Compartir vía


Introducción a la seguridad

La metodología de Cloud Adoption Framework para Azure Secure proporciona un enfoque estructurado para proteger el patrimonio de la nube de Azure.

Las instrucciones de esta serie de artículos proporcionan recomendaciones relevantes para todas las metodologías de Cloud Adoption Framework, ya que la seguridad debe ser una parte integral de cada fase del recorrido de adopción de la nube. Por lo tanto, puede encontrar artículos alineados con cada metodología que proporcione recomendaciones de seguridad a medida que avance a medida que avance en cada fase del recorrido de adopción de la nube.

Diagrama que muestra las metodologías implicadas en la adopción de la nube. El diagrama tiene cuadros para cada fase: equipos y roles, estrategia, plan, listo, adopción, gobernanza y administración.

Todas las recomendaciones de esta guía se adhieren a los principios de Confianza cero de asumir el riesgo (o asumir la vulneración), el privilegio mínimo y la comprobación explícita de confianza que deben guiar la estrategia de seguridad, la arquitectura y la implementación.

Guía de seguridad holística

La seguridad es una disciplina compleja y desafiante que debe tener en cuenta en casi todos los aspectos de los entornos de nube y tecnología. Tenga en cuenta los siguientes puntos clave:

  • Cualquier cosa es un posible objetivo o vector de ataque: en el mundo actual, los atacantes pueden aprovechar las debilidades de las personas, procesos y tecnologías de una organización para lograr sus objetivos malintencionados.

  • La seguridad es un deporte de equipo: para defenderse de estos ataques, se requiere un enfoque coordinado en los equipos de negocio, tecnología y seguridad. Cada equipo debe contribuir a los esfuerzos de seguridad y colaborar de forma eficaz. Para obtener información sobre los distintos roles necesarios para proteger los recursos de Azure, consulte Teams y roles.

Esta guía segura de Cloud Adoption Framework es un componente de un conjunto integral más amplio de instrucciones de seguridad de Microsoft diseñadas para ayudar a varios equipos a comprender y realizar sus responsabilidades de seguridad. El conjunto completo incluye las instrucciones siguientes:

  • La metodología segura de Cloud Adoption Framework proporciona instrucciones de seguridad para los equipos que administran la infraestructura tecnológica que admite todo el desarrollo de cargas de trabajo y las operaciones hospedadas en Azure.

  • La guía de seguridad de Azure Well-Architected Framework proporciona instrucciones para los propietarios de cargas de trabajo individuales sobre cómo aplicar procedimientos recomendados de seguridad a los procesos de desarrollo de aplicaciones y DevOps y DevSecOps. Microsoft proporciona instrucciones que complementan esta documentación sobre cómo aplicar prácticas de seguridad y controles de DevSecOps en un ciclo de vida de desarrollo de seguridad.

  • Microsoft Cloud Security Benchmark proporciona instrucciones de procedimientos recomendados para las partes interesadas para garantizar una sólida seguridad en la nube. Esta guía incluye líneas base de seguridad que describen las características de seguridad disponibles y las configuraciones óptimas recomendadas para los servicios de Azure.

  • guía de Confianza cero proporciona instrucciones para que los equipos de seguridad implementen funcionalidades técnicas para admitir una iniciativa de modernización de Confianza cero.

En cada artículo se tratan varios temas relacionados con su metodología alineada:

  • Modernización de la posición de seguridad
  • Preparación y respuesta de incidentes
  • La confidencialidad, integridad y disponibilidad (CIA) Triad
  • Mantenimiento de la posición de seguridad

Modernización de la posición de seguridad

A lo largo del recorrido de adopción de la nube, busque oportunidades para mejorar la posición general de seguridad a través de la modernización. Las instrucciones de esta metodología se alinean con el marco de adopción de Microsoft Confianza cero. Este marco proporciona un enfoque detallado y paso a paso para modernizar la posición de seguridad. A medida que revise las recomendaciones de cada fase de la metodología de Cloud Adoption Framework, mejorelas mediante las instrucciones proporcionadas en el marco de adopción de Confianza cero.

Preparación y respuesta de incidentes

La preparación y respuesta de incidentes son elementos angulares de la posición general de seguridad. La capacidad de prepararse y responder a incidentes puede afectar significativamente al éxito en el funcionamiento dentro de la nube. Los mecanismos de preparación bien diseñados y las prácticas operativas permiten una detección de amenazas más rápida y ayudan a minimizar el radio de explosión de incidentes. Este enfoque facilita una recuperación más rápida. Del mismo modo, los mecanismos de respuesta bien estructurados y las prácticas operativas garantizan una navegación eficaz a través de actividades de recuperación y proporcionan oportunidades claras para mejorar continuamente en todo el proceso. Al centrarse en estos elementos, puede mejorar la estrategia general de seguridad, lo que garantiza la resistencia y la continuidad operativa en la nube.

La CIA Triad

La CIA Triad es un modelo fundamental en la seguridad de la información que representa tres principios básicos. Estos principios son confidencialidad, integridad y disponibilidad.

  • La confidencialidad garantiza que solo las personas autorizadas puedan acceder a la información confidencial. Esta directiva incluye medidas como el cifrado y los controles de acceso para proteger los datos frente al acceso no autorizado.

  • La integridad mantiene la precisión y la integridad de los datos. Este principio significa proteger los datos de alteraciones o alteraciones por parte de usuarios no autorizados, lo que garantiza que la información siga siendo confiable.

  • La disponibilidad garantiza que la información y los recursos sean accesibles para los usuarios autorizados cuando sea necesario. Esta tarea incluye el mantenimiento de sistemas y redes para evitar tiempos de inactividad y garantizar el acceso continuo a los datos.

Adopte la Cia Triad para asegurarse de que su tecnología empresarial siga siendo confiable y segura. Úselo para aplicar confiabilidad y seguridad en las operaciones a través de prácticas bien definidas, estrictamente seguidas y probadas. Algunas maneras en que los principios de la triad pueden ayudar a garantizar la seguridad y la confiabilidad son:

  • Protección de datos: proteja los datos confidenciales frente a infracciones aprovechando la Triad de la CIA, lo que garantiza la privacidad y el cumplimiento de las normativas.

  • Continuidad empresarial: garantice la integridad de los datos y la disponibilidad para mantener las operaciones empresariales y evitar el tiempo de inactividad.

  • Confianza del cliente: implemente la Triad de la CIA para crear confianza con los clientes y las partes interesadas al demostrar un compromiso con la seguridad de los datos.

Cada artículo alineado con la metodología proporciona recomendaciones para los principios de la Triad de la CIA. Este enfoque garantiza que pueda abordar la confidencialidad, la integridad y la disponibilidad. Esta guía le ayuda a considerar exhaustivamente estos aspectos en cada fase del recorrido de adopción de la nube.

Mantenimiento de la posición de seguridad

La mejora continua es fundamental para mantener una posición de seguridad sólida en la nube porque las ciberamenazas evolucionan continuamente y se vuelven más sofisticadas. Para protegerse frente a estos riesgos cambiantes, asegúrese de mejorar en curso. Las instrucciones de estas secciones pueden ayudarle a configurar su organización para el éxito a largo plazo mediante la identificación de oportunidades de mejora continua. Céntrese en estas estrategias a medida que establezca y evolucione su entorno en la nube a lo largo del tiempo.

Lista de comprobación de seguridad en la nube

Use la lista de comprobación de seguridad en la nube para ver todas las tareas de cada paso de seguridad en la nube. Vaya rápidamente a la guía que necesita.

  Paso de seguridad en la nube Tareas de seguridad en la nube
Comprender los roles y los equipos de seguridad. Comprenda el rol del proveedor de servicios en la nube.
Comprenda los roles de los equipos de infraestructura y plataforma.
Comprenda los roles de arquitectura de seguridad, ingeniería, equipos de administración de posturas.
Comprenda los roles de los equipos de operaciones de seguridad (SecOps y SOC).
Comprenda los roles de los equipos de gobernanza, riesgo y cumplimiento de seguridad (GRC).
Obtenga información sobre la educación y la directiva de seguridad.
Integre la seguridad en la estrategia de adopción de la nube. Estrategia de modernización de la posición de seguridad.
Estrategia de preparación y respuesta a incidentes.
Estrategia de confidencialidad.
Estrategia de integridad.
Estrategia de disponibilidad.
Estrategia de mantenimiento de la posición de seguridad
Planee una adopción segura de la nube. Planee la adopción de la zona de aterrizaje.
Planeación de la modernización de la posición de seguridad.
Preparación de incidentes y planeamiento de respuestas.
Planificación de confidencialidad.
Planeación de la integridad
Planeación de disponibilidad
Planeación del mantenimiento de la posición de seguridad
Prepare su patrimonio seguro en la nube. Listo para la modernización de la posición de seguridad.
Preparado para la preparación y respuesta a incidentes.
Listo para la confidencialidad.
Listo para la integridad.
Listo para disponibilidad
Listo para mantener la posición de seguridad
Realice la adopción de la nube de forma segura. Adopción de la modernización de la posición de seguridad.
Adopte la preparación y respuesta de incidentes.
Adoptar la confidencialidad.
Adoptar integridad.
Adopte la disponibilidad.
Adopción del mantenimiento de la posición de seguridad
Controle de forma segura el patrimonio de la nube. Modernización de la posición de seguridad.
Preparación de incidentes y gobernanza de respuestas
Gobernanza de confidencialidad.
Gobernanza de la integridad.
Gobernanza de disponibilidad.
Mantenimiento de la gobernanza de la seguridad
Administre de forma segura el patrimonio de la nube. Modernización de la posición de seguridad.
Administración de la preparación y respuesta de incidentes
Administración de la confidencialidad.
Administración de la integridad.
Administración de la disponibilidad.
Administración del mantenimiento de la seguridad

Paso siguiente