Introducción al diseño de la arquitectura de seguridad

La seguridad constituye uno de los aspectos más importantes de cualquier arquitectura. Las medidas de seguridad eficaces protegen la confidencialidad, integridad y disponibilidad de sus datos y sistemas frente a ataques y abusos deliberados.

Azure proporciona muchas herramientas y funcionalidades de seguridad, incluidos los siguientes servicios clave:

• Microsoft Defender para la nube proporciona administración de la posición de seguridad en la nube (CSPM) y protección de cargas de trabajo en la nube (CWP). Evalúa los recursos para el cumplimiento de la seguridad, proporciona una puntuación segura para realizar un seguimiento de la posición y ofrece protección contra amenazas en las cargas de trabajo de Azure, locales y multinube.

• Microsoft Entra ID es el servicio de administración de identidades y acceso basado en la nube (IAM) Microsoft. Proporciona inicio de sesión único (SSO), autenticación multifactor (MFA) y acceso condicional para protegerse frente a ataques basados en identidades.

• Azure Front Door es un punto de entrada global para aplicaciones web. Proporciona un firewall de aplicaciones web (WAF) integrado para protegerse frente a exploits y vulnerabilidades comunes, protección contra DDoS y terminación de la seguridad de la capa de transporte (TLS) en el perímetro.

• Azure Firewall es un firewall de red nativo de la nube que admite el filtrado basado en inteligencia sobre amenazas, la detección y prevención de intrusiones (IDPS) en el nivel Premium, la inspección de TLS y las reglas basadas en el nombre de dominio completo (FQDN).

• Azure Key Vault proporciona administración centralizada de secretos, administración de claves y administración de certificados. El nivel Premium ofrece claves protegidas por módulo de seguridad de hardware (HSM) validadas en los estándares federales de procesamiento de información (FIPS) 140-3 nivel 3.

• Azure Private Link le permite acceder a soluciones de plataforma como servicio (PaaS) de Azure a través de un punto de conexión privado de la red virtual. Este enfoque mantiene el tráfico en la red troncal Microsoft y elimina la exposición a la red pública de Internet.

• Azure Application Gateway es un equilibrador de carga de tráfico web regional que incluye un Firewall de Aplicaciones Web (WAF) que protege contra las 10 principales vulnerabilidades del Open Worldwide Application Security Project (OWASP), mitigación de bots y reglas personalizadas.

• Azure Policy le permite aplicar estándares de la organización, evaluar el cumplimiento a escala y aplicar límites de protección que impiden configuraciones de recursos no conformes.

Para obtener más información sobre las funcionalidades y las herramientas de seguridad de Azure, consulte Seguridad de extremo a extremo en Azure.

Arquitectura

Descargue un archivo de Visio de esta arquitectura.

En el diagrama anterior se muestra una implementación típica de seguridad de línea base. La arquitectura muestra cómo Azure los servicios de seguridad funcionan conjuntamente para proteger las cargas de trabajo en las capas de identidad, redes, datos y aplicaciones. Para obtener soluciones reales que puede compilar en Azure, consulte Example solutions.

Más información sobre la seguridad en Azure

Microsoft Learn proporciona formación gratuita en línea para Azure tecnologías de seguridad. La plataforma ofrece vídeos, tutoriales y laboratorios interactivos para productos y servicios específicos, junto con rutas de aprendizaje organizadas por rol de trabajo.

Los siguientes recursos proporcionan conocimientos fundamentales para las implementaciones de seguridad en Azure.

Seguridad fundamentals: Las siguientes rutas de aprendizaje cubren los conceptos básicos de seguridad y las características de seguridad de Azure:

• Introducción a los conceptos de seguridad, cumplimiento e identidad
• Introducción a Microsoft Entra
• Introducción a soluciones de seguridad de Microsoft

Seguridad de red: La siguiente ruta de aprendizaje abarca la seguridad de red virtual, la segmentación de red y la conectividad segura:

• Configurar el acceso seguro a las cargas de trabajo mediante redes virtuales Azure

Protección de datos: La siguiente ruta de aprendizaje abarca el cifrado, la administración de claves y la seguridad de las aplicaciones:

• Asegura tus aplicaciones en la nube en Azure

Protección contra amenazas: La siguiente ruta de aprendizaje abarca la detección, la investigación y la respuesta de amenazas:

• Mitiga amenazas utilizando el Microsoft Defender para la nube

Rutas de aprendizaje por rol

Microsoft Learn ofrece rutas de certificación basadas en roles para profesionales de seguridad:

• Microsoft Certificado: Ingeniero Asociado de Seguridad de Azure (AZ-500)

  Note

  La certificación AZ-500 se retira el 31 de agosto de 2026. Compruebe la página de certificación para obtener la información más reciente.

• Microsoft Certificado: Analista Asociado de Operaciones de Seguridad (SC-200)

• Microsoft Certificado: Experto en arquitecto de ciberseguridad (SC-100)

Preparación de la organización

Las organizaciones que inician su adopción de la nube pueden usar Cloud Adoption Framework para Azure para acceder a instrucciones probadas que aceleran la adopción de la nube. La metodología Cloud Adoption Framework Secure proporciona un enfoque estructurado para proteger el patrimonio de la nube de Azure. Proporciona instrucciones de seguridad en toda la estrategia, planeación, preparación, adopción, gobernanza y operaciones.

La gobernanza de Azure establece las herramientas necesarias para apoyar la gobernanza en la nube, la auditoría de cumplimiento y los controles de protección automatizados. Para obtener más información, consulte la guía de diseño de gobernanza de Azure.

Para ayudar a garantizar la calidad de la solución de seguridad en Azure, siga el Azure Well-Architected Framework. El marco de Well-Architected proporciona instrucciones prescriptivas para las organizaciones que buscan excelencia arquitectónica y describen cómo diseñar, aprovisionar y supervisar soluciones de Azure optimizadas para costos. Para obtener más información, consulte el pilar seguridad deWell-Architected Framework.

Para obtener instrucciones específicas de seguridad, consulte las siguientes guías de servicio de Well-Architected Framework:

• Azure Firewall
• Azure Application Gateway
• Azure Front Door

Prácticas recomendadas

Siga estos procedimientos recomendados para mejorar la seguridad, confiabilidad, rendimiento y calidad operativa de las cargas de trabajo de seguridad en Azure:

• Principios de diseño de seguridad: Principios rectores para ayudarle a diseñar cargas de trabajo seguras en Azure, basadas en el modelo de Confianza cero y la tria de la CIA de confidencialidad, integridad y disponibilidad.

• Vínculos rápidos de seguridad: una página central para el pilar seguridad de Well-Architected Framework que proporciona vínculos a instrucciones de seguridad, patrones de diseño y procedimientos recomendados.

• Lista de comprobación de revisión de diseño para seguridad: lista de comprobación de recomendaciones para la revisión del diseño de seguridad que cubre la identidad, las redes, la protección de datos y la gobernanza.

• Azure Firewall y Azure Application Gateway para redes virtuales: guía para ayudarle a proteger las cargas de trabajo de aplicaciones de Azure mediante el uso de capas de autenticación, cifrado y seguridad de red con Azure Firewall y Azure Application Gateway.

• Implementar una red de Confianza cero para aplicaciones web mediante Azure Firewall y Azure Application Gateway: un enfoque proactivo e integrado para la seguridad en todas las capas mediante principios de Confianza cero y cifrado, e inspección TLS de extremo a extremo.

• Microsoft estándar de seguridad en la nube: prácticas recomendadas prescriptivas y recomendaciones para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en entornos de Azure y multinube.

Mantenerse al día con la seguridad

Los servicios de seguridad de Azure evolucionan para abordar los desafíos modernos de seguridad. Manténgase informado sobre las últimas actualizaciones y características.

Para mantenerse al día con los servicios de seguridad clave, consulte los artículos siguientes:

• Novedades de Microsoft Defender para la nube
• Lanzamientos y anuncios de Microsoft Entra
• Novedades de Azure Key Vault
• Novedades de Microsoft Azure Sentinel
• Novedades de Azure Firewall
• Novedades de Azure Application Gateway

Otros recursos

La categoría de seguridad abarca una variedad de soluciones. Los siguientes recursos pueden ayudarle a descubrir más sobre Azure.

Soluciones de ejemplo

Las siguientes soluciones de arquitectura muestran patrones de seguridad e implementaciones en Azure:

• Acceso de seguridad mejorada a las aplicaciones web de Azure App Service desde una red local
• Aplicaciones web administradas de forma segura
• Aplicación web de base de alta disponibilidad con redundancia de zona
• Examinar todas las arquitecturas de seguridad

Documentación del producto

• Seguridad de extremo a extremo en Azure: introducción a los servicios de seguridad en Azure, organizados por funcionalidades de protección, detección y respuesta.

• Arquitecturas de referencia de ciberseguridad de Microsoft: Diagramas que describen cómo las capacidades de seguridad de Microsoft se integran con plataformas de Microsoft y plataformas asociadas mediante los principios de Confianza cero.

Híbrido y multinube

La mayoría de las organizaciones necesitan un enfoque híbrido para la seguridad porque sus cargas de trabajo, identidades y datos abarcan centros de datos locales, Azure y otras plataformas en la nube. Las directivas de seguridad, la detección de amenazas y los controles de cumplimiento deben extenderse en todos estos entornos para evitar brechas que los atacantes puedan aprovechar. Las organizaciones suelen extender soluciones de seguridad locales a la nube y usan Azure Arc para proyectar recursos no pertenecientes a Azure en el plano de control de Azure para la gobernanza centralizada. Para conectar entornos, las organizaciones deben elegir una arquitectura de red híbrida.

Revise los siguientes escenarios de seguridad híbridos y multinube clave:

• Mplementar una red híbrida segura: una arquitectura de referencia que extiende una red local a Azure. Usa una red perimetral (también conocida como DMZ, zona desmilitarizada y subred filtrada) y Azure Firewall para controlar el tráfico entrante y saliente entre entornos locales y Azure.

• Conectar una red local a Azure: Comparación de opciones de conectividad de red híbrida, como Azure VPN Gateway, Azure ExpressRoute y Azure ExpressRoute con conmutación por error de VPN, que establecen una base segura de red para despliegues híbridos.

• Diseño de arquitectura híbrida: una página de enlace para arquitecturas híbridas en Azure que cubre la conectividad de red híbrida, las mejores prácticas y las arquitecturas de referencia para ejecutar cargas de trabajo en entornos en las instalaciones y Azure.

• Design a hybrid DNS solution by using Azure: Una arquitectura de referencia que implementa una solución híbrida del sistema de nombres de dominio (DNS) que resuelve los nombres de las cargas de trabajo hospedadas localmente y en Azure. Esta arquitectura usa Azure DNS resolución privada y Azure Firewall.

• Amplementar la adopción híbrida y multinube mediante Azure Arc y zonas de aterrizaje de Azure: guía para incorporar servidores locales, clústeres de Kubernetes y servicios multinube en el plano de control de Azure mediante Azure Arc. Esta arquitectura usa Microsoft Defender para la nube para habilitar la aplicación centralizada de directivas, la supervisión y la protección contra amenazas.

• Integrate Azure y servicios de seguridad de Microsoft Defender XDR: una idea de solución que integra Microsoft Sentinel, Microsoft Defender para la nube y Microsoft Defender XDR para unificar la supervisión de seguridad y la respuesta a amenazas en entornos locales y en la nube.

Administración de identidades y acceso

La identidad es el perímetro de seguridad principal en entornos en la nube. En Azure, IAM se centra en Microsoft Entra ID como proveedor de identidades basado en la nube. Acceso condicional de Microsoft Entra actúa como motor de directivas de Confianza cero. Las arquitecturas y guías siguientes abordan los patrones de diseño de IAM para entornos de Azure y multinube:

• Integrar dominios de Active Directory locales con Microsoft Entra ID: Una arquitectura de referencia que integra Active Directory locales con Microsoft Entra ID para proporcionar autenticación de identidad basada en la nube, incluida Microsoft Entra Connect Sync, el proxy de aplicación de Microsoft Entra y el acceso condicional de Microsoft Entra.

• Diseño de arquitectura de identidad: página central para la arquitectura de identidad en Azure que abarca rutas de aprendizaje, opciones de diseño, instrucciones de implementación e implementaciones de identidad de línea de base.

• Crear un bosque de recursos de Active Directory Domain Services (AD DS) en Azure: una arquitectura de referencia que crea un dominio de Active Directory independiente en Azure en el que confían los dominios de un bosque de Active Directory local.

• Deploy AD DS en una red virtual Azure: arquitectura de referencia que extiende un dominio de Active Directory local a Azure para proporcionar servicios de autenticación distribuidos.

• Extender AD FS local a Azure: una arquitectura de referencia que implementa la autorización de Servicios de federación de Active Directory (AD FS) (AD FS) en Azure como parte de una red híbrida segura.

Protección contra amenazas

La protección contra amenazas abarca las herramientas, los patrones y las prácticas que detectan, evitan y responden a amenazas de seguridad en Azure cargas de trabajo. Azure proporciona protección contra amenazas superpuesta a través de servicios como Microsoft Defender para la nube, Microsoft Sentinel y Protección de Microsoft Entra ID. Estos servicios usan análisis de comportamiento, aprendizaje automático e inteligencia sobre amenazas para detectar amenazas en los niveles de proceso, almacenamiento, redes, identidades y aplicaciones.

Las arquitecturas y guías siguientes abordan los patrones de protección contra amenazas en Azure:

• Protección multicapa para el acceso a máquinas virtuales de Azure: una solución de defensa en profundidad que combina Microsoft Entra Privileged Identity Management (PIM), acceso JIT (Just-In-Time) a máquinas virtuales en Microsoft Defender para la nube, Azure Bastion y roles personalizados de Azure RBAC (control de acceso basado en roles) para minimizar la superficie de ataque en la administración de máquinas virtuales.

• Build the first layer of defense by using Azure security services: Una propuesta de solución que asigna los servicios de seguridad de Azure a los recursos y tipos de amenazas mediante el marco MITRE ATT&CK. En este artículo se organizan Azure servicios de seguridad por capas de red, infraestructura, aplicación, datos e identidad.

• Asignar amenazas a su entorno de TI: guía que le ayuda a diagramar su entorno de TI y crear un mapa de amenazas mediante el marco MITRE ATT&CK. Abarca entornos locales, Azure y Microsoft 365.

• Integrate Azure y servicios de seguridad de Microsoft Defender XDR: una idea de solución que muestra cómo integrar Microsoft Sentinel, Microsoft Defender para la nube y Microsoft Defender XDR para la supervisión unificada de la seguridad y la respuesta a amenazas en entornos locales y en la nube.

• Microsoft Sentinel respuestas automatizadas: una idea de solución que utiliza manuales de procedimientos de Microsoft Sentinel y Azure Logic Apps para automatizar la respuesta a amenazas, incluyendo el bloqueo de usuarios comprometidos y el aislamiento de dispositivos finales.

• Principios de aplicación Confianza cero a las máquinas virtuales en Azure: guía paso a paso para aplicar principios de Confianza cero a las máquinas virtuales de Azure, incluido el aislamiento lógico, RBAC, arranque seguro, cifrado, acceso seguro mediante Azure Bastion y detección avanzada de amenazas mediante el uso de Microsoft Defender para servidores.

• Azure protección contra amenazas: información general de los servicios de protección contra amenazas de Azure, incluidos Microsoft Defender para la nube, Microsoft Sentinel, Protección de Microsoft Entra ID, Microsoft Defender for Cloud Apps y Azure Firewall.

Profesionales de Amazon Web Services (AWS) o Google Cloud

Para ayudarle a empezar a trabajar rápidamente, los siguientes artículos comparan Azure opciones de seguridad con otros servicios en la nube.

Comparación de servicios

• Compare AWS y soluciones de administración de identidades de Azure: una comparación detallada de AWS y Azure servicios de identidad, como la identidad principal, la autenticación, el control de acceso, la administración de acceso con privilegios y los patrones de identidad de la aplicación.

• AWS para Azure comparación de servicios: seguridad, identidad y acceso: comparación de los servicios de seguridad de AWS y Azure, incluidos IAM, cifrado, firewalls, detección de amenazas, información de seguridad y administración de eventos (SIEM) y protección contra DDoS.

• Google Cloud to Azure services comparison - Security and identity: Comparación de google Cloud y servicios de seguridad de Azure. Abarca la autenticación, el cifrado, la administración de claves, la detección de amenazas, SIEM, la seguridad del contenedor y la prevención de pérdida de datos (DLP).

• Microsoft Entra administración de identidades y administración de acceso para AWS: Guía para implementar soluciones de IAM Microsoft Entra para AWS, como SSO, MFA, Acceso condicional de Microsoft Entra y Microsoft Entra PIM para cuentas de AWS.

Guía de migración

Si va a migrar desde otra plataforma en la nube, consulte los artículos siguientes:

• Migrar servicios de seguridad de AWS: Guía para migrar los servicios de seguridad de AWS a Azure, incluida la migración de SIEM a Microsoft Sentinel y la migración de identidad de clientes a Id. externa de Microsoft Entra.

• Migra las cargas de trabajo a Azure desde otras plataformas en la nube: Información general sobre el proceso de migración de cargas de trabajo de un extremo a otro desde AWS y Google Cloud a Azure, incluidas las fases de planeación, preparación y ejecución.