© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Introducción a la seguridad en un mundo habilitado para la nube
La seguridad de los servicios en la nube de Microsoft es una asociación
entre usted y Microsoft.
Claves para el éxito
Las organizaciones empresariales se beneficiarán de un enfoque metódico de
seguridad en la nube. Esto implica invertir en funcionalidades básicas dentro
de la organización que conduzcan a entornos seguros.
La seguridad en la nube es una asociación Principios de la nube de confianza de Microsoft
Sus datos e identidades son suyos
y tiene la responsabilidad de
protegerlos, así como de preservar
la seguridad de sus recursos locales
y la seguridad de los componentes
en la nube que controla (varía
según el tipo de servicio).
Los servicios en la nube de
Microsoft se basan en la confianza
y la seguridad. Microsoft
proporciona funcionalidades y
controles de seguridad para
ayudarle a proteger sus datos y
aplicaciones.
Las responsabilidades y los controles para proteger aplicaciones y redes varían según el tipo de servicio.
Microsoft recomienda el desarrollo de
directivas acerca de cómo evaluar,
adoptar y usar los servicios en la nube
para minimizar la generación de
incoherencias y vulnerabilidades que
los atacantes pueden aprovechar.
Asegúrese de que las directivas de
control y seguridad estén actualizadas
para los servicios en la nube e
implementadas en toda la
organización:
Directivas de identidad
Directivas de datos
Documentación y directivas de
cumplimiento
Directiva de control y
seguridadLos servicios de identidad
proporcionan la base de los sistemas
de seguridad. La mayoría de las
organizaciones empresariales usan las
identidades existentes para los
servicios en la nube, y estos sistemas
de identidad deben protegerse en el
nivel de los servicios en la nube o en un
nivel superior.
Sistemas de identidad y
administración de identidades
Reconocimiento de amenazas
Sus administradores de TI controlan los
servicios en la nube y los servicios de
administración de identidades. Las
directivas de control de acceso
coherentes son una dependencia de la
seguridad en la nube. Las cuentas con
privilegios, las credenciales y las
estaciones de trabajo donde se usan
las cuentas deben protegerse y
supervisarse.
Administración de
privilegios administrativos
Su responsabilidad en cuanto a la seguridad se basa en el tipo de servicio
en la nube. En la tabla siguiente se resume el equilibrio de las
responsabilidades de Microsoft y del cliente.
TransparenciaExplicamos lo que hacemos con sus datos y cómo se
protegen y administran, con un lenguaje simple y claro.
CumplimientoLa cartera de estándares de cumplimiento y
certificaciones más amplia del sector.
Privacidad y
control
Privacidad por diseño, con un compromiso de usar la
información de los clientes únicamente para prestar
servicios y no con fines publicitarios.
SeguridadNuestra prioridad es salvaguardar sus datos con cifrado,
procesos y tecnología de última generación.
Microsoft Usted
Consulte las páginas 2 a 5 para obtener más información y recursos.
Gobierno de datos
yadministración de derechos
Responsabilidad SaaS PaaS IaaS Local
Puntos de conexión de
cliente
Administración de cuenta y
acceso
Infraestructura de
directorios e identidades
Aplicación
Controles de red
Sistema operativo
Red física
Centro de datos físico
ClienteClienteMicrosoftMicrosoft
SaaS
Software como servicio
Microsoft opera y protege la
infraestructura, el sistema operativo
host y las capas de la aplicación. Los
datos se protegen en los centros de
datos y en el tránsito entre Microsoft
y el cliente.
Usted controla el acceso y protege
sus datos e identidades, incluido el
conjunto de controles de aplicaciones
disponibles en el servicio en la nube.
SaaS
Software como servicio
Microsoft opera y protege la
infraestructura, el sistema operativo
host y las capas de la aplicación. Los
datos se protegen en los centros de
datos y en el tránsito entre Microsoft
y el cliente.
Usted controla el acceso y protege
sus datos e identidades, incluido el
conjunto de controles de aplicaciones
disponibles en el servicio en la nube.
PaaS
Plataforma como servicio
Microsoft opera y protege las capas del
sistema operativo host y de
infraestructura.
Usted controla el acceso y protege sus
datos, identidades y aplicaciones, incluida
la aplicación de los controles de
infraestructuras disponibles en el servicio
en la nube.
También controla todo el código y la
configuración de la aplicación, incluido el
código de ejemplo proporcionado por
Microsoft u otras fuentes.
PaaS
Plataforma como servicio
Microsoft opera y protege las capas del
sistema operativo host y de
infraestructura.
Usted controla el acceso y protege sus
datos, identidades y aplicaciones, incluida
la aplicación de los controles de
infraestructuras disponibles en el servicio
en la nube.
También controla todo el código y la
configuración de la aplicación, incluido el
código de ejemplo proporcionado por
Microsoft u otras fuentes.
IaaS
Infraestructura como servicio
Microsoft opera y protege las capas
del sistema operativo host y de
infraestructura de base.
Usted controla el acceso y protege
los datos, las identidades, las
aplicaciones y los sistemas
operativos virtualizados, así como
todos los controles de
infraestructuras disponibles en el
servicio en la nube.
IaaS
Infraestructura como servicio
Microsoft opera y protege las capas
del sistema operativo host y de
infraestructura de base.
Usted controla el acceso y protege
los datos, las identidades, las
aplicaciones y los sistemas
operativos virtualizados, así como
todos los controles de
infraestructuras disponibles en el
servicio en la nube.
Nube privada
Las nubes privadas son soluciones
locales de su propiedad, y que
usted usa y protege. Las nubes
privadas se diferencian de la
infraestructura local tradicional en
que siguen los principios de nube
para proporcionar flexibilidad y
disponibilidad en la nube.
Nube privada
Las nubes privadas son soluciones
locales de su propiedad, y que
usted usa y protege. Las nubes
privadas se diferencian de la
infraestructura local tradicional en
que siguen los principios de nube
para proporcionar flexibilidad y
disponibilidad en la nube.
Hosts físicosSus datos son suyos y usted controla
cómo se deben usar, compartir,
actualizar y publicar. Debe clasificar sus
datos confidenciales, y garantizar su
protección y supervisión con directivas
de control de acceso adecuadas cuando
estén almacenados y en tránsito.
Protección de datos
Las organizaciones se enfrentan a una
variedad de amenazas de seguridad con
motivaciones diferentes. Evalúe las
amenazas que se aplican a su organización
y póngalas en contexto mediante el uso de
recursos como la información sobre
amenazas y los centros de análisis y uso
compartido de información (ISAC).
Agosto de 2016
Seguridad en un mundo habilitado para la
nubehttp://aka.ms/securecustomermva
Seguridad en un mundo habilitado para la
nubehttp://aka.ms/securecustomermvaMicrosoft Virtual AcademyMicrosoft Virtual Academy
Seguridad en un mundo habilitado para la
nubehttp://aka.ms/securecustomermvaMicrosoft Virtual Academy
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 1 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
FISC de Japón
GCIO de Nueva Zelanda
Principales certificaciones de seguridadMuchas organizaciones internacionales, regionales e industriales certifican de
manera independientemente que las plataformas y servicios en la nube de
Microsoft cumplen los estrictos estándares de seguridad y son de confianza.
Al proporcionar a los clientes servicios en la nube conformes y comprobados
de manera independiente, Microsoft también le permite lograr fácilmente el
cumplimiento de su infraestructura y sus aplicaciones.
En esta página se resumen las principales certificaciones. Para obtener una
lista completa de las certificaciones de seguridad y más información, visite la
página de Microsoft Trust Center.
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Dominio reglamentario y
de cumplimiento
Microsoft Dynamics
CRMMicrosoft Intune
SOC 2 tipo 2
CSA STAR 1
FedRAMP
DISA del Departamento
de Defensa
IRS 1075
BAA de la HIPAA
PCI DSS de nivel 1
FERPA
ISO 27001
ISO 27018
SOC 1 tipo 2
CJIS
Microsoft AzureOffice 365
CDSA
Cláusulas modelo de la UE
G-Cloud v6 de Reino Unido
ASD gubernamental de Australia
MTCS de Singapur
http://www.microsoft.com/trustcenter
Microsoft Trust Center
http://www.microsoft.com/trustcenter
Microsoft Trust Center
Agosto de 2016
https://www.microsoft.com/en-us/
TrustCenter/Compliance/default.aspx
Ver cumplimiento por servicio
https://www.microsoft.com/en-us/
TrustCenter/Compliance/default.aspx
Ver cumplimiento por servicio
Nivel 2 Nivel 4
N/A N/A N/AN/A N/A N/AN/A N/A N/A
N/AN/A
N/A N/A N/AN/A N/A N/AN/A N/A N/A
Aplicables en líneas
generales
Gobierno de Estados
Unidos
Específicas del sector
Específicas de un país o
región
ITAR
FDA 21 CFR Parte 11
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 2 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
Rol de Microsoft
A través de las prácticas de seguridad líderes del sector y una experiencia inigualable al ejecutar algunos de los servicios en línea más importantes del mundo, Microsoft ofrece a los clientes servicios en la nube empresariales en los que pueden confiar.
Décadas de experiencia en ingeniería han permitido a Microsoft desarrollar procedimientos recomendados líderes en el diseño y la administración de servicios en línea. Este modelo resume el completo enfoque de Microsoft, comenzando por los datos y explorando los medios físicos y los centros de datos. Asegúrese de revisar las responsabilidades del cliente para obtener más información sobre su rol en las asociaciones de seguridad.
Microsoft mantiene su compromiso con la privacidad y la seguridad de sus datos y aplicaciones en la nube
Privacidad de datos
Usted controla sus datos. Controla dónde se almacenan y
cómo se accede a estos, así como su eliminación. Según el
servicio, también elige dónde se almacenan
geográficamente.
Acceso a datosLos datos son suyos.
Entendemos por datos de cliente todos los datos
(incluidos el texto, el sonido, el software o los archivos
de imagen) que un cliente proporciona, o bien que se
proporcionan en nombre de los clientes, a Microsoft
por medio de Online Services.
Propiedad de los datos
Uso de los datos
Como parte del proceso de desarrollo, se realizan revisiones de
privacidad para comprobar que los requisitos de privacidad se
tratan adecuadamente. Esto incluye la comprobación de la
presencia de características relacionadas con la privacidad que
permiten a los clientes controlar quién puede acceder a sus
datos y configurar el servicio para satisfacer las necesidades de
privacidad de la normativa del cliente.
Revisiones de privacidad
Si un gobierno nos solicita acceso a datos
de clientes, le dirigiremos la consulta a
usted, el cliente, siempre que sea posible.
Impugnaremos en los tribunales cualquier
demanda legal no válida que prohíba la
divulgación de una solicitud de datos de
cliente por parte del gobierno.
Revelación de solicitud de datos por
parte del gobierno
Los datos son suyos, por
lo que en caso de decidir
abandonar el servicio,
puede llevarse los datos y
hacer que se eliminen
permanentemente de
nuestros servidores.
Portabilidad de datos
Protección de datos
y privacidad en la
nube
Más información...
Protección de datos
y privacidad en la
nube
Más información...
Administración de derechos y cifrado
de datosSe usa el mejor cifrado para ayudar a proteger los datos en
tránsito entre los centros de datos y usted, así como en los
centros de datos de Microsoft. Además, los clientes
pueden habilitar la confidencialidad directa total (PFS), que
usa una clave de cifrado diferente para cada conexión y
dificulta a los atacantes descifrar las conexiones.
Datos en tránsito
Para soluciones basadas en Azure, puede elegir implementar
cifrado adicional mediante una serie de enfoques: usted
controla el método de cifrado y las claves. La criptografía TLS
integrada permite a los clientes cifrar las comunicaciones en y
entre las implementaciones, de Azure a centros de datos
locales y de Azure a administradores y usuarios.
Cifrado para soluciones basadas en Azure
Office 365 y otros servicios
SaaS usan el cifrado en reposo
para proteger los datos en los
servidores de Microsoft.
Datos en reposo
Azure RMS usa las directivas de cifrado, identidad y autorización
para ayudar a proteger los archivos y el correo electrónico. La
protección se mantiene en los archivos y mensajes de correo
electrónico, independientemente de la ubicación (dentro o fuera
de su organización, redes, servidores de archivos y aplicaciones).
Azure Rights Management (Azure RMS)
Puede usar Azure RMS con Office
365: SharePoint Online y
Exchange Online.
Puede configurar Azure RMS
para toda la organización.
Puede proporcionar su propia
clave para cumplir con las
directivas de su organización.
Azure Rights
Management
Más información...
Azure Rights
Management
Más información...
Identidad y acceso
Microsoft ofrece soluciones integrales de administración de
identidades y acceso para que los clientes las usen en Azure y
en otros servicios, como Office 365, para simplificar la
administración de varios entornos y controlar el acceso de
usuario a las aplicaciones.
Usted controla el acceso a sus datos
y aplicaciones
Azure Active Directory permite a los clientes administrar el
acceso a Azure, Office 365 y todo un mundo de aplicaciones en
la nube. La supervisión de acceso y Multi-Factor Authentication
ofrecen seguridad mejorada.
Azure Active Directory y Multi-Factor Authentication
Microsoft
Trustworthy
Computing
Más información...
Microsoft
Trustworthy
Computing
Más información...
Proteja las claves criptográficas y otros secretos que usen los
servicios y las aplicaciones en la nube. Microsoft no ve ni
extrae las claves.
Azure Key Vault
Azure AD permite la integración sencilla y el inicio de sesión
único en muchas de las aplicaciones SaaS populares actuales,
como Salesforce.
Administración de identidades de terceros
Seguridad de redes e infraestructura de
centro de datosLos clientes pueden usar
ExpressRoute para establecer
una conexión privada a
centros de datos de Azure y
mantener su tráfico fuera de
Internet.
Conexión privada
OSA es un marco que se centra en los problemas de
infraestructura para garantizar operaciones seguras en todo
el ciclo de vida de los servicios basados en la nube.
Seguridad operativa para servicios en línea (OSA)
Software y servicios
Microsoft Azure, Office 365,
Dynamics CRM Online y todos
los demás servicios en la nube
de empresa usan los procesos
documentados en el SDL.
Desarrollo seguro en
Microsoft Cloud
Las consideraciones sobre privacidad y seguridad están incrustadas
en el Ciclo de vida de desarrollo de seguridad (SDL), un proceso de
desarrollo de software que ayuda a los desarrolladores a crear
software más seguro, así como a abordar los requisitos de
cumplimiento de seguridad y privacidad. El SDL incluye lo siguiente:
Ciclo de vida de desarrollo de seguridad (SDL)
Evaluaciones de riesgos
Análisis y reducción de la superficie
expuesta a ataques
Modelado de amenazas
Respuesta a incidentes
Revisión y certificación de versiones
Ciclo de vida
de desarrollo
de seguridad
Más información...
Ciclo de vida
de desarrollo
de seguridad
Más información...
Pruebas y supervisión proactivas
Además de las prácticas para "evitar infracciones" de modelo
de amenazas, revisiones de código y pruebas de seguridad,
Microsoft adopta un enfoque de "suposición de infracciones"
para proteger los servicios y los datos:
Evitar y suponer infracciones
La Unidad de Delitos Digitales (DCU) de
Microsoft pretende ofrecer una
experiencia digital más segura a todas las
personas y organizaciones del planeta
mediante la protección de poblaciones
vulnerables, la lucha contra el malware y la
reducción del riesgo digital.
Unidad de delitos digitales de
Microsoft
Simular infracciones reales
Pruebas de penetración en
directo a sitios
Registro y supervisión de
seguridad centralizados
Practicar la respuesta a
incidentes de seguridad
Más información...Más información...
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Seguridad de centros de datos físicos
Los centros de datos se construyen, administran y supervisan
físicamente para proteger datos y servicios del acceso no
autorizado, así como de las amenazas del entorno.
Seguridad física con supervisión las 24 horas
Cuando los clientes eliminan datos o dejan un servicio,
pueden quedarse con sus datos y hacer que se eliminen de
forma permanente de los servidores de Microsoft. Microsoft
sigue estrictos estándares de sobrescritura de recursos de
almacenamiento antes de reutilizarlos, así como de
destrucción física del hardware retirado. El hardware y las
unidades defectuosos se desmagnetizan y se destruyen.
Destrucción de datos
Microsoft mantiene una directiva de sin acceso
permanente en los datos de clientes. Hemos diseñado
nuestros productos para que la mayoría de las operaciones
del servicio estén totalmente automatizadas y solo un
pequeño conjunto de actividades requieran la intervención
del usuario. El personal de Microsoft solo concede acceso
cuando es necesario para el soporte técnico o las
operaciones; el acceso se administra y registra
minuciosamente, y se revoca cuando ya no se necesita. El
acceso del centro de datos a los sistemas que almacenan
datos de clientes se controla estrictamente a través de los
procesos de caja de seguridad.
Sin privilegios permanentes
Red Teaming de
Microsoft Enterprise
Cloud
Más información...
Red Teaming de
Microsoft Enterprise
Cloud
Más información...
Seguridad,
privacidad y
cumplimiento en
Microsoft Azure
Más información...
Seguridad,
privacidad y
cumplimiento en
Microsoft Azure
Más información...
Seguridad operativa
para servicios en
línea (OSA)
Más información...
Seguridad operativa
para servicios en
línea (OSA)
Más información...
Continúa en la página siguiente
Más información...
Informe de
solicitudes de
cumplimiento
de la ley
Más información...
Informe de
solicitudes de
cumplimiento
de la ley
Agosto de 2016
No usamos datos de clientes para fines no relacionados con
la prestación del servicio, como la publicidad. Aplicamos una
directiva sin acceso permanente el acceso a datos de
clientes por parte del personal de Microsoft está restringido,
solo se concede cuando es necesario para operaciones o
soporte técnico y se revoca cuando ya no se necesita.
El Centro de Operaciones de Defensa Cibernética de Microsoft es
una utilidad de ciberseguridad y defensa 24 x 7 que reúne a nuestros
expertos en seguridad y en datos en una ubicación centralizada. Las
herramientas de software avanzadas y el análisis en tiempo real nos
ayudan a proteger y detectar amenazas contra la infraestructura de
nube, los productos y dispositivos, y los recursos internos de
Microsoft, así como a responder a dichas amenazas.
Centro de Operaciones de Defensa Cibernética
de Microsoft
Vídeo: Microsoft Cloud Azure
Data Center(s) – The Inside
'Long Tour
Vídeo: Microsoft Cloud Azure
Data Center(s) – The Inside
'Long Tour
Más información...
Vídeo: Microsoft Cloud Azure
Data Center(s) – The Inside
'Long Tour
Más información...
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 3 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
Rol de Microsoft
A través de las prácticas de seguridad líderes del sector y una experiencia inigualable al ejecutar algunos de los servicios en línea más importantes del mundo, Microsoft ofrece a los clientes servicios en la nube empresariales en los que pueden confiar.
Décadas de experiencia en ingeniería han permitido a Microsoft desarrollar procedimientos recomendados líderes en el diseño y la administración de servicios en línea. Este modelo resume el completo enfoque de Microsoft, comenzando por los datos y explorando los medios físicos y los centros de datos. Asegúrese de revisar las responsabilidades del cliente para obtener más información sobre su rol en las asociaciones de seguridad.
Microsoft mantiene su compromiso con la privacidad y la seguridad de sus datos y aplicaciones en la nube
Privacidad de datos
Usted controla sus datos. Controla dónde se almacenan y
cómo se accede a estos, así como su eliminación. Según el
servicio, también elige dónde se almacenan
geográficamente.
Acceso a datosLos datos son suyos.
Entendemos por datos de cliente todos los datos
(incluidos el texto, el sonido, el software o los archivos
de imagen) que un cliente proporciona, o bien que se
proporcionan en nombre de los clientes, a Microsoft
por medio de Online Services.
Propiedad de los datos
Uso de los datos
Como parte del proceso de desarrollo, se realizan revisiones de
privacidad para comprobar que los requisitos de privacidad se
tratan adecuadamente. Esto incluye la comprobación de la
presencia de características relacionadas con la privacidad que
permiten a los clientes controlar quién puede acceder a sus
datos y configurar el servicio para satisfacer las necesidades de
privacidad de la normativa del cliente.
Revisiones de privacidad
Si un gobierno nos solicita acceso a datos
de clientes, le dirigiremos la consulta a
usted, el cliente, siempre que sea posible.
Impugnaremos en los tribunales cualquier
demanda legal no válida que prohíba la
divulgación de una solicitud de datos de
cliente por parte del gobierno.
Revelación de solicitud de datos por
parte del gobierno
Los datos son suyos, por
lo que en caso de decidir
abandonar el servicio,
puede llevarse los datos y
hacer que se eliminen
permanentemente de
nuestros servidores.
Portabilidad de datos
Protección de datos
y privacidad en la
nube
Más información...
Protección de datos
y privacidad en la
nube
Más información...
Administración de derechos y cifrado
de datosSe usa el mejor cifrado para ayudar a proteger los datos en
tránsito entre los centros de datos y usted, así como en los
centros de datos de Microsoft. Además, los clientes
pueden habilitar la confidencialidad directa total (PFS), que
usa una clave de cifrado diferente para cada conexión y
dificulta a los atacantes descifrar las conexiones.
Datos en tránsito
Para soluciones basadas en Azure, puede elegir implementar
cifrado adicional mediante una serie de enfoques: usted
controla el método de cifrado y las claves. La criptografía TLS
integrada permite a los clientes cifrar las comunicaciones en y
entre las implementaciones, de Azure a centros de datos
locales y de Azure a administradores y usuarios.
Cifrado para soluciones basadas en Azure
Office 365 y otros servicios
SaaS usan el cifrado en reposo
para proteger los datos en los
servidores de Microsoft.
Datos en reposo
Azure RMS usa las directivas de cifrado, identidad y autorización
para ayudar a proteger los archivos y el correo electrónico. La
protección se mantiene en los archivos y mensajes de correo
electrónico, independientemente de la ubicación (dentro o fuera
de su organización, redes, servidores de archivos y aplicaciones).
Azure Rights Management (Azure RMS)
Puede usar Azure RMS con Office
365: SharePoint Online y
Exchange Online.
Puede configurar Azure RMS
para toda la organización.
Puede proporcionar su propia
clave para cumplir con las
directivas de su organización.
Azure Rights
Management
Más información...
Azure Rights
Management
Más información...
Identidad y acceso
Microsoft ofrece soluciones integrales de administración de
identidades y acceso para que los clientes las usen en Azure y
en otros servicios, como Office 365, para simplificar la
administración de varios entornos y controlar el acceso de
usuario a las aplicaciones.
Usted controla el acceso a sus datos
y aplicaciones
Azure Active Directory permite a los clientes administrar el
acceso a Azure, Office 365 y todo un mundo de aplicaciones en
la nube. La supervisión de acceso y Multi-Factor Authentication
ofrecen seguridad mejorada.
Azure Active Directory y Multi-Factor Authentication
Microsoft
Trustworthy
Computing
Más información...
Microsoft
Trustworthy
Computing
Más información...
Proteja las claves criptográficas y otros secretos que usen los
servicios y las aplicaciones en la nube. Microsoft no ve ni
extrae las claves.
Azure Key Vault
Azure AD permite la integración sencilla y el inicio de sesión
único en muchas de las aplicaciones SaaS populares actuales,
como Salesforce.
Administración de identidades de terceros
Seguridad de redes e infraestructura de
centro de datosLos clientes pueden usar
ExpressRoute para establecer
una conexión privada a
centros de datos de Azure y
mantener su tráfico fuera de
Internet.
Conexión privada
OSA es un marco que se centra en los problemas de
infraestructura para garantizar operaciones seguras en todo
el ciclo de vida de los servicios basados en la nube.
Seguridad operativa para servicios en línea (OSA)
Software y servicios
Microsoft Azure, Office 365,
Dynamics CRM Online y todos
los demás servicios en la nube
de empresa usan los procesos
documentados en el SDL.
Desarrollo seguro en
Microsoft Cloud
Las consideraciones sobre privacidad y seguridad están incrustadas
en el Ciclo de vida de desarrollo de seguridad (SDL), un proceso de
desarrollo de software que ayuda a los desarrolladores a crear
software más seguro, así como a abordar los requisitos de
cumplimiento de seguridad y privacidad. El SDL incluye lo siguiente:
Ciclo de vida de desarrollo de seguridad (SDL)
Evaluaciones de riesgos
Análisis y reducción de la superficie
expuesta a ataques
Modelado de amenazas
Respuesta a incidentes
Revisión y certificación de versiones
Ciclo de vida
de desarrollo
de seguridad
Más información...
Ciclo de vida
de desarrollo
de seguridad
Más información...
Pruebas y supervisión proactivas
Además de las prácticas para "evitar infracciones" de modelo
de amenazas, revisiones de código y pruebas de seguridad,
Microsoft adopta un enfoque de "suposición de infracciones"
para proteger los servicios y los datos:
Evitar y suponer infracciones
La Unidad de Delitos Digitales (DCU) de
Microsoft pretende ofrecer una
experiencia digital más segura a todas las
personas y organizaciones del planeta
mediante la protección de poblaciones
vulnerables, la lucha contra el malware y la
reducción del riesgo digital.
Unidad de delitos digitales de
Microsoft
Simular infracciones reales
Pruebas de penetración en
directo a sitios
Registro y supervisión de
seguridad centralizados
Practicar la respuesta a
incidentes de seguridad
Más información...Más información...
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Seguridad de centros de datos físicos
Los centros de datos se construyen, administran y supervisan
físicamente para proteger datos y servicios del acceso no
autorizado, así como de las amenazas del entorno.
Seguridad física con supervisión las 24 horas
Cuando los clientes eliminan datos o dejan un servicio,
pueden quedarse con sus datos y hacer que se eliminen de
forma permanente de los servidores de Microsoft. Microsoft
sigue estrictos estándares de sobrescritura de recursos de
almacenamiento antes de reutilizarlos, así como de
destrucción física del hardware retirado. El hardware y las
unidades defectuosos se desmagnetizan y se destruyen.
Destrucción de datos
Microsoft mantiene una directiva de sin acceso
permanente en los datos de clientes. Hemos diseñado
nuestros productos para que la mayoría de las operaciones
del servicio estén totalmente automatizadas y solo un
pequeño conjunto de actividades requieran la intervención
del usuario. El personal de Microsoft solo concede acceso
cuando es necesario para el soporte técnico o las
operaciones; el acceso se administra y registra
minuciosamente, y se revoca cuando ya no se necesita. El
acceso del centro de datos a los sistemas que almacenan
datos de clientes se controla estrictamente a través de los
procesos de caja de seguridad.
Sin privilegios permanentes
Red Teaming de
Microsoft Enterprise
Cloud
Más información...
Red Teaming de
Microsoft Enterprise
Cloud
Más información...
Seguridad,
privacidad y
cumplimiento en
Microsoft Azure
Más información...
Seguridad,
privacidad y
cumplimiento en
Microsoft Azure
Más información...
Seguridad operativa
para servicios en
línea (OSA)
Más información...
Seguridad operativa
para servicios en
línea (OSA)
Más información...
Continúa en la página siguiente
Más información...
Informe de
solicitudes de
cumplimiento
de la ley
Más información...
Informe de
solicitudes de
cumplimiento
de la ley
Agosto de 2016
No usamos datos de clientes para fines no relacionados con
la prestación del servicio, como la publicidad. Aplicamos una
directiva sin acceso permanente el acceso a datos de
clientes por parte del personal de Microsoft está restringido,
solo se concede cuando es necesario para operaciones o
soporte técnico y se revoca cuando ya no se necesita.
El Centro de Operaciones de Defensa Cibernética de Microsoft es
una utilidad de ciberseguridad y defensa 24 x 7 que reúne a nuestros
expertos en seguridad y en datos en una ubicación centralizada. Las
herramientas de software avanzadas y el análisis en tiempo real nos
ayudan a proteger y detectar amenazas contra la infraestructura de
nube, los productos y dispositivos, y los recursos internos de
Microsoft, así como a responder a dichas amenazas.
Centro de Operaciones de Defensa Cibernética
de Microsoft
Vídeo: Microsoft Cloud Azure
Data Center(s) – The Inside
'Long Tour
Vídeo: Microsoft Cloud Azure
Data Center(s) – The Inside
'Long Tour
Más información...
Vídeo: Microsoft Cloud Azure
Data Center(s) – The Inside
'Long Tour
Más información...
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 3 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
2. Control administrativo: defenderse de la pérdida de control de los sistemas locales y los servicios en la nube
1. Estrategia de seguridad, gobierno y operacionalización: proporcionar una visión, instrucciones y estándares claros para su organización
Responsabilidades y mapa de ruta del cliente
A. Desarrollar directivas de seguridad
de la nube
B. Administrar amenazas continuas D. Contener el riesgo mediante la
suposición de infracciones
D. Usar estaciones de trabajo y cuentas
de administrador dedicadas
C. Usar la autenticación sólidaA. Modelo de administración con
privilegios mínimos
Supervise atentamente el uso y las actividades
de las cuentas administrativas. Configure alertas
para actividades de alto impacto, así como para
actividades inusuales o raras.
F. Supervisar las cuentas de administrador
3. Datos: identificar y proteger sus activos de información más importantes
C. Buscar y proteger los activos
confidencialesEl primer paso para proteger la información
consiste en identificar qué se debe proteger.
Desarrolle directrices claras, sencillas y bien
comunicadas para identificar, proteger y
supervisar los activos de datos más importantes,
dondequiera que residan.
A. Establecer prioridades de protección de
la información
4. Identidad del usuario y seguridad del dispositivo: fortalezca la protección de las cuentas y los dispositivos
C. Educar, facultar y captar a usuarios
Una de las maneras más confiables de detectar
el uso indebido de privilegios, cuentas o datos
es detectar la actividad irregular de una cuenta.
Identifique la actividad normal y físicamente
posible. Alerte de actividad inusual para
permitir la respuesta e investigación rápidas.
Para las cuentas de Azure AD, use el análisis
integrado para detectar actividad inusual.
D. Controlar el uso indebido de
cuentas y credenciales
A. Usar la autenticación sólida
Nube privada
8. Entornos locales o de nube privada: proteger la base
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Informes de Office 365Informes de Office 365
Creación de huella digital de documentoCreación de huella digital de documento
Cifrado en Office 365Cifrado en Office 365
Active Directory Rights Management ServicesActive Directory Rights Management Services
Azure Rights ManagementAzure Rights Management
Para obtener información sobre cómo se
protegen los centros de datos de Azure,
consulte:
Nube de confianza: seguridad, privacidad
y cumplimiento en Microsoft Azure
Para obtener información sobre cómo se
protegen los centros de datos de Azure,
consulte:
Nube de confianza: seguridad, privacidad
y cumplimiento en Microsoft Azure
Kit de herramientas de clasificación de datosKit de herramientas de clasificación de datos
Adoptar un enfoque sistemático de seguridad local y en la nube
Aunque Microsoft mantiene su compromiso con la privacidad y la seguridad de
sus datos y aplicaciones en la nube, los clientes deben asumir un rol activo en la
asociación de seguridad. Las crecientes amenazas contra la ciberseguridad
aumentan los requisitos del rigor y los principios de seguridad en todos los
niveles de activos locales y en la nube. Las organizaciones empresariales son más
capaces de administrar y abordar las preocupaciones sobre la seguridad en la
nube al adoptar un enfoque sistemático.
Al mover cargas de trabajo a la nube muchas responsabilidades de seguridad y
costos se trasladan a Microsoft, con lo cual sus recursos de seguridad quedan
libres para centrarse en las áreas de importancia crítica de datos, identidad,
estrategia y gobierno.
Las directivas le permiten alinear los controles de
seguridad con los objetivos, los riesgos y la cultura
de su organización. Las directivas deben
proporcionar instrucciones claras e inequívocas
para permitir que todos los profesionales tomen
decisiones acertadas.
Documente las directivas de seguridad con
suficiente detalle para ayudar al personal a
tomar decisiones rápidas y precisas al adoptar
y administrar los servicios en la nube.
Asegúrese de tener detalles suficientes en las
áreas de las directivas que estén bien
establecidas y sean de vital importancia para
su apuesta de seguridad.
Equilibre la seguridad y la usabilidad. Se
evitarán los controles de seguridad que
restringen demasiado la capacidad de los
administradores y usuarios de realizar tareas.
Promueva la aceptación a través del
aprendizaje y la inclusión de amenazas en el
proceso de diseño de seguridad.
Documente los protocolos y los procesos
para realizar tareas de seguridad de
importancia crítica, tales como usar
credenciales administrativas, responder a
eventos de seguridad comunes y recuperarse
de incidentes de seguridad considerables.
Adopte "Shadow IT". Identifique el uso no
administrado de dispositivos, servicios en la
nube y aplicaciones. Identifique los requisitos
empresariales que han causado su uso, así
como el riesgo empresarial que conllevan.
Trabaje con grupos de la empresa para
habilitar las capacidades requeridas mientras
mitiga los riesgos.
E. Establecer la educación y la directiva
de usuarioLos usuarios desempeñan un rol crítico en la
seguridad de la información y deben conocer sus
directivas y normas sobre los aspectos de seguridad
de creación de datos, clasificación, cumplimiento,
uso compartido, protección y supervisión.
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Más información
Proteja las redes que instala y opera en sus centros
de datos. Siga las instrucciones y los principios que
se detallan en la sección Sistema operativo y
middleware (arriba).
Las cuentas que se usan para administrar el
tejido tienen el control técnico del tejido, lo que
las convierte en una dependencia de seguridad
del tejido y de todos los servicios que se
hospedan en este. Se incluyen las cuentas locales
y de dominio con privilegios administrativos
sobre sistemas, incluidos:
Dominios de Active Directory donde se unen
los recursos de tejido
Sistemas operativos host de virtualización
Herramientas de administración de tejidos
Siga las instrucciones de seguridad de la sección
Prácticas y privilegios administrativos (arriba)
para estos recursos.
El firmware, el software incrustado en el
hardware de tejido, es una dependencia de
seguridad de los servicios en la nube y un vector
de ataque potencial. Valide y refuerce este
software, incluido lo siguiente:
Controladores de administración de placa
base (BMC) para hardware "desatendido" o
acceso remoto
Firmware de placa base de servidor
Firmware de tarjeta de interfaz
Firmware/software de aplicación dedicada
Las garantías de seguridad de los servicios locales
dependen de la seguridad de los sistemas de
almacenamiento. Se incluyen:
Herramientas de administración de
almacenamiento
Grupos y cuentas de administrador de
almacenamiento
Estaciones de trabajo que usan los
administradores de almacenamiento
Sistemas operativos y firmware de dispositivos
de almacenamiento
Proteja estos sistemas en el nivel requerido para
todas las aplicaciones, identidades, sistemas
operativos y datos hospedados en ellos, o bien en
un nivel superior.
Las garantías de seguridad del tejido dependen
de la integridad de la seguridad del software y
de las herramientas que se usen para
administrarlo. Estas pueden incluir:
Administración de la configuración
Administración de operaciones
Administración de máquinas virtuales
Copia de seguridad
Proteja estos recursos en el nivel requerido
para los servicios y datos hospedados en el
tejido, o bien en un nivel superior.
D. Almacenamiento G. Administración de tejidosA. Red física
B. Identidades de tejidos y centros de datos
C. Firmware de servidor y dispositivo
F. Seguridad física
Las máquinas virtuales dependen del tejido de
virtualización para las garantías de seguridad.
El tejido incluye:
Herramientas de administración de
virtualización
Administradores de virtualización
Estaciones de trabajo que usan estos
administradores
Sistemas operativos host de VM
Firmware en el hardware de host de VM
Proteja estos sistemas en el nivel requerido
para todas las aplicaciones, identidades y datos
hospedados en la solución de virtualización,
o bien en un nivel superior.
H. Solución de virtualización
E. Middleware y sistemas operativos físicos
Los sistemas operativos y el middleware instalados
en el hardware de servidor físico son una
dependencia de seguridad de los servicios que se
ejecutan en ellos. Proteja estos recursos en el nivel
requerido o un nivel superior para los servicios y
datos hospedados en el tejido mediante las
instrucciones de la sección Sistema operativo y
middleware (arriba).
Las garantías de seguridad física del hardware que
hospeda un servicio en la nube deben igualar o
superar el nivel necesario para todos los datos,
aplicaciones e identidades que se hospedan en él.
La seguridad física protege todas las dependencias
de seguridad, como:
Hardware de servidor
Dispositivos de almacenamiento
Dispositivos de red
Estaciones de trabajo administrativas
Medios de instalación
Tarjetas inteligentes, tokens de contraseña de
uso único y contraseñas escritas en papel
TechEd 2014: Privileged Access Management for
Active Directory
TechEd 2014: Privileged Access Management for
Active Directory
Notas del producto: Security Management in
Microsoft Azure
Notas del producto: Security Management in
Microsoft Azure
Azure Key VaultAzure Key Vault
Notas del producto: Microsoft Azure Security
and Audit Log Management
Notas del producto: Microsoft Azure Security
and Audit Log Management
Auditoría en Office 365Auditoría en Office 365
Trustworthy Computing: Data governanceTrustworthy Computing: Data governance
Notas del producto: Microsoft Azure Security
and Audit Log Management
Notas del producto: Microsoft Azure Security
and Audit Log Management
Auditoría en Office 365Auditoría en Office 365
Operational Security for Online Services
Overview
Operational Security for Online Services
Overview
Continúa en la página siguiente
Continúa en la página siguiente
Importante: Cómo usar esta página
Esta página incluye una lista metódica de acciones que Microsoft
recomienda para defender sus datos, identidades y aplicaciones de las
amenazas de ciberseguridad. Estas acciones se clasifican y presentan en una
pila. Las categorías de la parte superior de la pila se aplican a los servicios
SaaS, PaaS, IaaS y de nube privada. El ámbito de las categorías disminuye en
niveles inferiores de la pila.
SaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privadaSaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
B. Seguir el ciclo de vida de desarrollo
de seguridad (SDL) Revise los procesos de desarrollo de seguridad y las
prácticas operativas de los proveedores antes de
adquirir aplicaciones. Inclúyalos en el proceso de
adquisición.
Siga las instrucciones de configuración de seguridad
y las recomendaciones que le ofrece el proveedor
de la aplicación.
Aplique todas las actualizaciones de seguridad del
proveedor tan rápido como lo permitan sus
requisitos de pruebas. Asegúrese de actualizar las
dependencias y el middleware instalados con las
aplicaciones.
Deje de usar el software antes de que llegue al
estado de finalización del soporte.
A. Proteger las aplicaciones que se adquieren
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
5. Seguridad de aplicaciones: comprobar que el código de la aplicación sea resistente a ataques
6. Red: garantizar la conectividad, el aislamiento y la visibilidad de comportamientos anómalos
Asegúrese de que su arquitectura de red esté lista para
la nube. Para ello, actualice su enfoque actual o
aproveche la oportunidad de empezar desde cero con
una estrategia moderna para plataformas y servicios en
la nube. Alinee su estrategia de red con los elementos
siguientes:
Estrategia de seguridad general y gobierno
Estrategia de identidad y modelo de contención
Funcionalidades y restricciones de servicios en la nube
El diseño debe resolver la protección de las
comunicaciones:
Entrantes de Internet
Entre las máquinas virtuales de una suscripción
En suscripciones
Hacia y desde redes locales
Desde hosts de administración remota
A. Actualizar la estrategia de seguridad de red
y la arquitectura de informática en la nube
Asegúrese de que sus procesos y funcionalidades
tecnológicas pueden distinguir anomalías y
variaciones en configuraciones y patrones de flujo
de tráfico de red. La informática en la nube usa
redes públicas, lo que permite una rápida
explotación de configuraciones erróneas que se
deben evitar, o bien detectar y corregir
rápidamente.
Supervíselos detenidamente y notifique
excepciones.
Aplique medios automatizados para garantizar
que su configuración de red siga siendo correcta
y que se detecten patrones de tráfico inusuales.
C. Administrar y supervisar la seguridad de la red
La informática en la nube ofrece funcionalidades de
red con una flexibilidad única al definir topologías
en el software. Evalúe el uso de estas
funcionalidades de nube modernas para mejorar
sus capacidades de auditoría de seguridad de red,
detección y flexibilidad operacional.
B. Optimizar con funcionalidades de nube
Las aplicaciones de software con código fuente que
usted desarrolla o controla son una superficie
expuesta a ataques potencial. Incluyen las
aplicaciones PaaS, las aplicaciones PaaS compiladas
a partir de código de ejemplo de Azure (como sitios
de WordPress) y las aplicaciones que interactúan
con Office 365.
Siga los procedimientos recomendados de
seguridad del código del ciclo de vida de desarrollo
de seguridad (SDL) de Microsoft para minimizar las
vulnerabilidades y su impacto en la seguridad.
Consulte: www.microsoft.com/sdl
Las aplicaciones de software con código fuente que
usted desarrolla o controla son una superficie
expuesta a ataques potencial. Incluyen las
aplicaciones PaaS, las aplicaciones PaaS compiladas
a partir de código de ejemplo de Azure (como sitios
de WordPress) y las aplicaciones que interactúan
con Office 365.
Siga los procedimientos recomendados de
seguridad del código del ciclo de vida de desarrollo
de seguridad (SDL) de Microsoft para minimizar las
vulnerabilidades y su impacto en la seguridad.
Consulte: www.microsoft.com/sdl
Notas del producto: Microsoft Azure Network SecurityNotas del producto: Microsoft Azure Network Security
IaaS
Infraestructura como servicio
Nube privada
A. Sistema operativo virtual
7. Sistema operativo y middleware: proteger la integridad de los hosts
B. Herramientas de administración de sistema operativo virtual
Proteja el sistema operativo (SO) de host virtual y el middleware que se
ejecutan en máquinas virtuales. Asegúrese de que todos los aspectos
de la seguridad del sistema operativo y el middleware cumplan o
superen el nivel requerido para el host, incluyendo:
Prácticas y privilegios administrativos
Actualizaciones de software para sistemas operativos y middleware
Línea base de configuración de seguridad
Uso de objetos de directiva de grupo (GPO)
Medios y métodos de instalaciónUso de tareas programadas
Detección/prevención de intrusiones y antimalware
Configuraciones de IPsec y firewall de host
Configuración y supervisión del registro de eventos
Las herramientas de administración del sistema presentan control técnico
completo de los sistemas operativos host (incluyendo aplicaciones, datos e
identidades), lo que las convierte en una dependencia de seguridad del
servicio en la nube. Proteja estas herramientas en el nivel de los sistemas
que administran o en un nivel superior. Estas herramientas suelen incluir:
Administración de la configuración
Administración y supervisión de operaciones
Copia de seguridad
Actualización de seguridad y administración de revisiones
La evolución de los cambios y las amenazas de
seguridad requiere ajustes continuos y
funcionalidades operativas completas. Administre
de manera proactiva este riesgo.
Establezca funcionalidades operativas para
supervisar alertas, investigar incidentes, iniciar
acciones correctivas e integrar las lecciones
aprendidas.
Genere el contexto externo de las amenazas
mediante los recursos disponibles, como las
fuentes de inteligencia de amenazas, los
centros de análisis y uso compartido de
información (ISACs) y otros medios.
Valide su apuesta de seguridad mediante la
actividad de pruebas de penetración y/o el
equipo rojo autorizado.
Notas del producto: Red Teaming de Microsoft
Enterprise Cloud
Notas del producto: Red Teaming de Microsoft
Enterprise Cloud
Notas del producto: Ataques dirigidos y
adversarios decididos
Notas del producto: Ataques dirigidos y
adversarios decididos
C. Administrar la innovación continua
La velocidad de las versiones y actualizaciones de
funcionalidades en los servicios en la nube
requiere una administración proactiva de los
impactos de seguridad potenciales.
Defina una cadencia mensual para revisar
e integrar actualizaciones de funcionalidades
de nube, requisitos normativos y de
cumplimiento, amenazas crecientes y
objetivos organizativos.
Evite cambios de configuración mediante
revisiones periódicas para garantizar que las
tecnologías, las configuraciones y las prácticas
operativas cumplen con sus directivas
y protocolos.
Al planear controles de seguridad y procesos de
respuesta de seguridad, suponga que un
atacante ha puesto en riesgo otros recursos
internos, tales como cuentas de usuario,
estaciones de trabajo y aplicaciones. Suponga
que un atacante usará estos recursos como una
plataforma de ataque.Para modernizar su
estrategia de contención:
Identifique los activos más críticos, como
aplicaciones, dependencias y datos críticos.
La seguridad de estos elementos debe ser
superior sin comprometer la usabilidad.
Mejore el aislamiento entre zonas de
seguridad aumentando el rigor de la
administración de excepciones. Aplique
técnicas de modelado de amenazas a todas
las excepciones y análisis autorizados de
estos flujos de datos de aplicaciones, entre
los que se incluyen las identidades usadas,
los datos transmitidos, la confianza en
plataformas y aplicaciones, y la capacidad de
inspeccionar la interacción.
Centre la contención en una zona de
seguridad en mantener la integridad del
modelo administrativo en lugar de centrarlo
en el aislamiento de la red.
Aplique enfoques de "privilegios mínimos" a su
modelo administrativo, como:
Limitar el número de administradores
o miembros de grupos con privilegios.
Delegar menos privilegios en las cuentas.
Proporcionar privilegios a petición.
Hacer que los administradores existentes
realicen tareas en lugar de agregar
administradores adicionales.
Proporcionar procesos de acceso de
emergencia y escenarios de uso poco
frecuentes.
Las dependencias de seguridad incluyen todo
aquello que tiene control administrativo de un
activo. Asegúrese de reforzar todas las dependencias
en el nivel de seguridad de los activos que controlan
o en un nivel superior. Las dependencias de
seguridad de servicios en la nube suelen incluir
sistemas de identidad, herramientas de
administración locales, cuentas y grupos
administrativos, y las estaciones de trabajo donde
estas cuentas inician sesión.
B. Endurecer las dependencias de seguridad
Blog: Microsoft Advanced Threat AnalyticsBlog: Microsoft Advanced Threat Analytics
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas
las identidades con privilegios administrativos.
Esto mitiga el riesgo de que se usen
credenciales robadas para usar cuentas con
privilegios de manera indebida.
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas
las identidades con privilegios administrativos.
Esto mitiga el riesgo de que se usen
credenciales robadas para usar cuentas con
privilegios de manera indebida.
Separe los activos de alto impacto de los riesgos
de correo electrónico y navegación por Internet
muy frecuentes:
Use cuentas dedicadas para los roles
administrativos con privilegios de servicios en
la nube y dependencias locales.
Use estaciones de trabajo reforzadas y
dedicadas para la administración de activos de
TI de alto impacto empresarial.
No use cuentas con privilegios elevados en
dispositivos donde se empleen el correo
electrónico y la exploración web.
E. Aplicar estándares de seguridad estrictos
Los administradores controlan cantidades de
activos considerables. Mida y aplique estándares
de seguridad estrictos en las cuentas y los
sistemas administrativos. Se incluyen los
servicios en la nube y las dependencias locales,
tales como Active Directory, sistemas de
identidad, herramientas de administración,
herramientas de seguridad, estaciones de
trabajo administrativas y sistemas operativos
asociados.
G. Educar y facultar a los administradores
Instruya al personal administrativo sobre
posibles amenazas y sobre el rol crítico que
tienen en la protección de sus credenciales y
datos empresariales clave. Los administradores
son los guardianes de acceso a muchos de sus
activos críticos. Facultarles con este
conocimiento les permitirá administrar mejor sus
activos y su apuesta de seguridad.
B. Proteger los activos de gran valor (HVA)Establezca la máxima protección para los activos
que tengan un impacto desproporcionado en el
cometido o la rentabilidad de las organizaciones.
Realice análisis estrictos de las dependencias de
seguridad y ciclo de vida de HVA, y establezca
condiciones y controles de seguridad adecuados.
Identifique y clasifique los activos confidenciales.
Defina las tecnologías y los procesos para aplicar
automáticamente los controles de seguridad.
D. Establecer los estándares mínimos de
la organizaciónEstablezca los estándares mínimos para los
dispositivos y las cuentas de confianza que acceden
a activos de datos que pertenecen a la organización.
Pueden incluir la compatibilidad con la configuración
de dispositivos, la eliminación de datos del
dispositivo, las funcionalidades de protección de
datos empresariales, la fiabilidad de la autenticación
de usuarios y la identidad de usuario.
Protección de datos de empresa de Windows 10Protección de datos de empresa de Windows 10
Administrar el acceso al correo electrónico
y SharePoint con Microsoft Intune
Administrar el acceso al correo electrónico
y SharePoint con Microsoft Intune
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas las
identidades, a fin de mitigar el riesgo de que se
usen credenciales robadas para emplear cuentas
de manera indebida.
Identidades de usuario hospedadas en Azure
Active Directory (Azure AD).
Cuentas locales cuya autenticación se federa
desde Active Directory local.
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Microsoft Passport y Windows HelloMicrosoft Passport y Windows Hello
B. Administrar dispositivos de confianza y
conformes
Administrar directivas de cumplimiento de dispositivos para Microsoft IntuneAdministrar directivas de cumplimiento de dispositivos para Microsoft Intune
Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)
Establezca, mida y aplique estándares de
seguridad modernos en los dispositivos que se
usan para acceder a activos y datos corporativos.
Aplique los estándares de configuración e instale
rápidamente las actualizaciones de seguridad para
reducir el riesgo de que los dispositivos se usen
para acceder a los datos o alterarlos.
Kit de herramientas de Experiencia de mitigación mejorada (EMET)Kit de herramientas de Experiencia de mitigación mejorada (EMET)
Los usuarios controlan sus propias cuentas y son
responsables de proteger muchos de sus activos
críticos. Faculte a sus usuarios para que sean
buenos administradores de datos organizativos
y de personales. Al mismo tiempo, reconozca
que los errores y las actividades de los usuarios
implican riesgos de seguridad que pueden
mitigarse, pero nunca eliminarse
completamente. Céntrese en medir y reducir el
riesgo de los usuarios.
Eduque a los usuarios sobre posibles
amenazas y sobre su rol a la hora de proteger
los datos empresariales.
Ponga difícil al adversario comprometer las
cuentas de usuario.
Explore la gamificación y otros medios de
aumentar la participación del usuario.
Continúa en la página siguiente
Agosto de 2016
Seguridad de red y servicios en la nube de MicrosoftSeguridad de red y servicios en la nube de Microsoft
Blog de seguridad de Microsoft AzureBlog de seguridad de Microsoft Azure
Securing Privileged AccessSecuring Privileged Access
Autenticación de identidades sin
contraseñas a través de Microsoft Passport
Autenticación de identidades sin
contraseñas a través de Microsoft Passport
Securing Privileged AccessSecuring Privileged Access
Protección de la información para Office 365Protección de la información para Office 365
Información general sobre directivas de
prevención de pérdida de datos
Información general sobre directivas de
prevención de pérdida de datos
Always Encrypted (motor de base de datos)Always Encrypted (motor de base de datos)
http://www.microsoft.com/trustcenter
Microsoft Trust Center
http://www.microsoft.com/trustcenter
Microsoft Trust Center
SaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privadaSaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 4 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
Patrones y procedimientos recomendados de seguridad
de Azure
Patrones y procedimientos recomendados de seguridad
de Azure
Patrones y procedimientos recomendados de seguridad de AzurePatrones y procedimientos recomendados de seguridad de Azure
2. Control administrativo: defenderse de la pérdida de control de los sistemas locales y los servicios en la nube
1. Estrategia de seguridad, gobierno y operacionalización: proporcionar una visión, instrucciones y estándares claros para su organización
Responsabilidades y mapa de ruta del cliente
A. Desarrollar directivas de seguridad
de la nube
B. Administrar amenazas continuas D. Contener el riesgo mediante la
suposición de infracciones
D. Usar estaciones de trabajo y cuentas
de administrador dedicadas
C. Usar la autenticación sólidaA. Modelo de administración con
privilegios mínimos
Supervise atentamente el uso y las actividades
de las cuentas administrativas. Configure alertas
para actividades de alto impacto, así como para
actividades inusuales o raras.
F. Supervisar las cuentas de administrador
3. Datos: identificar y proteger sus activos de información más importantes
C. Buscar y proteger los activos
confidencialesEl primer paso para proteger la información
consiste en identificar qué se debe proteger.
Desarrolle directrices claras, sencillas y bien
comunicadas para identificar, proteger y
supervisar los activos de datos más importantes,
dondequiera que residan.
A. Establecer prioridades de protección de
la información
4. Identidad del usuario y seguridad del dispositivo: fortalezca la protección de las cuentas y los dispositivos
C. Educar, facultar y captar a usuarios
Una de las maneras más confiables de detectar
el uso indebido de privilegios, cuentas o datos
es detectar la actividad irregular de una cuenta.
Identifique la actividad normal y físicamente
posible. Alerte de actividad inusual para
permitir la respuesta e investigación rápidas.
Para las cuentas de Azure AD, use el análisis
integrado para detectar actividad inusual.
D. Controlar el uso indebido de
cuentas y credenciales
A. Usar la autenticación sólida
Nube privada
8. Entornos locales o de nube privada: proteger la base
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Informes de Office 365Informes de Office 365
Creación de huella digital de documentoCreación de huella digital de documento
Cifrado en Office 365Cifrado en Office 365
Active Directory Rights Management ServicesActive Directory Rights Management Services
Azure Rights ManagementAzure Rights Management
Para obtener información sobre cómo se
protegen los centros de datos de Azure,
consulte:
Nube de confianza: seguridad, privacidad
y cumplimiento en Microsoft Azure
Para obtener información sobre cómo se
protegen los centros de datos de Azure,
consulte:
Nube de confianza: seguridad, privacidad
y cumplimiento en Microsoft Azure
Kit de herramientas de clasificación de datosKit de herramientas de clasificación de datos
Adoptar un enfoque sistemático de seguridad local y en la nube
Aunque Microsoft mantiene su compromiso con la privacidad y la seguridad de
sus datos y aplicaciones en la nube, los clientes deben asumir un rol activo en la
asociación de seguridad. Las crecientes amenazas contra la ciberseguridad
aumentan los requisitos del rigor y los principios de seguridad en todos los
niveles de activos locales y en la nube. Las organizaciones empresariales son más
capaces de administrar y abordar las preocupaciones sobre la seguridad en la
nube al adoptar un enfoque sistemático.
Al mover cargas de trabajo a la nube muchas responsabilidades de seguridad y
costos se trasladan a Microsoft, con lo cual sus recursos de seguridad quedan
libres para centrarse en las áreas de importancia crítica de datos, identidad,
estrategia y gobierno.
Las directivas le permiten alinear los controles de
seguridad con los objetivos, los riesgos y la cultura
de su organización. Las directivas deben
proporcionar instrucciones claras e inequívocas
para permitir que todos los profesionales tomen
decisiones acertadas.
Documente las directivas de seguridad con
suficiente detalle para ayudar al personal a
tomar decisiones rápidas y precisas al adoptar
y administrar los servicios en la nube.
Asegúrese de tener detalles suficientes en las
áreas de las directivas que estén bien
establecidas y sean de vital importancia para
su apuesta de seguridad.
Equilibre la seguridad y la usabilidad. Se
evitarán los controles de seguridad que
restringen demasiado la capacidad de los
administradores y usuarios de realizar tareas.
Promueva la aceptación a través del
aprendizaje y la inclusión de amenazas en el
proceso de diseño de seguridad.
Documente los protocolos y los procesos
para realizar tareas de seguridad de
importancia crítica, tales como usar
credenciales administrativas, responder a
eventos de seguridad comunes y recuperarse
de incidentes de seguridad considerables.
Adopte "Shadow IT". Identifique el uso no
administrado de dispositivos, servicios en la
nube y aplicaciones. Identifique los requisitos
empresariales que han causado su uso, así
como el riesgo empresarial que conllevan.
Trabaje con grupos de la empresa para
habilitar las capacidades requeridas mientras
mitiga los riesgos.
E. Establecer la educación y la directiva
de usuarioLos usuarios desempeñan un rol crítico en la
seguridad de la información y deben conocer sus
directivas y normas sobre los aspectos de seguridad
de creación de datos, clasificación, cumplimiento,
uso compartido, protección y supervisión.
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Más información
Proteja las redes que instala y opera en sus centros
de datos. Siga las instrucciones y los principios que
se detallan en la sección Sistema operativo y
middleware (arriba).
Las cuentas que se usan para administrar el
tejido tienen el control técnico del tejido, lo que
las convierte en una dependencia de seguridad
del tejido y de todos los servicios que se
hospedan en este. Se incluyen las cuentas locales
y de dominio con privilegios administrativos
sobre sistemas, incluidos:
Dominios de Active Directory donde se unen
los recursos de tejido
Sistemas operativos host de virtualización
Herramientas de administración de tejidos
Siga las instrucciones de seguridad de la sección
Prácticas y privilegios administrativos (arriba)
para estos recursos.
El firmware, el software incrustado en el
hardware de tejido, es una dependencia de
seguridad de los servicios en la nube y un vector
de ataque potencial. Valide y refuerce este
software, incluido lo siguiente:
Controladores de administración de placa
base (BMC) para hardware "desatendido" o
acceso remoto
Firmware de placa base de servidor
Firmware de tarjeta de interfaz
Firmware/software de aplicación dedicada
Las garantías de seguridad de los servicios locales
dependen de la seguridad de los sistemas de
almacenamiento. Se incluyen:
Herramientas de administración de
almacenamiento
Grupos y cuentas de administrador de
almacenamiento
Estaciones de trabajo que usan los
administradores de almacenamiento
Sistemas operativos y firmware de dispositivos
de almacenamiento
Proteja estos sistemas en el nivel requerido para
todas las aplicaciones, identidades, sistemas
operativos y datos hospedados en ellos, o bien en
un nivel superior.
Las garantías de seguridad del tejido dependen
de la integridad de la seguridad del software y
de las herramientas que se usen para
administrarlo. Estas pueden incluir:
Administración de la configuración
Administración de operaciones
Administración de máquinas virtuales
Copia de seguridad
Proteja estos recursos en el nivel requerido
para los servicios y datos hospedados en el
tejido, o bien en un nivel superior.
D. Almacenamiento G. Administración de tejidosA. Red física
B. Identidades de tejidos y centros de datos
C. Firmware de servidor y dispositivo
F. Seguridad física
Las máquinas virtuales dependen del tejido de
virtualización para las garantías de seguridad.
El tejido incluye:
Herramientas de administración de
virtualización
Administradores de virtualización
Estaciones de trabajo que usan estos
administradores
Sistemas operativos host de VM
Firmware en el hardware de host de VM
Proteja estos sistemas en el nivel requerido
para todas las aplicaciones, identidades y datos
hospedados en la solución de virtualización,
o bien en un nivel superior.
H. Solución de virtualización
E. Middleware y sistemas operativos físicos
Los sistemas operativos y el middleware instalados
en el hardware de servidor físico son una
dependencia de seguridad de los servicios que se
ejecutan en ellos. Proteja estos recursos en el nivel
requerido o un nivel superior para los servicios y
datos hospedados en el tejido mediante las
instrucciones de la sección Sistema operativo y
middleware (arriba).
Las garantías de seguridad física del hardware que
hospeda un servicio en la nube deben igualar o
superar el nivel necesario para todos los datos,
aplicaciones e identidades que se hospedan en él.
La seguridad física protege todas las dependencias
de seguridad, como:
Hardware de servidor
Dispositivos de almacenamiento
Dispositivos de red
Estaciones de trabajo administrativas
Medios de instalación
Tarjetas inteligentes, tokens de contraseña de
uso único y contraseñas escritas en papel
TechEd 2014: Privileged Access Management for
Active Directory
TechEd 2014: Privileged Access Management for
Active Directory
Notas del producto: Security Management in
Microsoft Azure
Notas del producto: Security Management in
Microsoft Azure
Azure Key VaultAzure Key Vault
Notas del producto: Microsoft Azure Security
and Audit Log Management
Notas del producto: Microsoft Azure Security
and Audit Log Management
Auditoría en Office 365Auditoría en Office 365
Trustworthy Computing: Data governanceTrustworthy Computing: Data governance
Notas del producto: Microsoft Azure Security
and Audit Log Management
Notas del producto: Microsoft Azure Security
and Audit Log Management
Auditoría en Office 365Auditoría en Office 365
Operational Security for Online Services
Overview
Operational Security for Online Services
Overview
Continúa en la página siguiente
Continúa en la página siguiente
Importante: Cómo usar esta página
Esta página incluye una lista metódica de acciones que Microsoft
recomienda para defender sus datos, identidades y aplicaciones de las
amenazas de ciberseguridad. Estas acciones se clasifican y presentan en una
pila. Las categorías de la parte superior de la pila se aplican a los servicios
SaaS, PaaS, IaaS y de nube privada. El ámbito de las categorías disminuye en
niveles inferiores de la pila.
SaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privadaSaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
B. Seguir el ciclo de vida de desarrollo
de seguridad (SDL) Revise los procesos de desarrollo de seguridad y las
prácticas operativas de los proveedores antes de
adquirir aplicaciones. Inclúyalos en el proceso de
adquisición.
Siga las instrucciones de configuración de seguridad
y las recomendaciones que le ofrece el proveedor
de la aplicación.
Aplique todas las actualizaciones de seguridad del
proveedor tan rápido como lo permitan sus
requisitos de pruebas. Asegúrese de actualizar las
dependencias y el middleware instalados con las
aplicaciones.
Deje de usar el software antes de que llegue al
estado de finalización del soporte.
A. Proteger las aplicaciones que se adquieren
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
5. Seguridad de aplicaciones: comprobar que el código de la aplicación sea resistente a ataques
6. Red: garantizar la conectividad, el aislamiento y la visibilidad de comportamientos anómalos
Asegúrese de que su arquitectura de red esté lista para
la nube. Para ello, actualice su enfoque actual o
aproveche la oportunidad de empezar desde cero con
una estrategia moderna para plataformas y servicios en
la nube. Alinee su estrategia de red con los elementos
siguientes:
Estrategia de seguridad general y gobierno
Estrategia de identidad y modelo de contención
Funcionalidades y restricciones de servicios en la nube
El diseño debe resolver la protección de las
comunicaciones:
Entrantes de Internet
Entre las máquinas virtuales de una suscripción
En suscripciones
Hacia y desde redes locales
Desde hosts de administración remota
A. Actualizar la estrategia de seguridad de red
y la arquitectura de informática en la nube
Asegúrese de que sus procesos y funcionalidades
tecnológicas pueden distinguir anomalías y
variaciones en configuraciones y patrones de flujo
de tráfico de red. La informática en la nube usa
redes públicas, lo que permite una rápida
explotación de configuraciones erróneas que se
deben evitar, o bien detectar y corregir
rápidamente.
Supervíselos detenidamente y notifique
excepciones.
Aplique medios automatizados para garantizar
que su configuración de red siga siendo correcta
y que se detecten patrones de tráfico inusuales.
C. Administrar y supervisar la seguridad de la red
La informática en la nube ofrece funcionalidades de
red con una flexibilidad única al definir topologías
en el software. Evalúe el uso de estas
funcionalidades de nube modernas para mejorar
sus capacidades de auditoría de seguridad de red,
detección y flexibilidad operacional.
B. Optimizar con funcionalidades de nube
Las aplicaciones de software con código fuente que
usted desarrolla o controla son una superficie
expuesta a ataques potencial. Incluyen las
aplicaciones PaaS, las aplicaciones PaaS compiladas
a partir de código de ejemplo de Azure (como sitios
de WordPress) y las aplicaciones que interactúan
con Office 365.
Siga los procedimientos recomendados de
seguridad del código del ciclo de vida de desarrollo
de seguridad (SDL) de Microsoft para minimizar las
vulnerabilidades y su impacto en la seguridad.
Consulte: www.microsoft.com/sdl
Las aplicaciones de software con código fuente que
usted desarrolla o controla son una superficie
expuesta a ataques potencial. Incluyen las
aplicaciones PaaS, las aplicaciones PaaS compiladas
a partir de código de ejemplo de Azure (como sitios
de WordPress) y las aplicaciones que interactúan
con Office 365.
Siga los procedimientos recomendados de
seguridad del código del ciclo de vida de desarrollo
de seguridad (SDL) de Microsoft para minimizar las
vulnerabilidades y su impacto en la seguridad.
Consulte: www.microsoft.com/sdl
Notas del producto: Microsoft Azure Network SecurityNotas del producto: Microsoft Azure Network Security
IaaS
Infraestructura como servicio
Nube privada
A. Sistema operativo virtual
7. Sistema operativo y middleware: proteger la integridad de los hosts
B. Herramientas de administración de sistema operativo virtual
Proteja el sistema operativo (SO) de host virtual y el middleware que se
ejecutan en máquinas virtuales. Asegúrese de que todos los aspectos
de la seguridad del sistema operativo y el middleware cumplan o
superen el nivel requerido para el host, incluyendo:
Prácticas y privilegios administrativos
Actualizaciones de software para sistemas operativos y middleware
Línea base de configuración de seguridad
Uso de objetos de directiva de grupo (GPO)
Medios y métodos de instalaciónUso de tareas programadas
Detección/prevención de intrusiones y antimalware
Configuraciones de IPsec y firewall de host
Configuración y supervisión del registro de eventos
Las herramientas de administración del sistema presentan control técnico
completo de los sistemas operativos host (incluyendo aplicaciones, datos e
identidades), lo que las convierte en una dependencia de seguridad del
servicio en la nube. Proteja estas herramientas en el nivel de los sistemas
que administran o en un nivel superior. Estas herramientas suelen incluir:
Administración de la configuración
Administración y supervisión de operaciones
Copia de seguridad
Actualización de seguridad y administración de revisiones
La evolución de los cambios y las amenazas de
seguridad requiere ajustes continuos y
funcionalidades operativas completas. Administre
de manera proactiva este riesgo.
Establezca funcionalidades operativas para
supervisar alertas, investigar incidentes, iniciar
acciones correctivas e integrar las lecciones
aprendidas.
Genere el contexto externo de las amenazas
mediante los recursos disponibles, como las
fuentes de inteligencia de amenazas, los
centros de análisis y uso compartido de
información (ISACs) y otros medios.
Valide su apuesta de seguridad mediante la
actividad de pruebas de penetración y/o el
equipo rojo autorizado.
Notas del producto: Red Teaming de Microsoft
Enterprise Cloud
Notas del producto: Red Teaming de Microsoft
Enterprise Cloud
Notas del producto: Ataques dirigidos y
adversarios decididos
Notas del producto: Ataques dirigidos y
adversarios decididos
C. Administrar la innovación continua
La velocidad de las versiones y actualizaciones de
funcionalidades en los servicios en la nube
requiere una administración proactiva de los
impactos de seguridad potenciales.
Defina una cadencia mensual para revisar
e integrar actualizaciones de funcionalidades
de nube, requisitos normativos y de
cumplimiento, amenazas crecientes y
objetivos organizativos.
Evite cambios de configuración mediante
revisiones periódicas para garantizar que las
tecnologías, las configuraciones y las prácticas
operativas cumplen con sus directivas
y protocolos.
Al planear controles de seguridad y procesos de
respuesta de seguridad, suponga que un
atacante ha puesto en riesgo otros recursos
internos, tales como cuentas de usuario,
estaciones de trabajo y aplicaciones. Suponga
que un atacante usará estos recursos como una
plataforma de ataque.Para modernizar su
estrategia de contención:
Identifique los activos más críticos, como
aplicaciones, dependencias y datos críticos.
La seguridad de estos elementos debe ser
superior sin comprometer la usabilidad.
Mejore el aislamiento entre zonas de
seguridad aumentando el rigor de la
administración de excepciones. Aplique
técnicas de modelado de amenazas a todas
las excepciones y análisis autorizados de
estos flujos de datos de aplicaciones, entre
los que se incluyen las identidades usadas,
los datos transmitidos, la confianza en
plataformas y aplicaciones, y la capacidad de
inspeccionar la interacción.
Centre la contención en una zona de
seguridad en mantener la integridad del
modelo administrativo en lugar de centrarlo
en el aislamiento de la red.
Aplique enfoques de "privilegios mínimos" a su
modelo administrativo, como:
Limitar el número de administradores
o miembros de grupos con privilegios.
Delegar menos privilegios en las cuentas.
Proporcionar privilegios a petición.
Hacer que los administradores existentes
realicen tareas en lugar de agregar
administradores adicionales.
Proporcionar procesos de acceso de
emergencia y escenarios de uso poco
frecuentes.
Las dependencias de seguridad incluyen todo
aquello que tiene control administrativo de un
activo. Asegúrese de reforzar todas las dependencias
en el nivel de seguridad de los activos que controlan
o en un nivel superior. Las dependencias de
seguridad de servicios en la nube suelen incluir
sistemas de identidad, herramientas de
administración locales, cuentas y grupos
administrativos, y las estaciones de trabajo donde
estas cuentas inician sesión.
B. Endurecer las dependencias de seguridad
Blog: Microsoft Advanced Threat AnalyticsBlog: Microsoft Advanced Threat Analytics
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas
las identidades con privilegios administrativos.
Esto mitiga el riesgo de que se usen
credenciales robadas para usar cuentas con
privilegios de manera indebida.
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas
las identidades con privilegios administrativos.
Esto mitiga el riesgo de que se usen
credenciales robadas para usar cuentas con
privilegios de manera indebida.
Separe los activos de alto impacto de los riesgos
de correo electrónico y navegación por Internet
muy frecuentes:
Use cuentas dedicadas para los roles
administrativos con privilegios de servicios en
la nube y dependencias locales.
Use estaciones de trabajo reforzadas y
dedicadas para la administración de activos de
TI de alto impacto empresarial.
No use cuentas con privilegios elevados en
dispositivos donde se empleen el correo
electrónico y la exploración web.
E. Aplicar estándares de seguridad estrictos
Los administradores controlan cantidades de
activos considerables. Mida y aplique estándares
de seguridad estrictos en las cuentas y los
sistemas administrativos. Se incluyen los
servicios en la nube y las dependencias locales,
tales como Active Directory, sistemas de
identidad, herramientas de administración,
herramientas de seguridad, estaciones de
trabajo administrativas y sistemas operativos
asociados.
G. Educar y facultar a los administradores
Instruya al personal administrativo sobre
posibles amenazas y sobre el rol crítico que
tienen en la protección de sus credenciales y
datos empresariales clave. Los administradores
son los guardianes de acceso a muchos de sus
activos críticos. Facultarles con este
conocimiento les permitirá administrar mejor sus
activos y su apuesta de seguridad.
B. Proteger los activos de gran valor (HVA)Establezca la máxima protección para los activos
que tengan un impacto desproporcionado en el
cometido o la rentabilidad de las organizaciones.
Realice análisis estrictos de las dependencias de
seguridad y ciclo de vida de HVA, y establezca
condiciones y controles de seguridad adecuados.
Identifique y clasifique los activos confidenciales.
Defina las tecnologías y los procesos para aplicar
automáticamente los controles de seguridad.
D. Establecer los estándares mínimos de
la organizaciónEstablezca los estándares mínimos para los
dispositivos y las cuentas de confianza que acceden
a activos de datos que pertenecen a la organización.
Pueden incluir la compatibilidad con la configuración
de dispositivos, la eliminación de datos del
dispositivo, las funcionalidades de protección de
datos empresariales, la fiabilidad de la autenticación
de usuarios y la identidad de usuario.
Protección de datos de empresa de Windows 10Protección de datos de empresa de Windows 10
Administrar el acceso al correo electrónico
y SharePoint con Microsoft Intune
Administrar el acceso al correo electrónico
y SharePoint con Microsoft Intune
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas las
identidades, a fin de mitigar el riesgo de que se
usen credenciales robadas para emplear cuentas
de manera indebida.
Identidades de usuario hospedadas en Azure
Active Directory (Azure AD).
Cuentas locales cuya autenticación se federa
desde Active Directory local.
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Microsoft Passport y Windows HelloMicrosoft Passport y Windows Hello
B. Administrar dispositivos de confianza y
conformes
Administrar directivas de cumplimiento de dispositivos para Microsoft IntuneAdministrar directivas de cumplimiento de dispositivos para Microsoft Intune
Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)
Establezca, mida y aplique estándares de
seguridad modernos en los dispositivos que se
usan para acceder a activos y datos corporativos.
Aplique los estándares de configuración e instale
rápidamente las actualizaciones de seguridad para
reducir el riesgo de que los dispositivos se usen
para acceder a los datos o alterarlos.
Kit de herramientas de Experiencia de mitigación mejorada (EMET)Kit de herramientas de Experiencia de mitigación mejorada (EMET)
Los usuarios controlan sus propias cuentas y son
responsables de proteger muchos de sus activos
críticos. Faculte a sus usuarios para que sean
buenos administradores de datos organizativos
y de personales. Al mismo tiempo, reconozca
que los errores y las actividades de los usuarios
implican riesgos de seguridad que pueden
mitigarse, pero nunca eliminarse
completamente. Céntrese en medir y reducir el
riesgo de los usuarios.
Eduque a los usuarios sobre posibles
amenazas y sobre su rol a la hora de proteger
los datos empresariales.
Ponga difícil al adversario comprometer las
cuentas de usuario.
Explore la gamificación y otros medios de
aumentar la participación del usuario.
Continúa en la página siguiente
Agosto de 2016
Seguridad de red y servicios en la nube de MicrosoftSeguridad de red y servicios en la nube de Microsoft
Blog de seguridad de Microsoft AzureBlog de seguridad de Microsoft Azure
Securing Privileged AccessSecuring Privileged Access
Autenticación de identidades sin
contraseñas a través de Microsoft Passport
Autenticación de identidades sin
contraseñas a través de Microsoft Passport
Securing Privileged AccessSecuring Privileged Access
Protección de la información para Office 365Protección de la información para Office 365
Información general sobre directivas de
prevención de pérdida de datos
Información general sobre directivas de
prevención de pérdida de datos
Always Encrypted (motor de base de datos)Always Encrypted (motor de base de datos)
http://www.microsoft.com/trustcenter
Microsoft Trust Center
http://www.microsoft.com/trustcenter
Microsoft Trust Center
SaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privadaSaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 4 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
Patrones y procedimientos recomendados de seguridad
de Azure
Patrones y procedimientos recomendados de seguridad
de Azure
Patrones y procedimientos recomendados de seguridad de AzurePatrones y procedimientos recomendados de seguridad de Azure
2. Control administrativo: defenderse de la pérdida de control de los sistemas locales y los servicios en la nube
1. Estrategia de seguridad, gobierno y operacionalización: proporcionar una visión, instrucciones y estándares claros para su organización
Responsabilidades y mapa de ruta del cliente
A. Desarrollar directivas de seguridad
de la nube
B. Administrar amenazas continuas D. Contener el riesgo mediante la
suposición de infracciones
D. Usar estaciones de trabajo y cuentas
de administrador dedicadas
C. Usar la autenticación sólidaA. Modelo de administración con
privilegios mínimos
Supervise atentamente el uso y las actividades
de las cuentas administrativas. Configure alertas
para actividades de alto impacto, así como para
actividades inusuales o raras.
F. Supervisar las cuentas de administrador
3. Datos: identificar y proteger sus activos de información más importantes
C. Buscar y proteger los activos
confidencialesEl primer paso para proteger la información
consiste en identificar qué se debe proteger.
Desarrolle directrices claras, sencillas y bien
comunicadas para identificar, proteger y
supervisar los activos de datos más importantes,
dondequiera que residan.
A. Establecer prioridades de protección de
la información
4. Identidad del usuario y seguridad del dispositivo: fortalezca la protección de las cuentas y los dispositivos
C. Educar, facultar y captar a usuarios
Una de las maneras más confiables de detectar
el uso indebido de privilegios, cuentas o datos
es detectar la actividad irregular de una cuenta.
Identifique la actividad normal y físicamente
posible. Alerte de actividad inusual para
permitir la respuesta e investigación rápidas.
Para las cuentas de Azure AD, use el análisis
integrado para detectar actividad inusual.
D. Controlar el uso indebido de
cuentas y credenciales
A. Usar la autenticación sólida
Nube privada
8. Entornos locales o de nube privada: proteger la base
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Informes de Office 365Informes de Office 365
Creación de huella digital de documentoCreación de huella digital de documento
Cifrado en Office 365Cifrado en Office 365
Active Directory Rights Management ServicesActive Directory Rights Management Services
Azure Rights ManagementAzure Rights Management
Para obtener información sobre cómo se
protegen los centros de datos de Azure,
consulte:
Nube de confianza: seguridad, privacidad
y cumplimiento en Microsoft Azure
Para obtener información sobre cómo se
protegen los centros de datos de Azure,
consulte:
Nube de confianza: seguridad, privacidad
y cumplimiento en Microsoft Azure
Kit de herramientas de clasificación de datosKit de herramientas de clasificación de datos
Adoptar un enfoque sistemático de seguridad local y en la nube
Aunque Microsoft mantiene su compromiso con la privacidad y la seguridad de
sus datos y aplicaciones en la nube, los clientes deben asumir un rol activo en la
asociación de seguridad. Las crecientes amenazas contra la ciberseguridad
aumentan los requisitos del rigor y los principios de seguridad en todos los
niveles de activos locales y en la nube. Las organizaciones empresariales son más
capaces de administrar y abordar las preocupaciones sobre la seguridad en la
nube al adoptar un enfoque sistemático.
Al mover cargas de trabajo a la nube muchas responsabilidades de seguridad y
costos se trasladan a Microsoft, con lo cual sus recursos de seguridad quedan
libres para centrarse en las áreas de importancia crítica de datos, identidad,
estrategia y gobierno.
Las directivas le permiten alinear los controles de
seguridad con los objetivos, los riesgos y la cultura
de su organización. Las directivas deben
proporcionar instrucciones claras e inequívocas
para permitir que todos los profesionales tomen
decisiones acertadas.
Documente las directivas de seguridad con
suficiente detalle para ayudar al personal a
tomar decisiones rápidas y precisas al adoptar
y administrar los servicios en la nube.
Asegúrese de tener detalles suficientes en las
áreas de las directivas que estén bien
establecidas y sean de vital importancia para
su apuesta de seguridad.
Equilibre la seguridad y la usabilidad. Se
evitarán los controles de seguridad que
restringen demasiado la capacidad de los
administradores y usuarios de realizar tareas.
Promueva la aceptación a través del
aprendizaje y la inclusión de amenazas en el
proceso de diseño de seguridad.
Documente los protocolos y los procesos
para realizar tareas de seguridad de
importancia crítica, tales como usar
credenciales administrativas, responder a
eventos de seguridad comunes y recuperarse
de incidentes de seguridad considerables.
Adopte "Shadow IT". Identifique el uso no
administrado de dispositivos, servicios en la
nube y aplicaciones. Identifique los requisitos
empresariales que han causado su uso, así
como el riesgo empresarial que conllevan.
Trabaje con grupos de la empresa para
habilitar las capacidades requeridas mientras
mitiga los riesgos.
E. Establecer la educación y la directiva
de usuarioLos usuarios desempeñan un rol crítico en la
seguridad de la información y deben conocer sus
directivas y normas sobre los aspectos de seguridad
de creación de datos, clasificación, cumplimiento,
uso compartido, protección y supervisión.
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Más información
Proteja las redes que instala y opera en sus centros
de datos. Siga las instrucciones y los principios que
se detallan en la sección Sistema operativo y
middleware (arriba).
Las cuentas que se usan para administrar el
tejido tienen el control técnico del tejido, lo que
las convierte en una dependencia de seguridad
del tejido y de todos los servicios que se
hospedan en este. Se incluyen las cuentas locales
y de dominio con privilegios administrativos
sobre sistemas, incluidos:
Dominios de Active Directory donde se unen
los recursos de tejido
Sistemas operativos host de virtualización
Herramientas de administración de tejidos
Siga las instrucciones de seguridad de la sección
Prácticas y privilegios administrativos (arriba)
para estos recursos.
El firmware, el software incrustado en el
hardware de tejido, es una dependencia de
seguridad de los servicios en la nube y un vector
de ataque potencial. Valide y refuerce este
software, incluido lo siguiente:
Controladores de administración de placa
base (BMC) para hardware "desatendido" o
acceso remoto
Firmware de placa base de servidor
Firmware de tarjeta de interfaz
Firmware/software de aplicación dedicada
Las garantías de seguridad de los servicios locales
dependen de la seguridad de los sistemas de
almacenamiento. Se incluyen:
Herramientas de administración de
almacenamiento
Grupos y cuentas de administrador de
almacenamiento
Estaciones de trabajo que usan los
administradores de almacenamiento
Sistemas operativos y firmware de dispositivos
de almacenamiento
Proteja estos sistemas en el nivel requerido para
todas las aplicaciones, identidades, sistemas
operativos y datos hospedados en ellos, o bien en
un nivel superior.
Las garantías de seguridad del tejido dependen
de la integridad de la seguridad del software y
de las herramientas que se usen para
administrarlo. Estas pueden incluir:
Administración de la configuración
Administración de operaciones
Administración de máquinas virtuales
Copia de seguridad
Proteja estos recursos en el nivel requerido
para los servicios y datos hospedados en el
tejido, o bien en un nivel superior.
D. Almacenamiento G. Administración de tejidosA. Red física
B. Identidades de tejidos y centros de datos
C. Firmware de servidor y dispositivo
F. Seguridad física
Las máquinas virtuales dependen del tejido de
virtualización para las garantías de seguridad.
El tejido incluye:
Herramientas de administración de
virtualización
Administradores de virtualización
Estaciones de trabajo que usan estos
administradores
Sistemas operativos host de VM
Firmware en el hardware de host de VM
Proteja estos sistemas en el nivel requerido
para todas las aplicaciones, identidades y datos
hospedados en la solución de virtualización,
o bien en un nivel superior.
H. Solución de virtualización
E. Middleware y sistemas operativos físicos
Los sistemas operativos y el middleware instalados
en el hardware de servidor físico son una
dependencia de seguridad de los servicios que se
ejecutan en ellos. Proteja estos recursos en el nivel
requerido o un nivel superior para los servicios y
datos hospedados en el tejido mediante las
instrucciones de la sección Sistema operativo y
middleware (arriba).
Las garantías de seguridad física del hardware que
hospeda un servicio en la nube deben igualar o
superar el nivel necesario para todos los datos,
aplicaciones e identidades que se hospedan en él.
La seguridad física protege todas las dependencias
de seguridad, como:
Hardware de servidor
Dispositivos de almacenamiento
Dispositivos de red
Estaciones de trabajo administrativas
Medios de instalación
Tarjetas inteligentes, tokens de contraseña de
uso único y contraseñas escritas en papel
TechEd 2014: Privileged Access Management for
Active Directory
TechEd 2014: Privileged Access Management for
Active Directory
Notas del producto: Security Management in
Microsoft Azure
Notas del producto: Security Management in
Microsoft Azure
Azure Key VaultAzure Key Vault
Notas del producto: Microsoft Azure Security
and Audit Log Management
Notas del producto: Microsoft Azure Security
and Audit Log Management
Auditoría en Office 365Auditoría en Office 365
Trustworthy Computing: Data governanceTrustworthy Computing: Data governance
Notas del producto: Microsoft Azure Security
and Audit Log Management
Notas del producto: Microsoft Azure Security
and Audit Log Management
Auditoría en Office 365Auditoría en Office 365
Operational Security for Online Services
Overview
Operational Security for Online Services
Overview
Continúa en la página siguiente
Continúa en la página siguiente
Importante: Cómo usar esta página
Esta página incluye una lista metódica de acciones que Microsoft
recomienda para defender sus datos, identidades y aplicaciones de las
amenazas de ciberseguridad. Estas acciones se clasifican y presentan en una
pila. Las categorías de la parte superior de la pila se aplican a los servicios
SaaS, PaaS, IaaS y de nube privada. El ámbito de las categorías disminuye en
niveles inferiores de la pila.
SaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privadaSaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
B. Seguir el ciclo de vida de desarrollo
de seguridad (SDL) Revise los procesos de desarrollo de seguridad y las
prácticas operativas de los proveedores antes de
adquirir aplicaciones. Inclúyalos en el proceso de
adquisición.
Siga las instrucciones de configuración de seguridad
y las recomendaciones que le ofrece el proveedor
de la aplicación.
Aplique todas las actualizaciones de seguridad del
proveedor tan rápido como lo permitan sus
requisitos de pruebas. Asegúrese de actualizar las
dependencias y el middleware instalados con las
aplicaciones.
Deje de usar el software antes de que llegue al
estado de finalización del soporte.
A. Proteger las aplicaciones que se adquieren
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
5. Seguridad de aplicaciones: comprobar que el código de la aplicación sea resistente a ataques
6. Red: garantizar la conectividad, el aislamiento y la visibilidad de comportamientos anómalos
Asegúrese de que su arquitectura de red esté lista para
la nube. Para ello, actualice su enfoque actual o
aproveche la oportunidad de empezar desde cero con
una estrategia moderna para plataformas y servicios en
la nube. Alinee su estrategia de red con los elementos
siguientes:
Estrategia de seguridad general y gobierno
Estrategia de identidad y modelo de contención
Funcionalidades y restricciones de servicios en la nube
El diseño debe resolver la protección de las
comunicaciones:
Entrantes de Internet
Entre las máquinas virtuales de una suscripción
En suscripciones
Hacia y desde redes locales
Desde hosts de administración remota
A. Actualizar la estrategia de seguridad de red
y la arquitectura de informática en la nube
Asegúrese de que sus procesos y funcionalidades
tecnológicas pueden distinguir anomalías y
variaciones en configuraciones y patrones de flujo
de tráfico de red. La informática en la nube usa
redes públicas, lo que permite una rápida
explotación de configuraciones erróneas que se
deben evitar, o bien detectar y corregir
rápidamente.
Supervíselos detenidamente y notifique
excepciones.
Aplique medios automatizados para garantizar
que su configuración de red siga siendo correcta
y que se detecten patrones de tráfico inusuales.
C. Administrar y supervisar la seguridad de la red
La informática en la nube ofrece funcionalidades de
red con una flexibilidad única al definir topologías
en el software. Evalúe el uso de estas
funcionalidades de nube modernas para mejorar
sus capacidades de auditoría de seguridad de red,
detección y flexibilidad operacional.
B. Optimizar con funcionalidades de nube
Las aplicaciones de software con código fuente que
usted desarrolla o controla son una superficie
expuesta a ataques potencial. Incluyen las
aplicaciones PaaS, las aplicaciones PaaS compiladas
a partir de código de ejemplo de Azure (como sitios
de WordPress) y las aplicaciones que interactúan
con Office 365.
Siga los procedimientos recomendados de
seguridad del código del ciclo de vida de desarrollo
de seguridad (SDL) de Microsoft para minimizar las
vulnerabilidades y su impacto en la seguridad.
Consulte: www.microsoft.com/sdl
Las aplicaciones de software con código fuente que
usted desarrolla o controla son una superficie
expuesta a ataques potencial. Incluyen las
aplicaciones PaaS, las aplicaciones PaaS compiladas
a partir de código de ejemplo de Azure (como sitios
de WordPress) y las aplicaciones que interactúan
con Office 365.
Siga los procedimientos recomendados de
seguridad del código del ciclo de vida de desarrollo
de seguridad (SDL) de Microsoft para minimizar las
vulnerabilidades y su impacto en la seguridad.
Consulte: www.microsoft.com/sdl
Notas del producto: Microsoft Azure Network SecurityNotas del producto: Microsoft Azure Network Security
IaaS
Infraestructura como servicio
Nube privada
A. Sistema operativo virtual
7. Sistema operativo y middleware: proteger la integridad de los hosts
B. Herramientas de administración de sistema operativo virtual
Proteja el sistema operativo (SO) de host virtual y el middleware que se
ejecutan en máquinas virtuales. Asegúrese de que todos los aspectos
de la seguridad del sistema operativo y el middleware cumplan o
superen el nivel requerido para el host, incluyendo:
Prácticas y privilegios administrativos
Actualizaciones de software para sistemas operativos y middleware
Línea base de configuración de seguridad
Uso de objetos de directiva de grupo (GPO)
Medios y métodos de instalaciónUso de tareas programadas
Detección/prevención de intrusiones y antimalware
Configuraciones de IPsec y firewall de host
Configuración y supervisión del registro de eventos
Las herramientas de administración del sistema presentan control técnico
completo de los sistemas operativos host (incluyendo aplicaciones, datos e
identidades), lo que las convierte en una dependencia de seguridad del
servicio en la nube. Proteja estas herramientas en el nivel de los sistemas
que administran o en un nivel superior. Estas herramientas suelen incluir:
Administración de la configuración
Administración y supervisión de operaciones
Copia de seguridad
Actualización de seguridad y administración de revisiones
La evolución de los cambios y las amenazas de
seguridad requiere ajustes continuos y
funcionalidades operativas completas. Administre
de manera proactiva este riesgo.
Establezca funcionalidades operativas para
supervisar alertas, investigar incidentes, iniciar
acciones correctivas e integrar las lecciones
aprendidas.
Genere el contexto externo de las amenazas
mediante los recursos disponibles, como las
fuentes de inteligencia de amenazas, los
centros de análisis y uso compartido de
información (ISACs) y otros medios.
Valide su apuesta de seguridad mediante la
actividad de pruebas de penetración y/o el
equipo rojo autorizado.
Notas del producto: Red Teaming de Microsoft
Enterprise Cloud
Notas del producto: Red Teaming de Microsoft
Enterprise Cloud
Notas del producto: Ataques dirigidos y
adversarios decididos
Notas del producto: Ataques dirigidos y
adversarios decididos
C. Administrar la innovación continua
La velocidad de las versiones y actualizaciones de
funcionalidades en los servicios en la nube
requiere una administración proactiva de los
impactos de seguridad potenciales.
Defina una cadencia mensual para revisar
e integrar actualizaciones de funcionalidades
de nube, requisitos normativos y de
cumplimiento, amenazas crecientes y
objetivos organizativos.
Evite cambios de configuración mediante
revisiones periódicas para garantizar que las
tecnologías, las configuraciones y las prácticas
operativas cumplen con sus directivas
y protocolos.
Al planear controles de seguridad y procesos de
respuesta de seguridad, suponga que un
atacante ha puesto en riesgo otros recursos
internos, tales como cuentas de usuario,
estaciones de trabajo y aplicaciones. Suponga
que un atacante usará estos recursos como una
plataforma de ataque.Para modernizar su
estrategia de contención:
Identifique los activos más críticos, como
aplicaciones, dependencias y datos críticos.
La seguridad de estos elementos debe ser
superior sin comprometer la usabilidad.
Mejore el aislamiento entre zonas de
seguridad aumentando el rigor de la
administración de excepciones. Aplique
técnicas de modelado de amenazas a todas
las excepciones y análisis autorizados de
estos flujos de datos de aplicaciones, entre
los que se incluyen las identidades usadas,
los datos transmitidos, la confianza en
plataformas y aplicaciones, y la capacidad de
inspeccionar la interacción.
Centre la contención en una zona de
seguridad en mantener la integridad del
modelo administrativo en lugar de centrarlo
en el aislamiento de la red.
Aplique enfoques de "privilegios mínimos" a su
modelo administrativo, como:
Limitar el número de administradores
o miembros de grupos con privilegios.
Delegar menos privilegios en las cuentas.
Proporcionar privilegios a petición.
Hacer que los administradores existentes
realicen tareas en lugar de agregar
administradores adicionales.
Proporcionar procesos de acceso de
emergencia y escenarios de uso poco
frecuentes.
Las dependencias de seguridad incluyen todo
aquello que tiene control administrativo de un
activo. Asegúrese de reforzar todas las dependencias
en el nivel de seguridad de los activos que controlan
o en un nivel superior. Las dependencias de
seguridad de servicios en la nube suelen incluir
sistemas de identidad, herramientas de
administración locales, cuentas y grupos
administrativos, y las estaciones de trabajo donde
estas cuentas inician sesión.
B. Endurecer las dependencias de seguridad
Blog: Microsoft Advanced Threat AnalyticsBlog: Microsoft Advanced Threat Analytics
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas
las identidades con privilegios administrativos.
Esto mitiga el riesgo de que se usen
credenciales robadas para usar cuentas con
privilegios de manera indebida.
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas
las identidades con privilegios administrativos.
Esto mitiga el riesgo de que se usen
credenciales robadas para usar cuentas con
privilegios de manera indebida.
Separe los activos de alto impacto de los riesgos
de correo electrónico y navegación por Internet
muy frecuentes:
Use cuentas dedicadas para los roles
administrativos con privilegios de servicios en
la nube y dependencias locales.
Use estaciones de trabajo reforzadas y
dedicadas para la administración de activos de
TI de alto impacto empresarial.
No use cuentas con privilegios elevados en
dispositivos donde se empleen el correo
electrónico y la exploración web.
E. Aplicar estándares de seguridad estrictos
Los administradores controlan cantidades de
activos considerables. Mida y aplique estándares
de seguridad estrictos en las cuentas y los
sistemas administrativos. Se incluyen los
servicios en la nube y las dependencias locales,
tales como Active Directory, sistemas de
identidad, herramientas de administración,
herramientas de seguridad, estaciones de
trabajo administrativas y sistemas operativos
asociados.
G. Educar y facultar a los administradores
Instruya al personal administrativo sobre
posibles amenazas y sobre el rol crítico que
tienen en la protección de sus credenciales y
datos empresariales clave. Los administradores
son los guardianes de acceso a muchos de sus
activos críticos. Facultarles con este
conocimiento les permitirá administrar mejor sus
activos y su apuesta de seguridad.
B. Proteger los activos de gran valor (HVA)Establezca la máxima protección para los activos
que tengan un impacto desproporcionado en el
cometido o la rentabilidad de las organizaciones.
Realice análisis estrictos de las dependencias de
seguridad y ciclo de vida de HVA, y establezca
condiciones y controles de seguridad adecuados.
Identifique y clasifique los activos confidenciales.
Defina las tecnologías y los procesos para aplicar
automáticamente los controles de seguridad.
D. Establecer los estándares mínimos de
la organizaciónEstablezca los estándares mínimos para los
dispositivos y las cuentas de confianza que acceden
a activos de datos que pertenecen a la organización.
Pueden incluir la compatibilidad con la configuración
de dispositivos, la eliminación de datos del
dispositivo, las funcionalidades de protección de
datos empresariales, la fiabilidad de la autenticación
de usuarios y la identidad de usuario.
Protección de datos de empresa de Windows 10Protección de datos de empresa de Windows 10
Administrar el acceso al correo electrónico
y SharePoint con Microsoft Intune
Administrar el acceso al correo electrónico
y SharePoint con Microsoft Intune
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas las
identidades, a fin de mitigar el riesgo de que se
usen credenciales robadas para emplear cuentas
de manera indebida.
Identidades de usuario hospedadas en Azure
Active Directory (Azure AD).
Cuentas locales cuya autenticación se federa
desde Active Directory local.
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Microsoft Passport y Windows HelloMicrosoft Passport y Windows Hello
B. Administrar dispositivos de confianza y
conformes
Administrar directivas de cumplimiento de dispositivos para Microsoft IntuneAdministrar directivas de cumplimiento de dispositivos para Microsoft Intune
Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)
Establezca, mida y aplique estándares de
seguridad modernos en los dispositivos que se
usan para acceder a activos y datos corporativos.
Aplique los estándares de configuración e instale
rápidamente las actualizaciones de seguridad para
reducir el riesgo de que los dispositivos se usen
para acceder a los datos o alterarlos.
Kit de herramientas de Experiencia de mitigación mejorada (EMET)Kit de herramientas de Experiencia de mitigación mejorada (EMET)
Los usuarios controlan sus propias cuentas y son
responsables de proteger muchos de sus activos
críticos. Faculte a sus usuarios para que sean
buenos administradores de datos organizativos
y de personales. Al mismo tiempo, reconozca
que los errores y las actividades de los usuarios
implican riesgos de seguridad que pueden
mitigarse, pero nunca eliminarse
completamente. Céntrese en medir y reducir el
riesgo de los usuarios.
Eduque a los usuarios sobre posibles
amenazas y sobre su rol a la hora de proteger
los datos empresariales.
Ponga difícil al adversario comprometer las
cuentas de usuario.
Explore la gamificación y otros medios de
aumentar la participación del usuario.
Agosto de 2016
Seguridad de red y servicios en la nube de MicrosoftSeguridad de red y servicios en la nube de Microsoft
Blog de seguridad de Microsoft AzureBlog de seguridad de Microsoft Azure
Securing Privileged AccessSecuring Privileged Access
Autenticación de identidades sin
contraseñas a través de Microsoft Passport
Autenticación de identidades sin
contraseñas a través de Microsoft Passport
Securing Privileged AccessSecuring Privileged Access
Protección de la información para Office 365Protección de la información para Office 365
Información general sobre directivas de
prevención de pérdida de datos
Información general sobre directivas de
prevención de pérdida de datos
Always Encrypted (motor de base de datos)Always Encrypted (motor de base de datos)
http://www.microsoft.com/trustcenter
Microsoft Trust Center
http://www.microsoft.com/trustcenter
Microsoft Trust Center
SaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privadaSaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 4 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
Patrones y procedimientos recomendados de seguridad
de Azure
Patrones y procedimientos recomendados de seguridad
de Azure
Patrones y procedimientos recomendados de seguridad de AzurePatrones y procedimientos recomendados de seguridad de Azure
2. Control administrativo: defenderse de la pérdida de control de los sistemas locales y los servicios en la nube
1. Estrategia de seguridad, gobierno y operacionalización: proporcionar una visión, instrucciones y estándares claros para su organización
Responsabilidades y mapa de ruta del cliente
A. Desarrollar directivas de seguridad
de la nube
B. Administrar amenazas continuas D. Contener el riesgo mediante la
suposición de infracciones
D. Usar estaciones de trabajo y cuentas
de administrador dedicadas
C. Usar la autenticación sólidaA. Modelo de administración con
privilegios mínimos
Supervise atentamente el uso y las actividades
de las cuentas administrativas. Configure alertas
para actividades de alto impacto, así como para
actividades inusuales o raras.
F. Supervisar las cuentas de administrador
3. Datos: identificar y proteger sus activos de información más importantes
C. Buscar y proteger los activos
confidencialesEl primer paso para proteger la información
consiste en identificar qué se debe proteger.
Desarrolle directrices claras, sencillas y bien
comunicadas para identificar, proteger y
supervisar los activos de datos más importantes,
dondequiera que residan.
A. Establecer prioridades de protección de
la información
4. Identidad del usuario y seguridad del dispositivo: fortalezca la protección de las cuentas y los dispositivos
C. Educar, facultar y captar a usuarios
Una de las maneras más confiables de detectar
el uso indebido de privilegios, cuentas o datos
es detectar la actividad irregular de una cuenta.
Identifique la actividad normal y físicamente
posible. Alerte de actividad inusual para
permitir la respuesta e investigación rápidas.
Para las cuentas de Azure AD, use el análisis
integrado para detectar actividad inusual.
D. Controlar el uso indebido de
cuentas y credenciales
A. Usar la autenticación sólida
Nube privada
8. Entornos locales o de nube privada: proteger la base
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Informes de Office 365Informes de Office 365
Creación de huella digital de documentoCreación de huella digital de documento
Cifrado en Office 365Cifrado en Office 365
Active Directory Rights Management ServicesActive Directory Rights Management Services
Azure Rights ManagementAzure Rights Management
Para obtener información sobre cómo se
protegen los centros de datos de Azure,
consulte:
Nube de confianza: seguridad, privacidad
y cumplimiento en Microsoft Azure
Para obtener información sobre cómo se
protegen los centros de datos de Azure,
consulte:
Nube de confianza: seguridad, privacidad
y cumplimiento en Microsoft Azure
Kit de herramientas de clasificación de datosKit de herramientas de clasificación de datos
Adoptar un enfoque sistemático de seguridad local y en la nube
Aunque Microsoft mantiene su compromiso con la privacidad y la seguridad de
sus datos y aplicaciones en la nube, los clientes deben asumir un rol activo en la
asociación de seguridad. Las crecientes amenazas contra la ciberseguridad
aumentan los requisitos del rigor y los principios de seguridad en todos los
niveles de activos locales y en la nube. Las organizaciones empresariales son más
capaces de administrar y abordar las preocupaciones sobre la seguridad en la
nube al adoptar un enfoque sistemático.
Al mover cargas de trabajo a la nube muchas responsabilidades de seguridad y
costos se trasladan a Microsoft, con lo cual sus recursos de seguridad quedan
libres para centrarse en las áreas de importancia crítica de datos, identidad,
estrategia y gobierno.
Las directivas le permiten alinear los controles de
seguridad con los objetivos, los riesgos y la cultura
de su organización. Las directivas deben
proporcionar instrucciones claras e inequívocas
para permitir que todos los profesionales tomen
decisiones acertadas.
Documente las directivas de seguridad con
suficiente detalle para ayudar al personal a
tomar decisiones rápidas y precisas al adoptar
y administrar los servicios en la nube.
Asegúrese de tener detalles suficientes en las
áreas de las directivas que estén bien
establecidas y sean de vital importancia para
su apuesta de seguridad.
Equilibre la seguridad y la usabilidad. Se
evitarán los controles de seguridad que
restringen demasiado la capacidad de los
administradores y usuarios de realizar tareas.
Promueva la aceptación a través del
aprendizaje y la inclusión de amenazas en el
proceso de diseño de seguridad.
Documente los protocolos y los procesos
para realizar tareas de seguridad de
importancia crítica, tales como usar
credenciales administrativas, responder a
eventos de seguridad comunes y recuperarse
de incidentes de seguridad considerables.
Adopte "Shadow IT". Identifique el uso no
administrado de dispositivos, servicios en la
nube y aplicaciones. Identifique los requisitos
empresariales que han causado su uso, así
como el riesgo empresarial que conllevan.
Trabaje con grupos de la empresa para
habilitar las capacidades requeridas mientras
mitiga los riesgos.
E. Establecer la educación y la directiva
de usuarioLos usuarios desempeñan un rol crítico en la
seguridad de la información y deben conocer sus
directivas y normas sobre los aspectos de seguridad
de creación de datos, clasificación, cumplimiento,
uso compartido, protección y supervisión.
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Más información
Proteja las redes que instala y opera en sus centros
de datos. Siga las instrucciones y los principios que
se detallan en la sección Sistema operativo y
middleware (arriba).
Las cuentas que se usan para administrar el
tejido tienen el control técnico del tejido, lo que
las convierte en una dependencia de seguridad
del tejido y de todos los servicios que se
hospedan en este. Se incluyen las cuentas locales
y de dominio con privilegios administrativos
sobre sistemas, incluidos:
Dominios de Active Directory donde se unen
los recursos de tejido
Sistemas operativos host de virtualización
Herramientas de administración de tejidos
Siga las instrucciones de seguridad de la sección
Prácticas y privilegios administrativos (arriba)
para estos recursos.
El firmware, el software incrustado en el
hardware de tejido, es una dependencia de
seguridad de los servicios en la nube y un vector
de ataque potencial. Valide y refuerce este
software, incluido lo siguiente:
Controladores de administración de placa
base (BMC) para hardware "desatendido" o
acceso remoto
Firmware de placa base de servidor
Firmware de tarjeta de interfaz
Firmware/software de aplicación dedicada
Las garantías de seguridad de los servicios locales
dependen de la seguridad de los sistemas de
almacenamiento. Se incluyen:
Herramientas de administración de
almacenamiento
Grupos y cuentas de administrador de
almacenamiento
Estaciones de trabajo que usan los
administradores de almacenamiento
Sistemas operativos y firmware de dispositivos
de almacenamiento
Proteja estos sistemas en el nivel requerido para
todas las aplicaciones, identidades, sistemas
operativos y datos hospedados en ellos, o bien en
un nivel superior.
Las garantías de seguridad del tejido dependen
de la integridad de la seguridad del software y
de las herramientas que se usen para
administrarlo. Estas pueden incluir:
Administración de la configuración
Administración de operaciones
Administración de máquinas virtuales
Copia de seguridad
Proteja estos recursos en el nivel requerido
para los servicios y datos hospedados en el
tejido, o bien en un nivel superior.
D. Almacenamiento G. Administración de tejidosA. Red física
B. Identidades de tejidos y centros de datos
C. Firmware de servidor y dispositivo
F. Seguridad física
Las máquinas virtuales dependen del tejido de
virtualización para las garantías de seguridad.
El tejido incluye:
Herramientas de administración de
virtualización
Administradores de virtualización
Estaciones de trabajo que usan estos
administradores
Sistemas operativos host de VM
Firmware en el hardware de host de VM
Proteja estos sistemas en el nivel requerido
para todas las aplicaciones, identidades y datos
hospedados en la solución de virtualización,
o bien en un nivel superior.
H. Solución de virtualización
E. Middleware y sistemas operativos físicos
Los sistemas operativos y el middleware instalados
en el hardware de servidor físico son una
dependencia de seguridad de los servicios que se
ejecutan en ellos. Proteja estos recursos en el nivel
requerido o un nivel superior para los servicios y
datos hospedados en el tejido mediante las
instrucciones de la sección Sistema operativo y
middleware (arriba).
Las garantías de seguridad física del hardware que
hospeda un servicio en la nube deben igualar o
superar el nivel necesario para todos los datos,
aplicaciones e identidades que se hospedan en él.
La seguridad física protege todas las dependencias
de seguridad, como:
Hardware de servidor
Dispositivos de almacenamiento
Dispositivos de red
Estaciones de trabajo administrativas
Medios de instalación
Tarjetas inteligentes, tokens de contraseña de
uso único y contraseñas escritas en papel
TechEd 2014: Privileged Access Management for
Active Directory
TechEd 2014: Privileged Access Management for
Active Directory
Notas del producto: Security Management in
Microsoft Azure
Notas del producto: Security Management in
Microsoft Azure
Azure Key VaultAzure Key Vault
Notas del producto: Microsoft Azure Security
and Audit Log Management
Notas del producto: Microsoft Azure Security
and Audit Log Management
Auditoría en Office 365Auditoría en Office 365
Trustworthy Computing: Data governanceTrustworthy Computing: Data governance
Notas del producto: Microsoft Azure Security
and Audit Log Management
Notas del producto: Microsoft Azure Security
and Audit Log Management
Auditoría en Office 365Auditoría en Office 365
Operational Security for Online Services
Overview
Operational Security for Online Services
Overview
Continúa en la página siguiente
Continúa en la página siguiente
Importante: Cómo usar esta página
Esta página incluye una lista metódica de acciones que Microsoft
recomienda para defender sus datos, identidades y aplicaciones de las
amenazas de ciberseguridad. Estas acciones se clasifican y presentan en una
pila. Las categorías de la parte superior de la pila se aplican a los servicios
SaaS, PaaS, IaaS y de nube privada. El ámbito de las categorías disminuye en
niveles inferiores de la pila.
SaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privadaSaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
B. Seguir el ciclo de vida de desarrollo
de seguridad (SDL) Revise los procesos de desarrollo de seguridad y las
prácticas operativas de los proveedores antes de
adquirir aplicaciones. Inclúyalos en el proceso de
adquisición.
Siga las instrucciones de configuración de seguridad
y las recomendaciones que le ofrece el proveedor
de la aplicación.
Aplique todas las actualizaciones de seguridad del
proveedor tan rápido como lo permitan sus
requisitos de pruebas. Asegúrese de actualizar las
dependencias y el middleware instalados con las
aplicaciones.
Deje de usar el software antes de que llegue al
estado de finalización del soporte.
A. Proteger las aplicaciones que se adquieren
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
5. Seguridad de aplicaciones: comprobar que el código de la aplicación sea resistente a ataques
6. Red: garantizar la conectividad, el aislamiento y la visibilidad de comportamientos anómalos
Asegúrese de que su arquitectura de red esté lista para
la nube. Para ello, actualice su enfoque actual o
aproveche la oportunidad de empezar desde cero con
una estrategia moderna para plataformas y servicios en
la nube. Alinee su estrategia de red con los elementos
siguientes:
Estrategia de seguridad general y gobierno
Estrategia de identidad y modelo de contención
Funcionalidades y restricciones de servicios en la nube
El diseño debe resolver la protección de las
comunicaciones:
Entrantes de Internet
Entre las máquinas virtuales de una suscripción
En suscripciones
Hacia y desde redes locales
Desde hosts de administración remota
A. Actualizar la estrategia de seguridad de red
y la arquitectura de informática en la nube
Asegúrese de que sus procesos y funcionalidades
tecnológicas pueden distinguir anomalías y
variaciones en configuraciones y patrones de flujo
de tráfico de red. La informática en la nube usa
redes públicas, lo que permite una rápida
explotación de configuraciones erróneas que se
deben evitar, o bien detectar y corregir
rápidamente.
Supervíselos detenidamente y notifique
excepciones.
Aplique medios automatizados para garantizar
que su configuración de red siga siendo correcta
y que se detecten patrones de tráfico inusuales.
C. Administrar y supervisar la seguridad de la red
La informática en la nube ofrece funcionalidades de
red con una flexibilidad única al definir topologías
en el software. Evalúe el uso de estas
funcionalidades de nube modernas para mejorar
sus capacidades de auditoría de seguridad de red,
detección y flexibilidad operacional.
B. Optimizar con funcionalidades de nube
Las aplicaciones de software con código fuente que
usted desarrolla o controla son una superficie
expuesta a ataques potencial. Incluyen las
aplicaciones PaaS, las aplicaciones PaaS compiladas
a partir de código de ejemplo de Azure (como sitios
de WordPress) y las aplicaciones que interactúan
con Office 365.
Siga los procedimientos recomendados de
seguridad del código del ciclo de vida de desarrollo
de seguridad (SDL) de Microsoft para minimizar las
vulnerabilidades y su impacto en la seguridad.
Consulte: www.microsoft.com/sdl
Las aplicaciones de software con código fuente que
usted desarrolla o controla son una superficie
expuesta a ataques potencial. Incluyen las
aplicaciones PaaS, las aplicaciones PaaS compiladas
a partir de código de ejemplo de Azure (como sitios
de WordPress) y las aplicaciones que interactúan
con Office 365.
Siga los procedimientos recomendados de
seguridad del código del ciclo de vida de desarrollo
de seguridad (SDL) de Microsoft para minimizar las
vulnerabilidades y su impacto en la seguridad.
Consulte: www.microsoft.com/sdl
Notas del producto: Microsoft Azure Network SecurityNotas del producto: Microsoft Azure Network Security
IaaS
Infraestructura como servicio
Nube privada
A. Sistema operativo virtual
7. Sistema operativo y middleware: proteger la integridad de los hosts
B. Herramientas de administración de sistema operativo virtual
Proteja el sistema operativo (SO) de host virtual y el middleware que se
ejecutan en máquinas virtuales. Asegúrese de que todos los aspectos
de la seguridad del sistema operativo y el middleware cumplan o
superen el nivel requerido para el host, incluyendo:
Prácticas y privilegios administrativos
Actualizaciones de software para sistemas operativos y middleware
Línea base de configuración de seguridad
Uso de objetos de directiva de grupo (GPO)
Medios y métodos de instalaciónUso de tareas programadas
Detección/prevención de intrusiones y antimalware
Configuraciones de IPsec y firewall de host
Configuración y supervisión del registro de eventos
Las herramientas de administración del sistema presentan control técnico
completo de los sistemas operativos host (incluyendo aplicaciones, datos e
identidades), lo que las convierte en una dependencia de seguridad del
servicio en la nube. Proteja estas herramientas en el nivel de los sistemas
que administran o en un nivel superior. Estas herramientas suelen incluir:
Administración de la configuración
Administración y supervisión de operaciones
Copia de seguridad
Actualización de seguridad y administración de revisiones
La evolución de los cambios y las amenazas de
seguridad requiere ajustes continuos y
funcionalidades operativas completas. Administre
de manera proactiva este riesgo.
Establezca funcionalidades operativas para
supervisar alertas, investigar incidentes, iniciar
acciones correctivas e integrar las lecciones
aprendidas.
Genere el contexto externo de las amenazas
mediante los recursos disponibles, como las
fuentes de inteligencia de amenazas, los
centros de análisis y uso compartido de
información (ISACs) y otros medios.
Valide su apuesta de seguridad mediante la
actividad de pruebas de penetración y/o el
equipo rojo autorizado.
Notas del producto: Red Teaming de Microsoft
Enterprise Cloud
Notas del producto: Red Teaming de Microsoft
Enterprise Cloud
Notas del producto: Ataques dirigidos y
adversarios decididos
Notas del producto: Ataques dirigidos y
adversarios decididos
C. Administrar la innovación continua
La velocidad de las versiones y actualizaciones de
funcionalidades en los servicios en la nube
requiere una administración proactiva de los
impactos de seguridad potenciales.
Defina una cadencia mensual para revisar
e integrar actualizaciones de funcionalidades
de nube, requisitos normativos y de
cumplimiento, amenazas crecientes y
objetivos organizativos.
Evite cambios de configuración mediante
revisiones periódicas para garantizar que las
tecnologías, las configuraciones y las prácticas
operativas cumplen con sus directivas
y protocolos.
Al planear controles de seguridad y procesos de
respuesta de seguridad, suponga que un
atacante ha puesto en riesgo otros recursos
internos, tales como cuentas de usuario,
estaciones de trabajo y aplicaciones. Suponga
que un atacante usará estos recursos como una
plataforma de ataque.Para modernizar su
estrategia de contención:
Identifique los activos más críticos, como
aplicaciones, dependencias y datos críticos.
La seguridad de estos elementos debe ser
superior sin comprometer la usabilidad.
Mejore el aislamiento entre zonas de
seguridad aumentando el rigor de la
administración de excepciones. Aplique
técnicas de modelado de amenazas a todas
las excepciones y análisis autorizados de
estos flujos de datos de aplicaciones, entre
los que se incluyen las identidades usadas,
los datos transmitidos, la confianza en
plataformas y aplicaciones, y la capacidad de
inspeccionar la interacción.
Centre la contención en una zona de
seguridad en mantener la integridad del
modelo administrativo en lugar de centrarlo
en el aislamiento de la red.
Aplique enfoques de "privilegios mínimos" a su
modelo administrativo, como:
Limitar el número de administradores
o miembros de grupos con privilegios.
Delegar menos privilegios en las cuentas.
Proporcionar privilegios a petición.
Hacer que los administradores existentes
realicen tareas en lugar de agregar
administradores adicionales.
Proporcionar procesos de acceso de
emergencia y escenarios de uso poco
frecuentes.
Las dependencias de seguridad incluyen todo
aquello que tiene control administrativo de un
activo. Asegúrese de reforzar todas las dependencias
en el nivel de seguridad de los activos que controlan
o en un nivel superior. Las dependencias de
seguridad de servicios en la nube suelen incluir
sistemas de identidad, herramientas de
administración locales, cuentas y grupos
administrativos, y las estaciones de trabajo donde
estas cuentas inician sesión.
B. Endurecer las dependencias de seguridad
Blog: Microsoft Advanced Threat AnalyticsBlog: Microsoft Advanced Threat Analytics
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas
las identidades con privilegios administrativos.
Esto mitiga el riesgo de que se usen
credenciales robadas para usar cuentas con
privilegios de manera indebida.
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas
las identidades con privilegios administrativos.
Esto mitiga el riesgo de que se usen
credenciales robadas para usar cuentas con
privilegios de manera indebida.
Separe los activos de alto impacto de los riesgos
de correo electrónico y navegación por Internet
muy frecuentes:
Use cuentas dedicadas para los roles
administrativos con privilegios de servicios en
la nube y dependencias locales.
Use estaciones de trabajo reforzadas y
dedicadas para la administración de activos de
TI de alto impacto empresarial.
No use cuentas con privilegios elevados en
dispositivos donde se empleen el correo
electrónico y la exploración web.
E. Aplicar estándares de seguridad estrictos
Los administradores controlan cantidades de
activos considerables. Mida y aplique estándares
de seguridad estrictos en las cuentas y los
sistemas administrativos. Se incluyen los
servicios en la nube y las dependencias locales,
tales como Active Directory, sistemas de
identidad, herramientas de administración,
herramientas de seguridad, estaciones de
trabajo administrativas y sistemas operativos
asociados.
G. Educar y facultar a los administradores
Instruya al personal administrativo sobre
posibles amenazas y sobre el rol crítico que
tienen en la protección de sus credenciales y
datos empresariales clave. Los administradores
son los guardianes de acceso a muchos de sus
activos críticos. Facultarles con este
conocimiento les permitirá administrar mejor sus
activos y su apuesta de seguridad.
B. Proteger los activos de gran valor (HVA)Establezca la máxima protección para los activos
que tengan un impacto desproporcionado en el
cometido o la rentabilidad de las organizaciones.
Realice análisis estrictos de las dependencias de
seguridad y ciclo de vida de HVA, y establezca
condiciones y controles de seguridad adecuados.
Identifique y clasifique los activos confidenciales.
Defina las tecnologías y los procesos para aplicar
automáticamente los controles de seguridad.
D. Establecer los estándares mínimos de
la organizaciónEstablezca los estándares mínimos para los
dispositivos y las cuentas de confianza que acceden
a activos de datos que pertenecen a la organización.
Pueden incluir la compatibilidad con la configuración
de dispositivos, la eliminación de datos del
dispositivo, las funcionalidades de protección de
datos empresariales, la fiabilidad de la autenticación
de usuarios y la identidad de usuario.
Protección de datos de empresa de Windows 10Protección de datos de empresa de Windows 10
Administrar el acceso al correo electrónico
y SharePoint con Microsoft Intune
Administrar el acceso al correo electrónico
y SharePoint con Microsoft Intune
Use credenciales protegidas por hardware o
Multi-Factor Authentication (MFA) para todas las
identidades, a fin de mitigar el riesgo de que se
usen credenciales robadas para emplear cuentas
de manera indebida.
Identidades de usuario hospedadas en Azure
Active Directory (Azure AD).
Cuentas locales cuya autenticación se federa
desde Active Directory local.
Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication
Microsoft Passport y Windows HelloMicrosoft Passport y Windows Hello
B. Administrar dispositivos de confianza y
conformes
Administrar directivas de cumplimiento de dispositivos para Microsoft IntuneAdministrar directivas de cumplimiento de dispositivos para Microsoft Intune
Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)
Establezca, mida y aplique estándares de
seguridad modernos en los dispositivos que se
usan para acceder a activos y datos corporativos.
Aplique los estándares de configuración e instale
rápidamente las actualizaciones de seguridad para
reducir el riesgo de que los dispositivos se usen
para acceder a los datos o alterarlos.
Kit de herramientas de Experiencia de mitigación mejorada (EMET)Kit de herramientas de Experiencia de mitigación mejorada (EMET)
Los usuarios controlan sus propias cuentas y son
responsables de proteger muchos de sus activos
críticos. Faculte a sus usuarios para que sean
buenos administradores de datos organizativos
y de personales. Al mismo tiempo, reconozca
que los errores y las actividades de los usuarios
implican riesgos de seguridad que pueden
mitigarse, pero nunca eliminarse
completamente. Céntrese en medir y reducir el
riesgo de los usuarios.
Eduque a los usuarios sobre posibles
amenazas y sobre su rol a la hora de proteger
los datos empresariales.
Ponga difícil al adversario comprometer las
cuentas de usuario.
Explore la gamificación y otros medios de
aumentar la participación del usuario.
Continúa en la página siguiente
Agosto de 2016
Seguridad de red y servicios en la nube de MicrosoftSeguridad de red y servicios en la nube de Microsoft
Blog de seguridad de Microsoft AzureBlog de seguridad de Microsoft Azure
Securing Privileged AccessSecuring Privileged Access
Autenticación de identidades sin
contraseñas a través de Microsoft Passport
Autenticación de identidades sin
contraseñas a través de Microsoft Passport
Securing Privileged AccessSecuring Privileged Access
Protección de la información para Office 365Protección de la información para Office 365
Información general sobre directivas de
prevención de pérdida de datos
Información general sobre directivas de
prevención de pérdida de datos
Always Encrypted (motor de base de datos)Always Encrypted (motor de base de datos)
http://www.microsoft.com/trustcenter
Microsoft Trust Center
http://www.microsoft.com/trustcenter
Microsoft Trust Center
SaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privadaSaaS
Software como servicio
PaaS
Plataforma como servicio
IaaS
Infraestructura como servicio
Nube privada
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 4 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
Patrones y procedimientos recomendados de seguridad
de Azure
Patrones y procedimientos recomendados de seguridad
de Azure
Patrones y procedimientos recomendados de seguridad de AzurePatrones y procedimientos recomendados de seguridad de Azure
La creación de un mapa de ruta completo para la
seguridad de la nube requiere que sepa en qué
punto se encuentra. Microsoft puede ayudarle a
crear un mapa de ruta personalizado para:
Estrategia de seguridad y funcionalidades.
Estrategia de identidad y alineación.
Seguridad de Office 365.
Suscripción a Azure y seguridad de la carga de
trabajo.
Detección y protección de activos de gran valor.
Protección de la información y administración
de derechos.
Recorrido por la seguridad de la nube
Evaluación y planeamiento
de la seguridad de la nube
Administración, identidad
y seguridad de host
Migración y refuerzo de la
carga de trabajo de la nube
Microsoft puede ayudarle a reforzar sus activos de nube
actuales, mediante la migración segura a la nube y la
creación de nuevas cargas de trabajo en la nube
reforzadas desde el primer día. Microsoft dispone de
conocimientos técnicos y experiencia para ayudarle a
maximizar sus garantías de seguridad de infraestructura
de nube y activos de presencia de marca, como:
Refuerzo de la configuración de seguridad de
Office 365.
Análisis de la carga de trabajo, migración y refuerzo
de la seguridad de Azure.
Estaciones de trabajo reforzadas para las redes
sociales y la administración de marca.
Consolas reforzadas para la administración de la
infraestructura de la nube.
Refuerzo de aplicaciones y procesos de desarrollo de
aplicaciones para aplicaciones PaaS e híbridas
mediante el ciclo de vida de desarrollo de seguridad
(SDL) de Microsoft y la norma internacional ISO
27034-1.
Diseño, implementación y protección de las nubes
privadas.
Detección de amenazas y respuesta
a incidentes
Soporte técnico, operaciones y
administración de servicios: sostener
las ganancias
¿Cómo pueden ayudarle los servicios Microsoft?
Microsoft dispone de excelentes equipos de
respuesta a incidentes con amplia experiencia en el
control de ataques dirigidos por adversarios
determinados. Microsoft puede ayudarle a detectar
estas amenazas, a dar caza a adversarios en su
entorno, a responder a incidentes y a recuperar la
disponibilidad e integridad del servicio de TI
después de un ataque. Los servicios incluyen:
Detección de amenazas como un servicio de
seguridad administrado.
Soporte técnico de respuesta a incidentes
(telefónico e in situ).
Búsqueda proactiva de adversarios persistentes
en su entorno.
Recuperación de ataques de ciberseguridad.
La protección de los privilegios administrativos
es fundamental para los servicios en la nube y las
funcionalidades de identidad y seguridad locales
de las que dependen. Microsoft ha desarrollado
soluciones líderes del sector para proteger y
supervisar los privilegios administrativos que
tratan los desafíos relacionados con personas,
procesos y elementos tecnológicos, como:
Refuerzo de la administración de servicios en
la nube.
Refuerzo de la administración de sistemas de
identidad y Active Directory.
Refuerzo de las herramientas y los sistemas de
administración de infraestructura.
Privilegios administrativos oportunos y
suficientes.
La seguridad en la nube es un viaje. Mantener sus
garantías de seguridad requiere una inversión continua
en un modelo de operaciones sostenible, que abarca
personas, procesos y tecnología. Los servicios
Microsoft ofrecen una amplia gama de servicios de
soporte de TI de nube y seguridad, que incluyen la
capacitación del personal TI, evaluaciones de riesgo y
estado, y asistencia para la adopción de los
procedimientos recomendados. La administración de
servicios de TI (ITSM) de Microsoft le permite
implementar la administración del ciclo de vida en TI
mediante la gestión de la preparación de las personas
y los procesos necesarios para aprovechar las
capacidades de la tecnología con eficacia.
Microsoft tiene una dilatada experiencia en ciberseguridad, detección de
amenazas y respuesta a estas. Ofrecemos servicios profesionales a nuestros
clientes. Microsoft Enterprise Cybersecurity Group es un equipo de ingenieros,
consultores y arquitectos expertos, que permite a las organizaciones cambiar
a la nube con seguridad, modernizar sus plataformas de TI, y evitar y mitigar
infracciones. Los servicios incluyen:
Protección de activos de alto valor
Evaluaciones de riesgos
Supervisión de red y detección de amenazas
Respuesta a incidentes y recuperación
Esta página presenta un mapa de ruta típico de seguridad de la nube, basado
en nuestra experiencia a la hora de obtener valor empresarial de la nube y de
defender los activos basados en la nube de amenazas de ciberseguridad.
Un viaje a la nube típico incluye las transformaciones de claves de seguridad
que abarcan la cultura de TI de la organización, el gobierno, la directiva, la
tecnología de los procesos y los controles de seguridad. Los cambios y desafíos
más comunes son:
Establecimiento y validación de la confianza de los proveedores de nube.
Cambio de las defensas primarias a los niveles de identidad, datos
y aplicaciones.
Información de las funcionalidades y los controles de seguridad en la nube.
Información de las amenazas de ciberseguridad.
Introducción Si quiere recibir asistencia en relación con alguna de
las funcionalidades de la nube de confianza o la
ciberseguridad que se describen en esta página,
póngase en contacto con su representante de
servicios Microsoft o visite www.microsoft.com/
services.
Si quiere recibir asistencia en relación con alguna de
las funcionalidades de la nube de confianza o la
ciberseguridad que se describen en esta página,
póngase en contacto con su representante de
servicios Microsoft o visite www.microsoft.com/
services.
Contratación de servicios profesionales de Microsoft
Los clientes con un contrato de soporte Premier tienen
acceso inmediato a ingenieros de soporte de seguridad
altamente especializados y a equipos de respuesta a
incidentes in situ. En el caso de los clientes con un contrato
Premier existente, no se requiere ninguna acción contractual
adicional para iniciar actividades de respuesta a incidentes
de Microsoft. Para obtener más información, póngase en
contacto con su responsable técnico de cuenta (TAM).
Respuesta a incidentes de seguridad
© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
¿Por dónde empezar?
Microsoft recomienda comenzar con una vista
de toda su organización y abordar primero los
riesgos más importantes:
Evalúe su apuesta de seguridad en la nube
para obtener una amplia visión del camino
a seguir.
Habilite la detección de amenazas avanzada.
Afronte los riesgos principales: proteja las
cuentas sociales críticas para la empresa y
las cuentas con privilegios administrativos
de la nube con estaciones de trabajo
reforzadas y seguridad adaptada a esos
roles.
Agosto de 2016
Lo que los arquitectos de TI necesitan saber sobre la
seguridad y la confianza en las plataformas y los
servicios en la nube de Microsoft.
1 2 3 4 51 2 3 4 5Este es el tema 5 de una serie de 5
Microsoft Cloud Security
para arquitectos
profesionales
Más recursos de
TI en la nube de
Microsoftaka.ms/cloudarchoptionsaka.ms/cloudarchoptions
Opciones de
plataforma y
servicios
aka.ms/cloudarchidentityaka.ms/cloudarchidentity
Identidad
aka.ms/cloudarchnetworkingaka.ms/cloudarchnetworking
Redes
aka.ms/cloudarchhybridaka.ms/cloudarchhybrid
Entorno híbrido