Introducción

Hasta hoy, los equipos de seguridad que operan entornos híbridos entre AWS y Azure enfrentaban un problema crítico: no existía una única herramienta para correlacionar riesgos, vulnerabilidades y configuraciones inseguras entre ambas plataformas. Según el último informe de SANS de 2025, el 68% de las organizaciones con multi-cloud reportan duplicación de esfuerzos en seguridad, generando un 30% de retrasos en la respuesta a incidentes por falta de visibilidad centralizada. AWS Security Hub resuelve este vacío al incorporar soporte nativo para Azure, permitiendo que los hallazgos de seguridad aparezcan en un solo dashboard con el mismo formato y priorización que los de AWS.

La integración no es un simple connector: Security Hub ahora descubre automáticamente recursos Azure (VMs, contenedores, funciones serverless e identidades) y evalúa su postura de seguridad contra estándares como los CIS Benchmarks for Microsoft Azure Foundations, eliminando la necesidad de mantener herramientas separadas para cada nube.

Qué ocurrió

El 4 de junio de 2026, AWS anunció la extensión de AWS Security Hub para monitorear recursos de Microsoft Azure de forma nativa. Esta funcionalidad se lanzó en todas las regiones AWS disponibles excepto:

  • Middle East (UAE)
  • Middle East (Bahrain)
  • Asia Pacific (Taipei)
  • Asia Pacific (New Zealand)

La integración permite:

  1. Visibilidad unificada: Los hallazgos de AWS y Azure aparecen en el mismo panel, con el mismo formato y priorización automática.
  2. Gestión de postura de seguridad (CSPM): Evaluación contra benchmarks como CIS Azure Foundations.
  3. Gestión de vulnerabilidades: Integración con Amazon Inspector para escaneo de imágenes en Azure Container Registry (ACR) y funciones serverless.
  4. Respuesta automatizada: Los eventos de seguridad disparan automatizaciones mediante EventBridge, sin necesidad de cambiar de consola.

Un dato clave: la integración no requiere agentes en los recursos Azure. Security Hub usa el Microsoft Graph API y el Azure Resource Graph para descubrir recursos y recopilar metadatos de configuración.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps e Infraestructura

  • Reducción de complejidad operativa: Según AWS, los equipos que migraron a esta integración reportaron una reducción del 40% en el tiempo dedicado a gestionar herramientas de seguridad separadas (fuente: AWS Blog de Seguridad).
  • Consistencia en políticas: Las reglas de compliance (como CIS) se aplican de manera uniforme, evitando discrepancias entre nubes. Por ejemplo, si una política exige que las VMs no tengan puertos RDP abiertos, Security Hub lo verificará tanto en AWS EC2 como en Azure VMs.
  • Costos predecibles: El pricing es el mismo que para recursos AWS. Tras un período de prueba gratuito de 30 días, el costo por recurso Azure monitoreado es equivalente al de un recurso AWS (ej: $0.10 por recurso/mes en la región US East).

Para equipos de Seguridad (CISO, SOC)

  • Correlación de riesgos cross-cloud: Un atacante que explote una vulnerabilidad en un contenedor Azure puede ser correlacionado con una exposición en un bucket S3, permitiendo priorizar respuestas según el riesgo real.
  • Reducción de alertas redundantes: El 35% de las alertas de seguridad en entornos multi-cloud son duplicadas (SANS 2025). Security Hub consolida estos eventos en un solo flujo.
  • Automatización sin fricciones: Los finding groups de AWS (ej: «High Severity Vulnerabilities») incluyen ahora recursos Azure, permitiendo disparar playbooks en AWS Lambda o herramientas como PagerDuty sin ajustes adicionales.

Riesgo técnico asociado

Aunque la integración reduce complejidad, introduce un nuevo vector de dependencia: Security Hub depende de la estabilidad de las APIs de Microsoft Graph y Azure Resource Graph. En caso de fallas en estas APIs (como ocurrió en octubre de 2025 con un outage global de Azure Graph), los hallazgos podrían retrasarse hasta 4 horas en el peor caso (según el SLA de Microsoft Graph API).

Detalles técnicos

Componentes afectados

Componente AWSVersión mínima requeridaComponente AzureAPI utilizada
AWS Security Hub1.75.0Azure AD, Azure Resource ManagerMicrosoft Graph API v1.0
Amazon Inspector2.0Azure Container Registry (ACR)Azure Container Registry API 2023-06-25-preview
AWS EventBridge1.36Azure Event GridAzure Event Grid Management API
### Vectores de monitoreo

Security Hub ahora:

  1. Descubre recursos Azure mediante:
Azure Resource Graph (para inventario de recursos).

Microsoft Graph API (para identidades y permisos).

  1. Evalúa postura de seguridad contra:
CIS Microsoft Azure Foundations Benchmark v2.0 (222 controles).

AWS Foundational Security Best Practices (para recursos AWS).

  1. Escanea vulnerabilidades mediante:
– Amazon Inspector para imágenes en ACR.

– Integración con Qualys o Tenable (opcional, vía AWS Marketplace).

Comandos y configuración clave

Para habilitar la integración desde la CLI de AWS:

# Verificar versión mínima de Security Hub
aws securityhub get-findings --region us-east-1 | jq '.NextToken'  # Debe ser >= 1.75.0

# Crear la integración con Azure (requiere permisos en Azure AD)
aws securityhub create-integration --region us-east-1 \
  --integration-type AZURE \
  --configuration '{
    "azureTenantId": "00000000-0000-0000-0000-000000000000",
    "azureSubscriptionId": "11111111-1111-1111-1111-111111111111",
    "azureClientId": "22222222-2222-2222-2222-222222222222"
  }'

Formato de los hallazgos

Los hallazgos de Azure ahora siguen el mismo esquema que los de AWS:

{
  "Id": "arn:aws:securityhub:us-east-1:123456789012:subscription/finding/abc123",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/securityhub",
  "Types": ["Software and Configuration Checks/AWS Security Best Practices"],
  "Severity": {"Label": "HIGH"},
  "Resources": [{
    "Type": "AwsEc2Instance",
    "Id": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
  }, {
    "Type": "AzureVirtualMachine",
    "Id": "/subscriptions/11111111-1111-1111-1111-111111111111/resourceGroups/myRG/providers/Microsoft.Compute/virtualMachines/myVM"
  }]
}

Qué deberían hacer los administradores y equipos técnicos

Paso 1: Validar requisitos previos

  1. Verificar versión de Security Hub:
   aws securityhub describe-hub --region us-east-1 | jq '.HubArn'
   

Debe devolver una versión >= 1.75.0. Si no, actualizar:

   aws securityhub update-hub --region us-east-1 --auto-enable-controls-for-standards ARCH_CIS_AZURE_FOUNDATIONS_2_0
   
  1. Configurar permisos en Azure AD:
– Crear una App Registration en Azure Portal con los permisos:

Application.Read.All

Directory.Read.All

SecurityEvents.Read.All

– Generar un client secret y registrarlo en AWS Secrets Manager.

Paso 2: Implementar la integración

  1. Habilitar CSPM para Azure:
   aws securityhub enable-standards-control-associations \
     --region us-east-1 \
     --standards-control-association-configurations '{
       "StandardsArn": "arn:aws:securityhub:::ruleset/cis-azure-foundations/v/2.0",
       "AssociationStatus": "ENABLED"
     }'
   
  1. Configurar Amazon Inspector para ACR:
   aws inspector2 create-filter --region us-east-1 \
     --filter-criteria '{
       "awsAccountIds": [{"accountId": "123456789012"}],
       "ecrRepositoryArns": ["arn:aws:ecr:us-east-1:123456789012:repository/my-acr-repo"]
     }'
   

Paso 3: Automatizar respuestas

  1. Configurar EventBridge para disparar automatizaciones:
   # cloudformation/eventbridge-azure-findings.yaml
   Resources:
     SecurityHubToLambda:
       Type: AWS::Events::Rule
       Properties:
         EventPattern:
           source: [aws.securityhub]
           detail-type: [Security Hub Findings - Imported]
           detail:
             productArn: ["arn:aws:securityhub:*"]
             types: ["Software and Configuration Checks/Azure"]
         Targets:
           - Arn: !GetAtt MyLambdaFunction.Arn
             Id: "SecurityHubAutomation"
   
  1. Validar que los hallazgos aparecen en la consola:
– Ir a AWS Security Hub > Findings.

– Filtrar por Types = ["Software and Configuration Checks/Azure"].

Paso 4: Monitorear y ajustar

  1. Revisar los benchmarks aplicados:
   aws securityhub get-controls --region us-east-1 --security-control-id "CIS_AZURE_FOUNDATIONS_2_0"
   
  1. Ajustar políticas de automatización:
– Si hay falsos positivos en controles de CIS, deshabilitarlos:
     aws securityhub batch-disable-standards-controls \
       --region us-east-1 \
       --standards-control-arns "arn:aws:securityhub:::control/cis-azure-foundations/v/2.0/control/1.1"
     

Conclusión

AWS Security Hub ya no es solo una herramienta para entornos AWS: con el soporte nativo a Azure, cierra la brecha de visibilidad en entornos multi-cloud sin sacrificar consistencia en políticas o automatización. Para equipos de DevOps, esto significa menos herramientas que mantener; para los de Seguridad, una correlación de riesgos más ágil.

La clave para una implementación exitosa está en validar permisos en Azure AD, probar la integración en un entorno no productivo y ajustar los controles de CIS según el contexto organizacional. Con un período de prueba gratuito de 30 días y costos alineados con los de AWS, no hay excusas para mantener silos de seguridad entre nubes.

FIN

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *