¿Qué tan seguro es Microsoft Azure?
POR: ALBERTO LUGO
Una de las preocupaciones principales en la mente de cada proveedor de plataforma en la nube administrada es crear soluciones que no solo sean efectivas sino también seguras. Como todos sabemos, la seguridad es equivalente a la funcionalidad de soluciones administradas y efectivas en la nube. Décadas de experiencia han diferenciado a Microsoft y le han permitido crear algunas de las soluciones más confiables y seguras existentes en la actualidad. Microsoft Azure ha capitalizado toda esta experiencia y los valores de ciberseguridad líderes en la industria.
Ciclo de vida de desarrollo seguro
Microsoft Azure se desarrolló utilizando un enfoque llamado Secure Development Lifecycle o SDL. El tema de seguridad que guió su desarrollo fue el de «suponer incumplimiento»: de inmediato, todas las infracciones son ineficaces. Al usar SDL, todas las amenazas a la seguridad cibernética y a la privacidad se abordan antes de escribir una sola línea de código. El SDL comienza con el entrenamiento. Todos los miembros del equipo técnico que trabajan en la plataforma asisten a una capacitación obligatoria sobre temas tales como modelado de amenazas, diseño seguro, desarrollo seguro y pruebas de seguridad. Antes de la fase de diseño, los requisitos de seguridad de la aplicación se escriben para garantizar que sean la principal prioridad en el diseño de la aplicación. Aquí es donde están los riesgos de seguridad y privacidad.
En la fase de diseño, el modelado de amenazas se utiliza para descubrir riesgos innecesarios en el diseño de la aplicación, como por ejemplo, sobre el usuario con privilegios. En tal caso, los roles del usuario se reducirían en el diseño de la aplicación para mitigar el riesgo. Microsoft publica una lista de comprobaciones de seguridad que los desarrolladores pueden usar en sus códigos para crear códigos uniformes en todas las aplicaciones. Esta lista también evita que los desarrolladores utilicen código que ya no se mantiene y / o es inseguro. Después de que se escribe el código, se analiza de forma estática en busca de vulnerabilidades y luego se analiza dinámicamente a través de pruebas rigurosas. Durante las pruebas, la aplicación recibe deliberadamente datos incorrectos, datos formateados incorrectamente y datos generados aleatoriamente para revelar posibles vulnerabilidades y probar los inevitables casos extremos que pueden surgir en un entorno de producción del mundo real.
En este punto del ciclo de vida del desarrollo, pueden haberse producido cambios en el diseño. Se crea un nuevo modelo de amenaza para esas nuevas amenazas, y se mitigan. Antes de que se publique el código, se implementa un plan de respuesta de incidencia para enfrentar rápidamente cualquier nueva amenaza que pueda surgir en el entorno de producción. Esto incluye información de contacto para desarrolladores internos e información de contacto para integraciones de terceros. Antes de que el código entre en producción, hay otra revisión de seguridad para volver a analizar los modelos de amenaza, el resultado de las herramientas de prueba y la integridad de la aplicación. Este informe final se compara con los requisitos iniciales para garantizar que la aplicación cumpla de manera segura sus objetivos. En el entorno de producción, el estado de la aplicación de prelanzamiento junto con todos los datos necesarios se respalda en caso de que se requiera una reversión. Finalmente, se lanza la nueva aplicación. Cualquier problema puede abordarse rápidamente al referirse al plan de respuesta de incidencia creado antes del lanzamiento.
Monitoreo Continuo
Microsoft Azure es el único servicio en la nube que ofrece monitorea la salud de la seguridad. Azure Security Center facilita la adaptación de soluciones de seguridad a las necesidades de su negocio. Con el Centro de seguridad de Azure y la integración continua, puede detectar amenazas rápidamente y activar un centavo para mitigarlas.
Certificaciones y Cumplimiento
Microsoft Azure se adhiere a rigurosas directrices para mantener el cumplimiento y recibir certificaciones como ISO (Organización Internacional para la Estandarización) 27001. Este estándar contiene cientos de especificaciones sobre cómo una organización debe administrar su infraestructura de información para mantenerla segura. Al menos una vez al año, el ISO contrata a un tercero para que audite Microsoft Azure y se asegure de que cumpla con las especificaciones y de que las especificaciones funcionen de manera eficiente. La adherencia a este estándar les ha otorgado una gran aceptación en el mercado global. Microsoft Azure fue el primer proveedor de la nube que se adhirió a ISO 27018 que protege PII (información de identificación personal) y requiere lo siguiente:
- Los clientes de los servicios en la nube de Microsoft saben dónde están almacenados sus datos.
- Los datos del cliente no se utilizarán para marketing o publicidad sin el consentimiento explícito.
- Los clientes de Microsoft saben lo que está sucediendo con su PII.
- Microsoft solo cumplirá con las solicitudes legalmente vinculantes de divulgación de datos de clientes (microsoft.com).
El gobierno federal de los Estados Unidos ha confiado en sus datos con Microsoft Azure porque también cumple con FedRAMP. El estándar FedRAMP se creó como respuesta a la ley Federal de Administración de Seguridad de la Información. Esta ley proporciona reglas sobre el enfoque correcto para almacenar, controlar y proteger los datos. El estándar FedRAMP delinea un medio para lograr estos objetivos a la vez que acelera la adopción de soluciones seguras de almacenamiento de datos en todo el país.
En todo el mundo, Microsoft Azure ha superado las expectativas de seguridad cibernética. Cumple o excede las leyes de la Unión Europea para la transferencia y el almacenamiento de datos personales, la Ley de protección de datos personales (PDPA) de Argentina y las leyes de privacidad de Canadá, por nombrar solo algunas. Puede ver una lista completa de sus ofertas y certificaciones de cumplimiento aquí. Microsoft Azure realmente eclipsa a competidores como AWS en el mercado global de centros de datos. Con 42 regiones cubiertas en todo el mundo, Microsoft Azure le permite colocar sus productos y datos justo donde están sus clientes, creando una experiencia de cliente más rápida, simple y segura.
Gestión de identidad segura hecha fácil
Microsoft Azure se ha integrado con Microsoft Active Directory para permitir que los usuarios se autentiquen una vez y obtengan acceso a sus aplicaciones Azure, así como Office 365 y otras aplicaciones de software como software (SAAS). Esta integración se llama Azure AD Connect y está construida en tres componentes:
- Sincronización: este componente realiza un seguimiento de todos los usuarios y grupos en el sitio y garantiza que coincidan con lo que está en la nube.
- AD FS (Servicios de federación de Active Directory): este es un componente opcional que se usa para abordar problemas de autenticación complicados.
- Azure AD Connect Health: este componente le permite controlar todas sus identidades en el sitio, así como los componentes de Sincronización y AD FS.
Conclusión
Hemos visto cómo Microsoft Azure, un líder en el mercado mundial de centros de datos, ha desarrollado sus productos para que sean los mejores y más seguros de la industria. Es una herramienta poderosa que ya está siendo utilizada por las principales organizaciones como Geico, Uber, Whole Foods y el Gobierno de los Estados Unidos, y también está disponible para usted.
Fuentes:
Microsoft. Accesado Agosto/9/2017.
Azure. Accesado Agosto/9/2017.