Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure permite ejecutar aplicaciones y virtual machines (VM) en la infraestructura física compartida. Una de las principales ventajas económicas de ejecutar aplicaciones en un entorno en la nube es la capacidad de distribuir el costo de los recursos compartidos entre varios clientes. Esta práctica de multitenencia mejora la eficiencia mediante la multiplexación de recursos entre clientes dispares a bajos costos. Desafortunadamente, también presenta el riesgo de compartir servidores físicos y otros recursos de infraestructura para ejecutar las aplicaciones confidenciales y las máquinas virtuales que podrían pertenecer a un usuario arbitrario y potencialmente malintencionado.
En este artículo se describe cómo Azure proporciona aislamiento contra usuarios malintencionados y no malintencionados. Sirve como guía para diseñar soluciones en la nube ofreciendo diversas opciones de aislamiento a los arquitectos.
Aislamiento a nivel de cliente
Una de las principales ventajas de la informática en la nube es el concepto de infraestructura compartida y común en numerosos clientes simultáneamente, lo que conduce a economías de escala. Este concepto se denomina multitenencia. Microsoft trabaja continuamente para garantizar que la arquitectura multiinquilino de Microsoft Cloud Azure admita estándares de seguridad, confidencialidad, privacidad, integridad y disponibilidad.
En el área de trabajo habilitada para la nube, un inquilino es un cliente u organización que posee y administra una instancia específica de ese servicio en la nube. Mediante el uso de la plataforma de identidad proporcionada por Microsoft Azure, un inquilino es una instancia dedicada de Microsoft Entra ID que su organización recibe y posee cuando se suscribe a un servicio en la nube de Microsoft.
Cada directorio de Microsoft Entra es distinto e independiente de otros directorios de Microsoft Entra. Al igual que un edificio de oficinas corporativas es un recurso seguro específico de solo su organización, un directorio de Microsoft Entra es un recurso seguro para su uso solo en su organización. La arquitectura de Microsoft Entra aísla los datos del cliente y la información de identidad para evitar contactos cruzados. Este diseño significa que los usuarios y administradores de un directorio de Microsoft Entra no pueden access datos de otro directorio de forma accidental o malintencionada.
Azure inquilinaje
La tenencia de Azure (suscripción de Azure) se refiere a un cliente y a una relación de facturación y a un tenant en Microsoft Entra ID. Microsoft Entra ID y su control de acceso basado en roles de Azure proporcionan aislamiento a nivel de arrendatario en Microsoft Azure. Cada suscripción Azure está asociada a un directorio de Microsoft Entra.
Los usuarios, grupos y aplicaciones de ese directorio pueden administrar recursos en la suscripción de Azure. Puede asignar estos derechos de accesos mediante el portal de Azure, las herramientas de línea de comandos de Azure y las APIs de administración de Azure. Los límites de seguridad aíslan lógicamente una entidad de Microsoft Entra para que ningún cliente pueda acceder o comprometer a las coentidades, ya sea de forma malintencionada o accidental. Microsoft Entra ID se ejecuta en servidores "bare metal" aislados en un segmento de red segregado, donde el filtrado de paquetes a nivel de host y el Firewall de Windows bloquean conexiones y tráfico no deseados.
El acceso a los datos en Microsoft Entra ID requiere la autenticación de usuario a través de un servicio de token de seguridad (STS). El sistema de autorización usa información sobre la existencia del usuario, el estado de habilitación y el rol para determinar si el acceso solicitado para el arrendatario de destino está autorizado para este usuario en esta sesión.
Los inquilinos son contenedores separados y no hay ninguna relación entre ellos.
No existe acceso entre entidades a menos que un administrador de la entidad lo conceda a través de la federación o mediante la provisión de cuentas de usuario de otras entidades.
El acceso físico a los servidores que componen el servicio Microsoft Entra y el acceso directo a los sistemas back-end de Microsoft Entra ID están restringidos.
Los usuarios de Microsoft Entra no tienen acceso a recursos físicos ni ubicaciones y, por lo tanto, no pueden omitir las comprobaciones lógicas de la directiva de RBAC de Azure indicadas a continuación.
Para las necesidades de diagnóstico y mantenimiento, utilice un modelo operativo que emplee un sistema de elevación de privilegios justo a tiempo. Microsoft Entra Privileged Identity Management (PIM) presenta el concepto de administrador elegible. Administradores elegibles son usuarios que necesitan acceso con privilegios de vez en cuando, pero no todos los días. El rol está inactivo hasta que el usuario necesita acceso, luego completa un proceso de activación y se convierte en un administrador activo por un período de tiempo predeterminado.
Microsoft Entra ID hospeda cada inquilino en su propio contenedor protegido, con directivas y permisos dentro y fuera del contenedor únicamente propiedad y administradas por el inquilino.
El concepto de contenedores de clientes está profundamente integrado en el servicio de directorio en todas las capas, desde los portales hasta el almacenamiento persistente.
Incluso cuando los metadatos de varios inquilinos de Microsoft Entra se almacenan en el mismo disco físico, no hay ninguna relación entre los contenedores que no sean lo que define el servicio de directorio, que a su vez lo dicta el administrador de inquilinos.
Control de acceso basado en roles de Azure (Azure RBAC)
Azure access control basado en roles (Azure RBAC) le ayuda a compartir varios componentes disponibles en una suscripción de Azure, proporcionando una administración de acceso detallada para Azure. Azure RBAC le permite separar las tareas dentro de su organización y conceder access en función de lo que los usuarios necesitan para realizar sus trabajos. En lugar de conceder a todos los usuarios permisos sin restricciones en una suscripción o recursos de Azure, solo puede permitir determinadas acciones.
Azure RBAC tiene tres roles básicos que se aplican a todos los tipos de recursos:
Owner tiene acceso completo a todos los recursos, incluido el derecho a delegar acceso a otros usuarios.
Contributor puede crear y administrar todos los tipos de recursos de Azure, pero no puede conceder access a otros usuarios.
Reader puede ver los recursos de Azure existentes.
El resto de los roles de Azure en Azure permiten la administración de recursos de Azure específicos. Por ejemplo, el rol Colaborador de máquina virtual permite al usuario crear y administrar virtual machines. No les da access a la Azure Virtual Network ni a la subred a la que se conecta la máquina virtual.
Lista de roles predefinidos de Azure enumera los roles disponibles en Azure. Especifican las operaciones y el ámbito que cada rol integrado concede a los usuarios. Si quiere definir sus propios roles para obtener aún más control, consulte cómo crear roles Custom en Azure RBAC.
Algunas otras funcionalidades para Microsoft Entra ID incluyen:
Microsoft Entra ID habilita el inicio de sesión único en aplicaciones SaaS, independientemente de dónde se hospeden. Algunas aplicaciones están federadas con Microsoft Entra ID y otras usan el inicio de sesión único con contraseña. Las aplicaciones federadas también pueden admitir aprovisionamiento de usuarios y almacén de contraseñas.
Microsoft Entra ID proporciona identidad como servicio a través de la federación mediante Active Directory Federation Services, sincronización y replicación con directorios locales.
La autenticación multifactor de Microsoft Entra exige a los usuarios que comprueben los inicios de sesión mediante una aplicación móvil, una llamada de teléfono o un mensaje de texto. Se puede usar con Microsoft Entra ID para ayudar a proteger los recursos locales mediante el servidor Multi-Factor Authentication y también con aplicaciones y directorios personalizados mediante el SDK.
Microsoft Entra Domain Services permite unir Azure virtual machines a un Active Directory domain sin implementar controladores de dominio. Puede iniciar sesión en estas máquinas virtuales con sus credenciales de Active Directory corporativas y administrar las máquinas virtuales unidas a un dominio mediante Directiva de Grupo para aplicar las líneas base de seguridad en todas las máquinas virtuales de Azure.
Microsoft Entra External ID proporciona un servicio de administración de identidades global de alta disponibilidad para aplicaciones orientadas al consumidor que pueden escalarse a cientos de millones de identidades. Se puede integrar en plataformas móviles y web. Los consumidores pueden iniciar sesión en todas las aplicaciones con experiencias personalizables usando sus cuentas de redes sociales existentes o mediante la creación de credenciales.
Aislamiento de los administradores de Microsoft y eliminación de datos
Microsoft toma medidas sólidas para proteger tus datos de acceso inapropiado o de su uso por parte de personas no autorizadas. Los Términos de servicios en línea ofrecen compromisos contractuales que rigen el acceso a sus datos y respaldan dichos procesos y controles operativos.
- Los ingenieros de Microsoft no tienen acceso predeterminado a tus datos en la nube. En su lugar, se les concede acceso, bajo supervisión de la gerencia, solo cuando sea necesario. Ese acceso se controla y registra cuidadosamente, y se revoca cuando ya no es necesario.
- Microsoft puede contratar a otras empresas para que proporcionen servicios limitados en su nombre. Los subcontratistas pueden access los datos de los clientes solo para ofrecer los servicios para los que Microsoft los contrató, y están prohibidos de usarlos para cualquier otro propósito. Además, están contractualmente obligados a mantener la confidencialidad de la información de los clientes.
Microsoft y las empresas de auditoría acreditados comprueban periódicamente los servicios empresariales con certificaciones auditadas, como ISO/IEC 27001. Estos auditores realizan auditorías de muestra para atestiguar que el acceso se utiliza únicamente para fines empresariales legítimos. Siempre puede acceder a sus propios datos de cliente en cualquier momento y por cualquier motivo.
Si elimina datos, Microsoft Azure elimina los datos, incluidas las copias de seguridad o almacenadas en caché. Para los servicios dentro del ámbito, esa eliminación se produce en un plazo de 90 días después del final del período de retención. (La sección Términos de procesamiento de datos de los Términos de Servicios En Línea define los servicios dentro del ámbito).
Si una unidad de disco utilizada para almacenamiento sufre un error de hardware, Microsoft borra o destruye la unidad antes de devolverla al fabricante para su reemplazo o reparación. Los datos de la unidad se sobrescriben para asegurarse de que no se puedan recuperar de ninguna forma.
Aislamiento informático
Microsoft Azure proporciona varios servicios informáticos basados en la nube que incluyen una amplia selección de instancias de proceso y servicios que se pueden escalar y reducir verticalmente automáticamente para satisfacer las necesidades de la aplicación o la empresa. Estas instancias de proceso y servicios ofrecen aislamiento en varios niveles para proteger los datos sin sacrificar la flexibilidad en la configuración que exigen los clientes.
Tamaños de máquina virtual aislados
Azure Compute ofrece tamaños de máquina virtual aislados a un tipo de hardware específico y dedicados a un solo cliente. Los tamaños aislados viven y funcionan en una generación de hardware específica y quedarán en desuso cuando se retire la generación de hardware o esté disponible una nueva generación de hardware.
Los tamaños de máquina virtual aislados son más adecuados para cargas de trabajo que requieren un alto grado de aislamiento de las cargas de trabajo de otros clientes. Esto a veces es necesario para cumplir los requisitos normativos y de cumplimiento. Usar un tamaño aislado garantiza que la máquina virtual es la única que se ejecuta en esa instancia de servidor específica.
Además, dado que las máquinas virtuales de tamaño aislado son grandes, los clientes pueden optar por subdividir los recursos de estas máquinas virtuales mediante la compatibilidad de Azure para máquinas virtuales anidadas.
Las ofertas de máquinas virtuales aisladas actuales incluyen:
- Standard_E80ids_v4
- Standard_E80is_v4
- Standard_E104i_v5
- Standard_E104is_v5
- Standard_E104id_v5
- Standard_E104ids_v5
- Standard_M192is_v2
- Standard_M192ims_v2
- Standard_M192ids_v2
- Standard_M192idms_v2
- Standard_F72s_v2
- Standard_M832ids_16_v3
- Standard_M832is_16_v3
- Standard_M896ixds_24_v3
- Standard_M896ixds_32_v3
- Standard_M1792ixds_32_v3
Nota:
Los tamaños de máquina virtual aislada tienen una duración limitada debido a la degradación del hardware.
Desuso de los tamaños de VM aislados
Los tamaños de VM aislados tienen una duración limitada de hardware. Azure emite recordatorios con 12 meses de antelación a la fecha oficial de descontinuación de los tamaños afectados y ofrece una versión aislada y actualizada para su consideración. Se ha anunciado la retirada de los siguientes tamaños.
| Tamaño | Fecha de retirada del aislamiento |
|---|---|
| Standard_DS15_v2 | sábado, 15 de mayo de 2021 |
| Standard_D15_v2 | sábado, 15 de mayo de 2021 |
| Standard_G5 | 15 de febrero de 2022 |
| Standard_GS5 | 15 de febrero de 2022 |
| Standard_E64i_v3 | 15 de febrero de 2022 |
| Standard_E64is_v3 | 15 de febrero de 2022 |
| Standard_M192is_v2 | 31 de marzo de 2027 |
| Standard_M192ims_v2 | 31 de marzo de 2027 |
| Standard_M192ids_v2 | 31 de marzo de 2027 |
| Standard_M192idms_v2 | 31 de marzo de 2027 |
Los clientes también pueden optar por subdividir aún más los recursos de estas máquinas virtuales aisladas mediante el soporte de Azure para máquinas virtuales anidadas.
Hosts dedicados
Además de los hosts aislados descritos en la sección anterior, Azure también ofrece hosts dedicados. Hosts dedicados en Azure es un servicio que proporciona servidores físicos que pueden hospedar una o varias virtual machines, y que están dedicadas a una sola suscripción de Azure. Los hosts dedicados ofrecen aislamiento del hardware a nivel de servidor físico. No se colocan otras máquinas virtuales en sus hosts. Los hosts dedicados se implementan en los mismos centros de datos y comparten la misma red y la misma infraestructura de storage subyacente que otros hosts no aislados. Para obtener más información, consulte la introducción detallada de hosts dedicados de Azure.
Hyper-V y aislamiento del sistema operativo raíz entre la máquina virtual raíz y las máquinas virtuales invitadas
la plataforma de proceso de Azure se basa en la virtualización de máquinas. Todo el código de cliente se ejecuta en una máquina virtual Hyper-V. En cada nodo de Azure (o punto de conexión de red), un hipervisor se ejecuta directamente sobre el hardware y divide el nodo en un número variable de virtual machines invitado (VM).
Cada nodo también tiene una máquina virtual raíz especial que ejecuta el sistema operativo host. El hipervisor y el sistema operativo raíz administran el aislamiento de la máquina virtual raíz de las máquinas virtuales invitadas y el aislamiento de las máquinas virtuales invitadas entre sí. Este emparejamiento de hipervisor y sistema operativo raíz aprovecha las décadas de experiencia de seguridad del sistema operativo de Microsoft y el aprendizaje más reciente de la Hyper-V de Microsoft para proporcionar un aislamiento sólido de las máquinas virtuales invitadas.
La plataforma Azure usa un entorno virtualizado. Las instancias de usuario funcionan como virtual machines independientes que no tienen access a un servidor host físico.
El hipervisor Azure actúa como un microkernel. Pasa todas las solicitudes de acceso de hardware de las máquinas virtuales invitadas al host para su procesamiento mediante una interfaz de memoria compartida denominada VM Bus. Esta arquitectura impide que los usuarios obtengan acceso directo de lectura, escritura o ejecución al sistema y reduce el riesgo asociado con el uso compartido de recursos del sistema.
Algoritmo avanzado de selección de ubicación de máquinas virtuales y protección frente a ataques de canal lateral
Cualquier ataque entre máquinas virtuales conlleva dos pasos: situar una máquina virtual controlada por el adversario en el mismo host que una de las máquinas virtuales víctimas y, a continuación, romper el límite de aislamiento para robar información confidencial de la víctima o afectar a su rendimiento por codicia o vandalismo. Microsoft Azure proporciona protección en ambos pasos mediante un algoritmo avanzado de selección de ubicación de máquinas virtuales y protección contra todos los ataques conocidos del canal lateral, incluidas las máquinas virtuales vecinas ruidosas.
Controlador de Fabric de Azure
El Controlador de Fabric de Azure asigna recursos de infraestructura a las cargas de trabajo de los inquilinos y administra las comunicaciones unidireccionales del host a las máquinas virtuales. El algoritmo de colocación de máquinas virtuales es muy sofisticado y casi imposible de predecir en el nivel de host físico.
En Azure, la máquina virtual raíz ejecuta un sistema operativo protegido denominado sistema operativo raíz que hospeda un agente de tejido de la infraestructura (FA). Los administradores de función (FAs) gestionan agentes invitados (GA) en sistemas operativos invitados en máquinas virtuales del cliente y también gestionan nodos de almacenamiento.
La agrupación de hipervisor de Azure, OS/FA raíz y VMs/GAs del cliente compone un nodo de cómputo. Un controlador de tejido (FC) gestiona FA. La FC existe fuera de los nodos de proceso y almacenamiento. Los FCs independientes administran los clústeres de cómputo y almacenamiento. Si un cliente actualiza el archivo de configuración de su aplicación mientras se ejecuta, el FC se comunica con la FA. FA se pone en contacto con GA, que notifican a la aplicación el cambio de configuración. En caso de que se produzca un error de hardware, fc busca automáticamente el hardware disponible y reinicia la máquina virtual allí.
La comunicación desde un controlador de tejido con un agente es unidireccional. El agente implementa un servicio protegido por SSL que solo responde a las solicitudes realizadas desde el controlador. No puede iniciar conexiones al controlador ni a otros nodos internos con privilegios. El controlador de tejido trata todas las respuestas como si no fueran de confianza.
El aislamiento se extiende desde la máquina virtual raíz a las máquinas virtuales invitadas y de una máquina virtual invitada a otra. Los nodos de proceso también están aislados de los nodos de storage para aumentar la protección.
El hipervisor y el sistema operativo host proporcionan filtros de paquetes de red. Estos filtros ayudan a garantizar que los virtual machines que no son de confianza no pueden generar tráfico suplantado o recibir tráfico no dirigido a ellos. Dirigen el tráfico a los puntos de conexión de infraestructura protegidos y evitan el envío o recepción de tráfico de difusión inadecuado.
Reglas adicionales configuradas por el agente del controlador de tejido para aislar la máquina virtual
De forma predeterminada, todo el tráfico se bloquea al crear una máquina virtual. A continuación, el agente del controlador de infraestructura configura el filtro de paquetes para agregar reglas y excepciones que permitan el tráfico autorizado.
Programe dos categorías de reglas:
- Reglas de infraestructura o configuración de la máquina: De forma predeterminada, se bloquea toda comunicación. Agregue excepciones para permitir que una máquina virtual envíe y reciba tráfico DHCP y DNS. Virtual machines también puede enviar tráfico a internet "público" y enviar tráfico a otros virtual machines dentro de la misma Azure Virtual Network y al servidor de activación del sistema operativo. La lista de máquinas virtuales de destinos salientes permitidos no incluye las subredes de enrutadores de Azure, la gestión de Azure y otras propiedades de Microsoft.
- Archivo de configuración de Role: Este archivo define las listas de Control de Acceso entrantes (ACL) basadas en el modelo de servicio del arrendatario.
Aislamiento de VLAN
Cada clúster contiene tres VLAN:
- La red VLAN principal: interconecta nodos de cliente que no son de confianza.
- La red VLAN FC: contiene controladores de tejido (FC) de confianza y sistemas auxiliares
- La red VLAN de dispositivo: contiene dispositivos de red y otra infraestructura de confianza
Se permite la comunicación desde la VLAN FC a la VLAN principal, pero no se puede iniciar desde la VLAN principal hacia la VLAN FC. La comunicación también está bloqueada desde la VLAN principal hacia la VLAN de dispositivo. Esta arquitectura garantiza que incluso si un nodo que ejecuta código de cliente está en peligro, no puede atacar nodos en las VLAN de fc o dispositivo.
aislamiento del almacenamiento
Aislamiento lógico entre cómputo y almacenamiento
Como parte de su diseño fundamental, Microsoft Azure separa el cálculo basado en máquinas virtuales de storage. Esta separación permite que el cálculo y el almacenamiento escalen de forma independiente, facilitando la multialquiler y el aislamiento.
Por lo tanto, Azure Storage se ejecuta en hardware independiente sin conectividad de red con Azure Proceso, excepto la conectividad lógica. Este diseño significa que, al crear un disco virtual, el sistema no asigna espacio en disco para toda su capacidad. En su lugar, el sistema crea una tabla que asigna direcciones en el disco virtual a áreas del disco físico. Esta tabla está inicialmente vacía. La primera vez que escribe datos en el disco virtual, el sistema asigna espacio en el disco físico y coloca un puntero a él en la tabla.
Aislamiento mediante el control de acceso al almacenamiento
Access control en Azure Storage usa un modelo de access control simple. Cada suscripción Azure puede crear una o varias cuentas de storage. Cada cuenta de almacenamiento tiene una sola clave secreta que se usa para controlar acceso a todos los datos de esa cuenta de almacenamiento.
Puede controlar acceso a los datos de Azure Storage (incluidas tablas) a través de un token de SAS (firma de acceso compartido), que otorga acceso con alcance limitado. Se crea el SAS a través de una plantilla de consulta (URL) y se firma con el SAK (clave de cuenta de almacenamiento). Puede dar la URL firmada a otro proceso (es decir, delegado). Después, el proceso delegado puede rellenar los detalles de la consulta y realizar la solicitud del servicio storage. Al usar una SAS, puede conceder accesos basados en el tiempo a los clientes sin revelar la clave secreta de la cuenta de almacenamiento.
Mediante la SAS, puede conceder a un cliente permisos limitados a los objetos de la cuenta de storage durante un período de tiempo especificado y con un conjunto de permisos especificado. Concede estos permisos limitados sin tener que compartir las claves de acceso de cuenta.
Aislamiento del nivel IP de almacenamiento
Puede establecer firewalls y definir un intervalo de direcciones IP para los clientes de confianza. Con un intervalo de direcciones IP, solo los clientes que tienen una dirección IP dentro del intervalo definido pueden conectarse a Azure Storage.
Puede proteger los datos de almacenamiento IP de usuarios no autorizados mediante un mecanismo de red que asigna un túnel dedicado del tráfico para el almacenamiento IP.
Cifrado
Azure ofrece los siguientes tipos de cifrado para proteger los datos:
- Cifrado en tránsito
- Cifrado en reposo
Cifrado en tránsito
El cifrado en tránsito protege los datos cuando se transmiten entre redes. Mediante Azure Storage, puede proteger los datos mediante:
- Cifrado de nivel de transporte, como HTTPS al transferir datos a o fuera de Azure Storage.
- Encriptación en tránsito, como la encriptación SMB 3.0 para los recursos compartidos de archivos de Azure.
- Cifrado del lado cliente, para cifrar los datos antes de transferirlos a storage y descifrar los datos después de transferirlos fuera de storage.
Cifrado en reposo
Para muchas organizaciones, el cifrado de los datos en reposo es un paso obligatorio en lo que respecta a la privacidad de los datos, el cumplimiento y la soberanía de los datos. Azure características que proporcionan cifrado de datos en reposo incluyen:
- Storage Service Encryption cifra automáticamente los datos al escribirlos en Azure Storage.
- Cifrado del lado cliente cifra los datos antes de transferirlos a storage.
- Cifrado en el host proporciona cifrado integral para los datos de máquina virtual.
Cifrado en el host
Importante
Azure Disk Encryption está programado para su retirada el 15 de septiembre de 2028. Hasta esa fecha, puede seguir usando Azure Disk Encryption sin interrupciones. El 15 de septiembre de 2028, las cargas de trabajo habilitadas para ADE seguirán ejecutándose, pero los discos cifrados no se desbloquearán después de reiniciar la máquina virtual, lo que provocará una interrupción del servicio.
Use encryption en host para las nuevas máquinas virtuales. Todas las máquinas virtuales habilitadas para ADE (incluidas las copias de seguridad) deben migrar al cifrado en el host antes de la fecha de retirada para evitar interrupciones del servicio. Consulte Migrar de la Azure Disk Encryption al cifrado en host para obtener más información.
Cifrado en el host proporciona cifrado de extremo a extremo para los datos de la máquina virtual al cifrar los datos a nivel de host de la máquina virtual. De forma predeterminada, usa claves administradas por la plataforma, pero opcionalmente puede usar claves administradas por el cliente almacenadas en Azure Key Vault o Azure Key Vault HSM administrado cuando necesite un mayor control.
El cifrado en el host proporciona cifrado del lado servidor en el nivel de host de máquina virtual mediante el cifrado AES 256, que es compatible con FIPS 140-2. Este cifrado se produce sin consumir recursos de CPU de máquina virtual y proporciona cifrado de un extremo a otro para:
- Discos temporales
- Cachés de discos de datos y sistema operativo
- Flujos de datos a Azure Storage
Ventajas clave del cifrado en el host:
- Sin impacto en el rendimiento: el cifrado se produce en el nivel de host sin usar recursos de CPU de máquina virtual
- Compatibilidad amplia con máquinas virtuales: compatible con la mayoría de las series y tamaños de máquina virtual
- Claves administradas por el cliente: integración opcional con Azure Key Vault o HSM gestionado para el control de claves
- Claves administradas por la plataforma de forma predeterminada: no se requiere ninguna configuración adicional para el cifrado.
Para obtener más información, consulte Encryption at host and Overview of managed disk encryption options.
Aislamiento de base de datos SQL
Microsoft SQL Database es un servicio de base de datos relacional basado en la nube basado en el motor de Microsoft SQL Server. Proporciona un servicio de base de datos multiinquilino de alta disponibilidad y escalable con aislamiento de datos predecible en el nivel de cuenta, la geografía o la región y en función de redes, todo ello con una administración casi cero.
Modelo de aplicación de SQL Database
Desde la perspectiva de las aplicaciones, SQL Database proporciona la siguiente jerarquía, donde cada nivel tiene independencia de niveles de uno a varios.
La cuenta y la suscripción son conceptos de la plataforma de Microsoft Azure para asociar la facturación y la administración.
Los servidores y bases de datos SQL lógicos son conceptos específicos de SQL Database y se administran mediante SQL Database, las interfaces OData y TSQL proporcionadas o a través de la Azure portal.
Los servidores de SQL Database no son instancias físicas ni de máquinas virtuales, sino que son colecciones de bases de datos que comparten administración y directivas de seguridad almacenadas en una base de datos llamada "maestra lógica".
Las bases de datos “maestras lógicas” incluyen:
- Inicios de sesión SQL usados para conectarse al servidor
- Reglas de firewall
No se garantiza que la información relacionada con la facturación y uso de las bases de datos que se encuentren en el mismo servidor estén en la misma instancia física del clúster, sino que las aplicaciones deben indicar el nombre de la base de datos de destino al conectarse.
Desde la perspectiva del cliente, se crea un servidor en una región geográfica, mientras que la creación real del servidor se produce en uno de los clústeres de la región.
Aislamiento a través de la topología de red
Al crear un servidor y registrar su nombre DNS, el nombre DNS apunta a la llamada dirección VIP de puerta de enlace en el centro de datos específico donde se coloca el servidor.
Detrás de la dirección VIP (dirección IP virtual), hay una colección de servicios de puerta de enlace sin estado. En general, las puertas de enlace intervienen cuando se necesita coordinación entre varios orígenes de datos (base de datos maestra, base de datos de usuario, etc.). Los servicios de puerta de enlace implementan las funciones siguientes:
- Proxy de conexión TDS. Esta función incluye la ubicación de la base de datos de usuario en el clúster de back-end, la implementación de la secuencia de autenticación y, a continuación, el reenvío de los paquetes de TDS al back-end y de vuelta.
- Administración de bases de datos. Esta función incluye la implementación de una colección de flujos de trabajo para controlar las operaciones de base de datos CREATE, ALTER y DROP. Las operaciones de base de datos se pueden invocar mediante el rastreo de paquetes TDS o mediante API de OData explícitas.
- Operaciones de autenticación y usuario: CREATE, ALTER y DROP
- Operaciones de administración de servidores a través de la API de OData
El nivel detrás de las puertas de enlace se denomina parte posterior. Este nivel almacena todos los datos de una manera de alta disponibilidad. Cada fragmento de datos pertenece a una partición o unidad de conmutación por error y cada partición tiene al menos tres réplicas. El motor de SQL Server almacena y replica réplicas, y un sistema de conmutación por error a menudo denominado fabric los administra.
Por lo general, el sistema back-end no tiene comunicaciones salientes a otros sistemas como precaución de seguridad. Esta comunicación está reservada a los sistemas en el nivel front-end (puerta de enlace). Las máquinas de la capa de puerta de enlace tienen privilegios limitados en las máquinas de back-end para minimizar la superficie de ataque como mecanismo de defensa en profundidad.
Aislamiento por función de máquina y acceso
SQL Database consta de varios servicios que se ejecutan en diferentes funciones de la máquina. SQL Database se divide en la base de datos en la nube back-end y entornos (puerta de enlace y administración) front-end, con el principio general de que el tráfico solo entra en el back-end, no sale de él. El entorno front-end puede comunicarse con cualquier otro servicio exterior y, en general, solo tiene permisos limitados en el entorno back-end (los suficientes para llamar a los puntos de entrada que necesita invocar).
Aislamiento de redes
La implementación de Azure tiene varias capas de aislamiento de red. En el diagrama siguiente se muestran varias capas de aislamiento de red Azure proporciona a los clientes. Estas capas incluyen características nativas en la propia plataforma de Azure y características definidas por el cliente. Entrante desde Internet, Azure DDoS protection proporciona aislamiento contra ataques a gran escala contra Azure. La siguiente capa de aislamiento es las direcciones IP públicas (puntos de conexión) definidas por el cliente, que se usan para determinar qué tráfico puede pasar a través del servicio en la nube al virtual network. El aislamiento de Azure virtual network nativo garantiza el aislamiento completo de todas las demás redes y que el tráfico solo fluye a través de rutas de acceso y métodos configurados por el usuario. Estas rutas de acceso y métodos son el siguiente nivel, en el que se pueden usar NSG, UDR y dispositivos de red virtual para crear límites de aislamiento y así proteger las implementaciones de aplicaciones en la red protegida.
Aislamiento del tráfico: Una red virtual es el límite de aislamiento del tráfico en la plataforma Azure. Virtual machines (VM) de una virtual network no se pueden comunicar directamente con las máquinas virtuales de una virtual network diferente, incluso si el mismo cliente crea ambas redes virtuales. El aislamiento es una propiedad crítica que garantiza que las máquinas virtuales del cliente y la comunicación permanezcan privadas dentro de un virtual network.
Subnet ofrece una capa adicional de aislamiento dentro de un virtual network basado en el intervalo IP. Puede dividir un virtual network en varias subredes para la organización y la seguridad. Las máquinas virtuales y las instancias de rol paaS implementadas en subredes (iguales o diferentes) dentro de un virtual network pueden comunicarse entre sí sin ninguna configuración adicional. También puede configurar grupos de seguridad de red (NSG) para permitir o denegar el tráfico de red a una instancia de máquina virtual en función de las reglas de seguridad. Puede asociar NSG a subredes o interfaces de red individuales conectadas a máquinas virtuales. Al asociar un grupo de seguridad de red a una subred, las reglas de seguridad se aplican a todas las instancias de máquina virtual de esa subred.
Pasos siguientes
Obtenga información sobre network security groups. Los grupos de seguridad de red filtran el tráfico de red entre los recursos de Azure en una red virtual. Puede restringir el tráfico a subredes o virtual machines en función del origen, el destino, el puerto y el protocolo mediante reglas de seguridad.
Obtenga información sobre el aislamiento de máquinas virtuales en Azure. Azure Proceso ofrece tamaños de máquina virtual que están aislados para un tipo de hardware específico y dedicados a un solo cliente.