Procedimientos recomendados de cifrado y seguridad de datos en Azure

Les dejo un conjunto de procedimientos recomendados para el cifrado y la seguridad de los datos con funcionalidades de Azure integradas.

Uno de los elementos clave para la protección de datos en la nube consiste en tener en cuenta los posibles estados en que se pueden producir datos y qué controles hay disponibles para ese estado. Como parte de los procedimientos recomendados de cifrado y seguridad de datos en Azure, se ofrecen recomendaciones relacionadas con los estados de datos siguientes:

• En reposo: esto incluye información sobre todos los objetos de almacenamiento, los contenedores y los tipos que existen de forma estática en medios físicos, ya sean discos magnéticos u ópticos.
• En tránsito: se considera que los datos están en movimiento cuando se transfieren entre componentes, ubicaciones o programas. Por ejemplo, a través de la red o un bus de servicio (desde una ubicación local hacia la nube, y viceversa, incluidas las conexiones híbridas como ExpressRoute) o durante el proceso de entrada y salida.

En este artículo, veremos un conjunto de procedimientos recomendados de cifrado y seguridad de datos en Azure. Estos procedimientos recomendados se derivan de nuestra experiencia con el cifrado y la seguridad de datos en Azure, y las experiencias de clientes como usted.

Para cada procedimiento recomendado, explicaremos:

• Qué es el procedimiento recomendado
• Por qué le conviene habilitar este procedimiento recomendado
• Cuál podría ser el resultado si no habilita el procedimiento recomendado
• Alternativas posibles al procedimiento recomendado
• Cómo aprender a habilitar el procedimiento recomendado

Este artículo parte de una opinión consensuada y se basa en las funcionalidades y los conjuntos de características de la plataforma Azure existentes cuando se redactó. Las opiniones y las tecnologías cambian con el tiempo, por lo que se actualizará de forma periódica para reflejar esos cambios.

Entre los procedimientos recomendados de cifrado y seguridad de datos en Azure, se incluyen:

• Aplicación de Multi-Factor Authentication
• Uso del control de acceso basado en rol (RBAC)
• Cifrado de máquinas virtuales de Azure
• Uso de modelos de seguridad de hardware
• Administración con estaciones de trabajo seguras
• Habilitación del cifrado de datos SQL
• Protección de los datos en tránsito
• Aplicación del cifrado de datos a nivel de archivos

Aplicación de Multi-Factor Authentication

El primer paso relativo al acceso y al control de datos en Microsoft Azure consiste en autenticar al usuario. Azure Multi-Factor Authentication (MFA) es un método de verificación de la identidad del usuario que no se limita al nombre de usuario y la contraseña. Este método de autenticación ayuda a proteger el acceso a los datos y las aplicaciones, además de satisfacer a los usuarios, que demandan un proceso de inicio de sesión simple.

Si habilita Azure MFA para los usuarios, agrega una segunda capa de seguridad a sus transacciones e inicios de sesión. En este caso, es posible que durante una transacción se acceda a un documento que se encuentra en un servidor de archivos o en SharePoint Online. Azure MFA también ayuda al equipo de TI a reducir la probabilidad de que se acceda a los datos de la organización usando credenciales en peligro.

Por ejemplo: si aplica Azure MFA para los usuarios y lo configura para que use una llamada de teléfono o un mensaje de texto como comprobación, si las credenciales del usuario están en peligro, el atacante no podrá acceder a los recursos porque no tendrá acceso al teléfono del usuario. Las organizaciones que no agreguen esta capa adicional de protección de la identidad son más susceptibles a los ataques de robo de credenciales, que pueden poner en peligro los datos.

Una alternativa para las organizaciones que desean mantener un control local de la autenticación es usar Servidor Azure Multi-Factor Authentication, también denominado MFA local. Mediante este método, podrá seguir aplicando la autenticación multifactor y mantener el servidor MFA local.

Uso del control de acceso basado en rol (RBAC)

Restrinja el acceso siguiendo los principios de seguridad de limitar el acceso a lo que se necesita saber y conceder los privilegios mínimos. Esto es fundamental para las organizaciones que deseen aplicar directivas de seguridad para el acceso a los datos. El control de acceso basado en rol (RBAC) de Azure sirve para asignar permisos a usuarios, grupos y aplicaciones en un ámbito determinado. El ámbito de una asignación de roles puede ser una suscripción, un grupo de recursos o un único recurso.

Puede aprovechar los roles de RBAC integrados en Azure para asignar privilegios a los usuarios. Considere usar Colaborador de la cuenta de almacenamiento para los operadores en la nube que necesiten administrar cuentas de almacenamiento y Colaborador de la cuenta de almacenamiento clásica para administrar cuentas de almacenamiento clásicas. En el caso de los operadores en la nube que necesiten administrar máquinas virtuales y cuentas de almacenamiento, podría agregarlos al rol Colaborador de la máquina virtual.

Es posible que las organizaciones que no apliquen el control de acceso a los datos mediante funcionalidades como RBAC estén concediendo más privilegios de los necesarios a sus usuarios. Esto puede poner en peligro los datos si algunos usuarios obtienen acceso a datos que no les conciernen.

Cifrado de máquinas virtuales de Azure

Para muchas organizaciones, el cifrado de los datos en reposo es un paso obligatorio en lo que respecta a la privacidad de los datos, el cumplimiento y la soberanía de los datos. Cifrado de discos de Azure permite que los administradores de TI cifren discos de máquina virtual IaaS con Windows y Linux. Cifrado de discos de Azure aprovecha la característica BitLocker de Windows, estándar en el sector, y la característica DM-Crypt de Linux para ofrecer cifrado de volumen para los discos de datos y del sistema operativo.

Puede aprovechar Cifrado de discos de Azure para proteger sus datos y así satisfacer los requisitos de cumplimiento y seguridad de la organización. Además, las organizaciones deberían pensar en usar cifrado como ayuda para mitigar los riesgos relacionados con el acceso no autorizado a los datos. También se recomienda cifrar las unidades antes de escribir datos confidenciales en ellas.

Asegúrese de cifrar los volúmenes de datos y el volumen de arranque de la máquina virtual para proteger los datos en reposo en su cuenta de almacenamiento de Azure. Proteja las claves de cifrado y los secretos mediante el Almacén de claves de Azure.

Para los servidores de Windows locales, podría aplicar los siguientes procedimientos recomendados:

• Use BitLocker para el cifrado de datos.
• Almacene la información de recuperación en AD DS.
• Ante cualquier preocupación por que las claves de BitLocker se hayan puesto en peligro, se recomienda formatear la unidad para quitar todas las instancias de los metadatos de BitLocker o descifrar toda la unidad y cifrarla de nuevo.

Las organizaciones que no aplican el cifrado de datos están más expuestas a sufrir problemas de integridad de datos, como por ejemplo, usuarios no autorizados o malintencionados que roban datos y cuentas en peligro que acceden sin autorización a datos sin cifrar. Además de estos riesgos, las compañías que deben cumplir normativas del sector tienen que demostrar que son diligentes y que usan los controles adecuados para mejorar la seguridad de los datos.

Uso de módulos de seguridad de hardware

Las soluciones de cifrado del sector usan claves secretas para cifrar los datos. Por lo tanto, es fundamental que estas claves se almacenen de forma segura. La administración de claves se convierte en una parte integral de la protección de datos, ya que se encargará de almacenar las claves secretas que sirven para cifrar datos.

Cifrado de discos de Azure se integra con el Almacén de claves de Azure para ayudarlo a controlar y administrar las claves y los secretos de cifrado de discos en su suscripción del almacén de claves. Además, garantiza que todos los datos de los discos de las máquinas virtuales se cifren en reposo en el Almacenamiento de Azure. Debería usar el Almacén de claves de Azure para auditar el uso de la directiva y las claves.

Existen muchos riesgos inherentes a la carencia de controles de seguridad adecuados para proteger las claves secretas que se usaron para cifrar los datos. Si los atacantes obtienen acceso a las claves secretas, podrán descifrar los datos y acceder a información confidencial.

Puede obtener más recomendaciones generales para la administración de certificados en Azure en el artículo Certificate Management in Azure: Do's and Don'ts (Administración de certificados en Azure: qué hacer y qué no hacer).


Administración con estaciones de trabajo seguras

Puesto que la mayoría de los ataques van destinados al usuario final, el punto de conexión se convierte en uno de los principales puntos de ataque. Si un atacante pone en peligro el punto de conexión, puede aprovechar las credenciales del usuario para acceder a los datos de la organización. La mayoría de los ataques a los puntos de conexión aprovechan el hecho de que los usuarios finales son administradores en sus estaciones de trabajo locales.

Para reducir estos riesgos, use una estación de trabajo de administración segura. Se recomienda que use una estación de trabajo con privilegios de acceso (PAW) para reducir la superficie expuesta a ataques en las estaciones de trabajo. Estas estaciones de trabajo de administración seguras pueden ayudar a mitigar algunos de estos ataques y a garantizar la mayor seguridad de sus datos. Asegúrese de usar PAW para proteger y bloquear la estación de trabajo. Se trata de un paso importante para proporcionar garantías de alta seguridad para la protección de cuentas, tareas y datos confidenciales.

La falta de protección en los puntos de conexión puede poner sus datos en riesgo. Asegúrese de aplicar directivas de seguridad en todos los dispositivos que se usen para consumir datos, independientemente de su ubicación (nube o local).

Puede aprender más sobre las estaciones de trabajo con privilegios de acceso en el artículo Securing Privileged Access (Protección del acceso con privilegios).

Habilitación del cifrado de datos SQL

El Cifrado de datos transparente (TDE) de Base de datos SQL de Azure facilita la protección contra la amenaza de actividades malintencionadas, ya que la base de datos se cifra y descifra en tiempo real, se realizan copias de seguridad asociadas y archivos de registro de transacciones en reposo sin requerir cambios en la aplicación. TDE cifra el almacenamiento de una base de datos completa mediante el uso de una clave simétrica denominada clave de cifrado de base de datos.

Incluso cuando se cifra el almacenamiento completo, es muy importante cifrar también la base de datos. Se trata de una implementación del enfoque defensivo en profundidad para la protección de los datos. Si usa Base de datos SQL de Azure y desea proteger datos confidenciales como números de tarjetas de crédito o del seguro social, puede cifrar las bases de datos con el cifrado AES de 256 bits validado por FIPS 140-2, que cumple los requisitos de muchas normas del sector (por ejemplo, HIPAA, PCI).

Es importante comprender que los archivos relacionados con la extensión del grupo de búferes (BPE) no se cifran cuando se cifra una base de datos mediante TDE. Debe usar herramientas de cifrado de nivel de sistema de archivos como BitLocker o Sistema de cifrado de archivos (EFS) para los archivos relacionados con la BPE.

Ya que un usuario autorizado, como un administrador de seguridad o de base de datos, puede acceder a los datos incluso si la base de datos está cifrada con TDE, también se deben seguir estas recomendaciones:

• Autenticación de SQL en el nivel de base de datos
• Autenticación de Azure AD mediante roles RBAC
• Los usuarios y las aplicaciones deberían usar cuentas independientes para la autenticación. De este modo, puede limitar los permisos que se conceden a usuarios y aplicaciones, y reducir los riesgos causados por la actividad malintencionada.
• Implemente la seguridad de nivel de base de datos con roles fijos de base de datos (como db_datareader o db_datawriter). También puede crear roles personalizados para su aplicación con el fin de conceder permisos explícitos a determinados objetos de la base de datos.

Las organizaciones que no usen el cifrado de nivel de base de datos pueden ser más susceptibles a ataques que podrían poner en peligro los datos ubicados en bases de datos SQL.

Para aprender más acerca del cifrado TDE de SQL, lea el artículo Cifrado de datos transparente con Base de datos SQL de Azure.

Protección de los datos en tránsito

Proteger los datos en tránsito debe ser una parte esencial de su estrategia de protección de datos. Puesto que los datos se desplazan entre muchas ubicaciones, la recomendación general es utilizar siempre los protocolos SSL/TLS para intercambiar datos entre diferentes ubicaciones. En algunas circunstancias, podría aislar todo el canal de comunicación entre su infraestructura local y la nube mediante una red privada virtual (VPN).

Para los datos que se desplazan entre la infraestructura local y Azure, debe plantearse usar medidas de seguridad apropiadas, como HTTPS o VPN.

Para las organizaciones que necesitan proteger el acceso a Azure desde varias estaciones de trabajo locales, use una VPN de sitio a sitio de Azure.

Si la organización necesita proteger el acceso a Azure desde una estación de trabajo local, use una VPN de punto a sitio.

Los conjuntos de datos más grandes se pueden mover por medio de un vínculo WAN dedicado de alta velocidad como ExpressRoute. Si decide usar ExpressRoute, también puede cifrar los datos en el nivel de aplicación mediante SSL/TLS u otros protocolos para una mayor protección.

Si interactúa con el Almacenamiento de Azure a través del Portal de Azure, todas las transacciones se realizan a través de HTTPS. También se puede usar la API de REST de almacenamiento a través de HTTPS para interactuar con el Almacenamiento de Azure y Base de datos SQL de Azure.

Las organizaciones que no protegen los datos en tránsito son más susceptibles a los ataques del tipo "Man in the middle", a la interceptación y al secuestro de sesión. Estos ataques pueden ser el primer paso para obtener acceso a datos confidenciales.

Aplicación del cifrado de datos a nivel de archivos

Otra capa de protección que puede aumentar el nivel de seguridad de los datos es el cifrado del archivo, independientemente de su ubicación.

Azure RMS usa directivas de autorización, identidad y cifrado para ayudar a proteger los archivos y el correo electrónico. Azure RMS funciona en varios dispositivos (teléfonos, tabletas y PC) y los protege tanto dentro como fuera de su organización. Esta funcionalidad es posible porque Azure RMS agrega una capa de protección que acompaña a los datos, incluso cuando salen de los límites de su organización.

Cuando usa Azure RMS para proteger los archivos, utiliza criptografía estándar del sector que es totalmente compatible con FIPS 140-2. Cuando aprovecha Azure RMS para proteger los datos, tiene la garantía de que la protección permanece con el archivo, incluso si se copia en almacenamiento que no esté bajo el control de TI, como un servicio de almacenamiento en la nube. Lo mismo ocurre con los archivos compartidos por correo electrónico: se protege el archivo adjunto al mensaje de correo electrónico y se incluyen instrucciones para abrirlo.

Durante el planeamiento para adoptar Azure RMS, se recomienda lo siguiente:

• Instale la aplicación RMS sharing. Esta aplicación se integra con las aplicaciones de Office con la instalación de un complemento de Office con el que los usuarios pueden proteger los archivos directamente y de forma sencilla.
• Configure las aplicaciones y los servicios para que admitan Azure RMS.
• Cree plantillas personalizadas que reflejen sus requisitos empresariales. Por ejemplo: una plantilla para los datos más delicados que se deba aplicar a todos los correos electrónicos de mayor confidencialidad.

Las organizaciones con puntos débiles en la clasificación de datos y la protección de archivos pueden ser más susceptibles a la fuga de datos. Sin una protección adecuada de los archivos, las organizaciones no pueden obtener perspectivas empresariales, supervisar el abuso ni evitar el acceso malicioso a archivos.

Puede aprender más acerca de Azure RMS en el artículo Introducción a Azure Rights Management.

Habilitación de la auditoría en los servidores SQL Server desde Azure Security Center

En este articulo vamos a ver como implementar la recomendación de Azure Security Center **Habilitar la auditoría en servidores SQL**.

Azure Security Center recomienda activar la auditoría en todas las bases de datos de los servidores SQL de Azure si aún no se ha hecho. La auditoría puede ayudarle a mantener el cumplimiento de normativas, comprender la actividad de las bases de datos y conocer las discrepancias y anomalías que pueden indicar problemas en el negocio o infracciones de seguridad sospechosas.

Cuando la haya activado, podrá configurar las opciones de Detección de amenazas y los correos electrónicos donde se recibirán alertas de seguridad. Detección de amenazas detecta actividades anómalas en la base de datos que indican posibles amenazas de seguridad a la base de datos. De este modo, podrá detectar posibles amenazas y reaccionar a ellas a medida que se produzcan.

Esta recomendación solo se aplica en el servicio SQL de Azure; no se incluyen las instancias de SQL Server que se ejecutan en las máquinas virtuales de los servicios de infraestructura de Azure (IaaS de Azure).

Implementación de la recomendación

1.En la hoja Recomendaciones, seleccione Habilitar la auditoría en servidores SQL. Se abrirá la hoja Habilitar la auditoría en servidores SQL. 

2.Seleccione un servidor SQL Server en donde habilitar la auditoría. Se abrirá la hoja Configuración de auditoría. 

3.En la hoja Configuración de auditoría, seleccione la opción ACTIVAR de Auditoría. 

Pruebas de penetración en Azure

Muchas veces clientes y amigos me consultan sobre como se debería ejecutar una prueba de penetración en un entorno Cloud, en este artículo voy a proporcionar información general sobre el proceso de pruebas de penetración y cómo realizar dichas pruebas en sus aplicaciones que se ejecutan en la infraestructura de Azure.

Una de las grandes ventajas de usar Microsoft Azure para la prueba e implementación de aplicaciones es que no es necesario crear una infraestructura local para desarrollar, probar e implementar sus aplicaciones. Sos servicios de plataforma Microsoft Azure se ocupan de toda la infraestructura. No tiene que preocuparse del pedido, la adquisición, la "instalación en bastidor y apilamiento" de su propio hardware local.

Esto es genial, pero debe asegurarse de realizar sus diligencias de seguridad normales. Una de las cosas que debe hacer es realizar pruebas de penetración de las aplicaciones que implemente en Azure.

Es posible que ya sepa que realiza Microsoft realiza pruebas de penetración de nuestro entorno de Azure. Esto nos ayuda a mejorar nuestra plataforma y guía nuestras acciones para mejorar los controles de seguridad, introducir nuevos controles de seguridad y mejorar nuestros procesos de seguridad.

No realizamos pruebas de penetración de su aplicación, pero sabemos que se desea y necesita realizar dichas pruebas en sus propias aplicaciones. Eso es bueno, ya que al mejorar la seguridad de sus aplicaciones, ayuda a hacer que todo el ecosistema de Azure sea más seguro.

Al realizar pruebas de penetración de sus aplicaciones, podría parecer que nos ataca. Nosotros supervisamos continuamente para detectar patrones de ataque e iniciamos un proceso de respuesta a incidentes si es necesario. No ayuda a nadie si se desencadena una respuesta a incidentes debido a sus propias pruebas de penetración.

¿Qué debe hacer?

Cuando esté listo para realizar pruebas de penetración de sus aplicaciones hospedadas en Azure, necesita hacérnoslo saber. Una vez que sepamos que va a realizar pruebas específicas, no le des conectaremos accidentalmente (por ejemplo, al bloquear la dirección IP desde la que está realizando la prueba), siempre y cuando las pruebas se ajusten a los términos y condiciones de las pruebas de penetración de Azure. Entre las pruebas estándar que puede realizar se incluyen:

• Pruebas en los puntos de conexión para descubrir las 10 principales vulnerabilidades del Proyecto de seguridad de aplicación web abierta (OWASP)
• Pruebas de vulnerabilidad ante datos aleatorios o inesperados de los puntos de conexión
• Exploración de puertos de los puntos de conexión

Un tipo de prueba que no puede realizar es ningún tipo de ataque de denegación de servicio (DoS). Esto incluye iniciar un ataque de denegación de servicio o la realización de pruebas relacionadas que puedan determinar, demostrar o simular cualquier tipo de ataque de denegación de servicio.

¿Está listo para empezar a realizar pruebas de penetración de sus aplicaciones hospedadas en Microsoft Azure? Si es así, diríjase a la página Penetration Test Overview (Información general de pruebas de penetración) y haga clic en el botón Create a Testing Request (Crear una solicitud de prueba) en la parte inferior de la página. También encontrará más información sobre los términos y condiciones de las pruebas de penetración, así como vínculos útiles sobre cómo informar de problemas de seguridad relacionados con Azure o cualquier otro servicio de Microsoft.

Informe de inteligencia frente a amenazas de Azure Security Center

En este post se explica cómo los informes de inteligencia frente a amenazas de Azure Security Center pueden ayudarle a aprender más sobre una amenaza que ha generado una alerta de seguridad.

¿Qué es un informe de inteligencia frente a amenazas?

La detección de amenazas de Security supervisa la información de seguridad de sus recursos de Azure, la red y las soluciones de asociados relacionadas. Después, analiza estos datos (a menudo, relacionando la información de diferentes orígenes) para identificar las amenazas. Este proceso forma parte de las funcionalidades de detección de Security Center. 

Cuando Security Center identifica una amenaza, desencadena una alerta de seguridad, que contiene información detallada sobre un evento determinado, junto con sugerencias para remediarlo. Para ayudar a los equipos de respuesta a incidentes a investigar y solucionar las amenazas, Security Center incluye un informe de inteligencia frente a amenazas que contiene información sobre la amenaza detectada, y además: 

• Identidad o asociaciones del atacante (si esta información está disponible)
• Objetivos de los atacantes
• Campañas de ataques históricas y actuales (si esta información está disponible)
• Tácticas, herramientas y procedimientos de los atacantes
• Indicadores asociados de peligro (IoC), como direcciones URL y hash de archivo
• Victimología, que es el predominio geográfico y del sector para ayudarle a determinar si sus recursos de Azure están en peligro
• Información de corrección y mitigación

Security Center tiene tres tipos de informes de amenazas, que pueden variar según el ataque. Los informes disponibles son:

• Informe de grupo de actividad: proporciona información detallada sobre los atacantes, sus objetivos y las tácticas que empelan.
• Informe de campaña: se centra en los detalles de campañas de ataque específicas. 
• Informe de resumen de amenazas: cubre todos los elementos de los dos informes anteriores.

Este tipo de información es muy útil durante los procesos de respuesta a incidentes, donde hay una investigación en curso para comprender el origen del ataque, las motivaciones del atacante y lo que se debe hacer para mitigar este problema más adelante. 

¿Cómo acceder al informe de inteligencia frente a amenazas?

Puede revisar las alertas actuales en el icono Alertas de seguridad . Abra Azure Portal y siga los pasos siguientes para ver más detalles sobre cada alerta:

1.En el panel Security Center, verá el icono Alertas de seguridad .

2.Haga clic en el icono para abrir la hoja Alertas de seguridad que contiene información más detallada sobre las alertas y haga clic en la alerta de seguridad sobre la que quiere más información.

3.En este caso, la hoja Suspicious process executed (Proceso sospechoso ejecutado) muestra los detalles sobre la alerta, como se puede ver en la siguiente ilustración:

4.La cantidad de información disponible para cada alerta de seguridad variará según el tipo de alerta. En el campo INFORMES hay un vínculo al informe de inteligencia frente a amenazas. Haga clic en él. Aparecerá otra ventana del explorador con el archivo PDF.

Desde aquí puede descargar el PDF de este informe y leer más sobre el problema de seguridad que se ha detectado para actuar en función de la información proporcionada.

Introducción a la seguridad de Microsoft Azure

Este artículo proporciona información general sobre las capacidades de seguridad de Microsoft Azure y consideraciones generales para las organizaciones que va a migrar sus activos a un proveedor de nube.

Al crear o migrar los activos de TI a un proveedor en la nube, confía en las capacidades de la organización para proteger las aplicaciones y datos que les confía y los controles de seguridad que proporcionan para controlar la seguridad de sus activos en la nube.

La infraestructura de Azure está diseñada desde la instalación para aplicaciones de hospedaje de millones de clientes simultáneamente y proporciona una base de confianza en la que las empresas pueden satisfacer sus necesidades de seguridad. Además, Azure proporciona una amplia gama de opciones de seguridad configurables, así como la capacidad para controlarlas, por lo que puede personalizar la seguridad para satisfacer los requisitos únicos para sus implementaciones.

En este artículo de información general sobre la seguridad de Azure, veremos:

• Los servicios y características de Azure que puede usar para ayudar a proteger sus servicios y datos en Azure
• Cómo Microsoft protege la infraestructura de Azure para ayudar a proteger sus datos y aplicaciones

Administración de identidades y acceso

Controlar el acceso a la infraestructura de TI, los datos y las aplicaciones es fundamental. En Microsoft Azure, estas capacidades se proporcionan mediante servicios como Azure Active Directory, Almacenamiento Azure y la compatibilidad con numerosos estándares y API.

Azure Active Directory (Azure AD) es un repositorio de identidades y el motor que proporciona autenticación, autorización y control de acceso para usuarios, grupos y objetos de una organización. Azure AD ofrece a los desarrolladores una forma eficaz de integrar la administración de identidades en sus aplicaciones. Protocolos estándar del sector como SAML 2.0, WS-Federation y OpenID Connect hacen posible iniciar sesión en una gran variedad de plataformas, como .Net, Java, Node.js y PHP.

La API Graph basada en REST permite a los desarrolladores leer y escribir en el directorio desde cualquier plataforma. Gracias a la compatibilidad con OAuth 2.0, los desarrolladores pueden compilar aplicaciones móviles y web que se integran con las API web de Microsoft y de terceros, así como crear API web seguras propias. Hay bibliotecas de cliente de código abierto disponibles para .NET, la Tienda Windows, iOS y Android, así como otras bibliotecas en fase de desarrollo.

Cómo habilita Azure la administración de identidades y acceso

Azure AD se puede usar como un directorio en la nube independiente para su organización, o bien como una solución integrada con su Active Directory local existente. Algunas características de integración incluyen la sincronización de directorios y el inicio de sesión único (SSO). Estos extienden el alcance de sus identidades locales existentes a la nube y mejoran la experiencia del administrador y del usuario final.

Otras capacidades de administración de identidades y acceso incluyen:

• Azure AD habilita SSO para las aplicaciones SaaS, independientemente de donde estén hospedadas. Algunas aplicaciones están federadas con Azure AD y otras usan SSO con contraseña. Las aplicaciones federadas también pueden admitir el aprovisionamiento de usuarios y almacén de contraseñas.
• El acceso a datos en el Almacenamiento de Azure se controla mediante la autenticación. Cada cuenta de almacenamiento tiene una clave principal (clave de la cuenta de almacenamiento, o SAK) y una clave secreta secundaria (la firma de acceso compartido, o SAS).
• Azure AD proporciona la identidad como un servicio a través de la federación (mediante Servicios de federación de Active Directory), la sincronización y la replicación de directorios locales.
• Azure Multi-Factor Authentication (MFA) es el servicio de autenticación mediante varias fases que requiere que el usuario también compruebe los inicios de sesión mediante una aplicación móvil, una llamada de teléfono o un mensaje de texto. Está disponible para usarse con Azure AD, para garantizar los recursos locales con el servidor de Azure Multi-Factor Authentication y con directorios y aplicaciones personalizados mediante el SDK.
• Los servicios de dominio de Azure AD le permiten unir máquinas virtuales de Azure a un dominio sin necesidad de implementar controladores de dominio. Los usuarios pueden iniciar sesión en estas máquinas virtuales con sus credenciales corporativas de Active Directory y administrar las máquinas virtuales unidas a un dominio mediante una directiva de grupo para aplicar una base de referencia de seguridad en todas sus máquinas virtuales de Azure.
• Azure Active Directory B2C proporciona un servicio de administración de identidades global y alta disponibilidad para aplicaciones de consumo que se escala a cientos de millones de identidades. Se puede integrar en plataformas móviles y web. Los consumidores pueden iniciar sesión en todas sus aplicaciones con una experiencia totalmente personalizable, usando sus cuentas de las redes sociales o mediante credenciales nuevas.

Control de acceso de datos y cifrado

Microsoft emplea los principios de separación de funciones y privilegios mínimos en las operaciones de Azure. El acceso a los datos por el personal de soporte técnico de Azure requiere su permiso explícito y se concede de forma "just-in-time" que se registra y audita; a continuación, revoca tras la finalización de la contratación.

Además, Azure proporciona varias funciones para proteger datos en tránsito y en reposo, incluido el cifrado de datos, archivos, aplicaciones, servicios, comunicaciones y unidades. Tiene la opción de cifrar la información antes de colocarla en Azure, así como almacenar claves en sus centros de datos locales.

Tecnologías de cifrado de Azure

Puede recopilar detalles sobre el acceso administrativo al entorno de suscripción mediante Informes de Azure AD. Tiene la opción para configurar Cifrado de unidad BitLocker en los discos duros virtuales que contienen información confidencial en Azure.

Otras funciones de Azure que le ayuda a proteger los datos incluyen:

• Los desarrolladores de aplicaciones pueden crear el cifrado en las aplicaciones que se implementan en Azure mediante Windows CryptoAPI y .NET Framework.
• El cifrado en el cliente para el almacenamiento de blobs de Microsoft permite controlar totalmente las claves. El servicio de almacenamiento no ve nunca las claves y no es capaz de descifrar los datos.
• Azure RMS (con RMS SDK) proporciona cifrado de nivel de datos y archivos y prevención de pérdida de datos mediante la administración de acceso basada en directivas.
• Azure es compatible con el cifrado de nivel de tabla y columna (TDE/CLE) en máquinas virtuales de SQL Server y es compatible con servidores de administración de claves locales de terceros en centros de datos de los clientes.
• Las claves de cuenta de almacenamiento, las firmas de acceso compartido, los certificados de administración y otras claves son únicas para cada inquilino de Azure.
• El almacenamiento híbrido de Azure StorSimple cifra los datos mediante un par de claves pública/privada de 128 bits antes de cargarlos en Almacenamiento de Azure.
• Azure admite y usa numerosos mecanismos de cifrado, como SSL/TLS, IPsec y AES, en función de los tipos de datos, los contenedores y los transportes.

Virtualización

La plataforma de Azure usa un entorno virtualizado. Las instancias de usuario funcionan como máquinas virtuales independientes que no tienen acceso a un servidor host físico, y este aislamiento se aplica con niveles de privilegios de procesador (anillo 0/anillo 3) físicos.

El anillo 0 tiene los mayores privilegios y el anillo 3 tiene los menores. El sistema operativo invitado se ejecuta en el anillo 1, con menos privilegios, y las aplicaciones en el anillo 3, el que menos privilegios tiene. Esta virtualización de recursos físicos conduce a una separación clara entre el sistema operativo invitado e hipervisor, lo que resulta en la separación de seguridad adicional entre los dos.

El hipervisor de Azure actúa como un micronúcleo y pasa todas las solicitudes de acceso al hardware desde las máquinas virtuales invitadas al host para el procesamiento mediante una interfaz de memoria compartida denominada VMBus. Esto impide que los usuarios obtengan acceso de lectura/escritura/ejecución sin procesar en el sistema y reduce el riesgo de compartir recursos del sistema.

Cómo implementa Azure la virtualización

Azure usa un firewall de hipervisor (filtro de paquetes), que se implementa en el hipervisor y se configura mediante un agente de controlador de tejido. Esto ayuda a proteger los inquilinos contra accesos no autorizados. De forma predeterminada, cuando se crea una máquina virtual, se bloquea todo el tráfico y, a continuación, el agente de controlador de tejido configura el filtro de paquetes para agregar reglas y excepciones para permitir el tráfico autorizado.

Existen dos categorías de reglas que se programan aquí:

Reglas de configuración de la máquina o la infraestructura: de forma predeterminada, se bloquea toda la comunicación. Hay excepciones para permitir que una máquina virtual envíe y reciba tráfico DHCP y DNS. Las máquinas virtuales también pueden enviar tráfico a la Internet "pública" y enviar tráfico a otras máquinas virtuales en el clúster y el servidor de activación del sistema operativo. La lista de destinos de salida de máquinas virtuales no incluye subredes de enrutador de Azure, administración back-end de Azure y otras propiedades de Microsoft.

Archivo de configuración de funciones: esto define las ACL de entrada según el modelo de servicio de los inquilinos. Por ejemplo, si un inquilino tiene un front-end web en el puerto 80 de una determinada máquina virtual, Azure abre el puerto TCP 80 para todas las direcciones IP si configura un punto de conexión en el modelo Administración de servicios de Azure. Si la máquina virtual tiene un rol de back-end o de trabajo que se ejecuta, abrimos el rol de trabajo únicamente para la máquina virtual con el mismo inquilino.

Aislamiento

El mantenimiento de la separación para evitar la transferencia de información no autorizada y no intencionada entre las implementaciones en una arquitectura multiinquilino compartida es otro requisito de seguridad en la nube importante.

Azure implementa el control de acceso de red y la segregación mediante el aislamiento de VLAN, las ACL, los filtros IP y los equilibradores de carga. El tráfico entrante externo a sus máquinas virtuales está restringido a los puertos y protocolos que defina. El filtrado de red se implementa para evitar tráfico falsificado y restringe el tráfico entrante y saliente a los componentes de plataforma segura. Se implementan directivas de flujo de tráfico en los dispositivos de protección de límites que deniegan el tráfico de forma predeterminada.

La traducción de direcciones de red (NAT) se usa para separar el tráfico de red interno de tráfico externo. El tráfico interno no es enrutable externamente. Las direcciones IP virtuales que sean enrutables externamente se traducen en direcciones IP dinámicas internas que solo se pueden enrutar en Azure.

El tráfico externo a máquinas virtuales de Azure atraviesa el firewall mediante listas de control de acceso (ACL) en enrutadores, equilibradores de carga y conmutadores de nivel 3. Solo se permiten determinados protocolos conocidos. Las ACL se usan para limitar el tráfico procedente de las máquinas virtuales invitadas a las otras VLAN usadas para la administración. Además, el tráfico filtrado a través de filtros IP en el sistema operativo host limita aún más el tráfico en vínculos de datos y niveles de red.

Cómo implementa Azure el aislamiento

El controlador de tejido de Azure es responsable de asignar recursos de infraestructura para cargas de trabajo de inquilinos y administra las comunicaciones unidireccionales desde el host a las máquinas virtuales. El hipervisor de Azure fuerza la separación de la memoria y el proceso entre las máquinas virtuales y enruta de forma segura el tráfico de red a los inquilinos de SO invitado. Azure también implementa el aislamiento de inquilinos, el almacenamiento y las redes virtuales:

• Cada inquilino de Azure AD está aislado de forma lógica con los límites de seguridad.
• Las cuentas de almacenamiento de Azure son únicas para cada suscripción, y el acceso debe autenticarse mediante una clave de cuenta de almacenamiento.
• Las redes virtuales están aisladas de forma lógica mediante una combinación de direcciones IP privadas únicas, firewalls y ACL de IP. Los equilibradores de carga enrutan el tráfico a los inquilinos adecuados en función de las definiciones de puntos de conexión.

Red virtual y firewall

Las redes distribuidas y virtuales en la ayuda de Azure, asegúrese de que el tráfico de red privada se aísla lógicamente del tráfico en otras redes virtuales de Azure.

Su suscripción puede contener varias redes privadas aisladas (e incluir el firewall, el equilibrio de carga y la traducción de direcciones de red).

Azure proporciona tres niveles principales de segregación de red en cada clúster de Azure para separar el tráfico lógicamente. Las redes de área local virtuales (VLAN) se usan para separar el tráfico del cliente del resto de la red de Azure. El acceso a la red de Azure desde fuera del clúster se restringe a través de equilibradores de carga.

El tráfico de red hacia y desde máquinas virtuales debe pasar a través del conmutador virtual del hipervisor. El componente del filtro IP en el SO raíz aísla la máquina virtual raíz de las máquinas virtuales invitadas y estas entre sí. Realiza el filtrado del tráfico para restringir la comunicación entre los nodos del inquilino y la Internet pública (según la configuración del servicio del cliente), y los separa de otros inquilinos.

El filtro IP ayuda a evitar que las máquinas virtuales invitadas:

• Generen tráfico falsificado
• Reciban tráfico que no está dirigido a ellas
• Dirijan tráfico a puntos de conexión de la infraestructura protegida
• Envíen o reciban tráfico de difusión inadecuado

Puede colocar las máquinas virtuales en redes virtuales de Azure. Estas redes virtuales son similares a las redes que se configuran en entornos locales, que normalmente se asocian a un conmutador virtual. Las máquinas virtuales conectadas a la misma red virtual de Azure pueden comunicarse entre sí sin ninguna configuración adicional. También tiene la opción de configurar subredes diferentes dentro de la red virtual de Azure.

Puede usar las siguientes tecnologías de red virtual de Azure para ayudar a proteger las comunicaciones de la red virtual de Azure:

• Grupos de seguridad de red (NSG). Puede usar un grupo de seguridad de red para controlar el tráfico a una o más instancias de máquina virtual en la red virtual. Un grupo de seguridad de red contiene reglas de control de acceso que permitan o denieguen el tráfico según la dirección del tráfico, el protocolo, la dirección de origen y el puerto, y la dirección de destino y el puerto.
• Enrutamiento definido por el usuario. Puede controlar el enrutamiento de paquetes a través de un dispositivo virtual mediante la creación de rutas definidas por el usuario que especifican el próximo salto de los paquetes que fluyen a una subred específica para que así vayan a su dispositivo de seguridad de red virtual.
• Reenvío IP. Un dispositivo de seguridad de red virtual debe ser capaz de recibir el tráfico entrante que no se dirige a sí mismo. Para permitir que una máquina virtual reciba el tráfico dirigido a otros destinos, debe habilitar el reenvío IP de la máquina virtual.
• Tunelización forzada. La tunelización forzada permite redirigir o forzar todo el tráfico vinculado a Internet generado por las máquinas virtuales en una red virtual de Azure de vuelta a su ubicación local a través de un túnel VPN de sitio a sitio para inspección y auditoría.
• ACL de puntos de conexión. Puede controlar en qué equipos se permiten las conexiones entrantes de Internet a una máquina virtual en la red virtual de Azure mediante la definición de las ACL de puntos de conexión.
• Soluciones de seguridad de red de asociados. Hay una serie de soluciones de seguridad de la red de asociados a la que puede tener acceso desde Azure Marketplace.

Cómo implementa Azure las redes virtuales y el firewall

Azure implementa firewalls de filtrado de paquetes en todas las máquinas virtuales host e invitadas de forma predeterminada. Las imágenes del sistema operativo Windows desde la Galería de Azure también tienen el Firewall de Windows habilitado de forma predeterminada. Los equilibradores de carga en el perímetro de redes públicas de Azure controlan las comunicaciones según las ACL de IP administradas por los administradores del cliente.

Si Azure mueve los datos del cliente como parte de las operaciones normales o durante un desastre, lo hace a través de canales de comunicaciones privados y cifrados. Otras capacidades que Azure aprovecha para usar en el firewall y las redes virtuales son:

• Firewall de host nativo: el almacenamiento y el tejido de Azure se ejecutan en un sistema operativo nativo que no tiene hipervisor y, por tanto, el firewall de windows se configura con los dos conjuntos de reglas anteriores. El almacenamiento se ejecuta nativo para optimizar el rendimiento.
• Firewall de host: el firewall del host protege el sistema operativo que ejecuta el hipervisor. Las reglas se programan para permitir que solo el controlador de tejido y los cuadros de salto se comuniquen con el sistema operativo del host en un puerto específico. Las otras excepciones son para permitir la respuesta DHCP y las respuestas DNS. Azure usa un archivo de configuración de la máquina que tiene la plantilla de reglas de firewall para el sistema operativo del host. El propio host está protegido contra ataques externos por un firewall de Windows configurado para permitir únicamente la comunicación de orígenes conocidos y autenticados.
• Firewall de invitado: replica las reglas del filtro de paquetes del conmutador de máquina virtual, pero programados con otro software (es decir, el Firewall de Windows del sistema operativo invitado). El firewall de la máquina virtual invitada puede configurarse para restringir las comunicaciones a o de la máquina virtual invitada, incluso si la configuración permite la comunicación en el filtro IP del host. Por ejemplo, puede usar el firewall de la máquina virtual invitada para restringir la comunicación entre dos de sus redes virtuales que se han configurado para conectarse entre sí.
• Firewall de almacenamiento (FW): el firewall en el front-end de almacenamiento filtra el tráfico solo en los puertos 80/443 y otros puertos de utilidad necesarios. El firewall en el back-end de almacenamiento restringe las comunicaciones a solo las que proceden de los servidores front-end de almacenamiento.
• Puerta de enlace de red virtual: las puertas de enlace de red virtual de Azure sirven como puertas de enlace entre entornos que conectan las cargas de trabajo en las red virtual de Azure a los sitios locales. Es necesaria para conectarse a los sitios locales a través de túneles VPN de sitio a sitio IPsec o a través de circuitos ExpressRoute. Para los túneles VPN de IPsec/IKE, las puertas de enlace realizan protocolos de enlace de IKE y establecen los túneles VPN de IPsec S2S entre las redes virtuales y los sitios locales. Las puertas de enlace de redes virtuales también terminan las VPN de punto a sitio.

Acceso remoto seguro

Los datos almacenados en la nube deben tener suficientes medidas de seguridad habilitadas para evitar vulnerabilidades de seguridad y mantener la confidencialidad e integridad durante el tránsito. Esto incluye controles de red que se enlazan con los mecanismos de administración de acceso e identidades auditables basados en las directivas de una organización.

La tecnología de cifrado integrada permite cifrar las comunicaciones dentro y entre las implementaciones, entre las regiones de Azure y de Azure a centros de datos locales. El acceso de administrador a máquinas virtuales mediante sesiones de escritorio remoto, Windows PowerShell remoto y el Portal de administración de Azure está siempre cifrado.

Para ampliar su centro de datos local a la nube de forma segura, Azure proporciona VPN de sitio a sitio y VPN de punto a sitio, así como vínculos dedicados con ExpressRoute (las conexiones a redes virtuales de Azure a través de VPN se cifran).

Cómo implementa Azure el acceso remoto seguro

Siempre se deben autenticar las conexiones al Portal de Azure y requieren SSL/TLS. Puede configurar certificados de administración para habilitar la administración segura. Los protocolos seguros estándar del sector SSTP e IPsec son totalmente compatibles.

Azure ExpressRoute permite crear conexiones privadas entre los centros de datos y la infraestructura de Azure que están en su entorno local o de un entorno de ubicación compartida. Las conexiones ExpressRoute no pasan por la red pública de Internet. Ofrecen más confiabilidad, velocidades más rápidas, latencias más bajas y mayor seguridad que los vínculos típicos basados en Internet. En algunos casos, el uso de conexiones de ExpressRoute para transferir datos entre dispositivos locales y Azure también puede aportar beneficios económicos importantes.

Registro y supervisión

Azure proporciona un registro autenticado de eventos relevantes para la seguridad que genera una pista de auditoría y está diseñada para resistir manipulaciones. Esto incluye información del sistema, como registros de eventos de seguridad en las máquinas virtuales de infraestructura de Azure y Azure AD. La supervisión de eventos de seguridad incluye la recopilación de eventos, como cambios en direcciones IP del servidor DNS o DHCP, intentos de acceso a los puertos, protocolos o direcciones IP que están bloqueadas por diseño, cambios en la configuración del firewall o la directiva de seguridad, creación de cuentas o grupos, procesos inesperados o instalación de controladores.

La grabación de registros de auditoría de accesos de usuario con privilegios y actividades, intentos de acceso autorizados y no autorizados, excepciones del sistema e información de eventos de seguridad se conservan durante un período de tiempo establecido. El mantenimiento de los registros depende de usted, ya que usted configura la recopilación y mantenimiento de los registros de acuerdo con sus propios requisitos.

Cómo implementa Azure el registro y la supervisión

Azure implementa los agentes de administración (MA) y el agente Monitor de seguridad de Azure (ASM) para cada proceso, almacenamiento o nodo de tejido en la administración, ya sean nativos o virtuales. Cada agente de administración está configurado para autenticarse en una cuenta de almacenamiento del equipo de servicio con un certificado obtenido en el almacén de certificados de Azure y reenvía el diagnóstico preconfigurados y los datos de eventos a la cuenta de almacenamiento. Estos agentes no se implementan en las máquinas virtuales de los clientes.

Los administradores de Azure tienen acceso a los registros a través de un portal web para el acceso autenticado y controlado a los registros. Un administrador puede analizar, filtrar, correlacionar y analizar los registros. Las cuentas de almacenamiento del equipo de servicio de Azure para los registros están protegidas contra el acceso directo del administrador para ayudar a evitar la alteración del registro.

Microsoft recopila registros de dispositivos de red mediante el protocolo Syslog y de servidores de host mediante los servicios de recopilación de auditorías (ACS) de Microsoft. Estos registros se colocan en una base de datos de registro desde la que se generan alertas para los eventos sospechosos directamente a un administrador de Microsoft. El administrador puede acceder a estos registros y analizarlos.

Diagnósticos de Azure es una característica de Azure que permite recopilar datos de diagnóstico de una aplicación que se está ejecutando en Azure. Se trata de datos de diagnóstico para depurar y solucionar problemas, medir el rendimiento, supervisar el uso de los recursos, analizar el tráfico y planificar la capacidad y realizar auditorías. Después de recopilar los datos de diagnóstico, se pueden transferir a una cuenta de almacenamiento de Azure para la persistencia. Las transferencias pueden se programadas o a petición.

Mitigación de amenazas

Además del aislamiento, el cifrado y el filtrado, Azure emplea a una serie de mecanismos y procesos de mitigación de amenazas para proteger la infraestructura y los servicios. Estos incluyen tecnologías y controles internos usados para detectar y corregir amenazas avanzadas como DDoS, aumento de privilegios y OWASP Top-10.

Los controles de seguridad y la administración de riesgos implantados por Microsoft para proteger su infraestructura en la nube reducen el riesgo de incidentes de seguridad. Sin embargo, en caso de que se produzca un incidente, el equipo de administración de incidentes de seguridad (SIM) del equipo de los servicios en línea de seguridad y cumplimiento de Microsoft (OSSC) está listo para responder 24 horas al día los 7 días de la semana.

Cómo implementa Azure la mitigación de amenazas

Azure tiene controles de seguridad para implementar la mitigación de amenazas y ayudar a los clientes a mitigar posibles amenazas en sus entornos. La lista siguiente resume las capacidades de mitigación de amenazas ofrecidas por Azure:

• Azure Anti-Malware está habilitado de forma predeterminada en todos los servidores de infraestructura. Opcionalmente, puede habilitarlo en sus propias máquinas virtuales.
• Microsoft mantiene una supervisión continua a través de los servidores, las redes y las aplicaciones para detectar las amenazas y evitar vulnerabilidades de seguridad. Las alertas automatizadas notifican a los administradores acerca de comportamientos anómalos, lo que les permite tomar medidas correctivas contra amenazas internas y externas.
• Tiene la opción de implementar soluciones de seguridad de terceros en de sus suscripciones, como los firewalls de aplicaciones web de Barracuda.
• El enfoque de Microsoft para pruebas de penetración incluye "formación de equipos de Red", lo que implica que los profesionales de seguridad de Microsoft atacan sistemas de producción activos (no de clientes) en Azure para probar las defensas contra amenazas persistentes reales y avanzadas.
• Los sistemas de implementación integrados administran la distribución e instalación de revisiones de seguridad en la plataforma Azure.

Guía de inicio rápido de Azure Security Center

La idea de este articulo es ayudar a las personas a empezar a trabajar rápidamente con el Centro de seguridad de Azure, guiándole a través de la supervisión de la seguridad y los componentes de administración de directivas y ofreciendo vínculos a los pasos siguientes.


Colección de datos

Security Center recopila datos de las máquinas virtuales para evaluar su estado de seguridad, proporcionar recomendaciones de seguridad y avisarle de las amenazas. La primera vez que se accede al Centro de seguridad la recopilación de datos se habilita en todas las máquinas virtuales de la suscripción. Se recomienda utilizar la recopilación de datos, pero se puede cancelar desactivando la recopilación de datos en la directiva del Centro de seguridad. Los pasos siguientes muestran cómo desactivar la recopilación de datos.

Requisitos previos

Para empezar a trabajar con el Centro de seguridad, debe disponer de una suscripción a Microsoft Azure. El Centro de seguridad se habilita con su suscripción. Si no tiene una suscripción, puede registrarse para obtener una evaluación gratuita.

Se accede al Centro de seguridad desde el Portal de Azure. Consulte la documentación del portal para más información.

Acceso al Centro de seguridad

En el portal, siga estos pasos para acceder al Centro de seguridad:

1.Seleccione Examinar y después desplácese hasta la opción Centro de seguridad. 

2.Seleccione Centro de seguridad. De este modo se abrirá la hoja Centro de seguridad.

3.Para facilitar el acceso a la hoja Centro de seguridad en el futuro, seleccione la opción Fijar hoja al panel (parte superior derecha). Opción Anclar hoja al panel

Uso del Centro de seguridad

Puede configurar directivas de seguridad para los grupos de recursos y las suscripciones de Azure. Configuremos una directiva de seguridad para su suscripción:

1.Haga clic en el icono Directiva en la hoja Centro de seguridad. Centro de seguridad

2.En la hoja Directiva de seguridad: definir directiva por suscripción o grupo de recursos, seleccione una suscripción. La hoja Directiva de seguridad en el Centro de seguridad de Azure

3.En la hoja Directiva de seguridad, Recopilación de datos está habilitado para que recopile registros de forma automática. La extensión de supervisión se aprovisiona en todas las máquinas virtuales actuales y nuevas de la suscripción. (para desactivar la recopilación de datos, en Recopilación de datos seleccione Off, pero si lo hace, Azure Security Center dejará de proporcionar alertas y recomendaciones de seguridad).

4.Seleccione Elija una cuenta de almacenamiento por región. Para cada región en la que disponga de máquinas virtuales en funcionamiento, elija la cuenta de almacenamiento en la que se almacenan los datos recopilados de esas máquinas virtuales. Si no elige una cuenta de almacenamiento para cada región, se creará automáticamente. Los datos recopilados se aíslan lógicamente de los datos de otros clientes por seguridad.


5.Active las Recomendaciones que le gustaría ver como parte de la directiva de seguridad. Ejemplos:

• Si se activa Actualizaciones del sistema, se examinarán todas las máquinas virtuales compatibles para comprobar si faltan actualizaciones del sistema operativo.
• Si se activa OS vulnerabilities (Vulnerabilidades del SO), se examinarán todas las máquinas virtuales compatibles para identificar todas las configuraciones del sistema operativo que podrían hacer que la máquina virtual resultara más vulnerable a ataques.

Atender las recomendaciones:

1.Vuelva a la hoja Centro de seguridad y haga clic en el icono Recomendaciones. El Centro de seguridad analiza periódicamente el estado de seguridad de los recursos de Azure. Una vez identificadas las posibles vulnerabilidades de seguridad, muestra una recomendación.

2.Haga clic en cada recomendación para ver más información o para realizar alguna acción encaminada a resolver el problema.

Consulte el estado de mantenimiento y seguridad de los recursos a través de Estado de seguridad de los recursos:

1. Vuelva a la hoja Centro de seguridad.
2. El icono Estado de seguridad de los recursos contiene indicadores del estado de seguridad de las Máquinas virtuales, Redes, SQL y Aplicaciones.
3. Seleccione Máquinas virtuales para consultar más información.
4. La hoja Máquinas virtuales muestra un resumen del estado de los programas antimalware, las actualizaciones del sistema, los reinicios y las reglas de línea de base de sus máquinas virtuales.
5. Seleccione un elemento en RECOMENDACIONES SOBRE MÁQUINAS VIRTUALES para ver más información o tomar medidas para configurar los controles necesarios.
6. Explore en profundidad para ver información adicional de máquinas virtuales concretas. El icono Estado de los recursos en el Centro de seguridad de Azure

Atender las Alertas de seguridad:

1.Vuelva a la hoja Centro de seguridad y haga clic en el icono Alertas de seguridad. En la hoja Alertas de seguridad, se muestra una lista de alertas. Las alertas se generan mediante el análisis que el Centro de seguridad hace de los registros de seguridad y la actividad de la red. También se incluyen las alertas de soluciones de socios integradas. 

2.Seleccione una alerta para ver información adicional. 

Ver el estado de su Soluciones de asociados:

1.Vuelva a la hoja Centro de seguridad. El icono de Soluciones de asociados permite supervisar de un solo vistazo el estado de mantenimiento de las soluciones de asociados integradas en su suscripción de Azure.

2.Seleccione el icono de Soluciones de asociados. Se abre una hoja con una lista de todas las soluciones de asociados conectadas a Azure Security Center. Soluciones de socios

3.Seleccione una solución de asociado. En este ejemplo, seleccionaremos la solución F5-WAF2. Se abre una hoja que muestra que el estado de la solución de asociado y de sus recursos asociados. Seleccione Consola de soluciones para abrir la experiencia de administración de asociados de esta solución. Detalle de solución de asociado