La responsabilidad sobre la seguridad de nuestros sistemas en la nube es compartida entre el proveedor de servicios cloud y los clientes.
En el caso de un modelo de infraestructura como servicio (IaaS), en el que se crean máquinas virtuales en Azure sigue siendo responsabilidad del cliente la seguridad del sistema operativo y del software que instalamos. Azure se encargará de la seguridad de las máquinas y redes virtuales.
Para el modelo de plataforma como servicio (PaaS), Azure se encargará de proporcionar los mecanismos de seguridad sobre el sistema operativo y parte del software básico.
Por último, en un modelo de software como servicio (SaaS) Azure se hará cargo de la seguridad del software.
En los tres casos que he descrito, el cliente será responsable de mantener la seguridad sobre el gobierno de los datos, las conexiones y los accesos de los usuarios.
Existen dos conceptos clave que debemos tener en cuenta para analizar la seguridad en Azure:
• La autorización especifica qué acceso tiene un usuario a determinados datos o servicios.
• La autenticación es el mecanismo por el cual un usuario se identifica frente al sistema y se verifica su entidad de seguridad.
Azure Security Center es un servicio de monitorización que proporciona protección contra amenazas en todos nuestros servicios de Azure. Nos proporciona recomendaciones de seguridad basadas en nuestra infraestructura e investiga las amenazas. También aplica las políticas de seguridad que tenemos configuradas a los servicios nuevos que desplegamos. Está disponible en una modalidad gratuita, activada por defecto y en una modalidad estándar, que agrega capacidades avanzadas de detección de amenazas.
La pieza fundamental del manejo de identidades es Azure es el Azure Active Directory (AAD). Este servicio permite realizar la autenticación y dar acceso a usuarios a servicios de Azure de una manera centralizada. Además, permite usar la autenticación multi-factor, con la que es posible usar un elemento adicional para validar el acceso. AAD también proporciona capacidades de inicio de sesión único (SSO), por el que los usuarios pueden acceder a varios servicios con una sola contraseña.
Para garantizar la protección de las claves de cifrado de nuestros sistemas, podemos usar Azure Key Vault. Este servicio almacena las claves secretas de las aplicaciones en una ubicación centralizada con control de acceso. Puede almacenar secretos, claves y certificados. Key vault también puede gestionar las claves de cifrado de nuestras cuentas de almacenamiento y lagos de datos.
Para proteger nuestros sistemas en Azure a nivel de red debemos adoptar una estrategia de seguridad por capas.
Azure Firewall es un servicio que nos permite crear y aplicar políticas de seguridad sobre aplicaciones y servicios de red. Se basa en su dirección IP. Tiene alta disponibilidad y es escalable. También usa Azure Monitor para gestionar sus logs.
Azure Distributed Denial of Service (protección DDoS) es un servicio que protege contra los ataques de tipo DDoS. Actúa sobre recursos expuestos a internet filtrando el tráfico no deseado. Tiene una capa básica que monitoriza el tráfico y que se habilita automáticamente en Azure. Existe una capa adicional llamada estándar que añade capacidades de mitigación adicionales. Estos servicios no requieren modificaciones en nuestras aplicaciones.
Los Network Security Groups (NSG) nos permite filtrar el tráfico de red desde y hacia los recursos de Azure usando redes virtuales. Para ello, se pueden configurar reglas de entrada y salida con prioridades indicando direcciones IP, puertos y protocolos.
Los Application Security Groups (ASG) permiten agrupar servidores para reutilizar políticas de seguridad en nuestras aplicaciones. Reduce la complejidad de tratar múltiples direcciones IPs y conjuntos de reglas.
Todos estos elementos se pueden combinar para minimizar el impacto de los incidentes en nuestra infraestructura de red. Tanto en nuestro perímetro público como en la capa de red con reglas de seguridad. Como buena práctica debemos limitar siempre los accesos, denegar por defecto el tráfico innecesario y usar modalidades de tráfico seguras entre infraestructura cloud y on-premises.
El servicio Azure Policy permite definir las políticas de la organización sobre los recursos de Azure. Permiten limitar, por ejemplo, los tipos de servicios y máquinas virtuales que se pueden usar en una suscripción. También permite implementar iniciativas, que agrupan múltiples políticas para tener una visión global y revisar su cumplimiento.
El control de acceso basado en roles (RBAC) permite dar acceso a usuarios basándose en la definición de roles. Este aspecto viene integrado en la suscripción y no tiene coste adicional. Podemos generar un rol con determinados permisos y asignarlo a usuarios. Debemos segregar las tareas en varios roles para solamente dar a los usuarios los mínimos permisos necesarios.
También podemos implementar bloqueos de recursos (resource blocks), que los protegen de acciones accidentales como de borrado o modificación. Pueden ser de tipo CanNotDelete y ReadOnly.
* Tu información será utilizada exclusivamente para contactarte en relación al Business Data Master. No hacemos spam ni compartimos datos con terceros.
