Seguridad, gobernanza y cumplimiento de la administración y el análisis de datos
Al planear la arquitectura del análisis a escala de nube, preste especial atención para asegurarse de que sea sólida y segura. En este artículo se abordan los criterios de diseño de seguridad, cumplimiento y gobernanza para el análisis a escala empresarial de nube. También se incluyen las recomendaciones de diseño y los procedimientos recomendados para la implementación de análisis a escala de nube en Azure. Revise Seguridad, gobernanza y cumplimiento a escala empresarial para prepararse completamente para la gobernanza de una solución empresarial.
Inicialmente, las soluciones en la nube hospedaban aplicaciones únicas relativamente aisladas. A medida que las ventajas de las soluciones en la nube se hacían evidentes, las cargas de trabajo de mayor tamaño pasaron a hospedarse en la nube; p. ej., SAP en Azure. Así pues, abordar la seguridad, la confiabilidad, el rendimiento y el costo de las implementaciones regionales a lo largo del ciclo de vida de los servicios en la nube se convirtió en un proceso crítico.
La visión para la seguridad de la zona de aterrizaje del análisis a escala de nube, el cumplimiento y la gobernanza en Azure consiste en proporcionar herramientas y procesos que le ayuden a minimizar el riesgo y a tomar decisiones eficaces. Las zonas de aterrizaje de Azure definen los roles y responsabilidades del cumplimiento y la gobernanza en seguridad.
El patrón de análisis a escala de nube se basa en varias características de seguridad que se pueden habilitar en Azure. Estas características incluyen cifrado, control de acceso basado en roles, listas de control de acceso y restricciones de redes.
Recomendaciones de diseño de la seguridad
Tanto Microsoft como los clientes comparten la responsabilidad de la seguridad. En lo que se refiere a las orientaciones de seguridad de aceptación, consulte los procedimientos recomendados de ciberseguridad de Centro de seguridad de Internet. Las secciones siguientes son recomendaciones de diseño de seguridad.
Cifrado de datos en reposo
El cifrado de datos en reposo hace referencia al cifrado de datos cuando se conservan en el almacenamiento y aborda los riesgos de seguridad relacionados con el acceso físico directo a los medios de almacenamiento. Dar es un control de seguridad crítico, ya que los datos subyacentes son irrecuperables y no se pueden cambiar sin su clave de descifrado. Dar es una capa importante en la estrategia de defensa en profundidad de los centros de datos de Microsoft. A menudo, hay motivos de cumplimiento y gobernanza para implementar el cifrado de datos en reposo.
Varios servicios de Azure admiten el cifrado de datos en reposo, incluidos Azure Storage y las bases de datos de Azure SQL. Aunque los conceptos y modelos comunes influyen en el diseño de los servicios de Azure, cada servicio puede aplicar el cifrado de datos en reposo en diferentes capas de la pila o tener requisitos de cifrado diferentes.
Importante
Todos los servicios que admiten el cifrado de datos en reposo deben tenerlo habilitado de forma predeterminada.
Protección de los datos en tránsito
Los datos están en tránsito o en paquetes piloto cuando se mueven de una ubicación a otra. Esto se puede hacer internamente, en el entorno local o dentro de Azure, o externamente; p. ej., en Internet para un usuario final. Azure ofrece varios mecanismos, como el cifrado, para mantener la privacidad de los datos en tránsito. Estos mecanismos incluyen:
- Comunicación por medio de VPN con el cifrado de IPsec/IKE.
- Seguridad de la capa de transporte (TLS) 1.2 o una versión posterior por medio de componentes de Azure, como Azure Application Gateway o Azure Front Door.
- Protocolos disponibles en Azure Virtual Machines, como Windows IPsec o SMB.
El cifrado mediante MACsec (seguridad de control de acceso a medios), que es un estándar IEEE en el nivel de vínculo de datos, se habilita automáticamente para todo el tráfico de Azure entre los centros de datos de Azure. Este cifrado garantiza la confidencialidad e integridad de los datos del cliente. Para más información, consulte Protección de datos de cliente de Azure.
Administración de claves y secretos
Para controlar y administrar los secretos y claves de cifrado de disco para el análisis a escala de nube, use Azure Key Vault. Key Vault tiene funciones para el aprovisionamiento y la administración de certificados SSL/TLS. También puede proteger secretos con módulos de seguridad de hardware (HSM).
Microsoft Defender for Cloud
Microsoft Defender for Cloud proporciona alertas de seguridad y protección contra amenazas avanzada para máquinas virtuales, bases de datos SQL, contenedores, aplicaciones web, redes virtuales, etc.
Al habilitar Defender for Cloud desde el área de precios y configuración, los siguientes planes de Microsoft Defender se habilitan simultáneamente y proporcionan defensas completas para las capas de proceso, datos y servicios de su entorno:
- Microsoft Defender para servidores
- Microsoft Defender para App Service
- Microsoft Defender para Storage
- Microsoft Defender para SQL
- Microsoft Defender para Kubernetes
- Microsoft Defender para registros de contenedor
- Microsoft Defender para Key Vault
- Microsoft Defender para Resource Manager
- Microsoft Defender para DNS
Estos planes se explican por separado en la documentación de Defender for Cloud.
Importante
Si Defender for Cloud está disponible para las ofertas de plataforma como servicio (PaaS), debería habilitar esta característica de manera predeterminada, especialmente para las cuentas de Azure Data Lake Storage. Para más información, consulte ¿Qué es Microsoft Defender for Cloud? y Configuración de Microsoft Defender para Storage.
Microsoft Defender for Identity
Microsoft Defender for Identity forma parte de la oferta de seguridad de datos avanzada, que es un paquete unificado para funcionalidades avanzadas de seguridad. Desde Azure Portal no solo se puede acceder a Microsoft Defender for Identity, sino que también es posible administrarlo desde ahí.
Importante
Habilite Microsoft Defender for Identity de forma predeterminada siempre que esté disponible para los servicios PaaS que use.
Habilitación de Microsoft Sentinel
Microsoft Sentinel es una solución de Administración de eventos e información de seguridad (SIEM) y Respuesta automatizada de orquestación de seguridad (SOAR) que es escalable y nativa de nube. Microsoft Sentinel ofrece análisis de seguridad inteligente e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una única solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas.
Redes
La vista prescrita del análisis a escala de nube consiste en usar puntos de conexión privados de Azure para todos los servicios de PaaS y no usar IP públicas para todos los servicios de infraestructura como servicio (IaaS). Para más información, consulte Redes de análisis a escala de nube.
Recomendaciones de diseño de cumplimiento y gobernanza
Azure Advisor le ayuda a obtener una vista consolidada de las suscripciones a Azure. Consulte Azure Advisor para obtener recomendaciones sobre confiabilidad, resistencia, seguridad, rendimiento, costo y excelencia operativa. Las secciones siguientes son recomendaciones de diseño para el cumplimiento y la gobernanza.
Uso de Azure Policy
Azure Policy ayuda a aplicar los estándares de la organización y a evaluar el cumplimiento a gran escala. Mediante su panel de cumplimiento, proporciona una vista agregada del estado general del entorno, con la posibilidad de explorar en profundidad hasta el nivel de recurso o directiva individual.
Azure Policy facilita el cumplimiento de los recursos gracias a la corrección masiva de los recursos existentes y la corrección automática de los nuevos recursos. Hay varias directivas integradas disponibles, por ejemplo, para restringir la ubicación de los nuevos recursos, requerir una etiqueta y su valor en los recursos, crear una VM con un disco administrado o aplicar directivas de nomenclatura.
Automatizar implementaciones
Automatice las implementaciones para ahorrar tiempo y reducir los errores. Reduzca la complejidad de la implementación de las zonas de aterrizaje de datos de un extremo a otro y las aplicaciones de datos (que crean los productos de datos) mediante la creación de plantillas de código reutilizables. Esto minimiza el tiempo necesario para implementar o volver a implementar soluciones. Para más información, consulte Información sobre la automatización DevOps para el análisis a escala de nube en Azure.
Bloqueo de recursos para cargas de trabajo de producción
Cree los principales recursos de Azure necesarios para la administración de datos y la zona de aterrizaje de datos al principio del proyecto. Cuando finalicen todas las adiciones, movimientos y cambios, y la implementación de Azure esté operativa, bloquee todos los recursos. A continuación, solo un administrador puede desbloquear o modificar los recursos, como un catálogo de datos. Para obtener más información, vea Bloqueo de recursos para impedir cambios inesperados.
Implementación del control de acceso basado en roles
Puede personalizar el control de acceso basado en roles (RBAC) en las suscripciones de Azure para administrar quién puede acceder a los recursos de Azure, qué pueden hacer con esos recursos y a qué áreas pueden acceder. Por ejemplo, puede permitir que los miembros del equipo implementen recursos principales en una zona de aterrizaje de datos, pero impedir que modifiquen cualquiera de los componentes de red.
Escenarios de cumplimiento y gobernanza
Las siguientes recomendaciones se aplican a diversos escenarios de cumplimiento y gobernanza. Estos escenarios representan una solución rentable y escalable.
Escenario | Recomendación |
---|---|
Configure un modelo de gobernanza con las convenciones de nomenclatura estándar y obtenga informes basados en el centro de costo. | Use Azure Policy y etiquetas para cumplir sus requisitos. |
Evitar la eliminación accidental de recursos de Azure. | Use los bloqueos de recursos de Azure para evitar la eliminación accidental. |
Obtenga una vista consolidada de las áreas de oportunidad para la optimización de costos, la resistencia, la seguridad, la excelencia operativa y el rendimiento para los recursos de Azure. | Use Azure Advisor para obtener una vista consolidada de SAP en las suscripciones de Azure. |