SEGURIDAD AZURE
0 recomendaciones69 vistas
El documento detalla las recomendaciones de seguridad para Azure SQL, enfatizando un enfoque de defensa en profundidad que abarca autenticación, cifrado de datos y protección de la red. Se destacan características como autenticación de Azure Active Directory, cifrado transparente de datos y Azure Defender para SQL, que permiten la gestión segura de los datos en la nube. También se discuten procedimientos sobre la clasificación de datos, detección de amenazas y evaluación de vulnerabilidades para optimizar la seguridad y el cumplimiento en Azure SQL.
![Procedimientos
recomendados
de seguridad para
Azure SQL
Azure SQL: el lugar más seguro para
los datos relacionales en la nube
SQL Server y Azure SQL son más
conocidos por sus características
de seguridad de nivel empresarial.
Descubra cómo un enfoque de
defensa profundo, de varios niveles,
puede optimizar la postura de
seguridad.
Enfoque de varios niveles de Azure SQL para la seguridad
Autenticación de Azure Active Directory
Cifrado transparente de datos
Always Encrypted
Private Link para Azure SQL Database
Descubrimiento y clasificación de datos
Detección de amenazas
Evaluación de vulnerabilidades
Autenticación y administración del acceso
Protección de datos
Seguridad de red
Gobernanza de datos
Azure Defender para SQL
Procedimientos recomendados de autenticación y administración de acceso
Procedimientos recomendados para la protección de datos
Procedimientos recomendados para la seguridad de red
Procedimientos recomendados para la gobernanza de datos
Azure SQL ofrece características avanzadas integradas y configurables en cinco áreas que
proporcionan un enfoque de defensa profundo para la seguridad y el cumplimiento. Analicemos
algunas de las características y los procedimientos recomendados de seguridad de cada área.
La autenticación de Azure Active Directory (AD) es un mecanismo para conectarse a Azure SQL
mediante el uso de identidades en Azure AD. Simplifica la administración de usuarios y contraseñas,
y también permite que aplicaciones y servicios usen autenticación sin contraseña y directivas
de acceso condicional (como la autenticación multifactor [MFA]).
El cifrado de datos transparentes (TDE) con claves administradas por el cliente le permite implementar
escenarios de tipo "lleve su propia llave" (BYOK) para la protección de los datos en reposo.
Always Encrypted está diseñado para proteger información confidencial, como números de tarjetas
de crédito o números de identificación nacional, almacenada en Azure SQL Database o en SQL
Managed Instance.
El servicio de Private Link permite que varios servicios de PaaS se conecten con direcciones IP
privadas. Con un punto de conexión privado, puede tener acceso privado a Azure SQL Database
desde máquinas de clientes locales y entre regiones. Private Link también ofrece una forma segura
de migrar cargas de trabajo a Azure.
El descubrimiento y la clasificación de datos proporcionan capacidades básicas para detectar,
clasificar, etiquetar e informar datos confidenciales de las bases de datos.
La detección de amenazas es un servicio que continuamente supervisa su SQL Server en búsqueda
de ataques de inyección de SQL, ataques de fuerza bruta y acceso anómalo a la base de datos.
La evaluación de vulnerabilidades es un servicio que descubre, realiza seguimiento y corrige
posibles vulnerabilidades de seguridad.
Garantía de que los usuarios correctos tengan el acceso adecuado cuando
lo necesiten
Protección de sus datos confidenciales con las opciones de cifrado disponibles
Controle el acceso de la red a sus datos con las reglas del grupo de seguridad
de red (NSG), las reglas de firewall, los puntos de conexión privados y los
puntos de conexión de servicio
Generación de información a la vez que se brinda protección a sus datos
Azure Defender para SQL protege los datos de SQL Server en entornos de nube
híbrida y de varias nubes. Esta solución proporciona capacidades avanzadas
de seguridad de SQL, evaluación de vulnerabilidades y protección contra amenazas
avanzadas.
Cree cuentas
de usuario para
representar a los
usuarios humanos
y cree entidades
de servicio para
representar las
aplicaciones,
los agentes
de automatización
y los servicios.
Las entidades
de servicio son
como cuentas
de servicio en
Windows o Linux.
Use las claves administradas
por el cliente en Azure Key
Vault si necesita un control
granular sobre la protección
de TDE.
Conéctese a SQL Database
y a SQL Managed Instance
mediante una ruta de datos
privada.
Supervise periódicamente el panel de detección
y clasificación de datos para obtener una
evaluación precisa del estado de la clasificación
de su base de datos.
No mantenga los datos que
requieran cifrado en reposo
en una base de datos maestra.
La base de datos maestra
no se puede cifrar con TDE.
Los usuarios móviles deben
usar la configuración
de VPN de punto a sitio para
conectarse a través de rutas
de datos.
Personalice la clasificación de acuerdo con las
necesidades de su organización.
Al usar Always Encrypted con
TDE; se recomienda contar
con seguridad de la capa
de transporte (TLS) para
la protección completa de
los datos en reposo, en tránsito
y en uso.
Si se conecta mediante una ruta
de datos públicos, asegúrese
de proteger el acceso mediante
el uso de reglas de NSG
y firewall adecuadas.
Use la MFA con
acceso condicional
en Azure AD
para agregar
un nivel adicional
de seguridad.
Use la
autenticación
integrada
de Azure AD
para eliminar
la necesidad
de que los
usuarios usen
contraseñas.
Use las
identidades
administradas
con aplicaciones
para una
autenticación sin
contraseña.
Si no puede
evitar el uso
de contraseñas
y credenciales,
almacene las
contraseñas de los
usuarios y los
secretos de las
aplicaciones
en Azure Key
Vault.
Autenticación
y administración
del acceso
Autenticación de Azure
Active Directory
Azure Defender
para SQL: evaluación
de vulnerabilidades
Seguridad de la capa
de transporte
Inyección de VNet para
SQL Managed Instance
Clasificación de datos
Control de acceso
basado en roles (RBAC)
Azure Defender
para SQL: detección
de amenazas
Cifrado transparente
de datos
Enlace privado
para SQL DB
Integración con Azure
Purview
Roles y permisos de SQL
Auditoría de SQL con
varios objetivos
Always Encrypted
Reglas de firewall
y grupos de seguridad
de red
Seguridad de nivel de
fila (RLS) Auditorías de las
operaciones de soporte
de Microsoft
Integración con Azure
Security Center
Enmascaramiento
dinámico de datos
Protección
de datos
Seguridad de red Gobernanza
de datos
Prevención
y detección
de amenazas
Ejecute un análisis
de vulnerabilidades
Vea el informe Analice los resultados Resuelva los problemas
Procedimientos recomendados para la prevención y detección de amenazas
Configure Azure
Defender para SQL
con SQL Database
Auditing para obtener
la experiencia de
investigación completa.
Configure puntos
de referencia para
configuraciones
aceptables hasta
que el análisis
no muestre nada.
Configure escaneos
periódicos para que
se ejecuten una vez a la
semana y aspectos que
permitan a la persona
correspondiente recibir
correos electrónicos
de resumen.
Resuelva los controles
y actualice los puntos
de referencia cuando
sea pertinente.
Veamos cómo podemos implementar los procedimientos recomendados
de seguridad para Azure SQL. Si no tiene una cuenta Azure, obtenga una cuenta
cuenta Azure gratuita hoy.
Prevención y detección de amenazas
SQL Database y SQL Managed Instance protegen los datos de los clientes
al proporcionar capacidades de auditoría y detección de amenazas
© 2021 Microsoft Corporation. Todos los derechos reservados. Este documento se proporciona “tal cual”. La información y las opiniones que aquí
se expresan, incluidas las direcciones URL y otras referencias a sitios web de Internet, están sujetas a cambios sin previo aviso. Usted asume el riesgo
de usarlo. Este documento no le otorga derecho legal alguno a ningún aspecto de propiedad intelectual de ninguno de los productos de Microsoft.
Puede copiar y usar este documento para uso interno como referencia.
Empiece a usar Azure SQL hoy mismo.
Póngase manos a la obra con una cuenta gratuita de Azure
Más información sobre Azure SQL
Conéctese con un especialista en ventas de Azure
Comience gratis >
ID corporativa Reglas de acceso
Autenticación
Llamadas de autenticación
Reclamaciones
Azure Active Directory
Dispositivo Microsoft
Azure
Autenticación
DBA
Seguridad Auditoría
Azure Key Vault
Envolver/
Desenvolver DEK
Registro de eventos
de auditoría
Azure Monitor
Azure Active Directory
SQL
Aplicación
Texto sin formato
Controlador del cliente
Texto cifrado SQL
VNet gateway
Máquina virtual
Express Route Local
Se deniega
el acceso público
Punto de conexión privado
10.0.1.10
Hacker
Usuario externo
Propietario/
Administrador](https://image.slidesharecdn.com/seguridadazure-220609211329-c9792c1f/85/SEGURIDAD-AZURE-1-320.jpg)
SEGURIDAD AZURE
- 1. Procedimientos recomendados de seguridad para Azure SQL Azure SQL: el lugar más seguro para los datos relacionales en la nube SQL Server y Azure SQL son más conocidos por sus características de seguridad de nivel empresarial. Descubra cómo un enfoque de defensa profundo, de varios niveles, puede optimizar la postura de seguridad. Enfoque de varios niveles de Azure SQL para la seguridad Autenticación de Azure Active Directory Cifrado transparente de datos Always Encrypted Private Link para Azure SQL Database Descubrimiento y clasificación de datos Detección de amenazas Evaluación de vulnerabilidades Autenticación y administración del acceso Protección de datos Seguridad de red Gobernanza de datos Azure Defender para SQL Procedimientos recomendados de autenticación y administración de acceso Procedimientos recomendados para la protección de datos Procedimientos recomendados para la seguridad de red Procedimientos recomendados para la gobernanza de datos Azure SQL ofrece características avanzadas integradas y configurables en cinco áreas que proporcionan un enfoque de defensa profundo para la seguridad y el cumplimiento. Analicemos algunas de las características y los procedimientos recomendados de seguridad de cada área. La autenticación de Azure Active Directory (AD) es un mecanismo para conectarse a Azure SQL mediante el uso de identidades en Azure AD. Simplifica la administración de usuarios y contraseñas, y también permite que aplicaciones y servicios usen autenticación sin contraseña y directivas de acceso condicional (como la autenticación multifactor [MFA]). El cifrado de datos transparentes (TDE) con claves administradas por el cliente le permite implementar escenarios de tipo "lleve su propia llave" (BYOK) para la protección de los datos en reposo. Always Encrypted está diseñado para proteger información confidencial, como números de tarjetas de crédito o números de identificación nacional, almacenada en Azure SQL Database o en SQL Managed Instance. El servicio de Private Link permite que varios servicios de PaaS se conecten con direcciones IP privadas. Con un punto de conexión privado, puede tener acceso privado a Azure SQL Database desde máquinas de clientes locales y entre regiones. Private Link también ofrece una forma segura de migrar cargas de trabajo a Azure. El descubrimiento y la clasificación de datos proporcionan capacidades básicas para detectar, clasificar, etiquetar e informar datos confidenciales de las bases de datos. La detección de amenazas es un servicio que continuamente supervisa su SQL Server en búsqueda de ataques de inyección de SQL, ataques de fuerza bruta y acceso anómalo a la base de datos. La evaluación de vulnerabilidades es un servicio que descubre, realiza seguimiento y corrige posibles vulnerabilidades de seguridad. Garantía de que los usuarios correctos tengan el acceso adecuado cuando lo necesiten Protección de sus datos confidenciales con las opciones de cifrado disponibles Controle el acceso de la red a sus datos con las reglas del grupo de seguridad de red (NSG), las reglas de firewall, los puntos de conexión privados y los puntos de conexión de servicio Generación de información a la vez que se brinda protección a sus datos Azure Defender para SQL protege los datos de SQL Server en entornos de nube híbrida y de varias nubes. Esta solución proporciona capacidades avanzadas de seguridad de SQL, evaluación de vulnerabilidades y protección contra amenazas avanzadas. Cree cuentas de usuario para representar a los usuarios humanos y cree entidades de servicio para representar las aplicaciones, los agentes de automatización y los servicios. Las entidades de servicio son como cuentas de servicio en Windows o Linux. Use las claves administradas por el cliente en Azure Key Vault si necesita un control granular sobre la protección de TDE. Conéctese a SQL Database y a SQL Managed Instance mediante una ruta de datos privada. Supervise periódicamente el panel de detección y clasificación de datos para obtener una evaluación precisa del estado de la clasificación de su base de datos. No mantenga los datos que requieran cifrado en reposo en una base de datos maestra. La base de datos maestra no se puede cifrar con TDE. Los usuarios móviles deben usar la configuración de VPN de punto a sitio para conectarse a través de rutas de datos. Personalice la clasificación de acuerdo con las necesidades de su organización. Al usar Always Encrypted con TDE; se recomienda contar con seguridad de la capa de transporte (TLS) para la protección completa de los datos en reposo, en tránsito y en uso. Si se conecta mediante una ruta de datos públicos, asegúrese de proteger el acceso mediante el uso de reglas de NSG y firewall adecuadas. Use la MFA con acceso condicional en Azure AD para agregar un nivel adicional de seguridad. Use la autenticación integrada de Azure AD para eliminar la necesidad de que los usuarios usen contraseñas. Use las identidades administradas con aplicaciones para una autenticación sin contraseña. Si no puede evitar el uso de contraseñas y credenciales, almacene las contraseñas de los usuarios y los secretos de las aplicaciones en Azure Key Vault. Autenticación y administración del acceso Autenticación de Azure Active Directory Azure Defender para SQL: evaluación de vulnerabilidades Seguridad de la capa de transporte Inyección de VNet para SQL Managed Instance Clasificación de datos Control de acceso basado en roles (RBAC) Azure Defender para SQL: detección de amenazas Cifrado transparente de datos Enlace privado para SQL DB Integración con Azure Purview Roles y permisos de SQL Auditoría de SQL con varios objetivos Always Encrypted Reglas de firewall y grupos de seguridad de red Seguridad de nivel de fila (RLS) Auditorías de las operaciones de soporte de Microsoft Integración con Azure Security Center Enmascaramiento dinámico de datos Protección de datos Seguridad de red Gobernanza de datos Prevención y detección de amenazas Ejecute un análisis de vulnerabilidades Vea el informe Analice los resultados Resuelva los problemas Procedimientos recomendados para la prevención y detección de amenazas Configure Azure Defender para SQL con SQL Database Auditing para obtener la experiencia de investigación completa. Configure puntos de referencia para configuraciones aceptables hasta que el análisis no muestre nada. Configure escaneos periódicos para que se ejecuten una vez a la semana y aspectos que permitan a la persona correspondiente recibir correos electrónicos de resumen. Resuelva los controles y actualice los puntos de referencia cuando sea pertinente. Veamos cómo podemos implementar los procedimientos recomendados de seguridad para Azure SQL. Si no tiene una cuenta Azure, obtenga una cuenta cuenta Azure gratuita hoy. Prevención y detección de amenazas SQL Database y SQL Managed Instance protegen los datos de los clientes al proporcionar capacidades de auditoría y detección de amenazas © 2021 Microsoft Corporation. Todos los derechos reservados. Este documento se proporciona “tal cual”. La información y las opiniones que aquí se expresan, incluidas las direcciones URL y otras referencias a sitios web de Internet, están sujetas a cambios sin previo aviso. Usted asume el riesgo de usarlo. Este documento no le otorga derecho legal alguno a ningún aspecto de propiedad intelectual de ninguno de los productos de Microsoft. Puede copiar y usar este documento para uso interno como referencia. Empiece a usar Azure SQL hoy mismo. Póngase manos a la obra con una cuenta gratuita de Azure Más información sobre Azure SQL Conéctese con un especialista en ventas de Azure Comience gratis > ID corporativa Reglas de acceso Autenticación Llamadas de autenticación Reclamaciones Azure Active Directory Dispositivo Microsoft Azure Autenticación DBA Seguridad Auditoría Azure Key Vault Envolver/ Desenvolver DEK Registro de eventos de auditoría Azure Monitor Azure Active Directory SQL Aplicación Texto sin formato Controlador del cliente Texto cifrado SQL VNet gateway Máquina virtual Express Route Local Se deniega el acceso público Punto de conexión privado 10.0.1.10 Hacker Usuario externo Propietario/ Administrador