Defensa a profundidad: cómo asegurar sus cargas de trabajo en Azure, parte 2

por Gerry Le Canu

En esta continuación de nuestro post anterior acerca de cómo asegurar cargas de trabajo en Azure, nos meteremos más a fondo en el control de red dentro de Azure y veremos un paradigma de seguridad más nuevo para una filtración y detección asumidas una vez que un elemento nocivo obtuvo acceso a su ambiente, además de cómo prevenir que provoquen daño o extraigan su información.

Anteriormente, hablamos sobre la responsabilidad de la seguridad y las certificaciones dentro de Azure, y delineamos qué responsabilidad recae en Microsoft, qué se comparte y qué es únicamente incumbencia del cliente. También hablamos sobre elementos básicos de protección de perímetro y de cómo proteger sus aplicaciones y cargas de trabajo.

Asuma la filtración

A pesar de que puede y debe configurar un perímetro seguro, eso ya no es suficiente. Los atacantes de la actualidad han obtenido acceso a herramientas más sofisticadas y son muy persistentes cuando se trata de acceder a su ambiente. Debe asumir que tarde o temprano se infiltrarán. Por ello, es fundamental expandir su enfoque más allá de simplemente bloquear a sus atacantes, para aprender cómo y dónde utilizar prácticas recomendadas de seguridad y cómo detectar y contener a un intruso que quiere obtener acceso.

Protección externa de amenazas

Una configuración de seguridad de mejores prácticas que recientemente está disponible en la plataforma Azure es la protección de capa siete para cargas de trabajo de interacción con el público. Si su carga de trabajo sigue los lineamientos de un régimen PCI, es requisito que proteja sus aplicaciones web de amenazas basadas en web como inyecciones SQL o ataques cross-site scripting.

La metodología favorita es aprovechar un Web Application Firewall (WAF), como el recién lanzado Azure WAF, como parte de Application Gateway. A pesar de que puede hacer esto con un aplicativo de red tradicional, recomendaríamos un servicio como Incapsula, que no solo ofrece protección ante amenazas sino también protección de ataques de denegación de servicios (DDoS).

Aplicativos virtuales de red

A pesar de que servicios de pasarela como Incapsula son grandiosos para protección de amenazas externas, como solución pública SaaS, no le ayudará con detección o mitigación de amenazas internas. Su ambiente necesita una mezcla de aplicativos virtuales de red, como un sistema de detección de intrusiones (IDS) o posiblemente incluso un firewall de siguiente generación (NGFW), para añadir una inspección adicional al tráfico dentro de su red. Estos dos aplicativos de red tradicionales le permiten detectar y reaccionar a amenazas en potencia a su ambiente.

Enrutamiento definido por el usuario

Un IDS puede utilizar un agente en sus VM para detectar amenazas, los NGFW solo pueden inspeccionar el tráfico que pasan por ellos. Para aquellos que pusieron atención, nuestro post anterior ilustra que todos los recursos dentro de una Azure Virtual Network (VNET) pueden enrutarse de manera nativa entre uno y otro a través de Azure System Routes. A pesar de que esto es grandioso en lo que respecta a facilidad de configuración y administración, también quiere decir que el tráfico interno puede evitar su NGFW, anulando así sus capacidades.

Aquí es donde presentamos User Defined Routing (UDR) en Azure. Las UDR le permiten determinar el flujo del tráfico dentro de una VNET así como la manera en que el tráfico sale de la VNET hacia el internet o hacia una red interna. En este caso, ha implementado una NGFW para realizar inspección de paquetes para asegurarse de que incluso cuando las capas de aplicaciones y base de datos se comuniquen, lo hagan a través del NGFW. Esto requiere de la creación de una tabla de rutas que fuerce todo el tráfico que sale de la subred de la aplicación a utilizar la interfaz de red interna como su siguiente salto, lo que permite que el NGFW se encargue de la inspección antes de redireccionarlo a la capa de base de datos.

Ciberdefensa

Ahora que ha utilizado prácticas recomendadas en seguridad perimetral e inspecciona el tráfico interno, ¿quién vigila su ambiente? ¿Su equipo se asegura de que en caso de que ocurra un ataque, no permanezca sin detección por un largo periodo?

Esto es lo que diferencia las soluciones de seguridad tradicionales de punto reactivo de aquellos enfoques de seguridad activa moderna. La mejor defensa con frecuencia es una buena ofensiva, y cazar de manera activa vulnerabilidades de seguridad es mejor que esperar una alerta que podría llegar demasiado tarde, si es siquiera que llega. Necesita un centro de operaciones de seguridad dotado de gente que sepa en dónde reside su información más valiosa y que priorice su protección. Este equipo de seguridad debe detectar que está llevándose a cabo actividad malintencionada o que una filtración ocurrió y que los atacantes están “ocultos” hasta que sientan que pueden extraer su información más valiosa.

A trabajar con un socio confiable

Con Fanatical Suport para Microsoft Azure y Managed Security Service, obtiene dos equipos de ingenieros y analistas: uno que se enfoca en configuración de mejores prácticas Azure e implementación de su perímetro de defensa, mientras que el otro se enfoca en ciberdefensa y vigila cualquier filtración.

Lea nuestro documento para enterarse más acerca de cómo Rackspace desarrolló procedimientos de seguridad que incorporan los elementos más efectivos de estrategias de seguridad tradicional.

LEAVE A REPLY

Please enter your comment!
Please enter your name here