Diseño de arquitectura de seguridad

La seguridad de la información siempre ha sido un asunto complejo y que evoluciona rápidamente junto con las ideas e implementaciones creativas de los atacantes y los investigadores de seguridad.

La seguridad constituye uno de los aspectos más importantes de cualquier arquitectura. Una buena seguridad proporciona garantías de confidencialidad, integridad y disponibilidad contra ataques deliberados y abuso de sus datos y sistemas valiosos. La pérdida de estas garantías puede dañar a las operaciones comerciales y los ingresos, así como a la reputación de la organización.

Estas son algunas categorías generales que se deben tener en cuenta al diseñar un sistema de seguridad:

Azure proporciona una amplia gama de herramientas y funcionalidades de seguridad. Estos son solo algunos de los servicios de seguridad clave disponibles en Azure:

• Microsoft Defender for Cloud. Un sistema de administración de la seguridad de una infraestructura unificada que refuerza la posición de seguridad de los centros de datos. También proporciona protección contra amenazas avanzada en todas las cargas de trabajo híbridas de la nube y el entorno local.
• Microsoft Entra ID. el servicio de administración de acceso e identidades de Microsoft, basado en la nube.
• Azure Front Door. Un punto de entrada global y escalable que usa la red perimetral global de Microsoft para crear aplicaciones web rápidas, altamente seguras y muy escalables.
• Azure Firewall. Un servicio de seguridad de firewall de red inteligente nativo de nube que proporciona protección contra amenazas para cargas de trabajo en la nube que se ejecutan en Azure.
• Azure Key Vault Un almacén de secretos de alta seguridad para tokens, contraseñas, certificados, claves de API y otros secretos. Key Vault también se puede usar para crear y controlar las claves de cifrado utilizadas para cifrar los datos.
• Azure Private Link. Un servicio que le permite acceder a los servicios PaaS de Azure, a los servicios hospedados en Azure que son propiedad suya, o a los servicios de asociados, a través de un punto de conexión privado de la red virtual.
• Azure Application Gateway. Un equilibrador de carga avanzado para administrar el tráfico a las aplicaciones web.
• Azure Policy. Un servicio que le ayuda a aplicar los estándares organizativos y a evaluar el cumplimiento.

Para obtener una descripción más completa de las herramientas y funcionalidades de seguridad de Azure, consulte Seguridad integral en Azure.

Introducción a la seguridad en Azure

Si no está familiarizado con la seguridad en Azure, la mejor manera de aprender más es con la formación de Microsoft Learn. Esta plataforma gratuita en línea proporciona aprendizaje interactivo para productos de Microsoft y mucho más.

Estas son dos rutas de aprendizaje para empezar:

• Aspectos básicos de Microsoft Azure: Descripción de las características de seguridad general y de seguridad de red

• Microsoft Security, Compliance, and Identity Fundamentals: descripción de las funcionalidades de las soluciones de seguridad de Microsoft

Ruta hacia la producción

• Para proteger las cargas de trabajo de las aplicaciones de Azure, puede usar medidas de protección como la autenticación y el cifrado en las propias aplicaciones. También puede agregar niveles de seguridad a las redes de máquinas virtuales que hospedan las aplicaciones. Consulte Firewall y Application Gateway para redes virtuales para obtener información adicional.
• Confianza cero es un enfoque proactivo e integrado sobre la seguridad en todas las capas del patrimonio digital. Comprueba de forma explícita y continua cada transacción, asigna privilegios mínimos y se basa en inteligencia, detección avanzada y respuesta en tiempo real a las amenazas.
  • Para obtener una estrategia de implementación para aplicaciones web, consulte Red de confianza cero para aplicaciones web con Azure Firewall y Application Gateway.
  • Para obtener una arquitectura que muestre cómo incorporar las funcionalidades de acceso e identidad de Microsoft Entra en una estrategia general de seguridad de Confianza cero, consulte Microsoft Entra IDaaS en las operaciones de seguridad.
• Gobernanza en Azure establece las herramientas necesarias para admitir la gobernanza de la nube, la auditoría de cumplimiento y los límites de protección automatizados. Consulte Guía del área de diseño para la gobernanza en Azure para más información sobre cómo regular el entorno de Azure.

Procedimientos recomendados

El Marco de buena arquitectura de Azure es un conjunto de principios rectores, basados en cinco pilares, que puede usar para mejorar la calidad de las arquitecturas. Para más información, consulte Introducción al pilar de seguridad y Principios de diseño de seguridad en Azure.

El Marco de buena arquitectura de Azure también proporciona estas listas de comprobación:

• Consideraciones sobre la administración de identidades y acceso de Azure
• Seguridad de las redes
• Consideraciones sobre la protección de datos
• Gobernanza, riesgo y cumplimiento

Para obtener información sobre la seguridad de las cargas de trabajo de IaaS confidenciales, consulte Consideraciones relativas a la seguridad para aplicaciones IaaS altamente confidenciales en Azure.

Las arquitecturas de seguridad

Administración de identidades y acceso

• Resistencia en la administración de identidad y acceso de clientes con Microsoft Entra ID
• Administración de identidades y acceso de Microsoft Entra para AWS

Protección contra amenazas

• Indicadores de amenazas para la inteligencia sobre ciberamenazas en Microsoft Sentinel
• Protección multicapa para el acceso a máquinas virtuales de Azure
• Detección de fraudes en tiempo real

Protección de la información

• Cifrado homomórfico con SEAL

Mantenerse al día con la seguridad

Obtenga las actualizaciones más recientes de las características y servicios de seguridad de Azure.

Recursos adicionales

Soluciones de ejemplo

• Supervisión de la seguridad híbrida mediante Microsoft Defender for Cloud y Microsoft Sentinel
• Acceso con seguridad mejorada a aplicaciones web multiinquilino desde una red local
• Restricción de comunicaciones entre servicios
• Aplicaciones web administradas de forma segura
• Protección del bot de canal de Microsoft Teams y la aplicación web detrás de un firewall
• Conectividad privada de una aplicación web a Azure SQL Database

Examine todas nuestras arquitecturas de seguridad.

Profesionales de AWS o Google Cloud

• Seguridad e identidad con Azure y AWS
• Comparación de AWS con los servicios de Azure: Seguridad
• Comparación entre servicios de Google Cloud y Azure: Seguridad

Pasos siguientes

La arquitectura de seguridad es parte de un conjunto completo de instrucciones de seguridad que también incluye:

• Seguridad en Microsoft Cloud Adoption Framework para Azure: información general sobre un estado final de seguridad en la nube.
• Marco de buena arquitectura de Azure: instrucciones sobre protección de las cargas de trabajo en Azure.
• Pruebas comparativas de seguridad de Azure: procedimientos recomendados y controles de seguridad de Azure preceptivos.
• Seguridad integral en Azure: documentación que le presenta los servicios de seguridad de Azure.
• Los 10 principales procedimientos recomendados de seguridad: los principales procedimientos recomendados de seguridad que aconseja Microsoft basándose en las lecciones aprendidas de clientes y de nuestros propios entornos.
• Arquitecturas de ciberseguridad de Microsoft: los diagramas describen cómo se integran las funcionalidades de seguridad de Microsoft con las plataformas de Microsoft y las plataformas de terceros.