Autor: Stefan Gajic, Líder de Nube e Infraestructura en el Grupo P3, MCT en Semos Education

En este blog, vamos a cubrir las mejores prácticas de seguridad más importantes para proteger su IaaS. Esto será un adelanto para aquellos que no están familiarizados con estos métodos para empezar a pensar y aprender sobre la seguridad en Azure, y para aquellos de ustedes que ya están implementando algunos de estos recordatorios de características de seguridad para seguir haciéndolo o incluso prestar más atención a la seguridad de IaaS.

Recuerde, la seguridad Azure es una responsabilidad compartida y somos responsables de cómo se protegerá la infraestructura. No permita que los incidentes sean iniciadores de la limpieza de la seguridad, pero es mejor ser proactivo y siempre tener en cuenta que usted es responsable de la seguridad de las cargas de trabajo en Azure.

Estos son los temas que vamos a cubrir, y estas mejores prácticas ya están escritas en laMicrosoft documentación oficial, sin embargo, yo era libre de condimentarlo con mi experiencia:

1. Planificación y despliegue de máquinas virtuales
2. Proteger las máquinas virtuales con el control de acceso (IAM)
3. Protección de los puntos finales de las máquinas virtuales
4. Disponibilidad de los VM
5. Actualizaciones de VM - parches de seguridad
6. Cifrar los discos duros
7. Seguridad de la red para VM
8. Acceso a la VM justo a tiempo
9. La supervisión de su infraestructura...

Planificación y despliegue de máquinas virtuale
s Cuando se trata de planificar hay muchas cosas consideradas como de sentido común y desde mi experiencia práctica, la mayoría de las cosas que "se van sin decir" son el lugar donde las cosas se desmoronan. Por eso siempre me gusta empezar un proyecto con una planificación adecuada, o como diría mi ex-jefe "Hacer algo sin planificar es igual a no hacerlo". Para analizar y hablar con la gente, puedes estar trabajando en el equipo de IT o DevOps que se encargará de asignar el acceso a IaaS a los demás o puedes ser solicitante, no importa, siempre pedir sesiones de planificación - la pregunta es ¿por qué? Bueno, la gente a veces pide recursos en la nube que no son necesariamente necesarios, y, en la mayoría de los casos, no prestarán mucha atención a la seguridad. La seguridad es una RESPONSABILIDAD COMPARTIDA entre el proveedor de la nube, en este caso, Microsoft y tú como cliente:

Una vez que aclare todo con sus clientes, colegas o con quien sea que esté trabajando, documéntelo (no se haga el vago y deje eso para más tarde), envíelo como un plan de miniproyecto a su equipo, y como mejor práctica, en este caso, haga su documentación con las prácticas que quiere que se implementen -por supuesto, puede tener Blueprints y políticas en marcha, y si su entorno está en este nivel, pulgar hacia arriba, sin embargo por lo general los departamentos de TI no tendrán mucho tiempo para configurar todo esto, así que esté preparado con documentos de "mejores prácticas". 

Durante el uso de la planificación, Azure la calculadora y la configuración de alertas de presupuesto para su infraestructura al menos para evitar el riesgo financiero con están bajo el alcance de la seguridad. 

Proteger las máquinas virtuales con el control de acceso (IAM)

Lo primero que quieres saber durante las sesiones de planificación es lo que se requiere para el equipo o la persona que usará IaaS - siempre usa el enfoque de menor privilegio - así que les das exactamente lo que necesitan, si necesitan más serás tú quien lo apruebe, y si no se quejan, bueno, estás listo para irte y estar a salvo. Hay algunos papeles diferentes que puedes usar. Sigue el enlace oficialMicrosoft para comprobar cuál es el que mejor se ajusta a sus necesidades.

Protección de los puntos finales de las máquinas virtuales

Una vez que haya desplegado la infraestructura o la máquina virtual, es hora de que piense en la protección del punto final. Al igual que con tu portátil personal, quieres estar seguro, ¿verdad? Entonces, ¿cómo es que algunas personas se olvidan de configurar un punto final en las máquinas virtuales.

Debe instalar una protección antimalware para ayudar a identificar y eliminar virus, spyware y otro software malicioso. Puedes instalar Microsoft Antimalware o la solución de protección de puntos finales de un Microsoft socio (Trend Micro, Broadcom, McAfee, Windows Defender...y... Protección del punto final del centro del sistema). Microsoft está gastando 1 billón al año en seguridad - ¿por qué no usarlo, es como dinero gratis que puede salvar su infra?

Disponibilidad de los VM

Cuando se trata de la disponibilidad, los números garantizados para el SLA (acuerdo de nivel de servicio) son realmente buenos, pero su VM puede bajar si hay algún problema o ventana de mantenimiento. Usted quiere prevenir esto lo mejor que pueda.

Estas dos prácticas te ayudarán: Juegos de disponibilidad y Zona de disponibilidad

Si todavía no está familiarizado con la forma de utilizar estas grandes características, le aconsejo encarecidamente que lo encuentre en los Microsoft documentos y empiece a utilizarlo para los recursos más importantes de su entorno.

Actualizaciones de VM - parches de seguridad

• Azure Las máquinas virtuales, como todas las máquinas virtuales en las instalaciones, están hechas para ser administradas por el usuario. Azure no les empuja las actualizaciones de Windows. Necesitas administrar las actualizaciones de tu VM.
• Mantén tus VMs al día. 
• Si usas Windows Update, deja activada la configuración automática de Windows Update. Asegúrate en el despliegue de que las imágenes que has creado incluyen la ronda más reciente de actualizaciones de Windows.
• Periódicamente reubique sus máquinas virtuales para forzar una nueva versión del sistema operativo.
• Defina su VM con un Azure Plantilla del Administrador de Recursos para que puedas redistribuirlo fácilmente. El uso de una plantilla te da un VM parcheado y seguro cuando lo necesitas.
• Aplicar rápidamente las actualizaciones de seguridad a las máquinas virtuales.
• Azure Centro de seguridad (nivel libre o nivel estándar) para identificar las actualizaciones de seguridad que faltan y aplicarlas.
• Instala las últimas actualizaciones de seguridad.
• Despliegue y pruebe una solución de respaldo.
  

Un respaldo debe ser manejado de la misma manera que se maneja cualquier otra operación. Esto es cierto para los sistemas que son parte de su entorno de producción que se extiende a la nube.

Cifrar los discos duros

• Se recomienda encarecidamente que cifre sus discos duros virtuales (VHD) para ayudar a proteger el volumen de arranque y los volúmenes de datos en reposo en el almacenamiento, junto con sus claves y secretos de cifrado. Azure La encriptación del disco utiliza el estándar de la industria BitLocker característica de Windows y el DM-Crypt de Linux para proporcionar una encriptación de volumen para el sistema operativo y los discos de datos.
• Utilice una clave de cifrado de claves (KEK) para una capa adicional de seguridad para las claves de cifrado. Añade una KEK a tu bóveda de llaves.
• Tome una instantánea y/o una copia de seguridad antes de que los discos sean encriptados. Las copias de seguridad proporcionan una opción de recuperación si se produce un fallo inesperado durante el cifrado.
• Para asegurarse de que los secretos de la encriptación no crucen las fronteras regionales, Azure la Encriptación de Disco necesita que la bóveda de claves y las máquinas virtuales estén localizadas en la misma región.

Seguridad de la red para VM

• Identificar y remediar las máquinas virtuales expuestas que permiten el acceso desde "cualquier" fuente de dirección IP.
• Configurar NSG - Grupos de seguridad de la red. 
• Por defecto, cada VM ha abierto los puertos RDP y SSH desde cualquier lugar. Esto, con una dirección IP pública asignada a la VM, es una llamada a los hackers, ya que cada dirección IP pública es escaneada y los atacantes pueden, o incluso diría que la atacarán si la dejan así.
• Entra en detalles y construye tu NSG para que sólo los usuarios de ciertas direcciones IP puedan acceder a tu VM.
• Tome algún servidor altamente confidencial donde se almacenen los datos del usuario. ¿Cómo lo protegerías? Considere la posibilidad de utilizar servidores de salto. Son máquinas virtuales, no unidas a un dominio, desde las cuales sólo puede acceder a otras máquinas virtuales en su entorno. 

Acceso VM justo a tiempo (JIT
) Restringir los puertos de gestión (RDP, SSH). Detalle: El acceso Just-in-time (JIT) a las máquinas virtuales se puede utilizar para bloquear el tráfico entrante a sus Azure máquinas virtuales, reduciendo la exposición a los ataques y proporcionando un fácil acceso para conectarse a las máquinas virtuales cuando sea necesario. Cuando el JIT está habilitado, el Centro de Seguridad bloquea el tráfico entrante de sus Azure máquinas virtuales creando una regla de grupo de seguridad de la red. Usted selecciona los puertos de la máquina virtual a los que se bloqueará el tráfico entrante. Estos puertos son controlados por la solución JIT.

Lea acerca de los potenciales escenarios de ataque que pueden ocurrirle y luego implementará el JIT rápidamente 😊.

La supervisión de su infraestructura...

Azure Security Center es un sistema unificado de gestión de seguridad de infraestructuras que refuerza la postura de seguridad de sus centros de datos y proporciona una protección avanzada contra las amenazas en sus cargas de trabajo híbridas en la nube - tanto si están en Azure la nube como si no - así como en las instalaciones. Se recomienda el uso de Azure Monitoreo para ganar visibilidad sobre la salud de sus recursos. Azure Monitorea las características:

• Archivos de registro de diagnóstico de recursos: Monitorea los recursos de su VM e identifica los problemas potenciales que podrían comprometer el rendimiento y la disponibilidad.
• Azure Extensión del diagnóstico: Proporciona capacidades de monitorización y diagnóstico en máquinas virtuales de Windows. Puede habilitar estas capacidades incluyendo la extensión como parte de la Azure Plantilla del Administrador de Recursos.

Las organizaciones que no monitorean el desempeño del VM no pueden determinar si ciertos cambios en los patrones de desempeño son normales o anormales. Un VM que está consumiendo más recursos de lo normal podría indicar un ataque de un recurso externo o un proceso comprometido que se está ejecutando en el VM.

Gracias por leer este blog.

Más detalles y referencias ver en este enlace