de
Azure. Proporciona administración de directivas y supervisión de seguridad
integradas en las suscripciones de Azure, ayuda a detectar las amenazas que
podrían pasar desapercibidas y funciona con distintas soluciones de seguridad.

El nivel Gratis de Security Center ofrece seguridad limitada solo para los
recursos de Azure. El nivel Estándar amplía estas funcionalidades al entorno
local y otras nubes. El nivel Estándar de Security Center ayuda a encontrar y
corregir vulnerabilidades de seguridad, aplicar controles de acceso y de
aplicación para bloquear actividades malintencionadas, detectar amenazas
mediante análisis e inteligencia, y responder rápidamente en caso de ataque.
Dicho plan se puede probar de forma gratuita los primeros 60 días. Se
recomienda actualizar la suscripción de Azure al nivel Estándar de Security
Center.

Use Security Center para obtener una vista centralizada del estado de seguridad
de todos los recursos de Azure. Compruebe que los controles de seguridad
adecuados se han implementado y configurado correctamente, e identifique de un
vistazo cualquier recurso que demande atención.

Security Center también se integra con Advanced Threat Protection (ATP) de

Microsoft Defender, que proporciona funcionalidades completas de detección y
respuesta (EDR) de puntos de conexión. Gracias a la integración de ATP de
Microsoft Defender, podrá detectar anomalías. También puede detectar y
responder a ataques avanzados en los puntos de conexión de servidor
supervisados por Security Center.

Casi todas las organizaciones empresariales tienen un sistema de administración

de eventos e información de seguridad (SIEM) para facilitar la identificación
de las amenazas emergentes mediante la consolidación de la información de
registro de distintos dispositivos de recopilación de señales. Después, un
sistema de análisis de datos analiza los registros para ayudar a identificar lo
que es "interesante" del ruido que es inevitable en todas las soluciones de
análisis y recopilación de registros.

Azure Sentinel es una solución de administración de eventos e información de

seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR)
que es escalable y nativa de la nube. Azure Sentinel ofrece análisis de
seguridad inteligentes e inteligencia frente a amenazas a través de la
detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la
respuesta automatizada antes las amenazas.

Estos son algunos procedimientos recomendados para evitar, detectar y responder

a las amenazas:

Procedimiento recomendado : Aumente la velocidad y escalabilidad de la

solución SIEM mediante SIEM basado en la nube.
Detalles : Investigue las características y funciones de Azure Sentinel y
compárelas con las de lo que use actualmente en el entorno local. Considere la
posibilidad de adoptar Azure Sentinel si cumple los requisitos de SIEM de la
organización.

Procedimiento recomendado : Identifique las vulnerabilidades de seguridad más

graves para poder clasificar por orden de prioridad la investigación.
Detalles : Revise la puntuación segura de Azure para ver las recomendaciones
resultantes de las iniciativas y directivas de Azure integradas en Azure
Security Center. Estas recomendaciones ayudan a abordar los riesgos más graves
como actualizaciones de seguridad, protección de puntos de conexión, cifrado,
configuraciones de seguridad, ausencia de WAF, máquinas virtuales conectadas a
Internet y muchos más.

La puntuación segura, que se basa en controles del Centro de seguridad de

Internet (CIS), permite realizar pruebas comparativas de la seguridad de Azure
de la organización sobre orígenes externos. La validación externa ayuda a
validar y enriquecer la estrategia de seguridad del equipo.

Procedimiento recomendado : Supervise la posición de seguridad de equipos,

redes, almacenamiento y servicios de datos y aplicaciones para detectar y
clasificar por orden de prioridad los posibles problemas de seguridad.
Detalles : Siga las recomendaciones de seguridad de Security Center, empezando
con los elementos de mayor prioridad.

Procedimiento recomendado : Integre las alertas de Security Center en la

solución de administración de eventos e información de seguridad (SIEM).
Detalles : La mayoría de las organizaciones con una solución SIEM la usan como
un centro de enrutamiento para las alertas de seguridad que requieren la
respuesta de un analista. Los eventos procesados generados por Azure Security
Center se publican en el Registro de actividad de Azure, uno de los registros
disponibles a través de Azure Monitor. Azure Monitor ofrece una canalización
consolidada para el enrutamiento de cualquiera de los datos supervisados en una
herramienta SIEM. Vea Integración de soluciones de seguridad en Security Center
para obtener instrucciones. Si usa Azure Sentinel, vea Conexión de Azure
Security Center.

Procedimiento recomendado : Integre los registros de Azure con la solución

SIEM.
Detalles : Use Azure Monitor para recopilar y exportar datos. Este
procedimiento es fundamental para habilitar la investigación de incidentes de
seguridad, y la retención de registro en línea es limitada. Si usa Azure
Sentinel, vea Conexión de orígenes de datos.

Procedimiento recomendado : Acelere los procesos de investigación y búsqueda,

y reduzca los falsos positivos mediante la integración de funciones de
detección y respuesta (EDR) de puntos de conexión en la investigación del
ataque.
Detalles : Habilite la integración de ATP de Microsoft Defender mediante la
directiva de seguridad de Security Center. Considere la posibilidad de usar
Azure Sentinel para la búsqueda de amenazas y la respuesta a los incidentes.

Supervisión de redes de un extremo a otro basada en

escenarios
Los clientes crean una red de un extremo a otro en Azure mediante la
combinación de recursos de red como una red virtual, ExpressRoute, Application
Gateway y equilibradores de carga. Se puede supervisar cada uno de los recursos
de la red.

Azure Network Watcher es un servicio regional. Use sus herramientas de

diagnóstico y visualización para supervisar y diagnosticar problemas en un
nivel de escenario de red en, hacia y desde Azure.

A continuación se ofrecen procedimientos recomendados para la supervisión de

redes y se indican las herramientas disponibles.

Procedimiento recomendado : Automatización de la supervisión de la red remota

con captura de paquetes.
Detalles : supervise y diagnostique problemas de red sin iniciar sesión en las
máquinas virtuales mediante Network Watcher. Desencadene la captura de paquetes
estableciendo alertas y obtenga acceso a información de rendimiento en tiempo
real en el ámbito de paquete. Cuando vea un problema, podrá investigar en
detalle para mejorar los diagnósticos.

Procedimiento recomendado : Extraer conclusiones sobre el tráfico de la red

mediante registros de flujo.
Detalles : conozca al detalle los patrones de tráfico de red mediante los
registros de flujo del grupo de seguridad de red. La información de los
registros de flujo le ayuda a recopilar datos para el cumplimiento, la
auditoría y la supervisión del perfil de seguridad de red.

Procedimiento recomendado : diagnóstico de problemas de conectividad VPN.

Detalles : use Network Watcher para diagnosticar los problemas más comunes de
conexión y VPN Gateway. No solo puede identificar el problema, sino también
usar registros detallados para investigar más.

Implementación segura mediante herramientas de

DevOps comprobadas
Use los siguientes procedimientos recomendados de DevOps para garantizar que la
empresa y los equipos sean productivos y eficientes.

Procedimiento recomendado : automatizar la compilación e implementación de

servicios.
Detalles : Infraestructura como código es un conjunto de técnicas y
procedimientos que ayudan a los profesionales de TI a eliminar la carga que
supone la compilación y administración cotidianas de una infraestructura
modular. Permite a los profesionales de TI compilar y mantener sus entornos de
servidores modernos de forma similar a como los desarrolladores de software
compilan y mantienen el código de las aplicaciones.

Puede usar Azure Resource Manager para aprovisionar las aplicaciones mediante
una plantilla declarativa. En una plantilla, puede implementar varios servicios
junto con sus dependencias. Use la misma plantilla para implementar la
aplicación de forma repetida durante cada fase de su ciclo de vida.

Procedimiento recomendado : compilar e implementar automáticamente en

aplicaciones web o servicios en la nube de Azure.
Detalles : Puede configurar Azure DevOps Projects para que se compile e
implemente de forma automática en aplicaciones web de Azure o en servicios en
la nube. Azure DevOps implementa automáticamente los archivos binarios después
de realizar una compilación en Azure tras cada comprobación de código. El
proceso de compilación del paquete es equivalente al comando Package de Visual
Studio y los pasos de publicación son equivalentes al comando Publish de Visual
Studio.

Procedimiento recomendado : Automatice la administración de versiones.

Detalles : Azure Pipelines es una solución para automatizar la implementación
en varias fases y la administración del proceso de publicación. Cree
canalizaciones de implementación continua y administrada con el fin de que el
lanzamiento sea rápido, sencillo y frecuente. Con Azure Pipelines, puede
automatizar el proceso de publicación y tener flujos de trabajo de aprobación
predefinidos. Realice la implementación de forma local y en la nube, amplíela y
personalícela según sea necesario.

Procedimiento recomendado : Compruebe el rendimiento de su aplicación antes de

iniciarla o de implementar actualizaciones en la producción.
Detalles : Ejecute pruebas de carga basadas en la nube para:

Detectar problemas de rendimiento en la aplicación.

Mejorar la calidad de implementación.
Asegurarse de que la aplicación siempre está disponible.
Asegurarse de que la aplicación puede controlar el tráfico de la siguiente
campaña de marketing o el siguiente lanzamiento.

Apache JMeter es una conocida herramienta gratuita de código abierto que cuenta
con el respaldo de una sólida comunidad.

Procedimiento recomendado : supervisar el rendimiento de las aplicaciones.

Detalles : Azure Application Insights es un servicio de Application Performance
Management (APM) extensible para desarrolladores web en varias plataformas. Use
Application Insights para supervisar la aplicación web en vivo. Se detectan
automáticamente las anomalías de rendimiento. Incluye herramientas de análisis
que le ayudan a diagnosticar problemas y a comprender lo que hacen realmente
los usuarios con la aplicación. Está diseñado para ayudarle a mejorar
continuamente el rendimiento y la facilidad de uso.

Mitigar y proteger frente a DDoS

La denegación de servicio distribuido (DDoS) es un tipo de ataque que intenta
agotar los recursos de la aplicación. El objetivo es afectar a la
disponibilidad de la aplicación y a su capacidad para administrar solicitudes
legítimas. Estos ataques son cada vez más sofisticados y tienen un mayor tamaño
e impacto. Pueden ir dirigidos a cualquier punto de conexión que sea
públicamente accesible a través de Internet.

Diseñar y compilar para la resistencia frente a DDoS requiere planear y diseñar

para una serie de modos de error. Estos son los procedimientos recomendados
para compilar servicios resistentes a DDoS en Azure.

Procedimiento recomendado : Asegúrese de que la seguridad es prioritaria

durante todo el ciclo de vida de una aplicación, desde su diseño e
implementación hasta la implementación y las operaciones. Las aplicaciones
pueden tener errores que permiten que un volumen relativamente bajo de
solicitudes usen muchos recursos y produzcan una interrupción del servicio.
Detalles : Para proteger un servicio que se ejecuta en Microsoft Azure, debe
conocer bien la arquitectura de su aplicación y centrarse en los cinco pilares
de la calidad del software. Debe conocer los volúmenes de tráfico típicos, el
modelo de conectividad entre la aplicación y otras aplicaciones, y los puntos
de conexión del servicio expuestos a la red pública de Internet.

Es de vital importancia garantizar que una aplicación sea lo suficientemente

resistente para tratar con un ataque de denegación de servicio dirigido a la
propia aplicación. La seguridad y la privacidad están integradas en la
plataforma Azure, comenzando por el ciclo de vida del desarrollo de la
seguridad (SDL). El SDL aborda la seguridad en cada fase de desarrollo y se
asegura de que Azure se actualice continuamente para que sea aún más seguro.

Procedimiento recomendado : Debe diseñar sus aplicaciones de modo que se

puedan escalar horizontalmente para satisfacer la demanda de una carga mayor,
específicamente en caso de un ataque de DDoS. Si la aplicación depende de una
única instancia de un servicio, crea un único punto de error. El
aprovisionamiento de varias instancias hace que el sistema sea más resistente y
más escalable.
Detalles : Para Azure App Service, seleccione un Plan de App Service que
ofrezca varias instancias.

Para Azure Cloud Services, configure cada uno de los roles para utilizar varias
instancias.

En el caso de Azure Virtual Machines, asegúrese de que la arquitectura de las

máquinas virtuales incluya más de una máquina virtual y de que cada una de
ellas se incluya en un conjunto de disponibilidad. Se recomienda usar conjuntos
de escalado de máquinas virtuales para contar con funcionalidades de escalado
automático.

Procedimiento recomendado : Disponer en niveles la defensa de la seguridad en

una aplicación reduce las probabilidades de éxito de un ataque. Implemente
diseños seguros para las aplicaciones con las funcionalidades integradas de la
plataforma Azure.
Detalles : el riesgo de ataque aumenta con el tamaño (área expuesta) de la
aplicación. Puede reducir el área expuesta mediante la creación de listas
blancas para cerrar el espacio de direcciones IP expuesto y los puertos de
escucha que no sean necesarios en los equilibradores de carga (Azure Load
Balancer y Azure Application Gateway).

Los grupos de seguridad de red constituyen otra manera de reducir el área

expuesta a ataques. Puede usar etiquetas de servicio y grupos de seguridad de
la aplicación para minimizar la complejidad de la creación de reglas de
seguridad y configurar la seguridad de la red como una extensión natural de la
estructura de una aplicación.

Debe implementar los servicios de Azure en una red virtual siempre que sea
posible. Este procedimiento permite que los recursos del servicio se comuniquen
mediante direcciones IP privadas. De forma predeterminada, el tráfico de los
servicios Azure desde una red virtual usa direcciones IP públicas como
direcciones IP de origen.

Con los puntos de conexión de servicio, el tráfico del servicio cambia para
usar direcciones privadas de red virtual como direcciones IP de origen al
acceder al servicio de Azure desde una red virtual.

Con frecuencia vemos ataques a los recursos locales de un cliente, además de a

los recursos en Azure. Si conecta un entorno local a Azure, minimice la
exposición de los recursos locales a la red pública de Internet.

Azure tiene dos ofertas de servicio de DDoS que proporcionan protección frente
a ataques de red:

La protección básica se integra en Azure de forma predeterminada sin costo

adicional. El tamaño y la capacidad de la red de implementación global de
Azure proporciona una defensa contra los ataques al nivel de red más comunes
mediante la supervisión constante del tráfico y la mitigación en tiempo real.
La protección básica no requiere ningún cambio de configuración ni de
aplicación y ayuda a proteger todos los servicios de Azure, incluidos
servicios PaaS como Azure DNS.
La protección estándar proporciona funcionalidades avanzadas de mitigación de
DDoS frente a ataques de red. Se ajusta automáticamente para proteger los
recursos específicos de Azure. La protección se puede habilitar fácilmente
durante la creación de redes virtuales. También puede realizarse después de
la creación y no requiere ningún cambio de aplicación o recurso.

Habilitación de Azure Policy

Azure Policy es un servicio de Azure que se usa para crear, asignar y
administrar directivas. Estas directivas aplican reglas y efectos a los
recursos, con el fin de que estos sigan siendo compatibles con los estándares
corporativos y los acuerdos de nivel de servicio. Azure Policy satisface esta
necesidad mediante la evaluación de los recursos que incumplen las directivas
asignadas.

Habilite Azure Policy para supervisar y aplicar la directiva escrita de la

organización. Esto garantizará el cumplimiento de los requisitos de seguridad
normativos o de la empresa mediante la administración centralizada de las
directivas de seguridad en todas las cargas de trabajo en la nube híbrida. Más
información sobre cómo crear y administrar directivas para aplicar el
cumplimiento. Vea Estructura de definición de Azure Policy para obtener
información general de los elementos de una directiva.

Estos son algunos procedimientos recomendados de seguridad que se pueden seguir

tras la adopción de Azure Policy:

Procedimiento recomendado : La directiva admite varios tipos de efectos. Puede

leer sobre ellos en Estructura de definición de Azure Policy. Las operaciones
empresariales se pueden ver afectadas negativamente por los efectos deny
(denegar) y remediate (corregir), por lo que debe comenzar con el efecto audit
(auditar) para limitar el riesgo de impacto negativo de la directiva.
Detalles : Inicie las implementaciones de directiva en modo audit y, después,
avance a deny o remediate . Pruebe y revise los resultados del efecto audit
antes de pasar a deny o remediate .

Para más información, vea Creación y administración de directivas para aplicar

el cumplimiento.

Procedimiento recomendado : Identifique los roles responsables de supervisar

las infracciones de directivas y garantizar que la acción correctora adecuada
se realiza de forma rápida.
Detalles : El rol asignado debe supervisar el cumplimiento normativo a través
de Azure Portal o la línea de comandos.

Procedimiento recomendado : Azure Policy es una representación técnica de las

directivas escritas de una organización. Todas las directivas de Azure se
asignan a las directivas de la organización para reducir la confusión y
aumentar la coherencia.
Detalles : Para asignar documentos en la documentación de la organización o en
la propia directiva de Azure, agregue una referencia a la directiva de la
organización en la descripción de la directiva o en la de la iniciativa de
Azure.

Supervisión de los informes de riesgo de Azure AD

La mayoría de las infracciones de seguridad tienen lugar cuando los atacantes
obtienen acceso a un entorno mediante el robo de identidad de un usuario.
Descubrir las identidades en peligro no es tarea fácil. Azure AD emplea
algoritmos y heurística de aprendizaje automático adaptable para detectar
acciones sospechosas que están relacionadas con las cuentas de usuario. Cada
acción sospechosa detectada se almacena en un registro llamado detección de
riesgos. Las detecciones de riesgo se registran en los informes de seguridad de
Azure AD. Para más información, vea el informe de seguridad de usuarios en
riesgo y el informe de seguridad de inicios de sesión en riesgo.

Pasos siguientes
Vea Patrones y procedimientos recomendados de seguridad en Azure para obtener
más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe,
implemente y administre las soluciones en la nube mediante Azure.

En los siguientes recursos se ofrece más información general sobre la seguridad

de Azure y los servicios de Microsoft relacionados:

Blog del equipo de seguridad de Azure: ofrece información actualizada sobre

lo último en seguridad de Azure
Microsoft Security Response Center: aquí podrá notificar vulnerabilidades de
seguridad de Microsoft, incluidos problemas con Azure, o también mediante
correo electrónico a secure@[Link].
 Lista de comprobación de seguridad
operativa de Azure
23/03/2020 • 10 minutes to read • Edit Online

La implementación de una aplicación en Azure es un procedimiento rápido,

sencilla y rentable. Antes de implementar la aplicación en la nube en
producción, es útil disponer de una lista de comprobación que ayude en la
evaluación de la aplicación en relación con una lista de acciones de seguridad
operativas esenciales y recomendadas que tener en cuenta.

Introducción
Azure ofrece un conjunto de servicios de infraestructura que puede usar para
implementar las aplicaciones. Con seguridad operativa de Azure, se hace
referencia a los servicios, los controles y las características disponibles
para los usuarios para proteger sus datos, aplicaciones y otros recursos en
Microsoft Azure.

Para obtener el máximo beneficio de la plataforma en la nube, recomendamos

que aproveche los servicios de Azure y siga la lista de comprobación.
Las organizaciones que invierten tiempo y recursos evaluando la
disponibilidad operativa de sus aplicaciones antes del inicio tienen una tasa
de satisfacción mucho más elevada que las que no. Al realizar este trabajo,
las listas de comprobación pueden ser un mecanismo valioso para garantizar
que las aplicaciones se evalúan de forma coherente y holística.
El nivel de evaluación operativa varía según el nivel de madurez de la nube
de la organización y la fase de desarrollo de la aplicación, las necesidades
de disponibilidad y los requisitos de sensibilidad de datos.

Lista de comprobación
Esta lista de comprobación se ha creado para ayudar a las empresas a pensar en
distintas consideraciones de la seguridad operativa a medida que se implementan
aplicaciones empresariales sofisticadas en Azure. También puede utilizarse para
ayudarle a crear una estrategia segura de operación y migración a nube para la
organización.

CATEGORÍA DE LA LISTA DE COMPROBACIÓN DESCRIPCIÓN

Utilice el control de acceso basado en rol

Roles de seguridad y controles de acceso (RBAC) para proporcionar un usuario
específico que usar para asignar permisos
a los usuarios, grupos y aplicaciones en
un ámbito determinado.
CATEGORÍA DE LA LISTA DE COMPROBACIÓN DESCRIPCIÓN

Utilice la seguridad en el plano de la

Recopilación de datos y almacenamiento administración para proteger su cuenta de
almacenamiento con Control de acceso
basado en rol (RBAC).
Seguridad en el plano de los datos para
garantizar el acceso a los datos con
firmas de acceso compartido (SAS) y
directivas de acceso almacenadas.
Utilice el cifrado de nivel de trasporte:
mediante HTTPS y el cifrado que usa SMB
(protocolos del bloque de mensajes del
servidor) 3.0 para recursos compartidos de
archivos de Azure.
Utilice el cifrado de cliente para
proteger los datos que envía a cuentas de
almacenamiento cuando precisa un control
único de las claves de cifrado.
Use el cifrado del servicio Storage (SSE)
para cifrar automáticamente los datos en
Azure Storage y Azure Disk Encryption para
cifrar los archivos de disco de máquina
virtual para los discos del SO y de datos.
Use Azure Storage Analytics para
supervisar el tipo de autorización; como
con Blob Storage, que puede ver si los
usuarios han usado una firma de acceso
compartido o claves de cuenta de
almacenamiento.
Use Uso compartido de recursos entre
orígenes (CORS) para acceder a los
recursos de almacenamiento desde
diferentes dominios.

Utilice Azure Security Center para

Directivas de seguridad y recomendaciones implementar soluciones de punto de
conexión.
Agregue un firewall de aplicaciones web
(WAF) para proteger las aplicaciones web.
Utilice un firewall de un asociado de
Microsoft para aumentar la protección.
Aplique detalles de contacto de seguridad
para la suscripción de Azure; Microsoft
Security Response Center (MSRC) se pondrá
en contacto con usted en caso de que
descubra que una entidad ilegal o no
autorizada ha accedido a los datos de
clientes.
CATEGORÍA DE LA LISTA DE COMPROBACIÓN DESCRIPCIÓN

Sincronice el directorio local con el

Administración de identidad y acceso directorio en la nube mediante Azure AD.
Usar el Inicio de sesión único para
permitir a los usuarios tener acceso a sus
aplicaciones SaaS basándose en sus cuentas
profesionales de Azure AD.
Utilice la Actividad de registro de
restablecimiento de contraseñas para
supervisar los usuarios que se registran.
Habilite Multi-factor authentication (MFA)
para los usuarios.
Los desarrolladores tienen que usar
capacidades de identidad seguras como
Ciclo de vida de desarrollo de seguridad
(SDL) de Microsoft.
Supervise de forma activa las actividades
sospechosas mediante informes de anomalías
de Azure AD Premium y la capacidad de
Azure AD Identity Protection.

Utilice la solución Malware Assessment de

Supervisión continuada de la seguridad registros de Azure Monitor para informar
del estado de la protección antimalware en
su infraestructura.
Utilice la evaluación de actualización
para determinar rápidamente la exposición
general a posibles problemas de seguridad
y la importancia de estas actualizaciones
para su entorno.
Identity and Access le ofrece una
descripción general del usuario
estado de la identidad del usuario,
número de intentos infructuosos de
inicio de sesión,
la cuenta de usuario que se utilizó
durante esos intentos, las cuentas
bloqueadas
las cuentas con la contraseña cambiada
o restablecida
Número de cuentas en las que se ha
iniciado sesión actualmente.
 CATEGORÍA DE LA LISTA DE COMPROBACIÓN DESCRIPCIÓN

Use las capacidades de detección para

Funcionalidades de detección de Azure Security identificar las amenazas que se dirigen a
Center los recursos de Microsoft Azure.
Utilice la información integrada sobre
amenazas que busca actores
malintencionados conocidos utilizando la
información global sobre amenazas de los
productos y servicios de Microsoft, la
Unidad de crímenes digitales de Microsoft
(DCU), Microsoft Security Response Center
(MSRC) y otras fuentes externas.
Utilice el análisis del comportamiento que
se aplica patrones conocidos para detectar
comportamientos malintencionados.
Utilice la detección de anomalías que usa
la generación de perfiles estadísticos
para crear un historial de línea de base.

La infraestructura como código (IaC) es un

Developer Operations (DevOps) procedimiento que permite la
automatización y validación de la creación
y destrucción de redes y máquinas
virtuales para ayudar a proporcionar
plataformas de host de aplicaciones
estables y seguras.
La integración y desarrollo continuos
impulsan la fusión en curso y la prueba de
código, que permite la detección temprana
de defectos.
Release Management permite administrar
implementaciones automatizadas a través de
cada fase de la canalización.
La supervisión del rendimiento de
aplicaciones de aplicaciones en ejecución,
incluidos los entornos de producción para
el estado de la aplicación y el uso del
cliente, ayudan a las organizaciones a
plantear una hipótesis y validar o refutar
estrategias rápidamente.
Utilice la prueba de carga y el escalado
automático para detectar los problemas de
rendimiento en nuestra aplicación para
mejorar la calidad de la implementación y
para asegurarse de que nuestra aplicación
esté siempre activada o disponible para
satisfacer las necesidades empresariales.

Conclusión
Muchas organizaciones han implementado y puesto en funcionamiento correctamente
sus aplicaciones en la nube en Azure. Las listas de comprobación proporcionadas
destacan algunas listas de comprobación que son fundamentales y le ayudan a
mejorar la probabilidad de implementaciones correctas y operaciones sin
frustraciones. Recomendamos fehacientemente estas consideraciones operativas y
estratégicas para las implementaciones de aplicaciones nuevas y existentes en
Azure.
Pasos siguientes
Para obtener más información sobre Seguridad, vea los artículos siguientes:

Diseño y seguridad operativa

Guía de planeamiento y operaciones de Azure Security Center
 Servicios y tecnologías de seguridad
disponibles en Azure
23/03/2020 • 9 minutes to read • Edit Online

En nuestras conversaciones con los clientes de Azure actuales y futuros, se nos

pregunta a menudo si tenemos una lista de todos los servicios y tecnologías
relacionados con la seguridad que ofrece Azure.

Al evaluar las opciones del proveedor de servicios en la nube, es útil tener

esta información. Por este motivo, hemos preparado esta lista para que pueda
empezar.

Con el tiempo, esta lista cambiará y aumentará, igual que lo hace Azure.
Asegúrese de que consultar esta página periódicamente para mantenerse informado
sobre nuestros servicios relacionados con la seguridad y las tecnologías.

Seguridad general de Azure

SERVICIO DESCRIPCIÓN

Azure Security Center Solución de protección que proporciona

administración de la seguridad y protección
avanzada contra amenazas para cargas de trabajo
en la nube híbrida.

Azure Key Vault Almacén de secretos seguro para las

contraseñas, las cadenas de conexión y otra
información que necesita para mantener sus
aplicaciones en funcionamiento.

Registros de Azure Monitor Servicio de supervisión que recopila datos de

telemetría y otros datos, y proporciona un
motor de lenguaje de consultas y análisis para
proporcionar información detallada sobre sus
aplicaciones y recursos. Puede utilizarse solo
o con otros servicios como Security Center.

Documentación de Azure Dev/Test Lab Servicio que ayuda a los desarrolladores y

evaluadores a crear rápidamente entornos de
Azure al tiempo que se optimizan los recursos y
se controlan los costos.

Seguridad para almacenamiento

SERVICIO DESCRIPCIÓN

Azure Storage Service Encryption Característica de seguridad que permite cifrar

automáticamente los datos en Azure Storage.
SERVICIO DESCRIPCIÓN

Documentación de StorSimple Solución de almacenamiento integrada que

administra las tareas de almacenamiento entre
los dispositivos locales y el almacenamiento en
la nube de Azure.

Cifrado del lado de cliente y Almacén de claves Solución de cifrado en lado de cliente que
de Azure para el Almacenamiento de Microsoft cifra los datos en aplicaciones de cliente
Azure antes de cargarlos en Azure Storage. También
descifra los datos mientras se descargan.

Firmas de acceso compartido, Parte 1: Una firma de acceso compartido ofrece acceso
Descripción del modelo SAS delegado a recursos en la cuenta de
almacenamiento.

Acerca de las cuentas de Azure Storage Método de control de acceso para Azure Storage
que se utiliza para la autenticación cuando se
accede a la cuenta de almacenamiento.

Introducción a Almacenamiento de archivos de Tecnología de seguridad de red que habilita el

Azure en Windows cifrado de red automático para el protocolo de
uso compartido de archivos Bloque de mensajes
del servidor (SMB).

Análisis de Azure Storage Tecnología de generación y registro de métricas

para los datos de la cuenta de almacenamiento.

Seguridad de bases de datos

SERVICIO DESCRIPCIÓN

Azure SQL Firewall Característica de control de acceso de red que

protege frente a ataques basados en red a una
base de datos.

Cifrado de nivel de celda de Azure SQL Tecnología de seguridad de base de datos que
proporciona cifrado en un nivel más
pormenorizado.

Cifrado de conexión de Azure SQL Para proporcionar seguridad, SQL Database

controla el acceso con reglas de firewall que
limitan la conectividad por dirección IP, con
mecanismos de autenticación que requieren a los
usuarios que demuestren su identidad y con
mecanismos de autorización que limitan a los
usuarios el acceso a datos y acciones
específicos.

Always Encrypted (Database Engine) Protege la información confidencial, como

números de tarjetas de crédito o números de
identificación nacionales (por ejemplo, números
de la seguridad social de EE. UU.), almacenados
en bases de datos de Azure SQL Database o SQL
Server.
SERVICIO DESCRIPCIÓN

Cifrado de datos transparente de Azure SQL Característica de seguridad de base de datos

que cifra el almacenamiento de una base de
datos completa.

Auditoría de Azure SQL Database Característica de auditoría de bases de datos

que realiza un seguimiento de eventos de bases
de datos y los escribe en un registro de
auditoría de su cuenta de Azure Storage.

Administración de identidades y acceso

SERVICIO DESCRIPCIÓN

Control de acceso basado en rol de Azure Característica de control de acceso diseñada

para que los usuarios accedan únicamente a los
recursos necesarios en función de sus roles
dentro de la organización.

Azure Active Directory Repositorio de autenticación basado en la nube

que admite un directorio en la nube de varios
inquilinos y varios servicios de administración
de identidades en Azure.

Azure Active Directory B2C Servicio de administración de identidades que

permite controlar la manera en que los clientes
se registran, inician sesión y administran sus
perfiles al usar las aplicaciones de Azure.

Azure Active Directory Domain Services Una versión en la nube y administrada de Active
Directory Domain Services.

Azure Multi-Factor Authentication Aprovisionamiento de seguridad que utiliza

diferentes formas de autenticación y
comprobación antes de permitir el acceso a
información protegida.

Copia de seguridad y recuperación ante desastres

SERVICIO DESCRIPCIÓN

Azure Backup Servicio de Azure que se usa para realizar

copias de seguridad y restaurar los datos en la
nube de Azure.

Azure Site Recovery Servicio en línea que replica las cargas de

trabajo que se ejecutan en máquinas físicas y
virtuales desde un sitio principal a una
ubicación secundaria para poder recuperar los
servicios después de un error.

Redes
SERVICIO DESCRIPCIÓN

Grupos de seguridad de red Característica de control de acceso basado en

la red que utiliza una tupla de 5 elementos
para permitir o denegar las decisiones.

Acerca de VPN Gateway Dispositivo de red que se usa como un punto de

conexión VPN para permitir el acceso entre
entornos locales a las redes virtuales de
Azure.

Introducción a Puerta de enlace de aplicaciones Equilibrador de carga de aplicación web

avanzado que puede enrutar en función de la
dirección URL y realizar descargas SSL.

Firewall de aplicaciones web (WAF) Una característica de Application Gateway que

ofrece una protección centralizada de las
aplicaciones web contra las vulnerabilidades de
seguridad más habituales.

Equilibrador de carga de Azure Equilibrador de carga de red para aplicaciones

TCP/UDP.

Información técnica de ExpressRoute Vínculo WAN dedicado entre las redes locales y
las redes virtuales de Azure.

Azure Traffic Manager Equilibrador de carga de DNS global.

Habilitación del proxy de la aplicación de Servidor front-end de autenticación usado para

Azure AD proteger el acceso remoto a las aplicaciones
web hospedadas en los entornos locales.

Azure Firewall Se trata de un servicio de seguridad de red

administrado y basado en la nube que protege
los recursos de Azure Virtual Network.

Azure DDoS Protection Junto con los procedimientos recomendados de

diseño de aplicaciones, constituyen una defensa
frente a los ataques DDoS.

Puntos de conexión de servicio de red virtual Estos extienden el espacio de direcciones

privadas de la red virtual y la identidad de la
red virtual a los servicios de Azure mediante
una conexión directa.
 Patrones y procedimientos
recomendados de seguridad en Azure
23/03/2020 • 2 minutes to read • Edit Online

Los artículos siguientes contienen procedimientos recomendados de seguridad

que puede aplicar cuando diseñe, implemente y administre soluciones en la
nube mediante Azure. Estos procedimientos recomendados proceden de nuestra
experiencia con la seguridad de Azure y las experiencias de clientes como
usted.

Los procedimientos recomendados están diseñados como recurso para los

profesionales de la TI. Aquí podrían caber diseñadores, arquitectos,
desarrolladores y evaluadores que compilen e implementen soluciones seguras
de Azure.

Servicios en la nube de Microsoft y seguridad de red

Procedimientos recomendados para la seguridad de las bases de datos de
Azure
Procedimientos recomendados de cifrado y seguridad de datos en Azure
Procedimientos recomendados para la administración de identidades y la
seguridad del control de acceso en Azure
Procedimientos recomendados de seguridad de la red de Azure
Procedimientos recomendados de seguridad operativa de Azure
Procedimientos recomendados de PaaS de Azure
Procedimientos recomendados de seguridad de Azure Service Fabric
Procedimientos recomendados de seguridad para las máquinas virtuales de
Azure
Implementación de una arquitectura de red híbrida segura en Azure
Procedimientos recomendados de seguridad de Internet de las cosas
Protección de bases de datos PaaS en Azure
Protección de aplicaciones web y móviles PaaS con Azure App Service
Protección de aplicaciones web y móviles PaaS con Azure Storage
Procedimientos de seguridad recomendados para cargas de trabajo de IaaS de
Azure

Las notas del producto Security best practices for Azure solutions
(Procedimientos recomendados de seguridad para soluciones de Azure) es una
colección de procedimientos recomendados de seguridad que se encuentran en
los artículos enumerados anteriormente.

Descargar las notas del producto

 Servicios de Microsoft en
ciberseguridad
23/03/2020 • 2 minutes to read • Edit Online

Los servicios de Microsoft proporcionan un enfoque integral para la seguridad,

la identidad y la ciberseguridad. Incluyen una matriz de servicios de seguridad
e identidad a través de la estrategia, la planificación, la implementación y el
soporte técnico continuado. Estos servicios pueden ayudar a los clientes
Enterprise a implementar soluciones de seguridad que se alineen con sus
objetivos estratégicos.

Los servicios de Microsoft pueden crear soluciones que integren y mejoren las
funcionalidades de seguridad e identidad más recientes de nuestros productos
para ayudar a proteger sus negocios e impulsar la innovación.

Nuestro equipo de profesionales técnicos está formado por expertos altamente

cualificados que ofrecen una gran experiencia en identidad y seguridad.

Aprenda más acerca de los servicios proporcionados por Servicios de Microsoft:

Security Risk Assessment

Dynamic Identity Framework Assessment
Offline Assessment for Active Directory Services
Enhanced Security Administration Environment
Azure AD Implementation Services
Securing Against Lateral Account Movement
Incident Response and Recovery

Aprenda más acerca de los servicios de consultoría de seguridad de Servicios de

Microsoft.
 Procedimientos para registrar una
incidencia de soporte técnico de un
evento de seguridad
23/03/2020 • 2 minutes to read • Edit Online

1. Vaya al servicio de soporte técnico del editor e inicie sesión con sus
credenciales de Microsoft.

2. Seleccione "Evento de seguridad" como el tipo de problema y elija entre las

categorías "Incidente de seguridad" y "Vulnerabilidad".

3. Después de seleccionar el tipo de problema y la categoría, haga clic en el

botón Solicitud de inicio . Proporcione la siguiente información para
facilitarnos la comprensión del problema.

i. ¿Cuál es el problema o la vulnerabilidad?

ii. En el caso de las vulnerabilidades, proporcione el identificador CVE

([Link]) o la ficha rellena de la calculadora CVSS3
v3([Link]

iii. ¿Hay una resolución o una mitigación de riesgos? En caso afirmativo,

proporcione los pasos de corrección.

iv. ¿Tiene algún mensaje que desea enviar a los clientes? Trabajaremos con
usted para elaborar un mensaje adecuado si es aplicable.

4. Confirmación de envío: una vez enviado el problema, acusaremos recibo

dentro del plazo de un día laborable y asignaremos prioridad y gravedad al
problema.

Si necesita hablar con nosotros sobre su problema, use el número de

confirmación que aparece en la correspondencia.
Puede ver la evolución del problema en cualquier momento.
5. ¿Qué sucede a continuación? Según el problema y su gravedad, se pueden
seguir los pasos a continuación:

Le comunicaremos el resultado de la evaluación. Dependiendo del

resultado, podemos quitar su oferta o pedirle que la modifique. En este
caso, trabajaremos con usted para asegurar que se minimiza la
interrupción a los clientes afectados.
Trabajaremos con usted para ayudarle a mitigar el impacto del incidente
o vulnerabilidad en nuestros clientes mutuos.
 Pruebas de penetración
23/03/2020 • 3 minutes to read • Edit Online

Una de las ventajas del uso de Azure para las pruebas y la implementación de
aplicaciones es que puede crear entornos rápidamente. No tiene que preocuparse
del pedido, la adquisición, la "instalación en bastidor y apilamiento" de su
propio hardware local.

Esto es genial, pero debe asegurarse de realizar sus diligencias de seguridad

normales. Una de las cosas que quizá desee hacer es realizar pruebas de
penetración de las aplicaciones que implemente en Azure.

Es posible que ya sepa que realiza Microsoft realiza pruebas de penetración de

nuestro entorno de Azure. Esto permite impulsar las mejoras de Azure.

No realizamos pruebas de penetración de su aplicación, pero sabemos que se

desea y necesita realizar dichas pruebas en sus propias aplicaciones. Eso es
bueno, ya que al mejorar la seguridad de sus aplicaciones, ayuda a hacer que
todo el ecosistema de Azure sea más seguro.

Desde el 15 de junio de 2017, Microsoft ya no requiere la aprobación previa

para llevar a cabo pruebas de penetración con recursos de Azure. Se recomienda
a los clientes que quieran documentar formalmente los compromisos de futuras
pruebas de penetración con Microsoft Azure que completen el formulario de
notificación de pruebas de penetración de servicios de Azure. Este proceso solo
está relacionado con Microsoft Azure y no es aplicable ningún otro servicio de
Microsoft Cloud.

IMPORTANT
Aunque notificar a Microsoft de las actividades de pruebas de penetración ya no es obligatorio,
los clientes deben cumplir las reglas de compromiso de las pruebas de penetración unificadas de
Microsoft Cloud de todos modos.

Entre las pruebas estándar que puede realizar se incluyen:

Pruebas en los puntos de conexión para descubrir las 10 principales

vulnerabilidades del Proyecto de seguridad de aplicación web abierta (OWASP)
Pruebas de vulnerabilidad ante datos aleatorios o inesperados de los puntos
de conexión
Exploración de puertos de los puntos de conexión

Un tipo de prueba que no puede realizar es ningún tipo de ataque de denegación

de servicio (DoS) . Esto incluye iniciar un ataque de denegación de servicio o
la realización de pruebas relacionadas que puedan determinar, demostrar o
simular cualquier tipo de ataque de denegación de servicio.

Pasos siguientes
Si desea documentar formalmente una próxima prueba de penetración en sus
aplicaciones hospedadas en Microsoft Azure, diríjase a Penetration Testing
Rules of Engagement (Reglas de compromiso de las pruebas de penetración) y
rellene el formulario de notificación de las pruebas.