Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Aspectos básicos de seguridad en la nube de Azure

Con una cuota de mercado total que supera el 20 %, la nube de Microsoft Azure se ha convertido en los últimos años en uno de los principales competidores en el mercado de computación en la nube pública. Al mismo tiempo, la seguridad de la nube de Azure se ha convertido en un competidor principal para cada vez más empresas.

Aunque los principios y las prácticas de seguridad de Azure son en muchos aspectos similares a los de otras plataformas de nube pública importantes, existen algunas diferencias y matices importantes que convienen conocer a la hora de diseñar una estrategia de seguridad en Azure. Siga leyendo para conocer estos detalles a medida que develamos los aspectos básicos de la seguridad en la nube de Azure y analizamos cuáles son sus mejores prácticas de seguridad.

Modelo de responsabilidad compartida de Azure

Como todas las nubes públicas, Azure utiliza un modelo de responsabilidad compartida para definir qué tareas de seguridad son responsabilidad de los clientes y cuáles gestiona Azure. Conocer los conceptos de responsabilidad compartida de Azure es el primer paso para diseñar una estrategia de seguridad en la nube de Azure que le permita gestionar las responsabilidades de seguridad que Azure no supervisa en sus entornos de nube.

Azure explica los detalles de su modelo de responsabilidad compartida aquí, pero pueden resumirse de la siguiente manera:

  • Azure asume la mayor parte de las responsabilidades de seguridad de las ofertas de SaaS, a excepción de los datos creados por los clientes o las aplicaciones que estos despliegan en un servicio SaaS.
  • Los clientes comparten con Azure la responsabilidad de proteger las workloads desplegadas en los servicios PaaS de Azure. En este contexto, Azure protege la infraestructura física subyacente, pero la mayoría de las responsabilidades relacionadas con la red y la gestión de identidad y acceso (Identity and Access Management, IAM) recaen en los clientes.
  • En los servicios Azure IaaS, los clientes se encargan de la mayoría de las tareas de seguridad. La excepción es la infraestructura física subyacente, de la que es responsable Azure.
  • Si los clientes integran infraestructura, aplicaciones o datos locales con Azure a través de uno de los marcos de nube híbrida de Azure (como Azure Stack o Azure Arc), ellos serán los únicos responsables de proteger los recursos locales.

Esto no debería sorprenderle si está familiarizado con los modelos de responsabilidad compartida en la nube en general. La arquitectura de responsabilidad compartida de Azure no difiere mucho de los modelos adoptados por otros proveedores importantes de nubes públicas.

Mejores prácticas de seguridad en la nube de Azure

Una vez que haya identificado las responsabilidades de seguridad que le competen en función de los tipos de servicios en la nube de Azure que utilice, puede planificar una estrategia de seguridad de Azure que le permita cumplir con sus obligaciones de seguridad.

Mejores prácticas estándar de seguridad en la nube

Muchas de las mejores prácticas de seguridad que se recomienda aplicar son estándar para todos los principales entornos de nube pública. Algunas de ellas son:

  • Utilice IAM: La gestión de identidad y acceso (Identity and Access Management, IAM), es una herramienta fundamental para proteger workloads en cualquier nube pública. Si utiliza Azure, asegúrese de aprovechar al máximo su marco de IAM para gestionar el acceso a sus recursos en la nube basándose en el principio de mínimo privilegio. Como veremos a continuación, Azure IAM funciona un poco diferente a otras IAM en la nube, ya que se basa en Active Directory. De todos modos, las configuraciones de control de acceso granular en Azure son iguales que las que podría aplicar en cualquier nube pública importante.
  • Aísle sus redes en la nube: Siempre que sea posible, utilice redes virtuales de Azure y nubes privadas para aislar sus entornos de nube a nivel de red. Estos servicios no están disponibles para todos los tipos de workloads de Azure, pero la mayoría de workloads basadas en IaaS y PaaS (y también algunas basadas en SaaS) pueden aislarse en redes privadas o nubes privadas virtuales.
  • Utilice etiquetas en la nube: Como la mayoría de las nubes, Azure permite aplicar etiquetas para organizar los recursos. Aunque los recursos de la nube que carecen de etiquetas no tienen por qué ser necesariamente inseguros, las etiquetas son muy útiles desde el punto de vista de la seguridad porque permiten rastrear más fácilmente qué recursos de la nube se están ejecutando y dónde. Además, ayudan a garantizar que no se pasen por alto algunas workloads al configurar los controles de acceso, auditar el entorno de nube, etc.
  • Proteja los datos de Azure: Además de utilizar Azure IAM para gestionar el acceso a los datos que almacena en Azure Blob Storage u otros servicios de almacenamiento dentro de Azure, es aconsejable que cifre sus datos en la nube, así como las capas de transporte que utiliza para acceder a los mismos. Azure también ofrece una función de “bloqueo” de cuentas de almacenamiento que resulta útil para evitar la manipulación no autorizada de los datos en la nube.

Consideraciones especiales de seguridad para Azure

Aparte las prácticas estándar de seguridad en la nube recomendadas, hay algunas consideraciones específicas de Azure que debe tener en cuenta para su estrategia de seguridad en la nube de Azure:

  • Documéntese sobre Azure IAM: Como hemos mencionado anteriormente, el sistema IAM de Azure es único entre las principales nubes públicas porque se basa en Microsoft Active Directory. Puede configurar y aplicar políticas de acceso muy efectivas utilizando Azure IAM, pero las políticas se escriben y gestionan de forma diferente a las de nubes como AWS. Si no ha trabajado nunca con Active Directory, le recomendamos que dedique algo de tiempo a informarse sobre Azure Active Directory y su papel en la IAM de la nube de Azure.
  • Utilice inteligentemente los servicios de la nube híbrida: En los últimos años, Azure ha invertido significativamente en sus ofertas de nube híbrida con la introducción de Azure Stack y Azure Arc, que permiten a los clientes gestionar la infraestructura local u hospedada a través de Azure. Como indicamos antes, Azure espera que los clientes gestionen la mayoría de los riesgos de seguridad en la infraestructura privada, por lo que es importante no dar por sentando erróneamente que solo porque Azure está gestionando su infraestructura privada, también la está protegiendo.
  • Herramientas de seguridad de Azure: Azure proporciona algunas herramientas de seguridad específicas para la nube que ayudan a los usuarios a proteger y auditar workloads. Las dos más importantes son Azure Security Center y Azure Defender (que técnicamente forma parte de Azure Security Center, pero funciona como un servicio independiente). Estos servicios son muy útiles para configurar y gestionar alertas relacionadas con eventos y riesgos de seguridad tanto en el propio Azure como en los entornos de nube híbrida que incluyan Azure. Aunque lo normal es que utilice herramientas de seguridad externas para gestionar los riesgos que los servicios nativos de Azure no pueden cubrir, no está de más que se familiarice con los servicios de seguridad básicos que Azure proporciona de forma nativa.

Protección de containers en Azure

Dado que los servicios de containers se han convertido en una de las ofertas de productos más importantes dentro de Azure, conviene dedicar unas palabras a la gestión de su seguridad en Azure.

Se trata de un tema complejo, porque Azure proporciona varios servicios de containers. Los más destacados son:

  • Azure Kubernetes Services (AKS), un servicio gestionado de Kubernetes.
  • Azure Container Instances, un servicio gestionado de containers que no requiere que los usuarios trabajen con Kubernetes u otro servicio de orquestación.
  • Azure Red Hat OpenShift, un servicio gestionado de OpenShift. (OpenShift se basa en Kubernetes, pero no es exactamente igual).
  • Azure Web App for Containers, que permite a los usuarios desplegar containers rápidamente sin tener que gestionar ellos mismos la orquestación o la infraestructura.

La seguridad de los containers en Azure depende en gran medida de cuál de estos servicios decida utilizar. Pero, en general, las prácticas recomendadas para la seguridad de los contenedores de Azure incluyen:

  • Escanee las imágenes de containers, ya que Azure no detectará automáticamente las vulnerabilidades o el malware en sus imágenes por usted.
  • Gestione el acceso a los registros de containers, tanto si utiliza el servicio de registro de containers nativo de Azure como un registro de terceros.
  • Si su entorno de containers incluye Kubernetes, utilice los registros de auditoría de Kubernetes, RBAC y los contextos de seguridad para proteger el entorno. Esto es importante también si utiliza un servicio gestionado de Kubernetes como AKS. En AKS, Azure solo protege la infraestructura del clúster, pero la responsabilidad de proteger Kubernetes y los containers desplegados en él recae en el cliente.
  • Audite los datos de configuración de sus containers y de Kubernetes, los despliegues y otros archivos para detectar errores de configuración que puedan causar una postura de seguridad en la nube vulnerable.

Conclusión

Como una de las principales plataformas de computación en la nube del mundo, Azure ofrece docenas de servicios en la nube que pueden desplegarse como parte de modelos de nube única, multicloud o nube híbrida. Esta diversidad implica que no existe una fórmula sencilla para proteger los entornos de nube de Azure.

Sin embargo, si identifica los riesgos de seguridad que debe gestionar en función de los servicios de Azure que utilice y despliega herramientas que puedan reforzar esos servicios contra los ataques y detectar las infracciones cuando se produzcan, conseguirá una postura de seguridad en la nube de Azure lo más sólida posible.