Protección y uso de directivas en máquinas virtuales en Azure
Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles ✔️ Conjuntos de escalado uniformes
Es importante proteger la máquina virtual (VM) para las aplicaciones que se ejecutan. Proteger las máquinas virtuales puede suponer que se incluyan uno o varios servicios y características de Azure que abarcan un acceso seguro a las máquinas virtuales y al almacenamiento seguro de los datos. Este artículo proporciona información que le permite proteger las máquinas virtuales y las aplicaciones.
Antimalware
El panorama moderno de amenazas para los entornos de nube es dinámico, lo que aumenta la presión para mantener una protección eficaz a fin de satisfacer los requisitos de cumplimiento y seguridad. Microsoft Antimalware para Azure es una funcionalidad gratuita de protección en tiempo real que ayuda a identificar y eliminar virus, spyware y otro software malintencionado. Las alertas se pueden configurar para avisarle cuando software no deseado o malintencionado intenta instalarse o ejecutarse en una máquina virtual. No se admite en las máquinas virtuales que ejecutan Linux o Windows Server 2008.
Microsoft Defender for Cloud
Microsoft Defender for Cloud ayuda a evitar y a detectar las amenazas para las máquinas virtuales, además de a responder a ellas. Microsoft Defender for Cloud proporciona administración de directivas y supervisión de la seguridad integradas en las suscripciones de Azure, ayuda a detectar amenazas que podrían pasar desapercibidas y funciona con un amplio ecosistema de soluciones de seguridad.
El acceso Just-In-Time de Microsoft Defender for Cloud se puede aplicar en toda la implementación de la máquina virtual para bloquear el tráfico entrante a las máquinas virtuales de Azure, lo que reduce la exposición a ataques y, al mismo tiempo, proporciona acceso sencillo para conectarse a las máquinas virtuales cuando sea necesario. Cuando Just-In-Time está habilitado y un usuario solicita acceso a una máquina virtual, Microsoft Defender for Cloud comprueba qué permisos tiene el usuario para la máquina virtual. Si tiene los permisos correctos, se aprueba la solicitud y Microsoft Defender for Cloud configura automáticamente los grupos de seguridad de red (NSG) para permitir el tráfico entrante a los puertos seleccionados durante un período de tiempo limitado. Una vez transcurrido ese tiempo, Defender for Cloud restaura los NSG a su estado anterior.
Cifrado
Se ofrecen dos métodos de cifrado para los discos administrados. Cifrado en el nivel de sistema operativo, que es Azure Disk Encryption, y cifrado en el nivel de plataforma, que es el cifrado del lado servidor.
Cifrado del servidor
Los discos administrados de Azure cifran automáticamente los datos de forma predeterminada cuando se guardan en la nube. El cifrado del lado servidor protege los datos y le ayuda a cumplir los compromisos de cumplimiento y seguridad de la organización. Los datos de los discos administrados de Azure se cifran de forma transparente mediante cifrado AES de 256 bits, uno de los cifrados de bloques más sólidos que hay disponibles, y son compatibles con FIPS 140-2.
El cifrado no afecta al rendimiento de los discos administrados. No hay ningún coste adicional por el cifrado.
Puede confiar en las claves administradas por la plataforma para el cifrado del disco administrado o puede administrar el cifrado con sus propias claves. Si opta por administrar el cifrado con sus propias claves, puede especificar una clave administrada por el cliente que se usará para cifrar y descifrar todos los datos de discos administrados.
Para más información sobre el cifrado del lado servidor, consulte los artículos sobre Windows o Linux.
Azure Disk Encryption
Para mejorar la seguridad y el cumplimiento en las máquinas virtuales Windows y Linux, se pueden cifrar los discos virtuales en Azure. Los discos virtuales en VM Windows se cifran en reposo mediante BitLocker. Los discos virtuales en las máquinas virtuales de Linux se cifran en reposo mediante dm-crypt.
El cifrado de los discos virtuales en Azure no conlleva ningún cargo. Las claves criptográficas se almacenan en Azure Key Vault mediante protección de software, o bien puede importar o generar las claves en módulos de seguridad de hardware (HSM) certificados para estándares validados por FIPS 140. Las claves criptográficas se usan para cifrar y descifrar los discos virtuales conectados a la máquina virtual. Estas claves criptográficas se pueden controlar y se puede auditar su uso. Como las máquinas virtuales se encienden y se apagan, una entidad de servicio de Microsoft Entra proporciona un mecanismos seguro para la emisión de estas claves criptográficas.
Key Vault y claves de SSH
Los secretos y los certificados pueden ser modelados como recursos y ser proporcionados por Key Vault. Puede usar Azure PowerShell para crear almacenes de claves de máquinas virtuales Windows y la CLI de Azure para las máquinas virtuales Linux. También puede crear claves para el cifrado.
Las directivas de acceso a los almacenes de claves conceden permisos a las claves, los secretos y los certificados por separado. Por ejemplo, se puede dar a un usuario acceso solo a las claves, pero darle permisos para los secretos. Sin embargo, los permisos para acceder a las claves, secretos o certificados se encuentran en el nivel del almacén. En otras palabras, la directiva de acceso de un almacén de claves no admite permisos de nivel de objeto.
Cuando se conecte a máquinas virtuales (VM), debe usar la criptografía de clave pública para proporcionar una forma más segura de iniciar sesión en ellas. Este proceso implica un intercambio de claves públicas y privadas mediante el comando de Secure Shell (SSH) para autenticarse, en lugar de un nombre de usuario y una contraseña. Las contraseñas son vulnerables a ataques por fuerza bruta, sobre todo en máquinas virtuales con acceso a Internet, como los servidores web. Con un par de claves de Secure Shell (SSH) puede crear una máquina virtual Linux en Azure que use claves SSH para la autenticación, lo que elimina la necesidad de usar contraseñas para iniciar sesión. También puede usar claves de SSH para conectarse desde una máquina virtual Windows a una máquina virtual Linux.
Identidades administradas de recursos de Azure
Un desafío común al compilar aplicaciones en la nube consiste en el modo de administrar las credenciales del código para autenticar los servicios en la nube. Proteger las credenciales es una tarea esencial. Lo ideal sería que nunca aparecieran en las estaciones de trabajo de los desarrolladores y que no se controlaran en el código fuente. Azure Key Vault proporciona una manera segura de almacenar credenciales, secretos y otras claves pero el código tiene que autenticarse en Key Vault para recuperarlos.
Las identidades administradas para recursos de Azure con las que cuenta Microsoft Entra resuelven este problema. Esta característica proporciona a los servicios de Azure una identidad administrada automáticamente en Microsoft Entra ID. Puede usar esta identidad para autenticarse en cualquier servicio que admita la autenticación de Microsoft Entra, incluido Key Vault, sin necesidad de credenciales en el código. El código que se ejecuta en una máquina virtual puede solicitar un token en dos puntos de conexión que solo son accesibles desde la máquina virtual. Para obtener información detallada acerca de este servicio, revise la página de información general de identidades administradas para los recursos de Azure.
Directivas
Las directivas de Azure pueden utilizarse para definir el comportamiento deseado de las máquinas virtuales en su organización. Mediante las directivas, una organización puede aplicar varias convenciones y reglas en toda la empresa. La aplicación del comportamiento deseado puede ayudar a reducir el riesgo a la vez que se contribuye al éxito de la organización.
Control de acceso basado en roles de Azure
Mediante el control de acceso basado en roles de Azure (RBAC de Azure), puede repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan en la máquina virtual para realizar su trabajo. En lugar de proporcionar a todos los empleados permisos no restringidos en la máquina virtual, puede permitir solo determinadas acciones. Puede configurar el control de acceso para la máquina virtual en Azure Portal, usando la CLI de Azure o Azure PowerShell.