En el mundo moderno, la seguridad es un factor clave que determina las perspectivas de crecimiento de una organización. Una empresa con un potente sistema de seguridad está destinada a ganarse la confianza y la satisfacción del cliente. Por el contrario, una empresa que no invierta lo suficiente en sistemas de seguridad podría decepcionar a los clientes y degradar su base de clientes. Microsoft Azure tiene una gran cantidad de planes y estrategias que permiten a sus clientes proteger la información y autenticar el acceso. La estrategia que se discutirá aquí es la estrategia de defensa en profundidad. Esto podría ser muy útil para estudiantes o profesionales que trabajan para obtener la certificación Azure Fundamentals (AZ-900).
Modelo de confianza cero
El modelo de confianza cero es una estrategia que elimina la idea de confianza en el marco de trabajo de la red de una organización. Esto reduce el riesgo de filtraciones de datos al validar la autenticidad en cada paso. Zero Trust fue creado por John Kindervag para Forrester Research, sobre la base de la comprensión de que los modelos de seguridad convencionales funcionan bajo el supuesto de que todo dentro de la arquitectura de red de una organización es confiable. El modelo Zero Trust cree que cada individuo, independientemente de su organización, es una amenaza potencial para la seguridad a menos que pueda verificar y demostrar lo contrario. La confianza no se da por sentada en función del perímetro de la organización. Esto implica que el modelo de red tradicional de «castillo y foso» que prohibía el acceso externo a los datos se renovó a un modelo resistente que proporciona una puerta de enlace de segmentación que solo permite el acceso autenticado, independientemente de si el cliente pertenece a la organización o no. Esta puerta de entrada logró esto al generar un microperímetro móvil que protegía el‘superficie protegida’ (datos confidenciales, activos, aplicaciones y servicios). El modelo Zero Trust, por lo tanto, allana el camino para un sistema de seguridad en capas que permite la validación en cada paso para evitar violaciones de datos.
¿Qué es Defensa en Profundidad?
Defense in Depth es una estrategia de seguridad que previene las violaciones de datos y ralentiza los intentos no autenticados de acceder a los datos mediante la implementación de un entorno intenso con 7 capas de protección y validación. Como ha dicho el CSO de Devolutions Martin Lemay, “al igual que una cebolla, un atacante tendría que abrirse camino hasta el corazón”. Esto significa que incluso si una capa del sistema de seguridad se ve comprometida, habría otras 6 líneas de defensa.
Microsoft implementa la estrategia Defense in Depth tanto en sus centros de datos locales como en los servicios de Azure Cloud. Los principios que ayudan a definir una postura de seguridad son la confidencialidad , la integridad y la disponibilidad .
- Confidencialidad : este pilar garantiza que la ‘superficie protegida’ pueda ser accedida solo por aquellos a quienes se les ha otorgado permiso directo/expreso.
- Integridad : se crea una huella digital única de los datos mediante el uso de un algoritmo de hashing unidireccional. Luego se envía el hash al receptor. El objetivo de la integridad es preservar los datos a lo largo de la transmisión. Por lo tanto, después de que el destinatario recibe el hash, puede volver a calcular el valor original del hash y comparar los valores para detectar la coherencia de los datos.
- Disponibilidad : los datos deben estar disponibles solo para usuarios auténticos. A los usuarios auténticos no se les debe negar el acceso. Esto sucede en un DDOS o un ataque de denegación de servicio distribuido en el que incluso a los usuarios de buena fe se les niega el acceso.
Capas en Defensa en Profundidad
La seguridad en la estrategia de Defensa en Profundidad tiene varias capas. La ‘superficie de protección’ se almacena en el núcleo de este arreglo. Este enfoque elimina la dependencia de una sola capa de seguridad. Se dice que cada capa denota un principio individual de seguridad.
| No. S. | Capa | Uso | Principio |
|---|---|---|---|
| 1 | Datos | Cifrado de datos en Azure Blob Storage | Integridad |
| 2 | Solicitud | Cifrados SSL/TLS | Integridad |
| 3 | Calcular | Aplicación regular de SO y parches de software en capas | Disponibilidad |
| 4 | La red | Reglas de seguridad de la red | Confidencialidad |
| 5 | Perímetro | Denegación de servicio distribuida | Disponibilidad |
| 6 | Identidad y acceso | Autenticación de usuario de Azure Active Directory | Integridad |
| 7 | Seguridad física | Controles de acceso biométrico del centro de datos de Azure | Confidencialidad |
Defensa en profundidad
1. Seguridad Física
Este es el caparazón más externo de seguridad que regula el acceso físico a la infraestructura de la nube/centro de datos. Microsoft Azure se adhiere a una canalización de seguridad bien diseñada con centros de datos distribuidos globalmente. Adopta un enfoque por capas para disminuir cualquier riesgo de penetración física de los datos de los clientes. El personal elegible con causas legítimas (auditoría, cumplimiento, etc.) e identificación oficial solo tiene permiso para ingresar a la instalación. Los permisos se otorgan solo para un portal fijo, luego de lo cual caducan y se debe emitir una nueva orden de permiso. El perímetro del centro de datos está bajo vigilancia CCTV resistente. El personal visitante debe llegar a un punto de acceso predefinido para poder ingresar. Personal de seguridad fuertemente armado y rigurosamente capacitado se encuentra en cada punto de acceso para realizar verificaciones de antecedentes del visitante. Es obligatorio pasar una autenticación de dos factores a través de la biometría para permitir que el visitante acceda solo a la sección del centro de datos a la que tiene derecho. Se realizan escaneos de detección de metales de cuerpo completo en el visitante antes de que pueda visitar el piso designado fuertemente equipado con cámaras de video. Todas estas medidas de seguridad están destinadas a garantizar que los datos estén protegidos contra el acceso no autenticado.
2. Identidad y Acceso
Esta es la segunda capa de la estrategia de defensa en profundidad de Azure. Los datos, las aplicaciones y el software en la puerta principal están protegidos con las soluciones de administración de acceso e identidad de Azure. Esta capa garantiza que se otorgue acceso a usuarios auténticos solo para lo que se necesita y que los intentos de inicio de sesión/inicio de sesión se guarden y validen. Esto se usa para proteger contra intentos de inicio de sesión maliciosos y para proteger las credenciales con controles de acceso basados en riesgos. La autenticación multifactor, el inicio de sesión único y las auditorías de eventos son características dinámicas de esta capa.
Una de las partes cruciales de gobernar tantos usuarios es manejada por el directorio activo de Azure. Se puede usar un servicio como Azure Privileged Identity Management para restringir u otorgar acceso a varios recursos en el ecosistema de Azure y más.
3. Perímetro
El perímetro es la tercera capa de la estrategia de defensa en profundidad. El perímetro se utiliza para proteger los datos de ataques basados en la red a gran escala. A veces se le llama zona desmilitarizada. El perímetro es responsable de identificar amenazas/ataques a la red, alertar a los clientes sobre posibles infracciones y eliminar riesgos/amenazas. La protección DDoS (Distributed Denial-of-service) se utiliza para filtrar ataques a gran escala. Se colocan cortafuegos en el perímetro para detectar actividad maliciosa. Se aseguran de que solo el tráfico deseado se dirija a la red.
4. Red
Esta es la cuarta capa de la estrategia. Esto apunta a limitar la conectividad de la red en todos los recursos para permitir solo lo que se requiere. Esta capa se esfuerza por limitar la comunicación entre los recursos para evitar la transmisión de malware. El acceso entrante y saliente está restringido/limitado y los visitantes son denegados por defecto. Azure Virtual Networks también permite el aislamiento de la red y los controles de seguridad que podrían aprovecharse de las redes locales.
5.) Calcular
Compute es la quinta capa de la estrategia de defensa en profundidad. Esta capa garantiza que todos los recursos informáticos estén protegidos y que el usuario tenga el control total para minimizar los problemas de seguridad. Azure también proporciona a sus usuarios un servicio informático confidencial. Esto proporciona una gran cantidad de herramientas, servicios y aplicaciones que el usuario puede aprovechar en un entorno virtualizado. Esto evita el acceso no autorizado, el cumplimiento normativo y las colaboraciones no confiables mediante el procesamiento ciego.
6.) Aplicaciones
La sexta capa de la estrategia de defensa en profundidad tiene como objetivo reducir los riesgos y vulnerabilidades asociados con el ciclo de vida de desarrollo de la aplicación. Esto también busca integrar funciones de seguridad obligatoriamente con el desarrollo de aplicaciones. La información confidencial utilizada o recibida de las aplicaciones debe almacenarse en un punto final de almacenamiento seguro.
7. Datos
Esta es la capa más interna de la estrategia. Los atacantes representan amenazas para los datos almacenados en bases de datos, discos dentro de máquinas virtuales, aplicaciones de software como servicio y datos que se pueden administrar a través de la nube de Azure. El personal que almacena y controla el acceso a los datos es responsable de garantizar que estén debidamente protegidos. Los requisitos normativos rigen los procesos que deben ordenarse para garantizar la confidencialidad, integridad y disponibilidad de los datos.
Referencias:
- https://docs.microsoft.com/en-us/learn/modules/secure-network-connectivity-azure/2-what-is-defense-in-depth
- https://blog.devolutions.net/2019/02/the-basics-of-zero-trust-architecture-8-best-practices
Publicación traducida automáticamente
Artículo escrito por ssanya0904 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA