AZ-900
Deep Dive
Múltiples capas de protección, encriptación, firewalls y detección de amenazas. La seguridad en Azure no es una sola herramienta sino una estrategia en capas donde cada nivel protege al siguiente.
Contenido
Defense in Depth (Defensa en Profundidad) es una estrategia de seguridad en capas. Si un atacante penetra una capa, las capas siguientes ralentizan o detienen el ataque. Ninguna capa individual es suficiente.
Datos
La capa más valiosa. Encriptación de datos en reposo y en tránsito. Acceso granular con RBAC. Backups regulares.
En Azure
Azure Storage Encryption, Transparent Data Encryption en SQL, Azure Backup
Aplicación
Código seguro: validación de inputs, sin secretos hardcodeados, HTTPS obligatorio, gestión segura de errores.
En Azure
Key Vault para secretos, API Management, App Service con TLS, OWASP Top 10 mitigations
Cómputo
Sistemas operativos actualizados, antimalware activo, acceso JIT (Just-in-Time) a puertos de administración.
En Azure
Microsoft Antimalware for Azure, VM patches automáticos, Defender for Servers, acceso JIT de Defender for Cloud
Red
Segmentación de red. Solo permitir el tráfico mínimo necesario. Denegación por defecto. Cifrado de tráfico interno.
En Azure
NSG (Network Security Groups), subnets privadas, VNet peering, VPN Gateway, Private Endpoints
Perímetro
Protección contra ataques de red externos: DDoS, escaneo de puertos, acceso no autorizado desde internet.
En Azure
Azure DDoS Protection, Azure Firewall, WAF (Web Application Firewall) en Application Gateway
Identidad y acceso
Controlar quién accede a qué. MFA, RBAC, Conditional Access, privilegio mínimo, monitoreo de logins.
En Azure
Microsoft Entra ID, MFA, RBAC, Conditional Access, Privileged Identity Management (PIM)
Físico
Acceso físico a los datacenters. Biometría, guardias 24/7, CCTV, trampas de seguridad. Responsabilidad de Microsoft.
En Azure
Infraestructura de Microsoft: acceso controlado, cámaras, guardias, destrucción de discos con certificación
Para el examen — orden de capas
Memoriza de afuera hacia adentro: Físico → Identidad → Perímetro → Red → Cómputo → Aplicación → Datos. Los datos son el objetivo final, por eso están en el centro (más protegidos).
Diagrama interactivo — pasa el cursor sobre cada capa
Azure cifra los datos en dos estados: almacenados (at-rest) y viajando por la red (in-transit). Ambos son requisitos de compliance en prácticamente todos los marcos regulatorios.
Encriptación en reposo (at-rest)
Protege datos almacenados: si alguien roba un disco físico, los datos son ilegibles sin la clave.
Azure Storage
AES-256 automático por defecto. No hay opción de desactivarlo.
Azure SQL Database
TDE (Transparent Data Encryption). Encripta el archivo de BD, logs y backups.
Azure Disk Encryption
Encripta discos de VMs usando BitLocker (Windows) o DM-Crypt (Linux). Claves en Key Vault.
Azure Cosmos DB
AES-256 automático. También encripta índices y metadatos.
Gestión de claves
Microsoft-managed keys (por defecto, sin costo adicional) o Customer-managed keys (CMK) en Key Vault para control total.
Encriptación en tránsito (in-transit)
Protege datos moviéndose por la red: entre cliente y servidor, entre servicios de Azure, entre datacenters.
TLS 1.2+
Estándar para HTTPS. Azure rechaza conexiones con TLS 1.0/1.1 en servicios nuevos.
HTTPS obligatorio
App Service, Storage, API Management — opción "HTTPS only" que redirige HTTP a HTTPS.
IPSec / VPN
Tráfico entre on-premises y Azure. VPN Gateway cifra con IPSec/IKE.
ExpressRoute
Conexión privada (no por internet público). Opción adicional de MACsec para cifrado de capa 2.
Regla práctica: nunca HTTP en producción. Siempre TLS 1.2+ para APIs y storage. Azure cifra tráfico interno entre datacenters automáticamente.
Ambos controlan el tráfico de red pero a niveles distintos. El AZ-900 evalúa que sepas distinguirlos.
| Dimensión | NSG (Network Security Group) | Azure Firewall |
|---|---|---|
| Nivel | Subnet o NIC (capa de red) | VNet completa o hub centralizado |
| Funciona con | Reglas de puerto, IP, protocolo | FQDN, URLs, threat intelligence, IDPS |
| Inspección | Básica: permite/deniega por 5-tupla | Profunda: inspección de paquetes, TLS inspection |
| Costo | Incluido (sin costo adicional) | De pago (~$1.25/hora + datos procesados) |
| Logging | Flow logs → Storage/Log Analytics | Azure Monitor logs detallados |
| HA integrada | Sí, automática | Sí, multi-zona automática |
| Caso de uso | Segmentar subnets dentro de una VNet | Protección perimetral, salida a internet controlada, hub de red |
Arquitectura típica: NSG + Firewall juntos
Key Vault almacena y controla el acceso a secretos, claves de encriptación y certificados. Elimina la necesidad de guardar credenciales en código fuente o variables de entorno.
Secrets
Contraseñas, connection strings, API keys, tokens OAuth. Versionado: cada actualización crea una versión nueva.
Keys
Claves criptográficas para encriptación/decriptación. RSA, EC. HSM-backed (hardware security module) para máxima seguridad.
Certificates
Certificados TLS/SSL para sitios web y apps. Renovación automática. Integrado con App Service, API Management, Front Door.
Patrón recomendado: Managed Identity + Key Vault
Antes llamado Azure Security Center + Azure Defender. Es la plataforma central de postura de seguridad y protección de cargas de trabajo en Azure, on-premises y otras nubes.
Dos pilares principales
CSPM — Cloud Security Posture Management
Evalúa la configuración de seguridad de todos tus recursos y genera un Secure Score (0-100%). Da recomendaciones priorizadas para mejorar.
Gratuito (funciones básicas)CWP — Cloud Workload Protection
Detección activa de amenazas en tiempo real: malware en VMs, ataques de SQL injection, actividad sospechosa en containers, etc.
De pago (por tipo de recurso)Secure Score — ¿cómo funciona?
Defender for Cloud evalúa tus recursos contra controles de seguridad y asigna un puntaje. Cada control tiene un peso. Cumplir más controles = score más alto.
Riesgo alto
Configuraciones críticas incorrectas. Vulnerabilidades sin parchear.
Riesgo medio
Mejoras importantes pendientes pero con base razonable.
Bien protegido
La mayoría de controles críticos implementados.
Los ataques DDoS (Distributed Denial of Service) intentan saturar servicios con tráfico masivo para hacerlos inaccesibles. Azure ofrece dos niveles de protección.
DDoS Network Protection (Basic)
Antes llamado: Infrastructure Protection
Habilitado automáticamente para todos los clientes de Azure sin costo adicional. Protege la infraestructura de Azure de ataques volumétricos comunes.
DDoS IP Protection / Network Protection (Standard)
Antes llamado: DDoS Standard
Plan de pago. Mitigación adaptativa por ML específica para tus recursos. SLA garantizado. Créditos si el SLA falla.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
¿Qué servicio de Azure proporciona una puntuación de seguridad (Secure Score) y recomendaciones priorizadas para proteger los recursos?