LOGIN REGÍSTRATE
Azure · AZ-305

Zero Trust en Azure (AZ-305)

Dominio: Seguridad y Zero Trust Nivel: Avanzado Tiempo de lectura: 40–50 min Última revisión: Nov 2025

0. Principios de Zero Trust

Zero Trust se resume en tres ideas clave:

  • No confiar nunca, verificar siempre.
  • Asumir brecha: diseñar como si la red ya estuviera comprometida.
  • Acceso con privilegios mínimos y segmentación fina.

En AZ-305 se traduce en elegir arquitecturas que:

  • Minimicen exposición pública.
  • Usen identidad fuerte y acceso condicional.
  • Reduzcan movimientos laterales mediante segmentación.

1. Identidad como perímetro

En lugar de confiar en la IP de origen, Zero Trust pone el foco en la identidad:

  • Azure AD / Entra ID como plano de identidad central.
  • Conditional Access para evaluar riesgo, ubicación, dispositivo y app.
  • Multi-Factor Authentication obligatorio para roles privilegiados.
  • Privileged Identity Management (PIM) para roles just-in-time.

2. Acceso privado a PaaS y datos

Un diseño Zero Trust evita exponer servicios PaaS directamente a Internet. Los patrones principales son:

  • Private Endpoints para Storage, SQL, Web Apps, etc.
  • Uso de Private DNS Zones para resolución interna de estos endpoints.
  • Acceso desde VNets, redes on-prem o VPN/ER, nunca desde IPs públicas anónimas.

Este enfoque suele aparecer en el examen cuando el requisito es “acceder a datos PaaS solo desde redes privadas y dispositivos gestionados”.

3. Microsegmentación de red

En lugar de tener una única gran red “de confianza”, Zero Trust promueve la microsegmentación:

  • Subredes separadas para front, lógica, datos y gestión.
  • NSG y Azure Firewall controlando tráfico Este-Oeste de forma explícita.
  • Uso de Application Security Groups para simplificar reglas por rol.

El objetivo es que, si un nodo se compromete, el atacante no pueda moverse fácilmente hacia otros activos críticos.

4. Postura de seguridad y políticas

Zero Trust no es solo red: requiere una postura de seguridad consistente y automatizada:

  • Defender for Cloud para recomendaciones, Secure Score y planes de protección.
  • Azure Policy para imponer configuraciones (por ejemplo, exigir cifrado, denegar recursos públicos, etc.).
  • Compliance y estándares (ISO, NIST, etc.) como marco de referencia.

5. Patrones Zero Trust de examen

  • Reducir la exposición de servicios PaaS” → Private Endpoints + Private DNS + acceso solo desde VNets.
  • Evitar el uso de cuentas con privilegios permanentes” → PIM + roles just-in-time + MFA.
  • Limitar movimientos laterales” → microsegmentación con NSG, ASG y Azure Firewall.
>