SushiHost

Guía de seguridad en Azure: políticas, NSG y Azure Security Center

SushiHost

·

·

Introducción a la seguridad en Azure

En la nube pública de Microsoft Azure, los equipos de TI se enfrentan al reto de proteger sus recursos, datos y aplicaciones ante amenazas cada vez más sofisticadas. Para abordar este desafío, Azure ofrece un conjunto de servicios y herramientas que permiten implementar controles de seguridad, supervisar la postura de seguridad y automatizar la gobernanza. En este artículo detallado exploraremos tres pilares esenciales:

  • Políticas de Azure (Azure Policy)
  • Grupos de seguridad de red (Network Security Groups, NSG)
  • Azure Security Center (ASC)

1. Políticas de Azure (Azure Policy)

1.1 ¿Qué es Azure Policy

Azure Policy es el servicio de gobernanza que permite evaluar y hacer cumplir reglas sobre recursos de Azure, garantizando el cumplimiento de estándares corporativos y normativas regulatorias. A través de definiciones de políticas y asignaciones, se asegura que los recursos se crean y configuran según directrices establecidas.

1.2 Componentes básicos

  • Definitions: Plantillas JSON que describen reglas o condiciones.
  • Initiatives: Conjuntos agrupados de definiciones para facilitar la asignación.
  • Assignments: Aplicación de definitions o initiatives a un alcance (management group, suscripción o resource group).
  • Parameters: Variables en las definiciones para reutilización y flexibilidad.

1.3 Ciclo de vida y evaluación

Cada vez que se realiza una operación de escritura (Create, Update) en Azure, la llamada se intercepta para evaluar si cumple las políticas asignadas. Si no cumple, la acción se rechaza o audita según el effect configurado (Audit, Deny, Append, Modify, DeployIfNotExists).

1.4 Ejemplos de uso

  • Forzar que los discos gestionados usen cifrado con Azure Key Vault (Deny si no).
  • Auditar instancias de máquinas virtuales sin sistema operativo compatible.
  • Desplegar automáticamente etiquetas (tags) para cobro y responsabilidad.
  • Implementar configuraciones seguras de Microsoft Defender para todos los servidores.

1.5 Buenas prácticas

  1. Organizar políticas en iniciativas lógicas (por área de negocio o cumplimiento).
  2. Asignar a niveles jerárquicos (management groups) para herencia automática.
  3. Utilizar DevOps y Azure DevOps/GitHub para versionar y validar JSON de definiciones.
  4. Probar en entornos de desarrollo antes de aplicar en producción.
  5. Supervisar el dashboard de cumplimiento y configurar alertas.

1.6 Recursos y enlaces

2. Grupos de Seguridad de Red (NSG)

2.1 Concepto y alcance

Un Network Security Group es un conjunto de reglas de acceso que controlan el tráfico de entrada y salida en las interfaces de red (NIC) o subredes de Azure Virtual Network.

2.2 Componentes de una regla NSG

  • Priority: Número (100–4096). Menor = mayor prioridad.
  • Direction: Inbound o Outbound.
  • Source/Destination: Rango IP, etiqueta o Application Security Group.
  • Protocol: TCP, UDP o Any.
  • Port Range: Uno o rango de puertos.
  • Action: Allow o Deny.

2.3 Buenas prácticas

  1. Implementar denegación predeterminada (use Deny en la última regla).
  2. Utilizar Application Security Groups para agrupar servidores con funciones similares.
  3. Evitar reglas amplias (Any) que abran toda la red.
  4. Nombrar reglas siguiendo un estándar claro (ej. AZ-NSG-001-Allow-HTTPS-Inbound).
  5. Versionar cambios y auditar con Azure Monitor y Flow Logs.

2.4 Registro y supervisión

  • Habilitar Network Watcher y NSG Flow Logs en una cuenta de almacenamiento o Log Analytics.
  • Usar Traffic Analytics para visualizar patrones y detectar anomalías.

2.5 Referencias

3. Azure Security Center (ASC)

3.1 ¿Qué es Azure Security Center

Azure Security Center es la plataforma unificada de Microsoft para la protección avanzada de cargas de trabajo en la nube, tanto en Azure como en entornos híbridos y multi-nube. Proporciona:

  • Evaluación continua de la postura de seguridad (Secure Score).
  • Detección de amenazas basada en análisis y machine learning.
  • Recomendaciones de remediación y automatización.
  • Integración con Microsoft Defender y SIEM/SOAR externos.

3.2 Niveles de precios

Nivel Funcionalidad principal
Free Puntuación de seguridad y recomendaciones básicas.
Standard (Defender) Protección de workload, detección de amenazas, JIT, Adaptive Application Controls.

3.3 Funcionalidades clave

  • Secure Score: Indicador cuantitativo de la postura de seguridad.
  • Recomendaciones: Sugerencias organizadas por prioridad.
  • Integración de sensores: Log Analytics, Azure Defender, Azure Firewall, WAF, etc.
  • Just-In-Time VM Access: Minimiza exposición abriendo puertos solo cuando se necesita.
  • Adaptive Application Controls: Lista blanca de aplicaciones permitidas.
  • Regulatory Compliance: Plantillas para GDPR, ISO, NIST y más.

3.4 Implementación y configuración

  1. Habilitar desde el portal en Azure Security Center → Pricing settings.
  2. Seleccionar suscripción y elegir nivel Standard para Defender.
  3. Conectar entornos híbridos (azuresentinel, Arc).
  4. Configurar alertas y playbooks en Azure Logic Apps.

3.5 Buenas prácticas

  • Revisar diariamente el Secure Score e implementar tareas de remediación.
  • Automatizar mitigaciones con Deploy If Not Exists y runbooks.
  • Integrar con SIEM/SOAR para gestión de incidentes centralizada.
  • Formar equipos en análisis de alertas y hunting en Cloud.

3.6 Más información

Conclusión

La seguridad en Azure debe abordarse de forma integral, combinando:

  • Governance mediante Azure Policy para asegurar estándares.
  • Controles de red con NSG para segmentación y defensa en profundidad.
  • Plataforma de protección con Azure Security Center para visibilidad, detección y automatización.

Al implementar estas soluciones de forma coordinada, las organizaciones pueden elevar su postura de seguridad, cumplir normativas y responder eficazmente ante incidentes.

SushiHost

Leave a Reply

Your email address will not be published. Required fields are marked *