Información general de seguridad de Azure Virtual Machines
Este artículo ofrece una introducción a las principales características de seguridad de Azure que pueden usarse con máquinas virtuales.
Puede usar las máquinas virtuales de Azure para implementar una amplia gama de soluciones informáticas con facilidad. El servicio es compatible con Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP y Azure BizTalk Services. Gracias a ello, puede implementar cualquier carga de trabajo y cualquier lenguaje en casi cualquier sistema operativo.
Una máquina virtual de Azure le ofrece la flexibilidad de la virtualización sin necesidad de adquirir y mantener el hardware físico que ejecuta la máquina virtual. Puede compilar e implementar aplicaciones con la tranquilidad de saber que sus datos están protegidos en centros de datos de alta seguridad.
Con Azure, puede crear soluciones compatibles con seguridad mejorada que:
- Protegen sus máquinas virtuales de virus y malware.
- Protegen con cifrado su información confidencial.
- Protegen el tráfico de red.
- Identifican y detectan amenazas.
- Satisfacen los requisitos de cumplimiento.
Antimalware
Con Azure, puede usar el software antimalware de proveedores de seguridad como Microsoft, Symantec, Trend Micro y Kaspersky. Este software le ayudará a proteger las máquinas virtuales de archivos malintencionados, adware y otras amenazas.
Microsoft Antimalware para Azure Cloud Services y Virtual Machines es una funcionalidad de protección en tiempo real que permite identificar y eliminar virus, spyware y otro software malintencionado. Microsoft Antimalware para Azure activa alertas configurables cuando software no deseado o malintencionado intenta instalarse o ejecutarse en los sistemas de Azure.
Microsoft Antimalware para Azure es una solución de un único agente dirigida a entornos de aplicaciones e inquilinos. Está concebida para su ejecución en segundo plano sin intervención del usuario. Puede implementar la protección en función de las necesidades de sus cargas de trabajo de aplicaciones, con configuración de protección básica o personalizada avanzada que incluye supervisión antimalware.
Obtenga más información sobre Microsoft Antimalware para Azure y las características principales disponibles.
Obtenga más información acerca del software antimalware para proteger las máquinas virtuales:
- Implementación de soluciones antimalware en Azure Virtual Machines
- Instalación y configuración de Trend Micro Deep Security como servicio en una máquina virtual de Azure
- Soluciones de seguridad en Azure Marketplace
Para una protección aún más eficaz, considere la posibilidad de usar Microsoft Defender para punto de conexión. Con Defender para punto de conexión, obtendrá:
- Reducción de la superficie expuesta a ataques
- Protección de próxima generación
- Protección y respuesta de punto de conexión
- Investigación y corrección automatizadas
- Puntuación segura
- Búsqueda avanzada
- Administración y API
- Protección contra amenazas de Microsoft
Obtenga más información: Introducción a Microsoft Defender para punto de conexión
Módulo de seguridad de hardware
Las protecciones del cifrado y autenticación se pueden mejorar si se mejora la clave de seguridad. Puede simplificar la administración y la seguridad de claves y secretos críticos guardándolos en Azure Key Vault.
Key Vault permite guardar claves en módulos de seguridad de hardware (HSM) que tienen la certificación FIPS 140 validada. Sus claves de cifrado de SQL Server para copias de seguridad o cifrado de datos transparente se pueden almacenar en Key Vault con otras claves y secretos de sus aplicaciones. Los permisos y el acceso a estos elementos protegidos se administran con Microsoft Entra ID.
Más información:
Cifrado de discos de máquinas virtuales
Azure Disk Encryption es una nueva funcionalidad que permite cifrar los discos de las máquinas virtuales de Windows y Linux. Azure Disk Encryption usa la característica BitLocker estándar del sector de Windows y la característica dm-crypt de Linux para ofrecer cifrado de volumen para el sistema operativo y los discos de datos.
La solución se integra con Azure Key Vault para controlar y administrar los secretos y las claves de cifrado de los discos en la suscripción de Key Vault. Gracias a ello, se garantiza que todos los datos de los discos de máquinas virtuales se cifren en reposo en Azure Storage.
Más información:
- Azure Disk Encryption para máquinas virtuales Linux y Azure Disk Encryption para máquinas virtuales Windows.
- Guía de inicio rápido: Cifrado de una máquina virtual IaaS Linux con Azure PowerShell
Copia de seguridad de máquina virtual
Azure Backup es una solución escalable que protege los datos de su aplicación sin necesidad de realizar ninguna inversión y afrontando unos costos operativos mínimos. Los errores de una aplicación pueden dañar los datos, y los errores humanos pueden crear errores en las aplicaciones. Con Azure Backup, las máquinas virtuales que ejecutan Windows y Linux están protegidas.
Más información:
Azure Site Recovery
Una parte importante de la estrategia de BCDR de la organización es averiguar cómo mantener las aplicaciones y cargas de trabajo corporativas listas para su funcionamiento cuando se producen interrupciones planificadas e imprevistas. Azure Site Recovery le ayuda a coordinar la replicación, la conmutación por error y la recuperación de aplicaciones y cargas de trabajo para que estén disponibles desde una ubicación secundaria si la ubicación principal deja de funcionar.
Site Recovery:
- Simplificar su estrategia de BCDR: Site Recovery facilita el control de la replicación, la conmutación por error y la recuperación de varias cargas de trabajo y aplicaciones de negocios desde una única ubicación. Site Recovery organiza la replicación y la conmutación por error pero no intercepta los datos de la aplicación ni obtiene información alguna sobre ella.
- Proporcionar replicación flexible: con Site Recovery puede replicar las cargas de trabajo que se ejecutan en máquinas virtuales de Hyper-V, máquinas virtuales de VMware y servidores físicos con Windows o Linux.
- Admite recuperación y conmutación por error: Site Recovery proporciona conmutaciones por error de prueba que admiten maniobras de recuperación ante desastres sin que los entornos de producción se vean afectados. También puede ejecutar conmutaciones por error planeadas sin pérdidas de datos para interrupciones previstas o conmutaciones por error con una pérdida de datos mínima (según la frecuencia de replicación) ante desastres inesperados. Después de la conmutación por error puede ejecutar una conmutación por recuperación a los sitios principales. Site Recovery proporciona planes de recuperación que pueden incluir scripts y libros de Azure Automation para que pueda personalizar la conmutación por error y la recuperación de aplicaciones de varios niveles.
- Eliminar centros de datos secundarios: puede replicar en un sitio local secundario o en Azure. Usar Azure como destino de la recuperación ante desastres elimina el costo y la complejidad de mantener un sitio secundario. Los datos replicados se almacenan en Azure Storage.
- Se integra con tecnologías de BCDR existentes: Site Recovery se asocia con otras características de BCDR de las aplicaciones. Por ejemplo, puede usar Site Recovery para proteger el back-end de SQL Server de las cargas de trabajo corporativas. Esto incluye la compatibilidad nativa con SQL Server AlwaysOn para administrar la conmutación por error de los grupos de disponibilidad.
Más información:
- ¿Qué es Azure Site Recovery?
- ¿Cómo funciona Azure Site Recovery?
- ¿Qué cargas de trabajo se pueden proteger con Azure Site Recovery?
Redes virtuales
Las máquinas virtuales necesita conectividad de red. Para satisfacer este requisito, es necesario que las máquinas virtuales de Azure estén conectadas a una instancia de Azure Virtual Network.
Azure Virtual Network es una construcción lógica creada encima del tejido de red físico de Azure. Cada instancia lógica de Azure Virtual Network está aislada de todas las demás redes virtuales de Azure. Este aislamiento contribuye a garantizar que otros clientes de Microsoft Azure no puedan acceder al tráfico de red de las implementaciones.
Más información:
- Azure Network Security Overview (Información general sobre Azure Network Security)
- Información general sobre Virtual Network
- Networking features and partnerships for Enterprise scenarios (Características de red y asociaciones para escenarios empresariales)
Informes y administración de directivas de seguridad
Microsoft Defender for Cloud ayuda a evitar y a detectar las amenazas, además de a responder a ellas. Defender for Cloud aporta visibilidad mejorada y control sobre la seguridad de los recursos de Azure. Proporciona una supervisión de la seguridad y una administración de directivas integradas en suscripciones de Azure. Le ayuda a detectar amenazas que podrían pasar desapercibidas, y funciona con un amplio ecosistema de soluciones de seguridad.
Defender for Cloud le ayuda a optimizar y supervisar la seguridad de las máquinas virtuales de la siguiente manera:
- Proporcionando recomendaciones de seguridad para las máquinas virtuales. Las recomendaciones de ejemplo incluyen lo siguiente: aplicar actualizaciones del sistema, configurar puntos de conexión de listas de control de acceso, habilitar antimalware, habilitar grupos de seguridad de red y aplicar cifrado de discos.
- Supervisando el estado de las máquinas virtuales.
Más información:
- Introducción a Microsoft Defender for Cloud
- Preguntas frecuentes de Microsoft Defender for Cloud
- Planificación y operaciones de Microsoft Defender for Cloud
Cumplimiento normativo
Azure Virtual Machines tiene las certificaciones de FISMA, FedRAMP, HIPAA, PCI DSS nivel 1 y otros programas de cumplimiento fundamentales. Esta certificación facilita en gran medida que sus propias aplicaciones de Azure cumplan los requisitos de cumplimiento y que su empresa satisfaga una amplia variedad de requisitos normativos nacionales e internacionales.
Más información:
- Centro de confianza de Microsoft: Cumplimiento normativo
- Trusted Cloud: Microsoft Azure Security, Privacy, and Compliance (La nube de confianza: Seguridad, privacidad y cumplimiento de Microsoft Azure)
Computación confidencial
Si bien la computación confidencial técnicamente no forma parte de la seguridad de la máquina virtual, esta seguridad pertenece al tema de nivel superior de la seguridad "computacional". La computación confidencial pertenece a la categoría de seguridad "computacional".
La computación confidencial garantiza que los datos, cuando están "descubiertos" (lo cual es necesario para un procesamiento eficiente), se mantienen protegidos dentro de un entorno de ejecución de confianza https://en.wikipedia.org/wiki/Trusted_execution_environment (también conocido como enclave). En la ilustración siguiente se muestra un ejemplo.
Los entornos de ejecución de confianza garantizan que no hay ninguna manera de ver datos u operaciones desde el exterior, ni siquiera con un depurador. Incluso aseguran que solo se permite el acceso a los datos al código autorizado. Si el código está alterado o modificado, se deniegan las operaciones y se deshabilita el entorno. El entorno de ejecución de confianza aplica estas protecciones a todo el proceso de ejecución del código que contiene.
Más información:
- Introducing Azure confidential computing (Introducción a la computación confidencial de Azure)
- Azure confidential computing (Computación confidencial de Azure)
Pasos siguientes
Aprenda sobre los procedimientos recomendados de seguridad para máquinas virtuales y sistemas operativos.