Guía

Comenzar una transformación de Zero Trust desde un modelo de perímetro tradicional.

→Priorice el principio de "Verificar explícitamente". Autentique y autorice cada solicitud de acceso basándose en todos los puntos de datos disponibles (identidad, dispositivo, ubicación, servicio, datos, anomalías).

Por qué: La verificación explícita es el pilar fundamental de Zero Trust. Todos los demás controles (privilegio mínimo, asumir compromiso) se basan en este principio central de nunca confiar y siempre verificar.

Referencia↗

Diseñar una defensa integral contra la cadena completa de ataque de ransomware.

→Combine estaciones de trabajo de acceso privilegiado (PAWs) para prevenir el robo de credenciales y el movimiento lateral, con una arquitectura de copia de seguridad inmutable (Azure Backup immutable vaults, MUA) para una recuperación resiliente.

Por qué: Esto aborda tanto la prevención (las PAWs interrumpen el ataque) como la recuperación (las copias de seguridad inmutables aseguran la continuidad del negocio si la prevención falla), proporcionando una verdadera resiliencia.

Integrar el modelado de amenazas en un ciclo de vida de desarrollo ágil con sprints cortos.

→Implemente el modelado de amenazas incremental utilizando la metodología STRIDE. Intégrelo en la planificación del sprint, actualizando el modelo a medida que la arquitectura evoluciona y utilizándolo como un punto de control para las revisiones de seguridad.

Por qué: El modelado de amenazas debe ser continuo, no un evento único, para ser efectivo en entornos ágiles. Las actualizaciones incrementales mantienen la seguridad alineada con la velocidad de desarrollo.

Implementar Zero Trust con un enfoque por fases para obtener resultados rápidos.

→Siga la priorización del Plan de Modernización Rápida (RaMP) de Zero Trust: 1. Gestión de Identidad y Acceso, 2. Puntos de Conexión y Dispositivos, 3. Aplicaciones, 4. Red e Infraestructura.

Por qué: Asegurar la identidad proporciona la reducción de riesgo inmediata más significativa y forma el plano de control para todos los demás pilares de Zero Trust.

Priorizar la remediación de vulnerabilidades basándose en el impacto comercial, no solo en las puntuaciones CVSS.

→Utilice Microsoft Security Exposure Management para realizar análisis de rutas de ataque contra activos críticos identificados. Priorice la remediación de vulnerabilidades que proporcionen rutas de ataque viables a objetivos de alto valor.

Por qué: El análisis de rutas de ataque contextualiza las vulnerabilidades con el riesgo comercial, asegurando que los esfuerzos de remediación se centren en las amenazas que representan el mayor peligro para la organización.

Hacer cumplir una línea base de seguridad consistente en una gran empresa con muchas suscripciones de Azure.

→Implemente iniciativas de Azure Policy alineadas con MCSB en el grupo de administración raíz. Utilice Microsoft Defender for Cloud para la supervisión continua del cumplimiento en todas las suscripciones heredadas.

Por qué: La asignación de políticas a nivel de grupo de administración proporciona barreras de seguridad escalables y heredadas para todas las suscripciones actuales y futuras, asegurando una línea base de seguridad consistente por defecto.

Diseñar un Centro de Operaciones de Seguridad (SOC) para una empresa global con requisitos de residencia de datos regionales.

→Despliegue una arquitectura de Microsoft Sentinel con múltiples workspaces. Mantenga los datos en workspaces regionales de Log Analytics para satisfacer las necesidades de residencia. Utilice Azure Lighthouse para la gestión centralizada y consultas entre workspaces para una búsqueda unificada de amenazas.

Por qué: Este modelo equilibra las operaciones de seguridad centralizadas y la visibilidad global con el cumplimiento de la residencia de datos local, evitando violaciones de transferencia de datos.

Referencia↗

Optimizar las operaciones del SOC utilizando Microsoft Defender XDR y Microsoft Sentinel.

→Habilite el conector de Microsoft Defender XDR en Sentinel para la sincronización bidireccional de incidentes. Utilice Defender XDR para una investigación profunda y automatizada de incidentes de M365/endpoint. Use Sentinel para la correlación entre dominios con fuentes de terceros y la búsqueda avanzada.

Por qué: Este enfoque de "mejor juntos" aprovecha las fortalezas de ambas plataformas: XDR para una respuesta integrada y automatizada dentro del ecosistema de Microsoft y SIEM para una visibilidad y correlación amplias entre plataformas.

Implementar la automatización de la respuesta a incidentes sin introducir un riesgo excesivo por falsos positivos.

→Diseñe una estrategia de automatización por niveles en Sentinel. Automatice completamente las acciones de bajo riesgo (enriquecimiento, notificaciones). Utilice flujos de trabajo de aprobación con intervención humana para acciones de riesgo medio (bloqueo de IP). Reserve las acciones de alto impacto (desactivación de cuentas) para ejecución manual.

Por qué: La automatización por niveles equilibra la velocidad de respuesta con la supervisión adecuada, maximizando la eficiencia del SOC para tareas comunes mientras evita que las acciones automatizadas causen una interrupción operativa importante.

Establecer un plano unificado de supervisión de seguridad en entornos locales, Azure, AWS y GCP.

→Utilice Microsoft Sentinel como SIEM central. Integre servidores locales/multicloud a través de Azure Arc. Utilice conectores de datos nativos de Sentinel para servicios de AWS y GCP. Habilite Microsoft Defender for Cloud en todos los entornos.

Por qué: Azure Arc extiende el plano de control de Azure a cualquier infraestructura, proporcionando un panel único para la gestión de seguridad (Defender for Cloud) y la supervisión (Sentinel) en entornos híbridos y multicloud.

Asegurar la retención a largo plazo y a prueba de manipulaciones de los registros de auditoría administrativa para el cumplimiento.

→Configure los ajustes de diagnóstico para exportar los registros de actividad de Azure a un workspace dedicado de Log Analytics y a una cuenta de Azure Storage inmutable. Coloque estos recursos en una suscripción de seguridad/administración separada y bloqueada.

Por qué: El almacenamiento inmutable (WORM) evita la manipulación de registros. Una suscripción de administración separada aísla los registros de los administradores de la carga de trabajo, evitando que un administrador comprometido borre sus rastros.

Priorizar las inversiones en controles de seguridad basándose en patrones de ataque probables.

→Mapee los controles de seguridad existentes al marco MITRE ATT&CK. Analice la inteligencia de amenazas relevante para la industria para identificar los TTPs comunes utilizados por los adversarios probables. Priorice el cierre de brechas de detección/prevención para esos TTPs específicos.

Por qué: Este enfoque basado en amenazas asegura que las inversiones en seguridad aborden directamente los vectores de ataque más probables y de mayor impacto, maximizando la reducción de riesgos.

Gestionar el exceso de permisos (proliferación de permisos) para identidades en Azure, AWS y GCP.

→Implemente Microsoft Entra Permissions Management (CIEM). Úselo para el descubrimiento continuo de permisos, la evaluación de riesgos (índice de proliferación de permisos) y la generación de recomendaciones para ajustar los permisos y aplicar el principio de privilegio mínimo.

Por qué: CIEM es una solución especializada para abordar la complejidad de los permisos multicloud, proporcionando visibilidad y análisis automatizados que no son factibles solo con las herramientas IAM nativas de la nube.

Diseñar un programa para detectar la exfiltración de datos o el sabotaje por parte de empleados internos.

→Implemente Microsoft Purview Insider Risk Management. Intégrelo con sistemas de RRHH para activar políticas basadas en eventos de empleo (por ejemplo, renuncia). Configure políticas basadas en indicadores de riesgo y utilice la seudonimización para proteger la privacidad durante el análisis inicial.

Por qué: La gestión eficaz del riesgo interno requiere correlacionar señales técnicas (por ejemplo, descarga masiva) con el contexto de RRHH (por ejemplo, fecha de terminación del empleado), para lo cual Purview está diseñado, respetando la privacidad.

Diseñar la seguridad de red para una topología estándar de hub-and-spoke de Azure.

→Despliegue Azure Firewall Premium en la VNet del hub para la inspección centralizada del tráfico (incluyendo IDPS e inspección TLS). Utilice rutas definidas por el usuario (UDRs) para forzar el tunelado del tráfico desde los spokes. Utilice NSGs para la microsegmentación dentro de los spokes. Habilite Azure DDoS Protection en el hub.

Por qué: Esta arquitectura en capas proporciona defensa en profundidad: protección centralizada contra amenazas en el hub, microsegmentación en los spokes y protección contra ataques volumétricos en el perímetro.

Referencia↗

Diseñar una arquitectura para evitar que un atacante se mueva de una estación de trabajo comprometida a servidores críticos (Tier 0).

→Implemente el modelo de administración por niveles. Utilice cuentas separadas y dedicadas y estaciones de trabajo de acceso privilegiado (PAWs) para diferentes niveles de administración (Tier 0, 1, 2). Haga cumplir que las credenciales de Tier 0 nunca se utilicen en sistemas de niveles inferiores.

Por qué: Esto crea límites de aislamiento de credenciales, haciendo imposible que el robo de credenciales en un activo de nivel inferior (como una estación de trabajo de usuario) conduzca al compromiso de un activo de nivel superior (como un controlador de dominio).

Proteger un entorno de Tecnología Operacional (OT) con dispositivos heredados que no pueden ejecutar agentes de seguridad.

→Despliegue Microsoft Defender for IoT utilizando sensores de red pasivos y sin agente. Implemente la segmentación de red basada en el modelo de Purdue para crear una DMZ entre IT y OT. Integre las alertas de Defender for IoT en Microsoft Sentinel.

Por qué: La supervisión pasiva de la red proporciona visibilidad de los protocolos y amenazas específicos de OT sin afectar los sistemas industriales heredados y sensibles. La segmentación contiene amenazas y controla los flujos de datos IT/OT.

Diseñar seguridad en profundidad para cargas de trabajo de Azure Kubernetes Service (AKS).

→Combine Microsoft Defender for Containers (escaneo de registro, detección de amenazas en tiempo de ejecución) con Azure Policy para AKS (control de admisión para aplicar estándares de seguridad como no usar contenedores privilegiados) y políticas de red (para microsegmentación pod-a-pod).

Por qué: La seguridad de contenedores requiere un enfoque de múltiples capas: "shift-left" en el registro, barreras preventivas en el despliegue (control de admisión), aislamiento de red en tiempo de ejecución y detección de amenazas en tiempo de ejecución.

Referencia↗

Diseñar conectividad altamente segura y de alto rendimiento entre centros de datos locales y Azure.

→Utilice ExpressRoute con emparejamiento privado como conexión principal, con una VPN de sitio a sitio como copia de seguridad de conmutación por error. Habilite el cifrado MACsec o IPsec sobre ExpressRoute. Utilice Private Endpoints para acceder a los servicios PaaS de Azure.

Por qué: ExpressRoute proporciona una conexión privada y dedicada, evitando el internet público. Los Private Endpoints aseguran que el tráfico PaaS también se mantenga fuera de internet. El cifrado sobre ExpressRoute proporciona defensa en profundidad.

Diseñar la máxima seguridad para una cuenta de Azure Storage que contiene datos sensibles.

→Deshabilite el acceso público y anónimo. Utilice Private Endpoints para el acceso a la red. Use identidades administradas para la autenticación de aplicaciones. Aplique cifrado con claves administradas por el cliente (CMK). Habilite Microsoft Defender for Storage para la detección de amenazas.

Por qué: Este enfoque en capas aborda todos los vectores clave de seguridad: exposición de red (Private Endpoints), gestión de credenciales (identidades administradas), control de cifrado (CMK) y amenazas en tiempo de ejecución (Defender for Storage).

Aplicar una gestión de seguridad y gobernanza consistente a servidores locales y multicloud.

→Incorpore los servidores a Azure Arc. Esto extiende el plano de control de Azure, permitiendo la gestión a través de Microsoft Defender for Cloud (CSPM/CWP), la aplicación de Azure Policy (incluida la configuración de invitados) y el uso de servicios como Update Management.

Por qué: Azure Arc es la tecnología fundamental para crear un único plano de gestión y seguridad en un entorno de servidores híbrido y multicloud.

Referencia↗

Proteger el acceso de los trabajadores remotos tanto a aplicaciones de internet/SaaS como a aplicaciones corporativas privadas.

→Implemente Global Secure Access de Microsoft. Utilice Microsoft Entra Internet Access como Secure Web Gateway (SWG) para el tráfico de SaaS/internet. Utilice Microsoft Entra Private Access como solución Zero Trust Network Access (ZTNA) para reemplazar las VPN tradicionales.

Por qué: Esto proporciona una solución SSE unificada y centrada en la identidad que aplica políticas de seguridad consistentes independientemente de la ubicación del usuario o el tipo de recurso, alineándose con los principios modernos de Zero Trust.

Diseñar protección integral para máquinas virtuales de Azure.

→Habilite Microsoft Defender for Servers Plan 2, que incluye Defender for Endpoint (EDR). Utilice el acceso Just-in-Time (JIT) a VM para cerrar los puertos de administración por defecto. Utilice Azure Bastion para un acceso administrativo seguro y basado en intermediarios sin IPs públicas.

Por qué: Esto proporciona una defensa en capas: JIT y Bastion reducen la superficie de ataque, mientras que Defender for Servers proporciona detección y respuesta avanzada de amenazas (EDR) para la carga de trabajo en sí.

Proteger datos altamente sensibles mientras se procesan (datos en uso) del acceso privilegiado, incluidos los administradores de la nube.

→Utilice máquinas virtuales de Azure Confidential Computing (por ejemplo, basadas en AMD SEV-SNP) o contenedores confidenciales en AKS. Esto crea un entorno de ejecución confiable (TEE) basado en hardware donde los datos y el código se cifran y aíslan durante la ejecución.

Por qué: La computación confidencial aborda el estado final de los datos (en uso) no cubierto por el cifrado en reposo o en tránsito, proporcionando protección incluso desde el hipervisor y el sistema operativo del host.

Reforzar un entorno complejo de Active Directory local contra ataques dirigidos.

→Priorice la implementación del modelo de administración por niveles para prevenir el movimiento lateral. Despliegue el grupo de seguridad de Usuarios Protegidos y los silos de políticas de autenticación para proteger las cuentas privilegiadas de ataques de robo de credenciales (por ejemplo, Pass-the-Hash).

Por qué: Estos controles abordan los vectores de ataque más comunes y de mayor impacto en AD: movimiento lateral y robo de credenciales. Son más críticos que las medidas generales de endurecimiento como la firma LDAP.

Implementar el acceso privilegiado de Zero Trust para administradores de Azure y Microsoft Entra ID.

→Despliegue Microsoft Entra Privileged Identity Management (PIM). Convierta todas las asignaciones privilegiadas permanentes a "elegibles". Configure la activación con límite de tiempo, flujos de trabajo de aprobación para roles críticos y revisiones de acceso obligatorias.

Por qué: PIM es el servicio central de Microsoft para implementar el acceso Just-in-Time (JIT) y de privilegio mínimo para los roles de Azure/Entra, eliminando el riesgo significativo del acceso privilegiado permanente.

Referencia↗

Diseñar una estructura de política de Acceso Condicional escalable y manejable.

→Implemente un marco escalonado con políticas base para todos los usuarios, políticas mejoradas para aplicaciones sensibles y políticas estrictas para el acceso privilegiado. Utilice señales como ubicaciones nombradas y cumplimiento de dispositivos para reducir la fricción en escenarios de confianza.

Por qué: Una política única y monolítica es inmanejable. Un enfoque por niveles equipara la fuerza del control con el nivel de riesgo, proporcionando seguridad robusta donde se necesita sin crear una fricción indebida para las tareas diarias.

Automatizar y gobernar el ciclo de vida completo de la identidad (nuevos ingresos, cambios de puesto, bajas).

→Utilice Microsoft Entra ID Governance. Implemente el aprovisionamiento impulsado por RRHH, los flujos de trabajo del ciclo de vida de Entra ID para la automatización, la gestión de derechos para paquetes de acceso (agrupando permisos para roles) y revisiones de acceso periódicas para la certificación.

Por qué: Esto proporciona una solución de gobernanza automatizada de extremo a extremo que asegura que el acceso se conceda correctamente, se modifique con los cambios de rol y se revoque rápidamente al finalizar el empleo, abordando el riesgo de cuentas obsoletas y la escalada de privilegios.

Gestionar el acceso seguro para diferentes tipos de usuarios externos (socios, clientes).

→Utilice la colaboración Microsoft Entra B2B para socios y contratistas, gobernada por políticas de acceso entre inquilinos. Use Microsoft Entra B2C para aplicaciones orientadas al cliente, proporcionando un directorio separado y escalable con recorridos de usuario personalizables.

Por qué: B2B y B2C están diseñados específicamente para diferentes escenarios de identidad externa. Utilizar la herramienta adecuada evita problemas de seguridad y escalabilidad que surgen al tratar a todos los usuarios externos de la misma manera (por ejemplo, creando cuentas internas para ellos).

Proteger datos sensibles de forma consistente en Microsoft 365 y Azure.

→Despliegue Microsoft Purview Information Protection. Utilice la clasificación automatizada (tipos de información sensible, clasificadores entrenables) para aplicar etiquetas de sensibilidad. Configure las etiquetas para aplicar protección (cifrado, restricciones de acceso) a los datos dondequiera que residan.

Por qué: La protección centrada en los datos sigue a los datos mismos. La clasificación automatizada a escala es la única forma factible de garantizar un etiquetado y una protección consistentes en un gran patrimonio de datos.

Proteger las APIs internas y externas contra amenazas comunes.

→Despliegue Azure API Management como una puerta de enlace unificada. Aplique autenticación fuerte con OAuth 2.0. Configure políticas para la limitación de velocidad y la validación de solicitudes. Habilite Microsoft Defender for APIs para la detección de amenazas en tiempo de ejecución.

Por qué: La seguridad de las API requiere una puerta de enlace que actúe como punto de aplicación de políticas. Combinar controles preventivos (políticas de APIM) con controles de detección (Defender for APIs) proporciona defensa en profundidad contra ataques específicos de API.

Integrar la seguridad en una pipeline CI/CD para encontrar vulnerabilidades tempranamente ("shift-left").

→Implemente GitHub Advanced Security (o Defender for DevOps). Integre el escaneo automatizado SAST (análisis de código), el escaneo de dependencias (SCA) y el escaneo de secretos directamente en la pipeline CI y el proceso de pull request. Utilice puertas de seguridad para bloquear builds con vulnerabilidades críticas.

Por qué: El escaneo automatizado dentro del flujo de trabajo del desarrollador proporciona retroalimentación rápida, permitiendo que las vulnerabilidades se solucionen temprano, cuando es más barato hacerlo, sin crear un cuello de botella en una revisión de seguridad previa a la producción.

Diseñar una solución segura y manejable para secretos, claves y certificados de aplicaciones.

→Utilice Azure Key Vault. Aísle los vaults por aplicación o límite de seguridad. Utilice identidades administradas para que los recursos de Azure accedan al vault (sin credenciales almacenadas). Habilite la eliminación suave y la protección contra purgas. Supervise con Defender for Key Vault.

Por qué: Key Vault proporciona un almacén de secretos centralizado, respaldado por hardware y auditable. El uso de identidades administradas es el componente crítico que elimina el problema del "secreto cero" de cómo proteger las credenciales utilizadas para acceder al propio vault.

Implementar seguridad en capas para una base de datos Azure SQL sensible.

→Combine Transparent Data Encryption (TDE) con claves administradas por el cliente (CMK), Always Encrypted para columnas sensibles específicas, Dynamic Data Masking para usuarios no privilegiados, Microsoft Defender for SQL para detección de amenazas y autenticación solo con Azure AD.

Por qué: Ningún control único es suficiente. Este enfoque en capas protege los datos en reposo (TDE), en uso (Always Encrypted), de visualización no autorizada (enmascaramiento), de amenazas (Defender) y asegura una autenticación sólida (Azure AD).

Prevenir la pérdida de datos en correo electrónico, Teams, SharePoint y dispositivos de punto final.

→Despliegue Microsoft Purview DLP. Cree políticas unificadas que se apliquen a través de los servicios y endpoints de M365. Alinee las reglas DLP con las etiquetas de sensibilidad. Utilice Endpoint DLP para controlar acciones en dispositivos gestionados (por ejemplo, bloquear la copia a USB).

Por qué: Un motor de políticas unificado asegura una aplicación consistente en todos los canales de datos. Endpoint DLP es crítico para extender la protección más allá de la nube al propio dispositivo del usuario.

Preparar el entorno de datos de una organización para el despliegue seguro de Copilot para Microsoft 365.

→Antes del despliegue, concéntrese en la gobernanza de la información. Utilice herramientas como SharePoint Advanced Management para encontrar y remediar sitios y archivos excesivamente compartidos. Asegúrese de que haya una estrategia robusta de clasificación de datos y etiquetado de sensibilidad implementada y aplicada.

Por qué: Copilot respeta los permisos existentes. Su capacidad para mostrar información rápidamente convierte los problemas preexistentes de uso compartido excesivo en un riesgo crítico. "Poner en orden su casa de datos" es un requisito previo para un despliegue seguro de IA.

Diseñar seguridad integral para una aplicación web crítica para el negocio.

→Utilice Azure Application Gateway con Web Application Firewall (WAF) en modo de prevención. Integre el escaneo SAST/DAST en la pipeline CI/CD. Habilite Microsoft Defender for App Service para la supervisión en tiempo de ejecución. Coloque el App Service en un Private Endpoint.

Por qué: Esto proporciona protección en múltiples capas: en el perímetro (WAF), en el código (SAST/DAST), en la plataforma (Defender) y en la red (Private Endpoint), abordando una amplia gama de amenazas de aplicaciones web.

Diseñar la autenticación para microservicios en AKS para que accedan entre sí y a los servicios PaaS de Azure sin credenciales almacenadas.

→Implemente Azure AD Workload Identity para permitir que los pods de Kubernetes adquieran tokens de Azure AD. Utilice una malla de servicios (por ejemplo, Istio, Linkerd) para aplicar TLS mutuo (mTLS) para toda la comunicación de servicio a servicio dentro del clúster.

Por qué: Este patrón elimina por completo los secretos de larga duración (contraseñas, claves) del entorno de la aplicación, mejorando significativamente la postura de seguridad. Workload Identity gestiona la autenticación norte-sur a Azure, mientras que mTLS gestiona la autenticación este-oeste dentro del clúster.

Cumplir con estrictos requisitos de cumplimiento (por ejemplo, FIPS 140-2 Nivel 3) para el almacenamiento de claves criptográficas.

→Utilice Azure Key Vault Managed HSM. Esto proporciona un HSM dedicado, de un solo inquilino, validado FIPS 140-2 Nivel 3, totalmente gestionado por Microsoft, pero que otorga al cliente control total sobre el dominio de seguridad.

Por qué: Para el nivel más alto de cumplimiento y control de claves, se requiere Managed HSM sobre los niveles estándar/premium de Key Vault, que utilizan HSMs compartidos y multi-inquilino (FIPS 140-2 Nivel 2).

Proteger el proceso de desarrollo de aplicaciones de amenazas como dependencias comprometidas o inyección de código malicioso.

→Diseñe una pipeline segura utilizando registros de paquetes privados (por ejemplo, Azure Artifacts), escaneo de dependencias (SCA), generación de Software Bill of Materials (SBOM), firma de artefactos y verificación de procedencia.

Por qué: Esto aborda múltiples etapas de la cadena de suministro: control de entradas (registro privado), validación de componentes (SCA, SBOM) y garantía de la integridad de las salidas (firma, procedencia).