5 buenas prácticas para proteger Recursos de Azure

La computación en la nube se ha convertido en la columna vertebral de los negocios modernos debido a su escalabilidad, flexibilidad y eficiencia de costos. Sin embargo, asegurar estos entornos es crucial para proteger datos sensibles, mantener la privacidad y cumplir con regulaciones estrictas.

Las organizaciones actuales enfrentan la compleja tarea de superar las amenazas basadas en la nube. Un aumento del 75% en las intrusiones en la nube en 2023, según el Informe Global de Amenazas 2024 de CrowdStrike, destaca la necesidad de entender cómo proteger los entornos y cargas de trabajo en la nube.

Dado el aumento de las brechas en la infraestructura de Microsoft, las organizaciones que usan Microsoft Azure deben tomar medidas proactivas para mitigar posibles riesgos. Las soluciones de Microsoft pueden ser complejas y difíciles de mantener y configurar, lo que las hace propensas a vulnerabilidades. Es responsabilidad de las organizaciones que usan Azure asegurarse de que sus entornos en la nube estén correctamente configurados y protegidos.

Este post describe las mejores prácticas para asegurar los recursos de Azure y garantizar que tu infraestructura en la nube esté protegida contra ciberamenazas emergentes y cada vez más sofisticadas.

1: Requerir Autenticación Multifactor (MFA) y Restringir el Acceso a Direcciones IP de Origen para el Acceso a la Consola y CLI

En la arquitectura de TI tradicional, el perímetro de seguridad estaba claramente definido por la presencia de firewalls de red físicos y protecciones de endpoint. En entornos basados en la nube, esta arquitectura ha evolucionado para incluir la identidad, que abarca las credenciales de usuario y la gestión de acceso.

Este cambio amplifica el riesgo de ataques de fuerza bruta o la compromisión de credenciales de usuario. En entornos de Microsoft, la complejidad del marco de seguridad de identidad y la incapacidad de aplicar consistentemente políticas de acceso condicional aumentan el riesgo. La falta de protección en tiempo real y la incapacidad de activar MFA directamente a través de un controlador de dominio aumentan aún más el riesgo.

Para evitar esto, las organizaciones deben:

  • Usar acceso condicional: Implementar políticas de acceso condicional y designar ubicaciones de confianza.
  • Requerir MFA: Establecer reglas para los tiempos de sesión, políticas de contraseñas fuertes y cambios periódicos de contraseña.
  • Monitorear conexiones MFA: Verificar que las conexiones MFA se originen de una fuente o rango de IP de confianza. Para servicios que no pueden utilizar identidades administradas para recursos de Azure y deben depender de claves API estáticas, una práctica crítica es restringir el uso a direcciones IP seguras cuando MFA no es una opción.

2: Ser cuidadoso a la hora de Asignar Privilegios Elevados

Las cuentas privilegiadas tienen permisos elevados, permitiéndoles realizar tareas u operaciones que un usuario estándar no podría realizar. Las cuentas con más privilegios de los necesarios son atractivas para los adversarios, aumentando tanto la probabilidad de comprometerse como el riesgo de daño.

Para ayudar a prevenir el abuso de cuentas privilegiadas por parte de adversarios, las organizaciones deben:

  • Reducir la cantidad de usuarios privilegiados: Solo otorgar asignaciones de roles privilegiados a un número limitado de usuarios.
  • Seguir el principio de privilegio mínimo: Otorgar solo los permisos necesarios para realizar las tareas requeridas.
  • Controlar el acceso: Restringir el acceso a la nube solo a direcciones IP y servicios de confianza.
  • Asegurar que las cuentas privilegiadas sean solo en la nube: Las cuentas privilegiadas de Azure deben ser solo en la nube (no sincronizadas con un dominio), deben requerir MFA y no deben usarse para tareas diarias.

3: Utilizar Key Vaults o una Solución de Gestión de Secretos para Almacenar Credenciales Sensibles

Mucha información digital se almacena sin querer en ubicaciones de acceso público que pueden ser explotadas por adversarios. Para protegerse contra esto, los equipos de seguridad deben preguntarse:

  • ¿Dónde almacenamos las claves de acceso?
  • ¿Dónde están incrustadas nuestras claves de acceso?
  • ¿Con qué frecuencia rotamos nuestras claves de acceso?

Tener una solución dedicada de gestión de secretos para proteger y aplicar acceso granular a secretos específicos dificulta que un adversario robe credenciales.

4: No permitir el libre acceso a Internet

Uno de los errores de configuración de la nube más comunes que observamos es el acceso saliente sin restricciones. Esto permite comunicaciones sin restricciones desde activos internos, lo que abre la puerta a comunicaciones salientes de adversarios y a la filtración de datos.

También conocido como salida de red libre, el acceso saliente sin restricciones es una configuración errónea en la que se permite a los recursos de la nube de Azure, como contenedores, hosts y funciones, comunicarse externamente con cualquier servidor de Internet con controles o supervisión limitados. Esto puede ser un error de configuración por defecto, y los equipos de seguridad a menudo tienen que colaborar con los equipos de TI o DevOps para resolverlo. Dado que los desarrolladores o los propietarios de sistemas no siempre tienen pleno conocimiento de los distintos servicios externos de los que puede depender una carga de trabajo -y dado que pueden estar acostumbrados a tener acceso saliente sin restricciones en sus otros entornos de trabajo-, algunas organizaciones luchan por cerrar esta laguna.

Los ciberdelincuentes pueden aprovecharse de ello siempre que una carga de trabajo procese datos que no sean de confianza. Por ejemplo, un adversario puede intentar comprometer el software subyacente que procesa solicitudes web, mensajes en cola o archivos cargados mediante la ejecución remota de código. A continuación, se recupera la carga útil o se establece un shell inverso. Si no se permite el acceso saliente, no pueden recuperar la carga útil y los ataques no pueden completarse. Sin embargo, una vez que un ataque inicial de ejecución de código tiene éxito, el adversario tiene el control total de la ejecución en el entorno.

Para abordar esto, las organizaciones pueden:

  • Definir reglas y configuraciones: Definir reglas de nube para controlar y filtrar el tráfico saliente de manera segura.
  • Aplicar el principio de privilegio mínimo: Otorgar acceso saliente solo a los recursos o servicios donde sea explícitamente requerido.
  • Añadir seguridad mediante una capa de proxy: Utilizar servidores proxy para introducir una capa adicional de seguridad.

5: Escanear Continuamente en Busca de Recursos de Shadow IT

Es común que las organizaciones tengan activos y procesos de IT en inquilinos de Azure que los equipos de seguridad no conocen. Para abordar los recursos de Shadow IT, se recomienda:

  • Implementar escaneo continuo: Desplegar herramientas y procesos para escanear continuamente en busca de recursos de IT no autorizados o desconocidos.
  • Establecer una gestión robusta de activos: Adoptar una solución integral de gestión de activos en la nube para identificar, rastrear y gestionar todos los activos de TI.
  • Mejorar la respuesta a incidentes: Fortalecer las estrategias de respuesta a incidentes integrando conocimientos de gestión de activos.

Adoptar estas mejores prácticas ayudará a asegurar los recursos de Azure y protegerá a las organizaciones contra ciberamenazas.

Artículo original en inglés