Algunos elementos de seguridad en Azure

Microsoft está construyendo su plataforma de nube pública, Azure, garantizando la seguridad de los datos de sus clientes. En Azure se protege la privacidad de los datos y los clientes mantienen, en todo momento, la propiedad y el control de los mismos, asegurando que sólo son usados de una manera consistente con las expectativas de sus clientes.

Azure es el proveedor de cloud con más certificaciones, hecho que garantiza que la ejecución de los servicios esté construida con la calidad de seguridad y privacidad necesarias.

En el centro de confianza de Microsoft Azure, https://azure.microsoft.com/en-us/support/trust-center/, se puede entrar en más en detalle en estas certificaciones.

Con respecto al ámbito europeo, Microsoft mantiene las siguientes certificaciones:

• BIR 2012
• EN 301 549
• ENISA IAF
• EU Model Clauses
• EU-US Privacy Shield
• FACT
• IT Grundschutz Compliance Workbook
• NEN 7510:2011
• NHS IG Toolkit
• Spain ENS
• UK G-Cloud

A nivel nacional, la Agencia Española de Protección de Datos (AEPD) ha reconocido la solvencia y garantía de los servicios de Microsoft Azure en lo relativo a transferencias internacionales de datos, lo que nos ofrece la posibilidad de exportar datos personales a Microsoft Corp. bajo el amparo de la Ley Orgánica de Protección de Datos (LOPD). En el siguiente enlace se puede descargar la resolución de la AEPD

Con respecto a la nueva GDPR, la  ley de privacidad europea que entrará en vigor en mayo de 2018,  Microsoft garantiza ya en sus contratos de Azure que sus clientes podrán cumplir con esta nueva ley en los siguientes puntos:

• Responder correctamente a las peticiones de modificación o borrado de datos personales
• Detectar y reportar brechas de seguridad sobre los datos personales
• Demostrar el cumplimiento con GDPR

Log de registro de cambios

Además, Azure nos provee de un log de actividades para registrar qué operaciones se realizan sobre los recursos, quién realiza las operaciones, cuando se realizan, el estado de las mismas y las propiedades y valores de los cambios realizados, de los últimos 90 días.

En la imagen podemos ver las operaciones que se han realizado en una suscripción de Azure, entre las que podemos destacar las siguientes:

• Listado de claves de acceso
• Actualizaciones de recursos (Redis Cache, website, hosting plan, …)
• Actualización de grupo de recursos

En las distintas suscripciones de un servicio, se agrupan de forma lógica los recursos de Azure.

Estos grupos de recursos nos permiten gestionar distintos factores como las operaciones de despliegue.

Este log nos provee de una vista de las operaciones que se realizan en los servicios de los grupos de recursos. Por una parte, asegura que no se producen cambios no esperados, y por otra, permite realizar un diagnóstico detallado de los errores de despliegue como herramienta de resolución de problemas.

Control de acceso a los recursos basada en roles

Azure nos permite establecer control de acceso granular a los recursos de la suscripción utilizando el Role-Based Access Control (RBAC).

Con RBAC asignamos sólo los permisos necesarios para que los usuarios puedan realizar su trabajo. Por ejemplo, podemos dar permisos a un usuario para visualizar los informes de Application Insight pero que no tenga permisos para modificar la configuración de este servicio.

Cada suscripción está asociada a un Azure Active Directory que RBAC usa para gestionar los usuarios, grupos y aplicaciones. Por defecto, RBAC usa los roles de Owner, Contributor y Reader, pero si fuera necesario, se pueden crear roles personalizados con los permisos necesarios.

El control de acceso se puede aplicar a nivel de Suscripción, grupo de recursos o recurso, con lo que garantizamos la simplicidad de la administración y la granularidad necesaria para dar los permisos adecuados a cada usuario.

Encriptado de la información sensible

Azure nos ofrece diversos mecanismos para mantener información sensible, por ejemplo, datos personales, encriptada en transporte y en almacenamiento.

• Transport Layer Security / Secure Sockets Layer, que nos permite cifrar simétricamente las comunicaciones, por ejemplo, de los sitios web.
• Microsoft Azure Storage Service Encryption para cifrar la información almacenada en Blob Storage.
• Transparent Data Encryption, tecnología que permite encriptar la información de las bases de datos de Azure SQL de forma transparente a las aplicaciones que tienen que hacer uso de estos.
• Azure Key Vault, servicio que ofrece la capacidad de administrar las claves de encriptación y/o de almacenar de forma segura y encriptar los valores de configuración de las aplicaciones web, usando una versión cloud de HSM (Hardware Security Module).

Seguridad en las comunicaciones

Azure App Service, el servicio PaaS de aplicaciones de Azure, administra la seguridad a nivel de infraestructura y plataforma, en los siguientes puntos básicos:

• Las aplicaciones se ejecutan en un entorno aislado seguro
• Las comunicaciones entre recursos de Azure se ejecutan en la red segura de Azure y no cruzan redes públicas, además de ser comunicaciones encriptadas.
• La protección de recursos ante amenazas del tipo malware, DDoS, Man-in-the-middle y otras amenazas está activa las 24 horas del día.
• Las actualizaciones del sistema operativo son gestionados por el equipo de operaciones de Azure.

Si fuera necesario, podemos aumentar el nivel de seguridad que nos ofrece por defecto Azure, utilizando Azure Application Gateway configurado como Web Application Firewall (WAF) que nos ofrece una protección centralizada contra las vulnerabilidades de seguridad más comunes:

• SQL injection
• Cross site scripting
• Ataques web comunes (Command injection, HTTP request smuggling, HTTP response splitting, remote file inclusion)
• HTTP protocol violations
• HTTP protocol anomalies (missing host user-agent, …)
• Bot, crawlers and scanners

Todas estas reglas, configurables, están basadas en el conjunto de reglas OWASP (Open Web Application Security Project).

Algún elemento más de seguridad se me queda en el tintero, pero seguro que en este blog iremos hablando sobre ellos. De momento, quedaos con la gran ventaja que nos ofrece Microsoft en Azure para estar al día, sin tener grandes problemas de seguridad y con poco esfuerzo, en comparación a lo que nos costaría tener este nivel en nuestro propio Datacenter.