{"id":7933,"date":"2022-04-25T13:57:09","date_gmt":"2022-04-25T19:57:09","guid":{"rendered":"https:\/\/ugit.siua.ac.cr\/?p=7933"},"modified":"2022-04-30T16:43:03","modified_gmt":"2022-04-30T22:43:03","slug":"curso-microsoft-azure-ina-tema04-modulo-02-conectividad-de-red-segura-en-azure","status":"publish","type":"post","link":"https:\/\/sada.services\/?p=7933","title":{"rendered":"Curso: Microsoft Azure INA. Tema04: M\u00f3dulo 02: Conectividad de red segura en Azure"},"content":{"rendered":"\n

Unidad 1: Introducci\u00f3n<\/h2>\n\n\n\n

Todas las aplicaciones y todos los servicios, tanto si est\u00e1n en la nube como en un entorno local, deben dise\u00f1arse teniendo en cuenta la seguridad, Hay demasiado que perder. Por ejemplo, un ataque por denegaci\u00f3n de servicio podr\u00eda evitar que los clientes llegaran al sitio o los servicios web, y podr\u00eda impedirle hacer negocios. O bien, el sitio web podr\u00eda ser objeto de ataques, lo que provocar\u00eda da\u00f1os en la reputaci\u00f3n. Una vulneraci\u00f3n de datos ser\u00eda incluso peor, ya que puede arruinar la confianza que tanto ha costado conseguir y provoca da\u00f1os personales y financieros considerables.<\/p>\n\n\n\n

Conozca Tailwind Traders<\/h3>\n\n\n\n

Tailwind Traders<\/a> es una empresa ficticia que distribuye productos para la remodelaci\u00f3n del hogar. Esta empresa cuenta con ferreter\u00edas minoristas en todo el mundo y en l\u00ednea.<\/p>\n\n\n\n

Tailwind Traders est\u00e1 especializada en precios competitivos, env\u00edo r\u00e1pido y una amplia gama de art\u00edculos. Va a examinar las tecnolog\u00edas en la nube para mejorar las operaciones comerciales y apoyar el crecimiento en nuevos mercados. Al migrar a la nube, la empresa tiene previsto mejorar su experiencia de compra para diferenciarse de sus competidores.<\/p>\n\n\n\n

\u00bfC\u00f3mo proteger\u00e1 Tailwind Traders sus redes?<\/h3>\n\n\n\n

A medida que Tailwind Traders se cambia a la nube, debe evaluar sus necesidades de seguridad antes de poder implementar una sola l\u00ednea de c\u00f3digo en producci\u00f3n.<\/p>\n\n\n\n

Aunque la seguridad se debe tener en cuenta en todas las capas de las aplicaciones de la empresa (desde los servidores f\u00edsicos hasta los datos de la aplicaci\u00f3n), hay algunos factores que se relacionan espec\u00edficamente con la configuraci\u00f3n de red y el tr\u00e1fico de red de cargas de trabajo basadas en la nube.<\/p>\n\n\n\n

En este m\u00f3dulo, se centrar\u00e1 en las funcionalidades de seguridad de red de Azure y revisar\u00e1 c\u00f3mo estas le ayudan a proteger sus soluciones en la nube, en funci\u00f3n de sus necesidades empresariales.<\/p>\n\n\n\n

Unidad 2: \u00bfQu\u00e9 es la defensa en profundidad?<\/h2>\n\n\n\n

En la actualidad, Tailwind Traders ejecuta sus cargas de trabajo de forma local, en su centro de datos. La ejecuci\u00f3n en el entorno local implica que es responsable de todos los aspectos de la seguridad, desde el acceso f\u00edsico a los edificios hasta el modo en que los datos entran y salen de la red. La empresa quiere saber c\u00f3mo se compara su estrategia de defensa actual en profundidad con la ejecuci\u00f3n en la nube.<\/p>\n\n\n\n

El objetivo de la defensa en profundidad<\/em> es proteger la informaci\u00f3n y evitar que personas no autorizadas a acceder a ella puedan sustraerla.<\/p>\n\n\n\n

Una estrategia de defensa en profundidad usa una serie de mecanismos para ralentizar el avance de un ataque dirigido a adquirir acceso no autorizado a los datos.<\/p>\n\n\n\n

Capas de la defensa en profundidad<\/h3>\n\n\n\n

La defensa en profundidad se puede visualizar como un conjunto de capas, con los datos que se deben proteger en el centro.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Cada capa proporciona protecci\u00f3n de modo que, si se produce una brecha en una capa, ya existe otra en funcionamiento para evitar una mayor exposici\u00f3n. Este enfoque elimina la dependencia de cualquier capa de protecci\u00f3n \u00fanica. Ralentiza un ataque y proporciona telemetr\u00eda de alertas sobre la que pueden actuar los equipos de seguridad, ya sea de forma autom\u00e1tica o manual.<\/p>\n\n\n\n

Aqu\u00ed tiene una breve descripci\u00f3n del rol de cada capa:<\/p>\n\n\n\n

  • La capa de seguridad f\u00edsica<\/em> es la primera l\u00ednea de defensa para proteger el hardware inform\u00e1tico del centro de datos.<\/li>
  • La capa de identidad y acceso<\/em> controla el acceso a la infraestructura y al control de cambios.<\/li>
  • La capa perimetral<\/em> usa protecci\u00f3n frente a ataques de denegaci\u00f3n de servicio distribuido (DDoS) para filtrar los ataques a gran escala antes de que puedan causar una denegaci\u00f3n de servicio para los usuarios.<\/li>
  • La capa de red<\/em> limita la comunicaci\u00f3n entre los recursos a trav\u00e9s de controles de acceso y segmentaci\u00f3n.<\/li>
  • La capa de proceso<\/em> protege el acceso a las m\u00e1quinas virtuales.<\/li>
  • La capa de aplicaci\u00f3n<\/em> ayuda a garantizar que las aplicaciones sean seguras y est\u00e9n libres de vulnerabilidades de seguridad.<\/li>
  • La capa de datos<\/em> controla el acceso a los datos empresariales y de clientes que es necesario proteger.<\/li><\/ul>\n\n\n\n

    Estas capas proporcionan una gu\u00eda para ayudarle a tomar decisiones de configuraci\u00f3n de seguridad en todas las capas de las aplicaciones.<\/p>\n\n\n\n

    Azure proporciona herramientas y caracter\u00edsticas de seguridad en todas las capas del concepto de defensa en profundidad. Veamos cada capa con m\u00e1s detalle:<\/p>\n\n\n\n

    Seguridad f\u00edsica<\/strong><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    La protecci\u00f3n f\u00edsica del acceso a los edificios y el control del acceso al hardware de proceso del centro de datos son la primera l\u00ednea de defensa.<\/p>\n\n\n\n

    La intenci\u00f3n de la seguridad f\u00edsica es proporcionar medidas de seguridad f\u00edsicas contra el acceso a los recursos. Estas medidas garantizan que no se puedan omitir otras capas y se controle apropiadamente la p\u00e9rdida o el robo. Microsoft usa varios mecanismos de seguridad f\u00edsicos en sus centros de datos de la nube.<\/p>\n\n\n\n

    Identidad y acceso<\/strong><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    En esta capa, es importante que realice lo siguiente:<\/p>\n\n\n\n

    • Controle el acceso a la infraestructura y al control de cambios.<\/li>
    • Use el inicio de sesi\u00f3n \u00fanico (SSO)y la autenticaci\u00f3n multifactor.<\/li>
    • Audite los eventos y los cambios.<\/li><\/ul>\n\n\n\n

      La capa de identidad y acceso consiste en garantizar que las identidades est\u00e1n protegidas, que solo se otorga el acceso necesario y que se registran los cambios y los eventos de inicio de sesi\u00f3n.<\/p>\n\n\n\n


      Per\u00edmetro<\/strong><\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n

      En esta capa, es importante que realice lo siguiente:<\/p>\n\n\n\n

      • Use protecci\u00f3n contra DDoS para filtrar los ataques a gran escala antes de que puedan afectar a la disponibilidad de un sistema para los usuarios.<\/li>
      • Use firewalls perimetrales para identificar los ataques malintencionados contra la red y alertar sobre ellos.<\/li><\/ul>\n\n\n\n

        En el per\u00edmetro de la red, se trata de la protecci\u00f3n frente a ataques basados en red contra los recursos. Identificar estos ataques, eliminar sus repercusiones y recibir alertas sobre ellos cuando suceden son formas importantes de proteger la red.<\/p>\n\n\n\n

        Network<\/strong><\/p>\n\n\n\n

        \"\"<\/figure>\n\n\n\n

        En esta capa, es importante que realice lo siguiente:<\/p>\n\n\n\n

        • Limite la comunicaci\u00f3n entre los recursos.<\/li>
        • Deniegue de forma predeterminada.<\/li>
        • Restrinja el acceso entrante de Internet y limite el saliente cuando sea apropiado.<\/li>
        • Implemente conectividad segura a las redes locales.<\/li><\/ul>\n\n\n\n

          En esta capa, el enfoque est\u00e1 en limitar la conectividad de la red en todos los recursos para permitir solo la necesaria. Al limitar esta comunicaci\u00f3n, se reduce el riesgo de que se propaguen los ataques a otros sistemas de la red.<\/p>\n\n\n\n

          Proceso<\/strong><\/p>\n\n\n\n

          \"\"<\/figure>\n\n\n\n

          En esta capa, es importante que realice lo siguiente:<\/p>\n\n\n\n

          • Proteja el acceso a las m\u00e1quinas virtuales.<\/li>
          • Implemente la protecci\u00f3n del punto de conexi\u00f3n de los dispositivos y mantenga los sistemas revisados y actualizados.<\/li><\/ul>\n\n\n\n

            El software malintencionado, los sistemas sin revisiones aplicadas y los sistemas protegidos inadecuadamente abren el entorno a los ataques. El enfoque en esta capa es asegurarse de que sus recursos de proceso est\u00e9n seguros y de que cuenta con los controles adecuados para minimizar los problemas de seguridad.<\/p>\n\n\n\n

            Aplicaci\u00f3n<\/strong><\/p>\n\n\n\n

            \"\"<\/figure>\n\n\n\n

            En esta capa, es importante que realice lo siguiente:<\/p>\n\n\n\n

            • Garantice que las aplicaciones son seguras y est\u00e1n libres de vulnerabilidades.<\/li>
            • Almacene los secretos de aplicaci\u00f3n confidenciales en un medio de almacenamiento seguro.<\/li>
            • Convierta la seguridad en un requisito de dise\u00f1o en todo el desarrollo de aplicaciones.<\/li><\/ul>\n\n\n\n

              La integraci\u00f3n de la seguridad en el ciclo de vida de desarrollo de aplicaciones ayuda a reducir el n\u00famero de vulnerabilidades en el c\u00f3digo. Todos los equipos de desarrollo deber\u00edan asegurarse de que sus aplicaciones son seguras de forma predeterminada.<\/p>\n\n\n\n

              Datos<\/strong><\/p>\n\n\n\n

              \"\"<\/figure>\n\n\n\n

              En casi todos los casos, los atacantes intentan conseguir datos:<\/p>\n\n\n\n

              • Almacenados en una base de datos.<\/li>
              • Almacenados en discos en m\u00e1quinas virtuales.<\/li>
              • Almacenados en aplicaciones de software como servicio (SaaS), como Office 365.<\/li>
              • Administrados mediante el almacenamiento en la nube.<\/li><\/ul>\n\n\n\n


                Datos<\/strong><\/p>\n\n\n\n

                En casi todos los casos, los atacantes intentan conseguir datos:<\/p>\n\n\n\n

                • Almacenados en una base de datos.<\/li>
                • Almacenados en discos en m\u00e1quinas virtuales.<\/li>
                • Almacenados en aplicaciones de software como servicio (SaaS), como Office 365.<\/li>
                • Administrados mediante el almacenamiento en la nube.<\/li><\/ul>\n\n\n\n

                  Los que almacenan y controlan el acceso a los datos son responsables de asegurarse de que est\u00e1n protegidos correctamente. A menudo, los requisitos legales dictan los controles y procesos que deben cumplirse para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.<\/p>\n\n\n\n

                  Posici\u00f3n de seguridad<\/h3>\n\n\n\n

                  El nivel de seguridad<\/em> es la capacidad de su organizaci\u00f3n de protegerse frente a amenazas de seguridad y responder a ellas. Los principios comunes usados para definir un nivel de seguridad son la confidencialidad<\/em>, la integridad<\/em> y la disponibilidad<\/em>, lo que se conoce colectivamente como CIA por sus siglas en ingl\u00e9s.<\/p>\n\n\n\n

                  Confidencialidad<\/strong><\/p>\n\n\n\n

                  El principio de privilegios m\u00ednimos<\/em> implica restringir el acceso a la informaci\u00f3n \u00fanicamente a los usuarios a las que se concede acceso de forma expl\u00edcita, solo al nivel necesario para realizar su trabajo. Esta informaci\u00f3n incluye la protecci\u00f3n de contrase\u00f1as de usuario, contenido de correo electr\u00f3nico y niveles de acceso a las aplicaciones y a la infraestructura subyacente.<\/p>\n\n\n\n

                  Integridad<\/strong><\/p>\n\n\n\n

                  Evitar cambios no autorizados en la informaci\u00f3n:<\/p>\n\n\n\n

                  • En reposo: cuando se almacenan.<\/li>
                  • En tr\u00e1nsito: cuando se transfieren de un lugar a otro, incluido desde un equipo local a la nube.<\/li><\/ul>\n\n\n\n

                    Un enfoque com\u00fan que se usa en la transmisi\u00f3n de datos es la creaci\u00f3n de una huella digital \u00fanica de los datos por parte del remitente mediante un algoritmo hash unidireccional. El hash se env\u00eda al receptor junto con los datos. El receptor vuelve a calcular el hash de los datos y lo compara con el original para asegurarse de que los datos no se han perdido ni modificado en tr\u00e1nsito.<\/p>\n\n\n\n

                    Disponibilidad<\/strong><\/p>\n\n\n\n

                    Aseg\u00farese de que los servicios funcionan y que solo pueden acceder a ellos los usuarios autorizados. Los ataques por denegaci\u00f3n de servicio<\/em> est\u00e1n dise\u00f1ados para degradar la disponibilidad de un sistema, lo que afecta a sus usuarios.<\/p>\n\n\n\n

                    MCT: Video 4.2.1: Descripci\u00f3n de los conceptos de Defensa en Profundidad<\/h2>\n\n\n\n
                    \n