35 enlaces básicos para ser un experto en Azure Security Services

Entre las labores diarias de mi rol en Accenture Security, tengo que proponer y utilizar todo tipo de servicios de seguridad nativos de las diferentes nubes con las que trabajo (os recuerdo que pertenezco al equipo Cloud Security). De hecho, esta semana he tenido que trabajar en un proyecto que requería el uso de los Azure Security Services, lo que me ha movido a preparar esta entrada.

Con la rapidez a la que AWS, Azure y GCP crecen en servicios generales y de seguridad, es complicado mantenerse actualizado. Sin embargo, en mi caso, es parte de mis obligaciones estar al tanto de las soluciones para poder ofrecer las mejores opciones a los proyectos en los que participo.

Por eso, me gustaría crear tres entradas para las tres nubes principales en las que tener a mano esta información tan interesante. Así que, sin demora, arrancamos con Azure:

Seguridad general de Azure

ServicioDESCRIPCIÓN
Azure Security CenterSolución de protección que proporciona administración de la seguridad y protección avanzada contra amenazas para cargas de trabajo en la nube híbrida.
Azure Key VaultAlmacén de secretos seguro para las contraseñas, las cadenas de conexión y otra información que necesita para mantener sus aplicaciones en funcionamiento.
Registros de Azure MonitorServicio de supervisión que recopila datos de telemetría y otros datos, y proporciona un motor de lenguaje de consultas y análisis para proporcionar información detallada sobre sus aplicaciones y recursos. Puede utilizarse solo o con otros servicios como Security Center.
Documentación de Azure Dev/Test LabServicio que ayuda a los desarrolladores y evaluadores a crear rápidamente entornos de Azure al tiempo que se optimizan los recursos y se controlan los costos.

Seguridad para almacenamiento

ServicioDESCRIPCIÓN
Azure Storage Service EncryptionCaracterística de seguridad que permite cifrar automáticamente los datos en Azure Storage.
Documentación de StorSimpleSolución de almacenamiento integrada que administra las tareas de almacenamiento entre los dispositivos locales y el almacenamiento en la nube de Azure.
Cifrado del lado de cliente y Almacén de claves de Azure para el Almacenamiento de Microsoft AzureSolución de cifrado en lado de cliente que cifra los datos en aplicaciones de cliente antes de cargarlos en Azure Storage. También descifra los datos mientras se descargan.
Firmas de acceso compartido, Parte 1: Descripción del modelo SASUna firma de acceso compartido ofrece acceso delegado a recursos en la cuenta de almacenamiento.
Acerca de las cuentas de Azure StorageMétodo de control de acceso para Azure Storage que se utiliza para la autenticación cuando se accede a la cuenta de almacenamiento.
Introducción a Almacenamiento de archivos de Azure en WindowsTecnología de seguridad de red que habilita el cifrado de red automático para el protocolo de uso compartido de archivos Bloque de mensajes del servidor (SMB).
Análisis de Azure StorageTecnología de generación y registro de métricas para los datos de la cuenta de almacenamiento.

Seguridad de bases de datos

ServicioDESCRIPCIÓN
Azure SQL FirewallCaracterística de control de acceso de red que protege frente a ataques basados en red a una base de datos.
Cifrado de nivel de celda de Azure SQLTecnología de seguridad de base de datos que proporciona cifrado en un nivel más pormenorizado.
Cifrado de conexión de Azure SQLPara proporcionar seguridad, SQL Database controla el acceso con reglas de firewall que limitan la conectividad por dirección IP, con mecanismos de autenticación que requieren a los usuarios que demuestren su identidad y con mecanismos de autorización que limitan a los usuarios el acceso a datos y acciones específicos.
Always Encrypted (Database Engine)Protege la información confidencial, como números de tarjetas de crédito o números de identificación nacionales (por ejemplo, números de la seguridad social de EE. UU.), almacenados en bases de datos de Azure SQL Database o SQL Server.
Cifrado de datos transparente de Azure SQLCaracterística de seguridad de base de datos que cifra el almacenamiento de una base de datos completa.
Auditoría de Azure SQL DatabaseCaracterística de auditoría de bases de datos que realiza un seguimiento de eventos de bases de datos y los escribe en un registro de auditoría de su cuenta de Azure Storage.

Administración de identidades y acceso

ServicioDESCRIPCIÓN
Control de acceso basado en rol de AzureCaracterística de control de acceso diseñada para que los usuarios accedan únicamente a los recursos necesarios en función de sus roles dentro de la organización.
Azure Active DirectoryRepositorio de autenticación basado en la nube que admite un directorio en la nube de varios inquilinos y varios servicios de administración de identidades en Azure.
Azure Active Directory B2CServicio de administración de identidades que permite controlar la manera en que los clientes se registran, inician sesión y administran sus perfiles al usar las aplicaciones de Azure.
Azure Active Directory Domain ServicesUna versión en la nube y administrada de Active Directory Domain Services.
Azure Multi-Factor AuthenticationAprovisionamiento de seguridad que utiliza diferentes formas de autenticación y comprobación antes de permitir el acceso a información protegida.

Copia de seguridad y recuperación ante desastres

ServicioDESCRIPCIÓN
Azure BackupServicio de Azure que se usa para realizar copias de seguridad y restaurar los datos en la nube de Azure.
Azure Site RecoveryServicio en línea que replica las cargas de trabajo que se ejecutan en máquinas físicas y virtuales desde un sitio principal a una ubicación secundaria para poder recuperar los servicios después de un error.

Redes

ServicioDESCRIPCIÓN
Grupos de seguridad de redCaracterística de control de acceso basado en la red que utiliza una tupla de 5 elementos para permitir o denegar las decisiones.
Acerca de VPN GatewayDispositivo de red que se usa como un punto de conexión VPN para permitir el acceso entre entornos locales a las redes virtuales de Azure.
Introducción a Puerta de enlace de aplicacionesEquilibrador de carga de aplicación web avanzado que puede enrutar en función de la dirección URL y realizar descargas SSL.
Firewall de aplicaciones web (WAF)Una característica de Application Gateway que ofrece una protección centralizada de las aplicaciones web contra las vulnerabilidades de seguridad más habituales.
Equilibrador de carga de AzureEquilibrador de carga de red para aplicaciones TCP/UDP.
Información técnica de ExpressRouteVínculo WAN dedicado entre las redes locales y las redes virtuales de Azure.
Azure Traffic ManagerEquilibrador de carga de DNS global.
Habilitación del proxy de la aplicación de Azure ADServidor front-end de autenticación usado para proteger el acceso remoto a las aplicaciones web hospedadas en los entornos locales.
Azure FirewallSe trata de un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network.
Azure DDoS ProtectionJunto con los procedimientos recomendados de diseño de aplicaciones, constituyen una defensa frente a los ataques DDoS.
Puntos de conexión de servicio de red virtualEstos extienden el espacio de direcciones privadas de la red virtual y la identidad de la red virtual a los servicios de Azure mediante una conexión directa.

Fuente: https://docs.microsoft.com/es-es/azure/security/azure-security-services-technologies

SecurityInside Live: OpenExpo Europe 2019

OpenExpo Europe es el mayor Congreso y Feria Profesional sobre Innovación Tecnológica Empresarial en Europa.

Reune en Madrid a más de 3.500 personalidades del sector, profesionales de todas las industrias, comunidades, principales empresas nacionales e internacionales, decision makers, asociaciones, fundaciones e instituciones, perfiles técnicos, expertos y usuarios de todos los niveles para informarse sobre las últimas tendencias, servicios y herramientas, aumentar la red de contactos, oportunidades de empleo, generar leads y negocios y, conocer de ante mano, todos los beneficios de las tecnologías de innovación abierta.

OpenExpo Europe sigue evolucionando año tras año ofreciendo a las empresas la información más actualizada sobre la transformación empresarial, las tendencias dentro del sector de IT y las últimas innovaciones.

Un día entero de conferencias, casos de éxito empresarial, keynote speakers, talleres prácticos, mesas redondas, demos y muchas otras actividades.

Y, en esta ocasión, además me tienes a mí dando la charla «Open Source Security on AWS»

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

En esta ocasión no hay acceso por streaming ni tampoco se graban las sesiones. Voy a intentar grabarla por mi cuenta para que la tengáis y os la compartiré en el blog.

Leer más

SecurityInside Live: CISO Day 2019

Todos sabemos la importancia del flujo de información dentro de una industria tan cambiante y retadora como la de la ciberseguridad. Si eres CISO, CIO, responsable de ciberseguridad, experto en la materia, investigador o hacker… serás bienvenido a CISO Day 2019, un evento centrado en el responsable de la ciberseguridad corporativa.

Si recuerdas, ya hemos hablado en este blog otras veces de la importancia del CISO, en este evento se profundiza en su importancia desde varios puntos de vista.

CISO DAY 2019 basa su agenda en 6 niveles fundamentales de la ciberseguridad: Estratégico (CISO), Analítico (Ciberinteligencia), Institucional (INCIBE), Innovador (CyberStartup), Security (Proveedores) y Técnico (Hacking).

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

mundohackerday19

SecurityInside Live: Mundo Hacker Day 2019

Al igual que el año pasado, me voy al evento «Mundo Hacker Day 2019» para asistir en primera persona a las interesantes charlas que grandes expertos en seguridad van a ofrecer.

Leer más

Mi experiencia como ponente en CyberCamp18

Aunque el año 2.007 fue un «no parar» en cuanto a esto de dar charlas y talleres tras ganar la Imagine Cup de Microsoft, desde entonces no había tenido la oportunidad de volver a subirme en un escenario para contar cosas.

En estos últimos años, entre formación, autoempleo, autoría de libros, desarrollo de ideas, docencia, consultoría, … y ser padre, se me complicó un poco sacar tiempo.

Sin embargo, tras cumplir el sueño de ser profesor, me apetecía mucho volver a tener los nervios de dar una charla, de dedicar tiempo a montar un taller en el que contar cosas que hago y he ido aprendiendo con la experiencia.

Sin embargo, meter la cabeza en un congreso no es nada sencillo. Hay que apuntarse al CFP (Call For Papers) y enviar lo que tienes en mente. Detallar en qué va a consistir, de qué vas a hablar y tratar de convencer a la organización del evento de que tu propuesta puede aportar valor a la audiencia.

Para que te hagas una idea, me he presentado a 8 congresos antes de conseguir que me aceptaran la primera ponencia. Mi «rebautismo» dando charlas ha sido el evento CyberCamp18.

En esta ocasión lancé un órdago al CFP y me presenté a las tres categorías posibles:

  • Ponencia tecnológica: propuse hablar de mi proyecto personal DefenderEye. Quería contar los motivos que me hicieron desarrollar la herramienta, para qué sirve y mostrar desde dentro cómo funciona (detallando código, infra, …).
  • Charla motivacional: propuse una charla en la que contar cómo iniciarse en el mundo de la seguridad, la formación disponible, certificaciones, tipos de perfiles laborales y, sobre todo, consejos basados en mi experiencia como gestor de equipos de seguridad y mi relación con RRHH en cuanto a búsqueda de perfiles. Todo, desde un punto de vista de mucho humor.
  • Taller técnico: propuse un taller en el que describir los principales servicios de AWS junto con las «best practices»a tener en cuenta para tener lo más seguro posible nuestro entorno.

Tras semanas de espera, me llegaron tres correos a la vez en la que se me comunicaba que no había sido elegido para las dos primeras opciones. Cuando abrí el tercero ya estaba resignado a que, un año más, no había conseguido el objetivo.

Sin embargo, en esta ocasión, el texto era diferente:

Una vez superada la emoción inicial, vienen los nervios… ¿soy capaz de estar dos horas hablando? ¿Me quedaré corto? ¿Me pasaré de tiempo?

Inicialmente hice una lista de todo lo que consideraba que debía contar, el cálculo de tiempo me daba… casi cinco horas. Mal empezamos…

Tras refinar, quitar y pulir temario, lo dejé en tres horas. Seguía sin valer.

Finalmente, tras muchas revisiones y el doloroso proceso de quitar cosas que sientes que tendrían que estar, conseguí clavar las 2 horas oficiales.

El resultado lo tenéis aquí, espero que os guste!

¿Y la experiencia, qué tal? Pues la verdad es que estupenda. La sensación de volver a subirme a un escenario y de tener de nuevo a un grupo de personas con ganas de escuchar lo que vienes a contar es realmente maravillosa.

No puedo más que dar las gracias al público que asistió al taller, todos mostraron interés en lo que le estaba contando y me lanzaron preguntas que denotaban que les estaba aportando valor, así que considero el objetivo cumplido.

Por otra parte, la organización de Incibe se portaron de 10. Trato amable, preocupación en todo momento por lo que pudiera necesitar y siempre con una gran sonrisa. Se nota que hablamos de un evento organizado desde la ilusión y las ganas de hacer algo interesante.

Sin mucho más que contar, me despido. Por mi parte, trataré de estar en CyberCamp19 y volver a formar parte de un evento tan importante como este.

Saludos!