GLOBAL AZURE BOOTCAMP 2019

El 27 de abril del 2019 tuvimos una excelente jornada de #DevSecOps en Microsoft. Los eventos de las comunidades siempre retornan grandes frutos!! Desde DevSecOps AR brindamos la charla "DevSecOps con Azure DevOps" de Luciano Moreira y Christian Ibiri.

En Abril de 2013 se organizó el primer Global Azure Bootcamp en más de 134 localizaciones alrededor del mundo. En Argentina, el evento se realiza desde el año 2014 y reune cada año a más de 80 profesionales de IT junto con los máximos expertos del país sobre la nube de Microsoft para compartir experiencias, conocimiento, hands-on-labs y un día completo conociendo un poco más sobre Cloud Computing.

Introducción a la seguridad de la infraestructura de Microsoft Azure

En este artículo, me centraré en algunos mecanismos utilizados por Microsoft ‍ para asegurar la infraestructura azure . Como para cualquier nube pública ‍, los controles de seguridad ‍ de la infraestructura de la plataforma de la nube son la base de la seguridad en la nube. A pesar de la seguridad global es compartido entre el proveedor de servicios cloud (CSP) y los clientes de servicios de nube (CSC) también llamados inquilinos, CSC se basa totalmente en el CSP para la seguridad de la nube de infraestructura de plataforma.

Amazon Web Services ( AWS ‍) y microsoft azure ‍ lideran el segmento público IaaS / PaaS del mercado mundial de nubes . Desde el comienzo de la primera oferta de servicios IaaS lanzada en 2006 por AWS que se centra en 3 servicios clave (EC2, EBS y S3), AWS sigue siendo el líder dominante en este segmento, pero AWS está siendo desafiado seriamente por Microsoft Azure que comenzó en 2012 y quién está cerrando la brecha en términos de participación de mercado. De acuerdo con el Informe del Estado de la Nube de RightScale 2018 , que se centra en Multi-Cloud Estrategia, AWS continúa liderando, pero Azure crece más rápido que AWS.

En 2018, Azure aumentó su adopción en un 11%, mientras que fue del 7% para AWS, en comparación con 2017.

En nuestra comunidad Peerlyst, ya hay artículos importantes centrados en la seguridad de AWS , gracias a personas como Yogesh Gupta, CISSP®️ CCSK CCSP ‍, Magda CHELLY, CISSP, Ph.D. , Guurhart y muchos otros.

Es por eso que decidí enfocar un par de publicaciones en la seguridad de Microsoft Azure .

Podrá probar sus conocimientos sobre la seguridad de la infraestructura de Azure mediante un cuestionario adjunto al final de esta publicación.

Esta publicación resaltará los siguientes aspectos de la seguridad de la infraestructura de Azure :

• Modelo de responsabilidad compartida en Azure
• Seguridad física de Azure
• Disponibilidad de infraestructura de Azure
• Tipos de usuarios que acceden a los servicios de Azure
• Protección de datos del cliente de Azure

1) Modelo de responsabilidad compartida en Azure


La siguiente imagen muestra las áreas de responsabilidad, de acuerdo con el modelo de servicio en la nube y el tipo de implementación (Software como servicio [SaaS], Plataforma como servicio [PaaS], Infraestructura como servicio [IaaS] y local) .

El cliente (CSC) es responsable de los datos , las cuentas , los puntos finales y la administración de acceso, independientemente del tipo de implementación o modelo de servicio en la nube.

Microsoft (CSP) es responsable de los hosts físicos , la red y el centro de datos en la nube pública.

Las responsabilidades para la infraestructura de identidad y directorio , la aplicación , los controles de red y el sistema operativo varían según el modelo de servicio en la nube. Pueden ser propiedad de CSC, CSP o compartidos por ambos.

Ya proporcioné en mis 3 publicaciones anteriores, algunos consejos y recomendaciones para lidiar con el modelo de responsabilidad compartida en la nube pública. Todos esos detalles son aplicables a Microsoft Azure.

2) Seguridad física de Azure


Al momento de escribir este artículo, la infraestructura global de Azure incluye 54 regiones (en comparación con 19 regiones para AWS) y está disponible en 140 países.

• Una región es un conjunto de centros de datos que están interconectados a través de una red masiva y resistente.
• Las regiones de Azure están organizadas en geografías. Una geografía de Azure garantiza que los requisitos de residencia , soberanía , cumplimiento y resistencia de los datos se cumplan dentro de los límites geográficos .
• Las geografías permiten a los clientes con necesidades específicas de residencia y cumplimiento de datos mantener sus datos y aplicaciones cerca. CSC necesita verificar cuidadosamente cualquier requisito de residencia de datos antes de decidir qué regiones se pueden usar para un caso de uso dedicado. CSC puede restringir las ubicaciones donde se pueden crear recursos utilizando el concepto de la Política de Azure . La Política de Azure es una de las características que le permite a CSC hacer cumplir la gobernanza dentro de Azure. Es un servicio en Azure que CSC usa para crear, asignar y administrar políticas. Estas políticas aplican diferentes reglas y efectos sobre los recursos de CSC, por lo que esos recursos siguen cumpliendo con sus estándares corporativosy acuerdos de nivel de servicio. La representación JSON de la política integrada utilizada para restringir la ubicación de recursos en Azure es la siguiente:

• Una región incluye varias zonas de disponibilidad.
• Las zonas de disponibilidad son ubicaciones físicamente separadas dentro de una región de Azure. Cada zona de disponibilidad está compuesta por uno o más centros de datos equipados con alimentación, refrigeración y redes independientes.
• La siguiente figura muestra cómo la infraestructura global de Azure combina zonas y zonas de disponibilidad dentro del mismo límite de residencia de datos para alta disponibilidad, recuperación ante desastres y respaldo :

La seguridad física de Microsoft Azure incluye:

• Centros de datos administrados con una amplia capa de protección (aprobación de acceso en el perímetro de la instalación, en el perímetro del edificio, en el piso del centro de datos , etc.)
• Revisiones periódicas de seguridad física de las instalaciones, para garantizar que los centros de datos aborden adecuadamente los requisitos de seguridad de Azure (por ejemplo, separación de funciones entre el proveedor de alojamiento del centro de datos y la administración del servicio de Azure)
• Dispositivos de soporte de datos: uso de mejores prácticas y solución de limpieza compatible con NIST-800-88
• Eliminación del equipo al final de la vida útil del sistema.
• Amplio conjunto de estándares de cumplimiento internacionales y específicos de la industria , como ISO 27001 , ISO 27017, ISO 27018, HIPAA , FedRAMP , SOC 1 y SOC 2. La lista completa de los marcos de cumplimiento de Azure se puede encontrar aquí .

3) Disponibilidad de infraestructura de Azure

El equipo de Microsoft Cloud Infrastructure and Operations ( MCIO ) diseña, construye, opera y mejora la seguridad de la infraestructura de la nube.

La disponibilidad de la infraestructura de Azure se basa en:

• Las fuentes de alimentación ininterrumpida y los grandes bancos de baterías aseguran que la electricidad permanezca continua si ocurre una interrupción de energía a corto plazo
• Los generadores de emergencia proporcionan energía de respaldo para interrupciones prolongadas y mantenimiento planificado
• Reservas de combustible en el sitio si ocurre un desastre natural
• Las redes de fibra óptica robustas y de alta velocidad conectan centros de datos con otros centros principales y usuarios de Internet .
• Los nodos informáticos alojan las cargas de trabajo más cercanas a los usuarios para reducir la latencia, proporcionar redundancia geográfica y aumentar la capacidad de recuperación general del servicio
• Un equipo de ingenieros trabaja las 24 horas para garantizar que los servicios estén disponibles de forma permanente.
• Alta disponibilidad a través de monitoreo avanzado y respuesta a incidentes , soporte de servicio y capacidad de respaldo de failover
• Los centros de operaciones de Microsoft distribuidos geográficamente funcionan 24/7/365
• Los datos se mantuvieron duraderos en dos ubicaciones para la recuperación ante desastres (CSC puede elegir la ubicación del sitio de respaldo y Azure mantiene constantemente tres réplicas saludables de sus datos en ambas ubicaciones). Esta estrategia de redundancia de Azure se denomina almacenamiento geo-redundante (GRS).
• Se puede acceder a la base de datos a través de una puerta de enlace de Internet con disponibilidad sostenida de la base de datos.
• Almacenamiento entregado a través de un servicio de almacenamiento altamente escalable y duradero , que proporciona puntos finales de conectividad (es decir, una aplicación puede acceder al servicio de almacenamiento directamente)

4) Tipos de usuarios que acceden a los servicios de Azure

Varios grupos de ingeniería llamados equipos de servicio administran el soporte del servicio de Azure. Cada equipo de servicio es responsable de un área específica. Cada equipo de servicio debe poner a disposición un ingeniero las 24 horas del día, los 7 días de la semana, para investigar y resolver las fallas que puedan ocurrir.


Los tipos de usuarios se resumen en la siguiente tabla:

Role	Tipo de usuario	Nivel de sensibilidad	Privilegios Autorizados	Tipo de acceso
Ingeniero de Azure Datacenter	Interno	Sin acceso a los datos del cliente.	=> Gestionar la seguridad física del local => Propiedad operativa y mantenimiento de herramientas críticas de seguridad	Acceso persistente al medio ambiente.
Ingeniero de respuesta rápida (clasificación de incidentes)	Interno	Acceso a los datos del cliente.	=> Gestionar comunicaciones entre MCIO, soporte y equipos de ingeniería. => Triage incidentes de plataforma, los problemas de implementación, y las solicitudes de servicio	Acceso justo a tiempo al entorno, con acceso limitado y persistente a sistemas que no son clientes.
Ingeniero de implementación de Azure	Interno	Acceso a los datos del cliente.	Implemente y actualice los componentes de la plataforma, el software y los cambios de configuración programados para admitir Azure	Acceso justo a tiempo al entorno, con acceso persistente limitado a sistemas que no son clientes
Soporte de interrupción del cliente de Azure	Interno	Acceso a los datos del cliente.	=> Depurar y diagnosticar interrupciones y fallas de la plataforma para inquilinos informáticos individuales y cuentas de Azure. => Analizar fallas. Impulse soluciones críticas para la plataforma o el cliente e impulse mejoras técnicas en todo el soporte.	Acceso justo a tiempo al entorno, con acceso persistente limitado a sistemas que no son clientes
Ingeniero de sitio en vivo de Azure	Interno	Acceso a los datos del cliente.	=> Diagnosticar y mitigar el estado de la plataforma mediante el uso de herramientas de diagnóstico. => Arreglos de unidades para controladores de volumen , reparar elementos resultantes de interrupciones y ayudar a acciones de restauración de interrupciones	Acceso justo a tiempo al entorno, con acceso persistente limitado a sistemas que no son clientes
Clientes de Azure	Externo	N/A	N/A	N/A

Como pueden ver en la tabla anterior, casi todos los equipos de servicio internos de Azure tienen acceso a los datos de los clientes. Se deben establecer procedimientos y controles de seguridad estrictos para prevenir y protegerse contra los ataques internos (maliciosos o errores).

Por ejemplo, el personal de operaciones de Azure debe utilizar estaciones de trabajo administrativas seguras (SAW). Con las SAW, el personal administrativo utiliza una cuenta administrativa asignada individualmente que es independiente de la cuenta de usuario estándar del usuario. La SAW se basa en esa práctica de separación de cuentas al proporcionar una estación de trabajo fiable para esas cuentas sensibles.

También cabe mencionar que los usuarios internos pueden ser empleados directos de Microsoft o subcontratistas.

5) Protección de datos del cliente azure

Los principios fundamentales que rigen la protección de los datos de los clientes en Azure son los siguientes:

• El acceso a los datos de los clientes por parte de las operaciones de Microsoft y el personal de apoyo se deniega por defecto
• Se requiere la aprobación de los dirigentes antes de conceder el acceso a los datos de los clientes
• No hay cuentas de usuario o de administrador en las máquinas virtuales de los clientes (VM)
• Conceder el menor privilegio que se requiere para completar la tarea
• Auditar y registrar las solicitudes de acceso a los datos de los clientes
• Al personal de apoyo de Azure se le asignan cuentas corporativas únicas de Active Directory por Microsoft
• Azure se basa en el Directorio Activo corporativo de Microsoft, administrado por Microsoft Information Technology (MSIT), para controlar el acceso a los sistemas de información clave
• Se requiere una autenticación multifactorial, y el acceso sólo se concede desde consolas seguras o estaciones de trabajo administrativas seguras (SAW)

Otras características de protección de datos proporcionadas por Azure a los clientes (por defecto o como opción) incluyen:

Segregación de datos: Azure es un servicio multiarrendatario (varios clientes comparten los mismos anfitriones físicos). Azure utiliza el aislamiento lógico para segregar los datos de cada cliente de los datos de los demás.

Protección de datos en reposo: Azure proporciona a los clientes la capacidad de cifrar los datos que almacenan en la plataforma, pero esto no se hace de forma predeterminada. Los clientes son responsables de garantizar que los datos almacenados en Azure se cifren de acuerdo con sus estándares. Azure ofrece una amplia gama de capacidades de cifrado, dando a los clientes la flexibilidad de elegir la solución que mejor se adapte a sus necesidades (Cifrado de disco Azure para cifrar las máquinas virtuales de los clientes, Cifrado de servicio de almacenamiento Azure para cifrar los datos almacenados en las cuentas de almacenamiento de los clientes, etc.). Azure Key Vault ayuda a los clientes a gestionar fácilmente las claves que utilizan las aplicaciones y servicios en la nube para cifrar los datos.

Protección de datos en tránsito: Los clientes pueden habilitar el cifrado para el tráfico entre sus propias máquinas virtuales y los usuarios finales. Azure protege los datos en tránsito hacia o desde componentes externos y los datos en tránsito internamente, como entre dos redes virtuales. Azure utiliza el protocolo de seguridad de capa de transporte (TLS) 1.2 o posterior, estándar de la industria, con claves de cifrado RSA/SHA256 de 2.048 bits.

Redundancia de datos: Microsoft ayuda a garantizar la protección de los datos en caso de ciberataque o daño físico a un centro de datos. Los datos pueden ser replicados dentro de un área geográfica seleccionada para la redundancia. Los clientes tienen múltiples opciones para replicar los datos, incluyendo el número de copias y el número y ubicación de los centros de datos de replicación. Las posibles opciones de replicación incluyen lo siguiente:

• Almacenamiento local redundante (LRS): mantiene tres copias de los datos de los clientes. El LRS se replica tres veces en una sola instalación en una sola región. El LRS protege los datos de los clientes de los fallos normales de hardware, pero no de los fallos de una sola instalación. El SLA para el LRS es de al menos el 99,999999999% (11 veces el número 9).
• Almacenamiento redundante de zona (ZRS): mantiene tres copias de sus datos como en el caso del LRS pero, el ZRS se replica tres veces en dos o tres instalaciones para proporcionar una mayor durabilidad. La replicación se produce dentro de una sola región o a través de dos regiones (los datos de los clientes son duraderos dentro de una sola región). El SLA para el ZRS es de al menos 99,9999999999% (12 veces el número 9).
• Almacenamiento geo-redundante (GRS): El almacenamiento geo-redundante está habilitado para la cuenta de almacenamiento de los clientes de forma predeterminada cuando la crean. El GRS mantiene seis copias de sus datos. Con GRS, los datos de los clientes se replican tres veces dentro de la región primaria. Los datos también se replican tres veces en la región secundaria a cientos de kilómetros de la región primaria, proporcionando el mayor nivel de durabilidad. GRS ayuda a asegurar que los datos de los clientes son duraderos en dos regiones separadas. El SLA para el GRS es de al menos 99,99999999999999% (16 veces el número 9).

Los clientes deben seleccionar cuidadosamente su estrategia de redundancia de almacenamiento durante la creación de la cuenta de almacenamiento, basándose en sus requisitos de disponibilidad así como en las limitaciones de costes.

Destrucción de datos: Microsoft sigue normas estrictas para sobrescribir los recursos de almacenamiento antes de su reutilización (cuando los clientes eliminan los datos o dejan Azure). Microsoft ejecuta una eliminación completa de los datos a petición del cliente y al finalizar el contrato.

Propiedad de los datos del cliente: Microsoft no inspecciona, aprueba o monitorea las aplicaciones que los clientes despliegan en Azure. Microsoft no sabe qué tipo de datos eligen los clientes para almacenar en Azure. Microsoft no reclama la propiedad de los datos sobre la información de los clientes almacenada en Azure.

Descubrimiento electrónico (e-discovery): Los clientes de Azure son responsables de cumplir con los requisitos de e-discovery en su uso de los servicios de Azure. Si un cliente debe cumplir con requisitos específicos de e-discovery, puede considerar la posibilidad de exportar sus datos a un entorno específico. Los clientes pueden solicitar la exportación de sus datos al departamento de atención al cliente de Azure si es necesario.

Los controles de seguridad para la protección de datos de los clientes en Azure dependen del tipo de servicio. Tomemos el ejemplo de Azure SQL Database, que es un componente de Azure PaaS utilizado por la mayoría de los clientes para almacenar sus datos. Las características de seguridad implementadas por Azure incluyen:

• Uso del protocolo TDS: La base de datos Azure SQL sólo admite el protocolo de flujo de datos tabulares (TDS), que requiere que la base de datos sea accesible sólo a través del puerto predeterminado de TCP/1433.
• DoSGuard: Servicio de puerta de enlace de la base de datos SQL utilizado para evitar los ataques de denegación de servicio (DoS). DoSGuard rastrea activamente los inicios de sesión fallidos desde las direcciones IP. Si hay varios inicios de sesión fallidos desde una dirección IP específica dentro de un período, la dirección IP se bloquea para acceder a cualquier recurso del servicio durante un período predefinido
• Cortafuegos de la base de datos Azure SQL: La Base de Datos SQL Azure incluye una funcionalidad de firewall, que por defecto impide todo acceso al servidor de la Base de Datos SQL

El cortafuegos de la puerta de enlace de la base de datos Azure SQL impide de forma predeterminada que todos los clientes de TDS accedan a las instancias de la base de datos Azure SQL. Depende de los clientes decidir qué tipo de acceso debe ser autorizado en cada instancia de la base de datos SQL. Los clientes deben configurar el acceso mediante el uso de listas de control de acceso (ACL) para permitir las conexiones de la base de datos Azure SQL por direcciones de Internet de origen y destino, protocolos y números de puerto.

Resumen

En este artículo, ofrecí una visión general de algunas capacidades clave de seguridad utilizadas por Microsoft para asegurar su infraestructura de la plataforma Azure. Los aspectos destacados en este post incluyen:

• El modelo de responsabilidad compartida en Azure
• La Seguridad Física Azure
• La disponibilidad de la infraestructura azure
• Los tipos de usuarios que acceden a los servicios de Azure
• La protección de datos del cliente azure
• Los aspectos mencionados no son los únicos que deben considerarse en términos de seguridad de la infraestructura del Azure, sino que proporcionan a los clientes una visión general de los mecanismos implementados por el Azure para cumplir con las responsabilidades de seguridad de la infraestructura.

Key references and additional resources

• Azure Global Infrastructure
• Azure Infrastructure Security
• Microsoft Azure Reference Architectures
• RightScale 2018 State of The Cloud Report
• Amazon AWS vs. Microsft Azure in 2018: a quick cloud comparison
• Microsoft Azure Closes IaaS Adoption Gap with Amazon AWS
• Microsoft Azure Compliances