DESCRIPCION DE LA IDENTIDAD, EL ACCESO Y LA SEGURIDAD

Azure proporciona roles integrados que describen las reglas de acceso comunes de los recursos en la nube. También podemos definir nuestros propios roles. Cada rol tiene un conjunto asociado de permisos de acceso que tienen que ver con ese rol. Cuando se asignan usuarios o grupos a uno o varios roles, reciben todos los permisos de acceso asociados.

¿Cómo se aplica el control de acceso basado en roles a los recursos?

Los ámbitos pueden ser lo siguiente:

Un grupo de administración (una colección de varias suscripciones)
Una sola suscripción
Un grupo de recursos.
Un solo recurso

¿Cómo se aplica RBAC de Azure?

Cuando se le asigna un rol, RBAC de Azure le permite realizar acciones dentro del ámbito de ese rol. Si una asignación de roles nos concede permisos de lectura a un grupo de recursos y otra asignación de roles.

En la actualidad, las organizaciones necesitan un modelo de seguridad nuevo que se adapte eficazmente a la complejidad del entorno moderno, adopte los recursos móviles y proteja a personas, dispositivos, aplicaciones y datos dondequiera que se encuentren.

principios rectores:

Comprobar explícitamente

Usar el acceso de privilegios mínimos

Asumir que hay brechas

Ajuste a Confianza cero

El modelo de Confianza cero revoluciona ese escenario. En lugar de suponer que un dispositivo es seguro porque está dentro de la red corporativa, exige que todos los usuarios se autentiquen.

Capas de defensa en profundidad

Seguridad física

Identidad y acceso

Perímetro

Red

Compute

Application

data

Microsoft Defender for Cloud es una herramienta de supervisión para la administración de la posición de seguridad y la protección contra amenazas. Supervisa los entornos en la nube, locales, híbridos y multinube para ofrecer instrucciones y notificaciones destinadas a reforzar la posición de seguridad.

Protección allá donde se implemente

Cuando sea necesario, Defender for Cloud puede implementar automáticamente un agente de Log Analytics para recopilar datos relacionados con la seguridad. En el caso de las máquinas de Azure, la implementación se controla directamente. En entornos híbridos y con varias nubes, los planes de Microsoft Defender se amplían a máquinas que no son de Azure con la ayuda de Azure Arc.

Protecciones nativas de Azure

le permite detectar amenazas en:

Servicios de PaaS de Azure

Servicios de datos de Azure

Redes

Defensa de los recursos híbridos

Para ampliar la protección a las máquinas locales, implemente Azure Arc y habilite las características de seguridad mejoradas de Defender for Cloud.

Defensa de los recursos que se ejecutan en otras nubes

protecciones:

Las características de CSPM de Defender for Cloud se extienden a los recursos de AWS.

Microsoft Defender para contenedores amplía la detección de amenazas de contenedores y defensas avanzadas a los clústeres Linux de Amazon EKS.

Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas en las instancias de EC2 con Windows y Linux.

Evaluación, protección y defensa

Evaluación continua

Seguridad

Defensa

Alertas de seguridad

Descripción de los detalles de los recursos afectados

Sugerencia de pasos para la corrección

Suministro, en algunos casos, de una opción para desencadenar una aplicación lógica en la respuesta

Protección contra amenazas avanzada

Defender for Cloud proporciona características avanzadas de protección contra amenazas para muchos de los recursos implementados, incluidas las máquinas virtuales, las bases de datos SQL, los contenedores, las aplicaciones web y la red.

¿Quién usa Azure AD?

Administradores de TI.

Desarrolladores de aplicaciones.

Usuarios.

Suscriptores de servicios en línea.

¿Qué hace Azure AD?

Autenticación:la identidad para acceder a aplicaciones y recursos. También incluye funciones como el autoservicio de restablecimiento de contraseña, la autenticación multifactor, una lista personalizada de contraseñas prohibidas y servicios de bloqueo inteligente.

Inicio de sesión único:los usuarios tienen que recordar un solo nombre de usuario y una sola contraseña para acceder a varias aplicaciones. Una sola identidad está asociada a un usuario, lo que simplifica el modelo de seguridad.

Administración de aplicaciones:Azure AD, puede administrar las aplicaciones en la nube y locales. Características como Application Proxy, las aplicaciones SaaS, el portal Aplicaciones y el inicio de sesión único proporcionan una mejor experiencia de usuario.

Administración de dispositivos: además de cuentas de usuarios individuales, Azure AD admite el registro de dispositivos. El registro permite administrar los dispositivos a través de herramientas como Microsoft Intune.

¿Puedo conectar mi AD local con Azure AD?

Active Directory y una implementación en la nube mediante Azure AD, tendría que mantener dos conjuntos de identidades. Pero puede conectar Active Directory con Azure AD, lo que permite una experiencia de identidad coherente entre la nube y el entorno local.

¿Qué es Azure Active Directory Domain Services?

es un servicio que proporciona servicios de dominio administrados como, por ejemplo, unión a un dominio, directivas de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos o NTLM.

Esta integración permite a los usuarios iniciar sesión en los servicios y las aplicaciones conectados al dominio administrado con sus credenciales existentes. También puede usar grupos y cuentas de usuario existentes para proteger el acceso a los recursos.

¿Cómo funciona Azure AD DS?

Cuando cree un dominio administrado de Azure AD DS, defina un espacio de nombres único. Este espacio de nombres es el nombre de dominio.

¿La información está sincronizada?

Un dominio administrado está configurado para realizar una sincronización unidireccional de Azure AD a Azure AD DS. Puede crear los recursos directamente en el dominio administrado, pero no se vuelven a sincronizar con Azure AD.

¿Qué es el inicio de sesión único?

¿Qué es la autenticación multifactor?

¿Qué es Azure AD Multi-Factor Authentication?

¿Qué es la autenticación sin contraseña?

Windows Hello para empresas

Aplicación Microsoft Authenticator

Claves de seguridad FIDO2

Colaboración de empresa a empresa (B2B):

Conexión directa B2B:

Empresa a cliente de Azure AD (B2C):

El acceso condicional es una herramienta que usa Azure Active Directory para permitir (o denegar) el acceso a los recursos en función de señales de identidad.

el acceso condicional, los administradores de TI pueden:

permitir a los usuarios ser productivos en cualquier momento y lugar;

proteger los recursos de la organización.

¿Cuándo se puede usar el acceso condicional?

El acceso condicional resulta útil en los casos siguientes:

Exija la autenticación multifactor (MFA) para acceder a una aplicación en función del rol, la ubicación o la red del solicitante. Por ejemplo, podría requerir MFA para administradores, pero no para usuarios normales o personas que se conectan desde fuera de la red corporativa.

Para requerir el acceso a los servicios solo a través de aplicaciones cliente aprobadas. Por ejemplo, podría limitar qué aplicaciones de correo electrónico pueden conectarse al servicio de correo electrónico.

Exija que los usuarios accedan a la aplicación solo desde dispositivos administrados. Un dispositivo administrado es un dispositivo que cumple los estándares de seguridad y cumplimiento.

Para bloquear el acceso desde orígenes que no son de confianza, como ubicaciones desconocidas o inesperadas.