Recomendaciones de seguridad

Artículo
04/01/2024

En este artículo se enumeran todas las recomendaciones de seguridad que puede ver en Microsoft Defender for Cloud. Las recomendaciones que aparecen en el entorno se basan en los recursos que está protegiendo y en la configuración personalizada.

Las recomendaciones de Defender for Cloud se basan en el punto de referencia de seguridad en la nube de Microsoft. El banco de pruebas de seguridad en la nube de Microsoft es el conjunto de directrices creados por Microsoft para los procedimientos recomendados de seguridad y cumplimiento. Este banco de pruebas ampliamente respetado se basa en los controles del Centro de Seguridad de Internet (CIS) y el Instituto Nacional de Estándares y Tecnología (NIST), con un enfoque en la seguridad centrada en la nube.

Para obtener información sobre las acciones que puede realizar en respuesta a estas recomendaciones, consulte Corrección de recomendaciones en Defender for Cloud.

La puntuación de seguridad se basa en el número de recomendaciones de seguridad que ha completado. Para decidir qué recomendaciones resolver primero, examine la gravedad de cada recomendación y su posible impacto en la puntuación segura.

Sugerencia

Si la descripción de una recomendación indica No hay ninguna directiva relacionada, normalmente es porque esa recomendación depende de una recomendación diferente y de su directiva.

Por ejemplo, se deben corregir los errores de estado de Endpoint Protection en función de la recomendación que comprueba si se instala una solución de Endpoint Protection (se debe instalar la solución endpoint protection). La recomendación subyacente tiene una directiva. Limitar las directivas a únicamente la recomendación básica simplifica la administración de directivas.

Recomendaciones de AppServices

Acceso a API App solo a través de HTTPS

Descripción: el uso de HTTPS garantiza la autenticación de servidor/servicio y protege los datos en tránsito frente a ataques de interceptación de capas de red. (Directiva relacionada: La aplicación de API solo debe ser accesible a través de HTTPS).

Gravedad: media

CORS no debe permitir que todos los recursos accedan a API Apps.

Descripción: El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de API. Permita la interacción con API solo de los dominios requeridos. (Directiva relacionada: CORS no debe permitir que todos los recursos accedan a la aplicación de API.

Gravedad: baja

CORS no debe permitir que todos los recursos accedan a Function Apps.

Descripción: El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. (Directiva relacionada: CORS no debe permitir que todos los recursos accedan a Function Apps).

Gravedad: baja

CORS no debe permitir que todos los recursos accedan a aplicaciones web.

Descripción: El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación web. Permita la interacción con la aplicación web solo de los dominios requeridos. (Directiva relacionada: CORS no debe permitir que todos los recursos accedan a las aplicaciones web.

Gravedad: baja

Los registros de diagnóstico de App Service deben estar habilitados

Descripción: audite la habilitación de los registros de diagnóstico en la aplicación. Esto le permite volver a crear pistas de actividad con fines de investigación si se produce un incidente de seguridad o la red está en peligro (no hay ninguna directiva relacionada).

Gravedad: media

Asegurarse de que la aplicación de API tenga la opción de "certificados de cliente (certificados de cliente entrantes)" activada

Descripción: los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. (Directiva relacionada: Asegúrese de que la aplicación de API tiene "Certificados de cliente (certificados de cliente entrantes)" establecido en "Activado".

Gravedad: media

FTPS debe ser necesario en las aplicaciones de API.

Descripción: habilite el cumplimiento de FTPS para mejorar la seguridad (directiva relacionada: solo se debe requerir FTPS en la aplicación de API).

Gravedad: alta

FTPS debe ser necesario en las aplicaciones de función.

Descripción: habilite la aplicación de FTPS para mejorar la seguridad (directiva relacionada: solo se debe requerir FTPS en la aplicación de funciones).

Gravedad: alta

FTPS debe ser necesario en las aplicaciones web.

Descripción: habilite el cumplimiento de FTPS para mejorar la seguridad (directiva relacionada: se debe requerir FTPS en la aplicación web).

Gravedad: alta

Acceso a Function App solo a través de HTTPS

Gravedad: media

Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada

Descripción: los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes con certificados válidos pueden acceder a la aplicación. (Directiva relacionada: Las aplicaciones de funciones deben tener habilitado "Certificados de cliente (certificados de cliente entrantes)".

Gravedad: media

Java debe actualizarse a la versión más reciente de las aplicaciones de API.

Descripción: periódicamente, las versiones más recientes se publican para Java debido a errores de seguridad o para incluir funcionalidad adicional. Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. (Directiva relacionada: Asegúrese de que la versión de Java es la más reciente, si se usa como parte de la aplicación de API).

Gravedad: media

La identidad administrada debe usarse en aplicaciones de API.

Descripción: para mejorar la seguridad de autenticación, use una identidad administrada. En Azure, las identidades administradas eliminan la necesidad de que los desarrolladores administren credenciales, al proporcionar una identidad para el recurso de Azure en Azure AD y usarla para obtener tokens de Azure Active Directory (Azure AD). (Directiva relacionada: La identidad administrada debe usarse en la aplicación de API.

Gravedad: media

La identidad administrada debe usarse en aplicaciones de función.

Gravedad: media

La identidad administrada debe usarse en aplicaciones web.

Gravedad: media

Se debe habilitar Microsoft Defender para App Service

Descripción: Microsoft Defender para App Service aprovecha la escala de la nube y la visibilidad que Azure tiene como proveedor de nube para supervisar los ataques comunes de aplicaciones web. Microsoft Defender para App Service puede detectar ataques en las aplicaciones, además de identificar ataques emergentes.

Importante: La corrección de esta recomendación dará lugar a cargos por la protección de los planes de App Service. Si no tiene ningún plan de App Service en esta suscripción, no se aplicarán cargos. Si, en el futuro, crea cualquier número de planes de App Service en esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos. Más información en Protección de las API y las aplicaciones web (Directiva relacionada: Azure Defender para App Service debe estar habilitado).

Gravedad: alta

PHP debe actualizarse a la versión más reciente de las aplicaciones de API.

Descripción: Periódicamente, las versiones más recientes se publican para el software PHP debido a errores de seguridad o para incluir funcionalidad adicional. Para las aplicaciones de API, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. (Directiva relacionada: Asegúrese de que la versión de PHP es la más reciente, si se usa como parte de la aplicación de API).

Gravedad: media

Python debe actualizarse a la versión más reciente de las aplicaciones de API.

Descripción: periódicamente, las versiones más recientes se publican para software de Python debido a errores de seguridad o para incluir funcionalidad adicional. Para las aplicaciones de API, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. (Directiva relacionada: Asegúrese de que "Versión de Python" es la más reciente, si se usa como parte de la aplicación de API).

Gravedad: media

Se debe desactivar la depuración remota para aplicaciones de API

Descripción: La depuración remota requiere que los puertos de entrada se abran en una aplicación de API. Se debe desactivar la depuración remota. (Directiva relacionada: La depuración remota debe desactivarse para las aplicaciones de API).

Gravedad: baja

Recomendación de desactivación de la depuración remota para Function App

Descripción: La depuración remota requiere que los puertos de entrada se abran en una aplicación de funciones de Azure. Se debe desactivar la depuración remota. (Directiva relacionada: La depuración remota debe desactivarse para Function Apps).

Gravedad: baja

Recomendación de desactivación de la depuración remota para aplicaciones web

Descripción: La depuración remota requiere que los puertos de entrada se abran en una aplicación web. La depuración remota se encuentra actualmente habilitada. Si no necesita usar la depuración remota, se debe desactivar. (Directiva relacionada: La depuración remota debe desactivarse para aplicaciones web).

Gravedad: baja

TLS debe actualizarse a la versión más reciente de las aplicaciones de API.

Descripción: actualice a la versión más reciente de TLS. (Directiva relacionada: La versión más reciente de TLS debe usarse en la aplicación de API.

Gravedad: alta

TLS debe actualizarse a la versión más reciente para las aplicaciones de función.

Descripción: actualice a la versión más reciente de TLS. (Directiva relacionada: La versión más reciente de TLS debe usarse en la aplicación de funciones).

Gravedad: alta

TLS debe actualizarse a la versión más reciente de las aplicaciones web.

Descripción: actualice a la versión más reciente de TLS. (Directiva relacionada: La versión más reciente de TLS debe usarse en la aplicación web).

Gravedad: alta

Acceso a la aplicación web solo a través de HTTPS

Gravedad: media

Las aplicaciones web deben solicitar un certificado SSL a todas las solicitudes entrantes

Descripción: los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. (Directiva relacionada: Asegúrese de que la aplicación WEB tiene "Certificados de cliente (certificados de cliente entrantes)" establecido en "Activado".

Gravedad: media

Recomendaciones de proceso

Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas

Descripción: habilite los controles de aplicación para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas y avisarle cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Defender for Cloud usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. (Directiva relacionada: Los controles de aplicación adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas.

Gravedad: alta

Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables

Descripción: supervise los cambios en el comportamiento en grupos de máquinas configuradas para la auditoría por parte de los controles de aplicaciones adaptables de Defender for Cloud. Defender for Cloud usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. (Directiva relacionada: Se deben actualizar las reglas de lista de permitidos de la directiva de control de aplicaciones adaptables).

Gravedad: alta

La autenticación en máquinas Linux debe requerir claves SSH.

Descripción: aunque SSH proporciona una conexión cifrada, el uso de contraseñas con SSH sigue dejando la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información en Pasos rápidos: Creación y uso de un par de claves pública-privada SSH para máquinas virtuales Linux en Azure (Directiva relacionada: Audite las máquinas Linux que no usan la clave SSH para la autenticación).

Gravedad: media

Las variables de cuenta de Automation deben cifrarse

Descripción: es importante habilitar el cifrado de los recursos de variables de cuenta de Automation al almacenar datos confidenciales. (Directiva relacionada: Las variables de cuenta de Automation deben cifrarse).

Gravedad: alta

Azure Backup debería habilitarse en las máquinas virtuales

Descripción: proteja los datos de las máquinas virtuales de Azure con Azure Backup. Azure Backup es una solución de protección de datos rentable y nativa de Azure. Crea puntos de recuperación que se almacenan en almacenes de recuperación con redundancia geográfica. Cuando se realiza una restauración desde un punto de recuperación, se puede restaurar toda la máquina virtual o determinados archivos. (Directiva relacionada: Azure Backup debe estar habilitado para Virtual Machines.

Gravedad: baja

- Los hosts de contenedor deben configurarse de forma segura.

Descripción: corrija las vulnerabilidades en la configuración de seguridad en las máquinas con Docker instaladas para protegerlos frente a ataques. (Directiva relacionada: Se deben corregir las vulnerabilidades de las configuraciones de seguridad del contenedor).

Gravedad: alta

Se deben habilitar los registros de diagnóstico en Azure Stream Analytics

Descripción: habilite los registros y guárdelos durante un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o se pone en peligro la red. (Directiva relacionada: Los registros de diagnóstico de Azure Stream Analytics deben estar habilitados).

Gravedad: baja

Se deben habilitar los registros de diagnóstico en las cuentas de Batch

Gravedad: baja

Los registros de diagnóstico de Event Hubs deben estar habilitados

Gravedad: baja

Los registros de diagnóstico de Logic Apps deben estar habilitados

Descripción: para asegurarse de que puede volver a crear pistas de actividad con fines de investigación cuando se produce un incidente de seguridad o la red está en peligro, habilite el registro. Si los registros de diagnóstico no se envían a un área de trabajo de Log Analytics, una cuenta de Azure Storage o Azure Event Hubs, asegúrese de que ha configurado la configuración de diagnóstico para enviar métricas de plataforma y registros de plataforma a los destinos pertinentes. Más información en Creación de una configuración de diagnóstico para enviar los registros y las métricas de la plataforma a diferentes destinos. (Directiva relacionada: Los registros de diagnóstico de Logic Apps deben estar habilitados).

Gravedad: baja

Los registros de diagnóstico de los servicios de búsqueda deben estar habilitados

Gravedad: baja

Los registros de diagnóstico en Service Bus deben estar habilitados

Gravedad: baja

Los registros de diagnóstico de Virtual Machine Scale Sets deben estar habilitados

Gravedad: alta

Los problemas de configuración de EDR deben resolverse en las máquinas virtuales

Descripción: para proteger las máquinas virtuales frente a las amenazas y vulnerabilidades más recientes, resuelva todos los problemas de configuración identificados con la solución de detección y respuesta de puntos de conexión (EDR) instalada.
Nota: Actualmente, esta recomendación solo se aplica a los recursos con Microsoft Defender para punto de conexión (MDE) habilitado.

Gravedad: baja

La solución EDR debe instalarse en Virtual Machines

Descripción: la instalación de una solución de detección y respuesta de puntos de conexión (EDR) en máquinas virtuales es importante para la protección contra amenazas avanzadas. Los EDR ayudan a prevenir, detectar, investigar y responder a estas amenazas. Microsoft Defender para servidores se puede usar para implementar Microsoft Defender para punto de conexión. Si un recurso se clasifica como "Incorrecto", indica la ausencia de una solución de EDR admitida. Si se instala una solución EDR pero no se puede detectar mediante esta recomendación, se puede excluir. Sin una solución EDR, las máquinas virtuales corren el riesgo de amenazas avanzadas.

Gravedad: alta

Deben resolverse los problemas de estado de Endpoint Protection en los conjuntos de escalado de máquinas virtuales.

Descripción: corrija los errores de mantenimiento de Endpoint Protection en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. (Directiva relacionada: La solución Endpoint Protection debe instalarse en conjuntos de escalado de máquinas virtuales).

Gravedad: baja

Endpoint Protection debe instalarse en conjuntos de escalado de máquinas virtuales.

Descripción: instale una solución de Endpoint Protection en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. (Directiva relacionada: La solución Endpoint Protection debe instalarse en conjuntos de escalado de máquinas virtuales).

Gravedad: alta

La supervisión de la integridad de los archivos debe estar habilitada en las máquinas

Descripción: Defender for Cloud ha identificado las máquinas que faltan en una solución de supervisión de integridad de archivos. Para supervisar los cambios en archivos críticos, claves del registro, etc. en los servidores, habilite la supervisión de la integridad de los archivos. Cuando la solución de supervisión de la integridad de los archivos está habilitada, cree reglas de recopilación de datos para definir los archivos que se van a supervisar. Para definir reglas o ver los archivos cambiados en las máquinas con reglas existentes, vaya a la página de administración de supervisión de la integridad de los archivos. (Ninguna directiva relacionada)

Gravedad: alta

La extensión de atestación de invitados debe estar instalada en conjuntos de escalado de máquinas virtuales Linux admitidos

Descripción: instale la extensión de atestación de invitado en conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Microsoft Defender for Cloud atestigua de forma proactiva y supervise la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales Linux habilitados para el inicio seguro.

Importante: El inicio de confianza requiere la creación de nuevas máquinas virtuales. No se puede habilitar el inicio seguro en las máquinas virtuales existentes que se crearon inicialmente sin él. Más información sobre el inicio seguro para máquinas virtuales de Azure (Ninguna directiva relacionada)

Gravedad: baja

La extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux

Descripción: instale la extensión de atestación de invitado en máquinas virtuales Linux compatibles para permitir que Microsoft Defender for Cloud atestigua de forma proactiva y supervise la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales Linux habilitadas para el inicio de confianza.

Gravedad: baja

La extensión de atestación de invitados debe estar instalada en conjuntos de escalado de máquinas virtuales Windows admitidos

Descripción: instale la extensión de atestación de invitado en conjuntos de escalado de máquinas virtuales compatibles para permitir que Microsoft Defender for Cloud atestigua de forma proactiva y supervise la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a los conjuntos de escalado de máquinas virtuales habilitados para el inicio seguro.

Gravedad: baja

La extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows

Descripción: instale la extensión de atestación de invitado en máquinas virtuales compatibles para permitir que Microsoft Defender for Cloud atestigua de forma proactiva y supervise la integridad de arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro.

Gravedad: baja

La extensión de configuración de invitado debe instalarse en las máquinas.

Descripción: para garantizar configuraciones seguras de la configuración en invitado de la máquina, instale la extensión Configuración de invitado. La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas en invitado estarán disponibles, como Protección contra vulnerabilidades de seguridad de Windows, debe estar habilitada. (Directiva relacionada: Las máquinas virtuales deben tener la extensión De configuración de invitado).

Gravedad: media

Instalar una solución de protección de punto de conexión en máquinas virtuales

Descripción: instale una solución de Endpoint Protection en las máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. (Directiva relacionada: Supervise la falta de Endpoint Protection en Azure Security Center.

Gravedad: alta

Las máquinas virtuales Linux deben exigir la validación de la firma del módulo de kernel

Descripción: para ayudar a mitigar la ejecución de código malintencionado o no autorizado en modo kernel, aplique la validación de firmas del módulo kernel en máquinas virtuales Linux compatibles. La validación de la firma del módulo de kernel garantiza que solo se permita la ejecución de módulos de kernel de confianza. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. (Ninguna directiva relacionada)

Gravedad: baja

Las máquinas virtuales Linux solo deben usar componentes de arranque firmados y de confianza

Descripción: con el arranque seguro habilitado, todos los componentes de arranque del sistema operativo (cargador de arranque, kernel, controladores de kernel) deben estar firmados por editores de confianza. Defender for Cloud ha identificado componentes de arranque del sistema operativo que no son de confianza en una o varias máquinas Linux. Para proteger las máquinas de componentes potencialmente malintencionados, agréguelas a la lista de permitidos o quite los componentes identificados. (Ninguna directiva relacionada)

Gravedad: baja

Las máquinas virtuales Linux deben usar el arranque seguro

Descripción: para protegerse frente a la instalación de rootkits y kits de arranque basados en malware, habilite el arranque seguro en máquinas virtuales Linux compatibles. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. (Ninguna directiva relacionada)

Gravedad: baja

El agente de Log Analytics debe instalarse en las máquinas basadas en Linux habilitadas para Azure Arc.

Descripción: Defender for Cloud usa el agente de Log Analytics (también conocido como OMS) para recopilar eventos de seguridad de las máquinas de Azure Arc. Para implementar el agente en todas las máquinas de Azure Arc, siga los pasos de corrección. (Ninguna directiva relacionada)

Gravedad: alta

El agente de Log Analytics debe instalarse en los conjuntos de escalado de máquinas virtuales.

Descripción: Defender for Cloud recopila datos de las máquinas virtuales (VM) de Azure para supervisar las vulnerabilidades de seguridad y las amenazas. Para realizar esta operación, se usa el agente de Log Analytics, que anteriormente se conocía como Microsoft Monitoring Agent (MMA), que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo para analizarlos. También tendrá que realizar ese procedimiento si algún servicio administrado de Azure, como Azure Kubernetes Service o Azure Service Fabric, utiliza sus máquinas virtuales. No se puede configurar el aprovisionamiento automático del agente para los conjuntos de escalado de máquinas virtuales de Azure. Para implementar el agente en los conjuntos de escalado de máquinas virtuales (incluidos los que se usan en los servicios administrados de Azure, como Azure Kubernetes Service y Azure Service Fabric), siga el procedimiento descrito en los pasos de corrección. (Directiva relacionada: El agente de Log Analytics debe instalarse en los conjuntos de escalado de máquinas virtuales para la supervisión de Azure Security Center.

Gravedad: alta

El agente de Log Analytics debe instalarse en las máquinas virtuales.

Descripción: Defender for Cloud recopila datos de las máquinas virtuales (VM) de Azure para supervisar las vulnerabilidades de seguridad y las amenazas. Para realizar esta operación, se usa el agente de Log Analytics, que anteriormente se conocía como Microsoft Monitoring Agent (MMA), que lee distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copia los datos en el área de trabajo de Log Analytics para analizarlos. Este agente también es necesario si algún servicio administrado de Azure, como Azure Kubernetes Service o Azure Service Fabric, utiliza sus máquinas virtuales. Se recomienda configurar el aprovisionamiento automático para que implemente el agente automáticamente. Si decida no usar el aprovisionamiento automático, implemente el agente de forma manual en sus máquinas virtuales y, para hacerlo, siga las instrucciones de los pasos para la corrección. (Directiva relacionada: El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center.

Gravedad: alta

El agente de Log Analytics debe instalarse en las máquinas basadas en Windows habilitadas para Azure Arc.

Descripción: Defender for Cloud usa el agente de Log Analytics (también conocido como MMA) para recopilar eventos de seguridad de las máquinas de Azure Arc. Para implementar el agente en todas las máquinas de Azure Arc, siga los pasos de corrección. (Ninguna directiva relacionada)

Gravedad: alta

Las máquinas deben configurarse de forma segura.

Descripción: corrija las vulnerabilidades en la configuración de seguridad en las máquinas para protegerlos frente a ataques. (Directiva relacionada: Se deben corregir las vulnerabilidades en la configuración de seguridad de las máquinas).

Gravedad: baja

Las máquinas deben reiniciarse para aplicar actualizaciones de configuración de seguridad

Descripción: para aplicar actualizaciones de configuración de seguridad y protegerse frente a vulnerabilidades, reinicie las máquinas. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. (Ninguna directiva relacionada)

Gravedad: baja

Las máquinas deben tener una solución de evaluación de vulnerabilidades.

Descripción: Defender for Cloud comprueba periódicamente las máquinas conectadas para asegurarse de que ejecutan herramientas de evaluación de vulnerabilidades. Use esta recomendación para implementar una solución de evaluación de vulnerabilidades. (Directiva relacionada: Se debe habilitar una solución de evaluación de vulnerabilidades en las máquinas virtuales.

Gravedad: media

Las máquinas deben tener resueltos los resultados de vulnerabilidades.

Descripción: resuelva los resultados de las soluciones de evaluación de vulnerabilidades en las máquinas virtuales. (Directiva relacionada: Se debe habilitar una solución de evaluación de vulnerabilidades en las máquinas virtuales.

Gravedad: baja

Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.

Descripción: Defender for Cloud ha identificado algunas reglas de entrada excesivamente permisivas para los puertos de administración en el grupo de seguridad de red. Habilite el control de acceso Just-in-Time para proteger la máquina virtual frente a los ataques por fuerza bruta que se realizan a través de Internet. Más información en Descripción del acceso a la máquina virtual Just-in-Time (JIT) (Directiva relacionada: Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time).

Gravedad: alta

Se debe habilitar Microsoft Defender para servidores

Descripción: Microsoft Defender para servidores proporciona protección contra amenazas en tiempo real para las cargas de trabajo de servidor y genera recomendaciones de protección, así como alertas sobre actividades sospechosas. Esta información se puede usar para corregir problemas de seguridad y mejorar la seguridad de los servidores rápidamente.

Importante: la corrección de esta recomendación dará lugar a cargos por la protección de los servidores. Si no tiene ningún servidor en esta suscripción, no se aplicarán cargos. Si, en el futuro, crea cualquier número de servidores en esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos. Más información en Introducción a Microsoft Defender para servidores. (Directiva relacionada: Azure Defender para servidores debe estar habilitado).

Gravedad: alta

Microsoft Defender para servidores debe estar habilitado en las áreas de trabajo.

Descripción: Microsoft Defender para servidores ofrece detección de amenazas y defensas avanzadas para las máquinas Windows y Linux. Con este plan de Defender habilitado en las suscripciones, pero no en las áreas de trabajo, paga por la funcionalidad completa de Microsoft Defender para los servidores, pero se pierden algunas de las ventajas. Al habilitar Microsoft Defender para servidores en un área de trabajo, todas las máquinas que dependen de esa área de trabajo se facturarán en relación con Microsoft Defender para los servidores, incluso si están en suscripciones sin planes de Defender habilitados. A menos que también habilite Microsoft Defender para los servidores de la suscripción, esas máquinas no podrán aprovechar el acceso a máquinas virtuales Just-In-Time, los controles de aplicación adaptables y las detecciones de red para los recursos de Azure. Más información en Introducción a Microsoft Defender para servidores. (Ninguna directiva relacionada)

Gravedad: media

El arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas

Descripción: habilite el arranque seguro en máquinas virtuales Windows compatibles para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque, kernel y controladores de kernel de confianza. Esta evaluación solo se aplica a las máquinas virtuales Windows habilitadas para el inicio de confianza.

Gravedad: baja

Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric

Descripción: Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. (Directiva relacionada: Los clústeres de Service Fabric deben tener la propiedad ClusterProtectionLevel establecida en EncryptAndSign).

Gravedad: alta

Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente

Descripción: Realice la autenticación de cliente solo a través de Azure Active Directory en Service Fabric (directiva relacionada: los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente).

Gravedad: alta

Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales

Descripción: instale las actualizaciones críticas y la seguridad del sistema que faltan para proteger los conjuntos de escalado de máquinas virtuales Windows y Linux. (Directiva relacionada: Se deben instalar las actualizaciones del sistema en conjuntos de escalado de máquinas virtuales).

Gravedad: alta

Se deben instalar actualizaciones del sistema en las máquinas

Descripción: instale las actualizaciones críticas y la seguridad del sistema que faltan para proteger las máquinas virtuales Windows y Linux y los equipos (directiva relacionada: Las actualizaciones del sistema deben instalarse en las máquinas).

Gravedad: alta

Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización)

Descripción: las máquinas faltan en el sistema, la seguridad y las actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. (Ninguna directiva relacionada)

Gravedad: alta

Los conjuntos de escalado de máquinas virtuales deben configurarse de forma segura.

Descripción: corrija las vulnerabilidades en la configuración de seguridad en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. (Directiva relacionada: Se deben corregir las vulnerabilidades de la configuración de seguridad en los conjuntos de escalado de máquinas virtuales).

Gravedad: alta

El estado de atestación de invitado de las máquinas virtuales debe ser correcto

Descripción: la atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque, lo que podría ser el resultado de una infección de bootkit o rootkit. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para inicio de confianza que tengan instalada la extensión de atestación de invitados. (Ninguna directiva relacionada)

Gravedad: media

La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema.

Descripción: la extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información (Directiva relacionada: La extensión de configuración de invitado debe implementarse en máquinas virtuales de Azure con la identidad administrada asignada por el sistema).

Gravedad: media

Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager

Descripción: Las máquinas virtuales (clásicas) están en desuso y estas máquinas virtuales deben migrarse a Azure Resource Manager. Dado que Azure Resource Manager tiene ahora funcionalidades completas de IaaS y otras mejoras, hemos puesto en desuso las máquinas virtuales (VM) de IaaS mediante Azure Service Manager (ASM) el 28 de febrero de 2020. Esta funcionalidad se retirará por completo el 1 de marzo de 2023.

Para visualizar todas las VM clásicas afectadas, asegúrese de seleccionar todas las suscripciones de Azure en la pestaña "Directorios y suscripciones".

Recursos disponibles e información sobre esta herramienta y migración: Información general sobre el desuso de máquinas virtuales (clásico), proceso paso a paso para la migración y los recursos de Microsoft disponibles.Detalles sobre La migración a la herramienta de migración de Azure Resource Manager.Migración a la herramienta de migración de Azure Resource Manager mediante PowerShell. (Directiva relacionada: Las máquinas virtuales deben migrarse a nuevos recursos de Azure Resource Manager.

Gravedad: alta

Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento

Descripción: de forma predeterminada, el sistema operativo y los discos de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Para ver una comparación de las distintas tecnologías de cifrado de disco en Azure, consulte, https://aka.ms/diskencryptioncomparison. Use Azure Disk Encryption para cifrar todos estos datos. Ignore esta recomendación si:

Está usando la característica de cifrado en host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Más información en Cifrado del lado servidor de Azure Disk Storage (Directiva relacionada: el cifrado de discos debe aplicarse en las máquinas virtuales)

Gravedad: alta

vTPM debe estar habilitado en las máquinas virtuales admitidas

Descripción: habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro.

Gravedad: baja

Las vulnerabilidades de la configuración de seguridad de las máquinas Linux deben corregirse (mediante la configuración de invitado)

Descripción: corrija las vulnerabilidades en la configuración de seguridad en las máquinas Linux para protegerlos frente a ataques. (Directiva relacionada: Las máquinas Linux deben cumplir los requisitos de la línea base de seguridad de Azure.

Gravedad: baja

Las vulnerabilidades de la configuración de seguridad de las máquinas Windows deben corregirse (mediante la configuración de invitado)

Descripción: corrija las vulnerabilidades en la configuración de seguridad en las máquinas Windows para protegerlos de ataques. (Ninguna directiva relacionada)

Gravedad: baja

La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas.

Descripción: Protección contra vulnerabilidades de seguridad de Windows Defender usa el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). (Directiva relacionada: Audite las máquinas Windows en las que protección contra vulnerabilidades de seguridad de Windows Defender no está habilitada).

Gravedad: media

Los servidores web de Windows deben estar configurados para usar protocolos de comunicación seguros

Descripción: para proteger la privacidad de la información que se comunica a través de Internet, los servidores web deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red mediante el uso de certificados de seguridad para cifrar una conexión entre máquinas. (Directiva relacionada: Audite los servidores web de Windows que no usan protocolos de comunicación seguros).

Gravedad: alta

[Versión preliminar]: las máquinas virtuales de Linux deben habilitar Azure Disk Encryption o EncryptionAtHost

Descripción: de forma predeterminada, el sistema operativo y los discos de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Use Azure Disk Encryption o EncryptionAtHost para cifrar todos estos datos. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. (Directiva relacionada: [Versión preliminar]: las máquinas virtuales Linux deben habilitar Azure Disk Encryption o EncryptionAtHost).

Gravedad: alta

[Versión preliminar]: Las máquinas virtuales de Windows deben habilitar Azure Disk Encryption o EncryptionAtHost

Descripción: de forma predeterminada, el sistema operativo y los discos de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma; los discos temporales y las cachés de datos no se cifran y los datos no se cifran cuando fluyen entre los recursos de proceso y almacenamiento. Use Azure Disk Encryption o EncryptionAtHost para cifrar todos estos datos. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. (Directiva relacionada: [Versión preliminar]: Las máquinas virtuales Windows deben habilitar Azure Disk Encryption o EncryptionAtHost).

Gravedad: alta

Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host

Descripción: use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en Uso de Azure Portal para habilitar el cifrado de un extremo a otro mediante el cifrado en el host. (Directiva relacionada: Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener cifrado en el host habilitado).

Gravedad: media

(Versión preliminar) Los servidores de Azure Stack HCI deben cumplir los requisitos de núcleos protegidos

Descripción: asegúrese de que todos los servidores de Azure Stack HCI cumplen los requisitos de núcleos protegidos. (Directiva relacionada: La extensión De configuración de invitado debe instalarse en máquinas: Microsoft Azure).

Gravedad: baja

(Versión preliminar) Los servidores de Azure Stack HCI deben tener directivas de control de aplicaciones aplicadas de forma coherente

Descripción: como mínimo, aplique la directiva base WDAC de Microsoft en modo aplicado en todos los servidores de Azure Stack HCI. Las directivas de Control de aplicaciones de Windows Defender (WDAC) aplicadas deben ser coherentes entre los servidores del mismo clúster. (Directiva relacionada: La extensión De configuración de invitado debe instalarse en máquinas: Microsoft Azure).

Gravedad: alta

(Versión preliminar) Los sistemas de Azure Stack HCI deben tener volúmenes cifrados

Descripción: use BitLocker para cifrar los volúmenes de datos y del sistema operativo en sistemas de Azure Stack HCI. (Directiva relacionada: La extensión De configuración de invitado debe instalarse en máquinas: Microsoft Azure).

Gravedad: alta

(Versión preliminar) Las redes de VM y host deben protegerse en los sistemas de Azure Stack HCI

Descripción: proteja los datos en la red del host de Azure Stack HCI y en las conexiones de red de máquinas virtuales. (Directiva relacionada: La extensión De configuración de invitado debe instalarse en máquinas: Microsoft Azure).

Gravedad: baja

Recomendaciones del contenedor

[Vista previa] Las imágenes de contenedor en el registro de Azure deben tener los resultados de vulnerabilidad resueltos

Descripción: Defender for Cloud examina las imágenes del registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen escaneada. El examen y la corrección de las vulnerabilidades de las imágenes de contenedores del registro ayudan a mantener una cadena de suministro de software segura y de confianza, reducen el riesgo de incidentes de seguridad y garantizan el cumplimiento de los estándares del sector.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

[Vista previa] Los contenedores que se ejecutan en Azure deben tener los resultados de vulnerabilidad resueltos

Descripción: Defender for Cloud crea un inventario de todas las cargas de trabajo de contenedor que se ejecutan actualmente en los clústeres de Kubernetes y proporciona informes de vulnerabilidades para esas cargas de trabajo mediante la coincidencia de las imágenes que se usan y los informes de vulnerabilidades creados para las imágenes del Registro. El examen y la corrección de las vulnerabilidades de las cargas de trabajo de los contenedores es fundamental para garantizar una cadena de suministro de software sólida y segura, reducir el riesgo de incidentes de seguridad y garantizar el cumplimiento de los estándares del sector.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

(Habilitar si es necesario) Los registros de contenedor deben cifrarse con una clave administrada por el cliente (CMK)

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/acr/CMK. (Directiva relacionada: Los registros de contenedor deben cifrarse con una clave administrada por el cliente (CMK)).

Gravedad: baja

Tipo: Plano de control

Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy

Descripción: la extensión de Azure Policy para Kubernetes amplía Gatekeeper v3, un webhook de controlador de admisión para open Policy Agent (OPA), para aplicar medidas de seguridad y cumplimiento a escala en los clústeres de una manera centralizada y coherente. (Ninguna directiva relacionada)

Gravedad: alta

Tipo: Plano de control

Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Defender instalada.

Descripción: la extensión de Defender para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del plano de control (maestro) del clúster y los envía al back-end de Microsoft Defender para Kubernetes en la nube para su posterior análisis. (Ninguna directiva relacionada)

Gravedad: alta

Tipo: Plano de control

Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender.

Descripción: Microsoft Defender para contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como la protección del entorno, la protección de cargas de trabajo y la protección en tiempo de ejecución. Al habilitar el perfil SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información en Introducción a Microsoft Defender para contenedores (Ninguna directiva relacionada)

Gravedad: alta

Tipo: Plano de control

Los clústeres de Azure Kubernetes Service deben tener instalado el complemento de Azure Policy para Kubernetes

Descripción: el complemento de Azure Policy para Kubernetes amplía Gatekeeper v3, un webhook de controlador de admisión para open Policy Agent (OPA), para aplicar medidas de seguridad y cumplimiento a escala en los clústeres de una manera centralizada y coherente. Defender for Cloud requiere que el complemento audite y aplique las funcionalidades de seguridad y el cumplimiento en los clústeres. Más información. Requiere Kubernetes v 1.14.0 o posterior. (Directiva relacionada: El complemento de Azure Policy para Kubernetes Service (AKS) debe estar instalado y habilitado en los clústeres.

Gravedad: alta

Tipo: Plano de control

Las instancias de Container Registry no deben permitir el acceso de red sin restricciones

Descripción: los registros de contenedor de Azure aceptan de forma predeterminada conexiones a través de Internet desde hosts de cualquier red. Para protegerlas frente a posibles amenazas, permita el acceso solo desde direcciones IP públicas específicas o intervalos de direcciones. Si el registro no tiene una regla de IP/firewall o una red virtual configurada, aparece en los recursos incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/portal/public-network y aquí https://aka.ms/acr/vnet. (Directiva relacionada: Los registros de contenedor no deben permitir el acceso a la red sin restricciones).

Gravedad: media

Tipo: Plano de control

Las instancias de Container Registry deben usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. (Directiva relacionada: Los registros de contenedor deben usar private link).

Gravedad: media

Tipo: Plano de control

- Los registros de diagnóstico de los servicios de Kubernetes deben estar habilitados.

Descripción: habilite los registros de diagnóstico en los servicios de Kubernetes y guárdelos hasta un año. Esto le permite volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad. (Ninguna directiva relacionada)

Gravedad: baja

Tipo: Plano de control

El servidor de API de Kubernetes debe configurarse con acceso restringido

Descripción: para asegurarse de que solo las aplicaciones de redes, máquinas o subredes permitidas puedan acceder al clúster, restrinja el acceso al servidor de API de Kubernetes. Puede restringir el acceso definiendo intervalos IP autorizados o configurando los servidores de API como clústeres privados, como se explica en Creación de un clúster privado de Azure Kubernetes Service. (Directiva relacionada: Los intervalos IP autorizados deben definirse en Kubernetes Services).

Gravedad: alta

Tipo: Plano de control

Se debe usar el control de acceso basado en rol en los servicios de Kubernetes

Descripción: para proporcionar filtrado pormenorizado sobre las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) para administrar permisos en clústeres de Kubernetes Service y configurar las directivas de autorización pertinentes. (Directiva relacionada: El control de acceso basado en rol (RBAC) debe usarse en Kubernetes Services).

Gravedad: alta

Tipo: Plano de control

Microsoft Defender para contenedores debería estar habilitado

Descripción: Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. Puede usar esta información para corregir problemas de seguridad y mejorar la seguridad de los contenedores rápidamente.

Importante: la corrección de esta recomendación dará lugar a cargos por la protección de los clústeres de Kubernetes. Si no tiene ningún clúster de Kubernetes en esta suscripción, no se aplicarán cargos. Si, en el futuro, crea cualquier número de clústeres de Kubernetes en esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos. Más información en Introducción a Microsoft Defender para contenedores (Ninguna directiva relacionada)

Gravedad: alta

Tipo: Plano de control

Se deben aplicar los límites de CPU y memoria de los contenedores

Descripción: aplicar límites de CPU y memoria impide ataques de agotamiento de recursos (una forma de ataque por denegación de servicio).

Se recomienda establecer los límites de los contenedores para asegurarse de que el tiempo de ejecución impide que el contenedor use más del límite de recursos configurado.

(Directiva relacionada: Asegúrese de que los límites de recursos de memoria y CPU de contenedor no superan los límites especificados en el clúster de Kubernetes).

Gravedad: media

Tipo: Plano de datos de Kubernetes

Las imágenes de contenedor solo deben implementarse desde registros de confianza

Descripción: las imágenes que se ejecutan en el clúster de Kubernetes deben provenir de registros de imágenes de contenedor conocidas y supervisadas. Los registros de confianza reducen el riesgo de exposición del clúster limitando la posibilidad de la introducción de vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas.

(Directiva relacionada: Asegúrese de que solo se permiten imágenes de contenedor en el clúster de Kubernetes).

Gravedad: alta

Tipo: Plano de datos de Kubernetes

Se deben evitar los contenedores con elevación de privilegios

Descripción: los contenedores no deben ejecutarse con la extensión de privilegios a la raíz en el clúster de Kubernetes. El atributo AllowPrivilegeEscalation controla si un proceso puede obtener más privilegios que el proceso primario. (Directiva relacionada: Los clústeres de Kubernetes no deben permitir la elevación de privilegios de contenedor).

Gravedad: media

Tipo: plano de datos de Kubernetes

Descripción: para protegerse frente a la elevación de privilegios fuera del contenedor, evite el acceso de pod a espacios de nombres de host confidenciales (id. de proceso de host e IPC de host) en un clúster de Kubernetes. (Directiva relacionada: Los contenedores de clústeres de Kubernetes no deben compartir el identificador de proceso de host ni el espacio de nombres IPC del host).

Gravedad: media

Tipo: plano de datos de Kubernetes

Los contenedores solo deben usar perfiles de AppArmor permitidos.

Descripción: los contenedores que se ejecutan en clústeres de Kubernetes solo deben limitarse a los perfiles de AppArmor permitidos. AppArmor (Application Armor) es un módulo de seguridad de Linux que protege un sistema operativo y sus aplicaciones frente a amenazas de seguridad. Para usarlo, el administrador del sistema asocia un perfil de seguridad de AppArmor a cada programa. (Directiva relacionada: Los contenedores de clústeres de Kubernetes solo deben usar perfiles de AppArmor permitidos).

Gravedad: alta

Tipo: plano de datos de Kubernetes

El sistema de archivos raíz inmutable (de solo lectura) debe aplicarse para los contenedores

Descripción: los contenedores deben ejecutarse con un sistema de archivos raíz de solo lectura en el clúster de Kubernetes. El sistema de archivos inmutable protege los contenedores frente a cambios en el entorno de ejecución que implican la adición de archivos binarios malintencionados a PATH. (Directiva relacionada: Los contenedores de clústeres de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura).

Gravedad: media

Tipo: plano de datos de Kubernetes

Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS

Descripción: el uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de interceptación de capas de red. Esta funcionalidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para el motor de AKS y Kubernetes con Azure Arc habilitado. Para obtener más información, visite https://aka.ms/kubepolicydoc (Directiva relacionada: Aplicación de la entrada HTTPS en el clúster de Kubernetes).

Gravedad: alta

Tipo: Plano de datos de Kubernetes

Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático

Descripción: deshabilite las credenciales de API de montaje automático para evitar que un recurso pod potencialmente comprometido ejecute comandos de API en clústeres de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. (Directiva relacionada: Los clústeres de Kubernetes deben deshabilitar las credenciales de API de montaje automático).

Gravedad: alta

Tipo: Plano de datos de Kubernetes

Los clústeres de Kubernetes no deben otorgar funcionalidades de seguridad CAPSYSADMIN.

Descripción: para reducir la superficie expuesta a ataques de los contenedores, restrinja CAP_SYS_ADMIN funcionalidades de Linux. Para obtener más información, vea https://aka.ms/kubepolicydoc. (Ninguna directiva relacionada)

Gravedad: alta

Tipo: plano de datos de Kubernetes

Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado

Descripción: evite el uso del espacio de nombres predeterminado en clústeres de Kubernetes para protegerse contra el acceso no autorizado para los tipos de recursos ConfigMap, Pod, Secreto, Servicio y ServiceAccount. Para obtener más información, vea https://aka.ms/kubepolicydoc. (Directiva relacionada: Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado).

Gravedad: baja

Tipo: plano de datos de Kubernetes

Deben aplicarse funcionalidades de Linux con privilegios mínimos para los contenedores

Descripción: para reducir la superficie expuesta a ataques del contenedor, restrinja las funcionalidades de Linux y conceda privilegios específicos a los contenedores sin conceder todos los privilegios del usuario raíz. Se recomienda quitar todas las funcionalidades y, a continuación, agregar las necesarias (directiva relacionada: los contenedores de clústeres de Kubernetes solo deben usar las funcionalidades permitidas).

Gravedad: media

Tipo: plano de datos de Kubernetes

Deben evitarse los contenedores con privilegios

Descripción: para evitar el acceso de host sin restricciones, evite los contenedores con privilegios siempre que sea posible.

Los contenedores con privilegios tienen todas las capacidades raíz de un equipo host. Se pueden usar como puntos de entrada para ataques y para propagar código malintencionado o malware a aplicaciones, hosts y redes en peligro. (Directiva relacionada: No permita contenedores con privilegios en el clúster de Kubernetes).

Gravedad: media

Tipo: plano de datos de Kubernetes

Se debe evitar la ejecución de contenedores como usuario raíz

Descripción: los contenedores no se deben ejecutar como usuarios raíz en el clúster de Kubernetes. La ejecución de un proceso como el usuario raíz dentro de un contenedor lo ejecuta como raíz en el host. En caso de peligro, un atacante tiene la raíz en el contenedor, y cualquier error de configuración resulta más fácil de aprovechar. (Directiva relacionada: Los pods y contenedores del clúster de Kubernetes solo se deben ejecutar con identificadores de usuario y grupo aprobados.

Gravedad: alta

Tipo: Plano de datos de Kubernetes

Los servicios solo deben escuchar en los puertos permitidos

Descripción: para reducir la superficie expuesta a ataques del clúster de Kubernetes, restrinja el acceso al clúster limitando el acceso de los servicios a los puertos configurados. (Directiva relacionada: Asegúrese de que los servicios solo escuchan en los puertos permitidos en el clúster de Kubernetes).

Gravedad: media

Tipo: plano de datos de Kubernetes

El uso de puertos y redes de hosts debe estar restringido

Descripción: restrinja el acceso de pod a la red host y al intervalo de puertos de host permitido en un clúster de Kubernetes. Los pods creados con el atributo hostNetwork habilitado compartirán el espacio de red del nodo. Para evitar que el contenedor en peligro rastree el tráfico de red, se recomienda no colocar los pods en la red del host. Si necesita exponer un puerto de contenedor en la red del nodo y usar un puerto de nodo de Kubernetes Service no satisface sus necesidades, otra posibilidad es especificar un hostPort para el contenedor en la especificación de pod. (Directiva relacionada: los pods del clúster de Kubernetes solo deben usar la red de host aprobada y el intervalo de puertos).

Gravedad: media

Tipo: plano de datos de Kubernetes

El uso de montajes de volúmenes HostPath de pod debe restringirse a una lista conocida, con el fin de restringir el acceso a los nodos de los contenedores en peligro

Descripción: se recomienda limitar los montajes de volumen hostPath de pod en el clúster de Kubernetes a las rutas de acceso de host permitidas configuradas. En caso de peligro, se debe restringir el acceso al nodo contenedor desde los contenedores. (Directiva relacionada: Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de acceso de host permitidas.

Gravedad: media

Tipo: Plano de datos de Kubernetes

Las imágenes de contenedor de registros de Azure deben tener resueltas las vulnerabilidades (con tecnología de Qualys)

Descripción: la evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades de seguridad y expone resultados detallados para cada imagen. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad de los contenedores y protegerlos frente a ataques. (Directiva relacionada: Se deben corregir las vulnerabilidades de las imágenes de Azure Container Registry).

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

Las vulnerabilidades de las imágenes del contenedor del registro de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender)

Importante

Esta recomendación está en una ruta de retirada. La recomendación [[Versión preliminar] Las imágenes de contenedor de Azure Registry deben tener resultados de vulnerabilidad resueltos](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).

Descripción: la evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe de vulnerabilidades detallado para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. (Directiva relacionada: Se deben corregir las vulnerabilidades de las imágenes de Azure Container Registry).

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender)

Importante

Esta recomendación está en una ruta de retirada. La recomendación [[Versión preliminar] Los contenedores que se ejecutan en Azure deben tener resultados de vulnerabilidad resueltos](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).

Descripción: la evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe de vulnerabilidades detallado para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores.

Gravedad: alta

Tipo: Evaluación de vulnerabilidades

Recomendaciones de datos

(Habilitar si es necesario) Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/cosmosdb-cmk. (Directiva relacionada: Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo).

Gravedad: baja

(Habilitar si es necesario) Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK)

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente (CMK). De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/azureml-workspaces-cmk. (Directiva relacionada: Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente (CMK)).

Gravedad: baja

(Habilitar si es necesario) Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente (CMK)

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información sobre el cifrado de CMK en https://aka.ms/cosmosdb-cmk. (Directiva relacionada: las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente [CMK])

Gravedad: baja

(Habilitar si es necesario) Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. (Directiva relacionada: Traiga su propia protección de datos clave debe estar habilitada para los servidores MySQL.

Gravedad: baja

(Habilitar si es necesario) Los servidores postgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. (Directiva relacionada: Traiga su propia protección de datos clave debe estar habilitada para los servidores PostgreSQL.

Gravedad: baja

(Habilitar si es necesario) Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. (Directiva relacionada: Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo).

Gravedad: baja

(Habilitar si es necesario) Los servidores SQL Server deben usar claves administradas por el cliente para cifrar los datos en reposo

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. (Directiva relacionada: Los servidores SQL Server deben usar claves administradas por el cliente para cifrar los datos en reposo).

Gravedad: baja

(Habilitar si es necesario) Las cuentas de almacenamiento deben usar la clave administrada por el cliente (CMK) para el cifrado.

Descripción: Recomendaciones para usar claves administradas por el cliente para el cifrado de datos en reposo no se evalúan de forma predeterminada, pero están disponibles para habilitarse para escenarios aplicables. Los datos se cifran automáticamente mediante claves administradas por la plataforma, por lo que el uso de claves administradas por el cliente solo se debe aplicar cuando sea obligatorio para cumplir los requisitos de directivas de restricción o cumplimiento. Para habilitar esta recomendación, vaya a la directiva de seguridad del ámbito aplicable y actualice el parámetro Effect de la directiva correspondiente para auditar o exigir el uso de claves administradas por el cliente. Más información en Administrar directivas de seguridad Proteja su cuenta de almacenamiento con mayor flexibilidad mediante el uso de claves administradas por el cliente (CMK). Cuando se especifica una CMK, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves CMK proporciona funciones adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. (Directiva relacionada: Las cuentas de almacenamiento deben usar la clave administrada por el cliente (CMK) para el cifrado).

Gravedad: baja

Todos los tipos de protección contra amenazas avanzada deben habilitarse en la configuración de la seguridad avanzada de datos de las instancias administradas de SQL.

Descripción: se recomienda habilitar todos los tipos de protección contra amenazas avanzadas en las instancias administradas de SQL. La habilitación de todos los tipos protege contra la inyección de código SQL, las vulnerabilidades de base de datos y cualquier otra actividad anómala. (Ninguna directiva relacionada)

Gravedad: media

Todos los tipos de Advanced Threat Protection deben habilitarse en la configuración de Advanced Data Security del servidor SQL Server.

Descripción: se recomienda habilitar todos los tipos de protección contra amenazas avanzadas en los servidores SQL Server. La habilitación de todos los tipos protege contra la inyección de código SQL, las vulnerabilidades de base de datos y cualquier otra actividad anómala. (Ninguna directiva relacionada)

Gravedad: media

Los servicios de API Management deben usar una red virtual

Descripción: la implementación de Azure Virtual Network proporciona seguridad, aislamiento y mejora la seguridad y permite colocar el servicio API Management en una red que no es enrutable a Internet a la que se controla el acceso. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sean accesibles desde Internet o solo dentro de la red virtual. (Directiva relacionada: Los servicios de API Management deben usar una red virtual.

Gravedad: media

App Configuration debe usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. (Directiva relacionada: App Configuration debe usar private link).

Gravedad: media

La retención de la auditoría en los servidores de SQL Server debe establecerse en 90 días, como mínimo

Descripción: audite los servidores SQL Server configurados con un período de retención de auditoría de menos de 90 días. (Directiva relacionada: los servidores de SQL Server se deben configurar con una retención de auditoría de 90 días, o más.)

Gravedad: baja

La auditoría de SQL Server debe estar habilitada

Descripción: habilite la auditoría en SQL Server para realizar un seguimiento de las actividades de base de datos en todas las bases de datos del servidor y guardarlas en un registro de auditoría. (Directiva relacionada: La auditoría en SQL Server debe estar habilitada).

Gravedad: baja

El aprovisionamiento automático del agente de Log Analytics debe habilitarse en las suscripciones.

Descripción: para supervisar las vulnerabilidades y amenazas de seguridad, Microsoft Defender for Cloud recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. (Directiva relacionada: El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción).

Gravedad: baja

Azure Cache for Redis debe residir en una red virtual

Descripción: la implementación de Azure Virtual Network (VNet) proporciona seguridad y aislamiento mejorados para Azure Cache for Redis, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando una instancia de Azure Cache for Redis se configure con una red virtual, no será posible acceder a ella públicamente, solo se podrá acceder a ella desde máquinas virtuales y aplicaciones de dentro de la red virtual. (Directiva relacionada: Azure Cache for Redis debe residir dentro de una red virtual.

Gravedad: media

Azure Database for MySQL debe tener un administrador de Azure Active Directory aprovisionado

Descripción: aprovisione un administrador de Azure AD para azure Database for MySQL para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de los usuarios de la base de datos y otros servicios Microsoft (directiva relacionada: se debe aprovisionar un administrador de Azure Active Directory para los servidores MySQL).

Gravedad: media

Azure Database for PostgreSQL debe tener aprovisionado un administrador de Azure Active Directory

Descripción: aprovisione un administrador de Azure AD para azure Database for PostgreSQL para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft
(Directiva relacionada: Se debe aprovisionar un administrador de Azure Active Directory para los servidores postgreSQL).

Gravedad: media

Las cuentas de Azure Cosmos DB deben tener reglas de firewall.

Descripción: las reglas de firewall deben definirse en las cuentas de Azure Cosmos DB para evitar el tráfico de orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. (Directiva relacionada: Las cuentas de Azure Cosmos DB deben tener reglas de firewall).

Gravedad: media

Los dominios de Azure Event Grid deben usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. (Directiva relacionada: Los dominios de Azure Event Grid deben usar private link).

Gravedad: media

Los temas de Azure Event Grid deben usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los temas en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. (Directiva relacionada: Los temas de Azure Event Grid deben usar private link).

Gravedad: media

Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado.

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las áreas de Azure Machine Learning en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/azureml-workspaces-privatelink. (Directiva relacionada: Las áreas de trabajo de Azure Machine Learning deben usar private link).

Gravedad: media

Azure SignalR Service debe usar Private Link

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de SignalR en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/asrs/privatelink. (Directiva relacionada: Azure SignalR Service debe usar private link).

Gravedad: media

Azure Spring Cloud debe usar la inserción de red

Descripción: Las instancias de Azure Spring Cloud deben usar la inserción de red virtual con los siguientes fines: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. (Directiva relacionada: Azure Spring Cloud debe usar la inyección de red).

Gravedad: media

Los servidores SQL deben tener un administrador de Azure Active Directory aprovisionado.

Descripción: aprovisione un administrador de Azure AD para sql Server para habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft. (Directiva relacionada: Se debe aprovisionar un administrador de Azure Active Directory para servidores SQL Server.

Gravedad: alta

El modo de autenticación del área de trabajo de Azure Synapse debe ser solo Azure Active Directory

Descripción: el modo de autenticación del área de trabajo de Azure Synapse debe ser Solo Los métodos de autenticación de Azure Active Directory solo de Azure Active Directory mejoran la seguridad asegurándose de que las áreas de trabajo de Synapse requieren exclusivamente identidades de Azure AD para la autenticación. Más información. (Directiva relacionada: Las áreas de trabajo de Synapse solo deben usar identidades de Azure Active Directory para la autenticación).

Gravedad: media

Las cuentas de Cognitive Services deben tener habilitado el cifrado de datos

Descripción: esta directiva audita cualquier cuenta de Cognitive Services que no use el cifrado de datos. Para cada cuenta de Cognitive Services con almacenamiento, debe habilitar el cifrado de datos con una clave administrada por el cliente o por Microsoft. (Directiva relacionada: Las cuentas de Cognitive Services deben habilitar el cifrado de datos).

Gravedad: baja

Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos.

Descripción: esta directiva audita cualquier cuenta de Cognitive Services que no use el almacenamiento propiedad del cliente ni el cifrado de datos. Para cada cuenta de Cognitive Services con almacenamiento, use el almacenamiento propiedad del cliente o habilite el cifrado de datos. (Directiva relacionada: Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente o tener habilitado el cifrado de datos.)

Gravedad: baja

Los registros de diagnóstico de Azure Data Lake Store deben estar habilitados

Gravedad: baja

Los registros de diagnóstico de Data Lake Analytics deben estar habilitados

Gravedad: baja

La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada.

Descripción: para asegurarse de que se notifican a las personas pertinentes de su organización cuando hay una posible vulneración de seguridad en una de sus suscripciones, habilite las notificaciones por correo electrónico para las alertas de gravedad alta en Defender for Cloud. (Directiva relacionada: Se debe habilitar la notificación por correo electrónico para las alertas de gravedad alta).

Gravedad: baja

La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada.

Descripción: para asegurarse de que los propietarios de la suscripción reciben notificaciones cuando hay una posible infracción de seguridad en su suscripción, establezca notificaciones por correo electrónico en propietarios de suscripciones para alertas de gravedad alta en Defender for Cloud. (Directiva relacionada: Se debe habilitar la notificación por correo electrónico al propietario de la suscripción para las alertas de gravedad alta).

Gravedad: media

Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL

Descripción: Azure Database for MySQL admite la conexión del servidor de Azure Database for MySQL a las aplicaciones cliente mediante capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. (Directiva relacionada: La aplicación de la conexión SSL debe estar habilitada para los servidores de bases de datos MySQL).

Gravedad: media

La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL

Descripción: Azure Database for PostgreSQL admite la conexión del servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. (Directiva relacionada: La aplicación de la conexión SSL debe estar habilitada para los servidores de bases de datos postgreSQL.

Gravedad: media

Las aplicaciones de funciones deben tener resueltos los hallazgos de vulnerabilidades

Descripción: el examen de vulnerabilidades en tiempo de ejecución de las funciones examina las aplicaciones de función para detectar vulnerabilidades de seguridad y expone conclusiones detalladas. La resolución de las vulnerabilidades puede mejorar considerablemente la posición de seguridad delas aplicaciones sin servidor y protegerlos frente a ataques. (Ninguna directiva relacionada)

Gravedad: alta

La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB

Descripción: Azure Database for MariaDB permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. (Directiva relacionada: La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB).

Gravedad: baja

La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL

Descripción: Azure Database for MySQL permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. (Directiva relacionada: La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL).

Gravedad: baja

La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL

Descripción: Azure Database for PostgreSQL permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar opciones de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. (Directiva relacionada: La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL).

Gravedad: baja

Los repositorios de GitHub deben tener habilitado el análisis de código

Descripción: GitHub usa el análisis de código para analizar código con el fin de buscar vulnerabilidades de seguridad y errores en el código. El escaneo de código puede usarse para encontrar, clasificar y priorizar las correcciones de los problemas existentes en su código. El análisis del código también puede evitar que los desarrolladores generen nuevos problemas. Los escaneos se pueden programar para días y horas específicas, o los escaneos se pueden activar cuando se produce un evento específico en el repositorio, como un push. Si el escaneo de código encuentra una posible vulnerabilidad o error en el código, GitHub muestra una alerta en el repositorio. Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto. (Ninguna directiva relacionada)

Gravedad: media

Los repositorios de GitHub deben tener habilitado el examen de Dependabot

Descripción: GitHub envía alertas de Dependabot cuando detecta vulnerabilidades en dependencias de código que afectan a los repositorios. Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque. Cuando el código depende de un paquete que tiene una vulnerabilidad de seguridad, esta dependencia puede causar una serie de problemas. (Ninguna directiva relacionada)

Gravedad: media

Los repositorios de GitHub deben tener habilitada la característica de examen de secretos

Descripción: GitHub examina repositorios de tipos conocidos de secretos para evitar el uso fraudulento de secretos que se han confirmado accidentalmente en repositorios. El escaneo de secretos escaneará todo el historial de Git en todas las ramas presentes en el repositorio de GitHub en busca de cualquier secreto. Algunos ejemplos de secretos son tokens y claves privadas que un proveedor de servicios puede emitir para la autenticación. Si se registra un secreto en un repositorio, cualquiera que tenga acceso de lectura al repositorio puede usar el secreto para acceder al servicio externo con esos privilegios. Los secretos deben almacenarse en una ubicación dedicada y segura fuera del repositorio del proyecto. (Ninguna directiva relacionada)

Gravedad: alta

Se debe habilitar Microsoft Defender para servidores de Microsoft Azure SQL Database

Descripción: Microsoft Defender para SQL es un paquete unificado que proporciona funcionalidades avanzadas de seguridad de SQL. Incluye una funcionalidad para mostrar y mitigar las vulnerabilidades potenciales de una base de datos, mediante la detección de actividades anómalas que puedan indicar una amenaza para dicha base de datos, y el descubrimiento y clasificación de datos confidenciales. Importante: Las protecciones de este plan se cobran como se muestra en la página de planes de Defender. Si no tiene ningún servidor Azure SQL Database en esta suscripción, no se le aplicarán cargos. Si más adelante crea servidores de Azure SQL Database en esta suscripción, se protegerán automáticamente y comenzarán a aplicarse cargos. Más información sobre los detalles de los precios por región Más información en Introducción a Microsoft Defender para SQL (Directiva relacionada: Los servidores de Azure Defender para Azure SQL Database deben estar habilitados).

Gravedad: alta

Se debe habilitar Microsoft Defender para DNS

Descripción: Microsoft Defender para DNS proporciona una capa adicional de protección para los recursos en la nube mediante la supervisión continua de todas las consultas DNS de los recursos de Azure. Defender para DNS alerta sobre actividades sospechosas en la capa DNS. Más información en Introducción a Microsoft Defender para DNS La habilitación de este plan de Defender genera cargos. Obtenga información sobre los detalles de precios por región en la página de precios de Defender for Cloud: Precios de Defender for Cloud. (Ninguna directiva relacionada)

Gravedad: alta

Microsoft Defender para las bases de datos relacionales de código abierto debería estar habilitado.

Descripción: Microsoft Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos inusuales y potencialmente dañinos de acceder o aprovechar las bases de datos. Más información en Introducción a Microsoft Defender para bases de datos relacionales de código abierto

Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Si no se tiene ninguna base de datos relacional de código abierto en esta suscripción, no se incurrirá en ningún cargo. Si, en el futuro, crea bases de datos relacionales de código abierto en esta suscripción, se protegerán automáticamente y, a partir de ese momento, se iniciarán los cargos. (Ninguna directiva relacionada)

Gravedad: alta

Se debe habilitar Microsoft Defender para Resource Manager

Descripción: Microsoft Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de su organización. Defender for Cloud detecta amenazas y alerta sobre actividades sospechosas. Más información en Introducción a Microsoft Defender para Resource Manager La habilitación de este plan de Defender genera cargos. Obtenga información sobre los detalles de precios por región en la página de precios de Defender for Cloud: Precios de Defender for Cloud. (Ninguna directiva relacionada)

Gravedad: alta

Microsoft Defender para SQL en las máquinas debe estar habilitado en las áreas de trabajo

Gravedad: media

Se debe habilitar Microsoft Defender para servidores SQL Server en las máquinas

Importante: La corrección de esta recomendación dará lugar a cargos por la protección de los servidores SQL Server en las máquinas. Si no tiene ningún servidor SQL Server en las máquinas de esta suscripción, no se aplicarán cargos. Si, en el futuro, crea cualquier número de servidores SQL Server en las máquinas de esta suscripción, estos se protegerán automáticamente y a partir de ese momento, se iniciarán los cargos. Más información sobre Microsoft Defender para servidores de SQL Server en las máquinas (Directiva relacionada: Los servidores de Azure Defender para SQL Server deben estar habilitados).

Gravedad: alta

Se debe habilitar Microsoft Defender para SQL en los servidores de Azure SQL Server desprotegidos

Descripción: Microsoft Defender para SQL es un paquete unificado que proporciona funcionalidades avanzadas de seguridad de SQL. Expone y mitiga posibles vulnerabilidades de la base de datos y detecta actividades anómalas que podrían indicar una amenaza para la base de datos. Microsoft Defender para SQL se factura como se muestra en los detalles de precios por región. (Directiva relacionada: Advanced Data Security debe estar habilitado en los servidores SQL Server.

Gravedad: alta

Microsoft Defender para SQL debe habilitarse en las instancias de SQL Managed Instance desprotegidas.

Gravedad: alta

Se debe habilitar Microsoft Defender para Storage

Descripción: Microsoft Defender para almacenamiento detecta intentos inusuales y potencialmente dañinos de acceder a las cuentas de almacenamiento o aprovecharlas. Importante: Las protecciones de este plan se cobran como se muestra en la página de planes de Defender. Si no tiene ninguna cuenta Azure Storage en esta suscripción, no se le cobrará. Si más adelante crea cuentas de Azure Storage en esta suscripción, se protegerán automáticamente y comenzarán a aplicarse cargos. Más información sobre los detalles de los precios por región Puede obtener más información en Introducción a Microsoft Defender para Storage. (Directiva relacionada: Azure Defender para Storage debe estar habilitado).

Gravedad: alta

Network Watcher debe estar habilitado

Descripción: Network Watcher es un servicio regional que le permite supervisar y diagnosticar condiciones en un nivel de escenario de red en, hacia y desde Azure. La supervisión de nivel de escenario le permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Las herramientas de visualización y diagnóstico de red que incluye Network Watcher le ayudan a conocer, diagnosticar y obtener información acerca de cualquier red de Azure. (Directiva relacionada: Network Watcher debe estar habilitado).

Gravedad: baja

Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas

Descripción: las conexiones de punto de conexión privado aplican la comunicación segura habilitando la conectividad privada a Azure SQL Database. (Directiva relacionada: Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas).

Gravedad: media

El punto de conexión privado debe estar habilitado para servidores MariaDB

Descripción: las conexiones de punto de conexión privado aplican una comunicación segura habilitando la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. (Directiva relacionada: El punto de conexión privado debe estar habilitado para los servidores mariaDB.

Gravedad: media

El punto de conexión privado debe estar habilitado para servidores MySQL

Descripción: las conexiones de punto de conexión privado aplican una comunicación segura habilitando la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. (Directiva relacionada: El punto de conexión privado debe estar habilitado para los servidores MySQL.

Gravedad: media

El punto de conexión privado debe estar habilitado para servidores PostgreSQL

Descripción: las conexiones de punto de conexión privado aplican una comunicación segura habilitando la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. (Directiva relacionada: El punto de conexión privado debe estar habilitado para los servidores PostgreSQL.

Gravedad: media

Debe deshabilitarse el acceso a redes públicas en Azure SQL Database

Descripción: deshabilitar la propiedad de acceso a la red pública mejora la seguridad asegurándose de que solo se puede acceder a Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. (Directiva relacionada: El acceso a la red pública en Azure SQL Database debe deshabilitarse).

Gravedad: media

El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB

Descripción: deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegúrese de que solo se puede acceder a Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. (Directiva relacionada: El acceso a la red pública debe deshabilitarse para los servidores mariaDB.

Gravedad: media

El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL

Descripción: deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegúrese de que solo se puede acceder a azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. (Directiva relacionada: El acceso a la red pública debe deshabilitarse para los servidores MySQL).

Gravedad: media

El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL

Descripción: deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y asegúrese de que solo se puede acceder a azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. (Directiva relacionada: El acceso a la red pública debe deshabilitarse para los servidores PostgreSQL.

Gravedad: media

Redis Cache debe permitir el acceso solo mediante SSL.

Descripción: habilite solo las conexiones a través de SSL a Redis Cache. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión. (Directiva relacionada: Solo se deben habilitar las conexiones seguras a Azure Cache for Redis).

Gravedad: alta

Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades.

Descripción: la evaluación de vulnerabilidades de SQL examina la base de datos para detectar vulnerabilidades de seguridad y expone cualquier desviación de los procedimientos recomendados, como configuraciones incorrectas, permisos excesivos y datos confidenciales no protegidos. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. Más información (Directiva relacionada: se deben corregir las vulnerabilidades de las bases de datos SQL).

Gravedad: alta

Las instancias administradas de SQL deben tener configurada la evaluación de vulnerabilidades.

Descripción: la evaluación de vulnerabilidades puede detectar, realizar un seguimiento y ayudarle a corregir posibles vulnerabilidades de la base de datos. (Directiva relacionada: La evaluación de vulnerabilidades debe estar habilitada en SQL Instancia administrada).

Gravedad: alta

Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades.

Gravedad: alta

Los servidores SQL deben tener un administrador de Azure Active Directory aprovisionado.

Gravedad: alta

Los servidores de SQL deben tener configurada la evaluación de vulnerabilidades.

Gravedad: alta

La cuenta de almacenamiento debería utilizar una conexión de vínculo privado

Descripción: los vínculos privados aplican la comunicación segura, ya que proporcionan conectividad privada a la cuenta de almacenamiento (directiva relacionada: la cuenta de almacenamiento debe usar una conexión de vínculo privado).

Gravedad: media

Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager

Descripción: para beneficiarse de las nuevas funcionalidades de Azure Resource Manager, puede migrar las implementaciones existentes desde el modelo de implementación clásica. Resource Manager permite mejoras de seguridad como: mayor control de acceso (RBAC), mejor auditoría, implementación y gobernanza basadas en ARM, acceso a identidades administradas, acceso al almacén de claves para secretos, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Más información (Directiva relacionada: las cuentas de almacenamiento deben migrarse a nuevos recursos de Azure Resource Manager).

Gravedad: baja

Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual

Descripción: proteja las cuentas de almacenamiento frente a posibles amenazas mediante reglas de red virtual como método preferido en lugar del filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. (Directiva relacionada: Las cuentas de almacenamiento deben restringir el acceso a la red mediante reglas de red virtual.

Gravedad: media

Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad

Descripción: para asegurarse de que las personas pertinentes de su organización reciben notificaciones cuando hay una posible infracción de seguridad en una de sus suscripciones, establezca un contacto de seguridad para recibir notificaciones por correo electrónico de Defender for Cloud. (Directiva relacionada: las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad)

Gravedad: baja

El cifrado de datos transparente en bases de datos SQL debe estar habilitado

Descripción: habilite el cifrado de datos transparente para proteger los datos en reposo y cumplir los requisitos de cumplimiento (directiva relacionada: Cifrado de datos transparente en bases de datos SQL debe estar habilitada).

Gravedad: baja

Las plantillas de VM Image Builder deben usar Private Link

Descripción: audite las plantillas de Vm Image Builder que no tienen configurada una red virtual. Cuando no se configura una red virtual, se crea una dirección IP pública y se usa en su lugar, lo que podría exponer directamente los recursos a Internet y aumentar la posible superficie expuesta a ataques. (Directiva relacionada: Las plantillas de VM Image Builder deben usar private link).

Gravedad: media

El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway

Descripción: implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web orientadas al público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países o regiones, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. (Directiva relacionada: El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway.

Gravedad: baja

Web Application Firewall (WAF) debe estar habilitado en el servicio Azure Front Door Service

Descripción: implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web orientadas al público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países o regiones, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. (Directiva relacionada: Web Application Firewall (WAF) debe habilitarse para Azure Front Door Service)

Gravedad: baja

Cognitive Services debe usar un vínculo privado

Descripción: Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información acerca de los vínculos privados. (Directiva relacionada: Cognitive Services debe usar un vínculo privado).

Gravedad: media

Azure Cosmos DB debe deshabilitar el acceso a la red pública

Descripción: deshabilitar el acceso a la red pública mejora la seguridad asegurándose de que la cuenta de Cosmos DB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de Cosmos DB. Más información. (Directiva relacionada: Azure Cosmos DB debe deshabilitar el acceso a la red pública).

Gravedad: media

Las cuentas de Cosmos DB deben usar un vínculo privado

Descripción: Azure Private Link le permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a la cuenta de Cosmos DB, se reducen los riesgos de pérdida de datos. Obtenga más información acerca de vínculos privados. (Directiva relacionada: Las cuentas de Cosmos DB deben usar un vínculo privado).

Gravedad: media

Azure SQL Database should be running TLS version 1.2 or newer

Descripción: si se establece TLS en la versión 1.2 o posterior, se mejora la seguridad, ya que garantiza que solo se pueda acceder a Azure SQL Database desde clientes que usen TLS 1.2 o versiones posteriores. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. (Directiva relacionada: Azure SQL Database debe ejecutar TLS versión 1.2 o posterior).

Gravedad: media

Azure SQL Managed Instances debería deshabilitar el acceso a la red pública

Descripción: deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Instancia administrada mejora la seguridad asegurándose de que solo se puede acceder desde dentro de sus redes virtuales o a través de puntos de conexión privados. Obtenga más información sobre acceso a la red pública. (Directiva relacionada: Instancias administradas de Azure SQL deben deshabilitar el acceso a la red pública).

Gravedad: media

Las cuentas de almacenamiento deben evitar el acceso a claves compartidas

Descripción: el requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización con clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso sobre clave compartida, y Microsoft lo recomienda. (Directiva relacionada: directiva)

Gravedad: media

Recomendaciones de identidad y acceso

Es necesario designar un máximo de 3 propietarios para las suscripciones.

Descripción: para reducir el potencial de infracciones por parte de las cuentas de propietario en peligro, se recomienda limitar el número de cuentas de propietario a un máximo de 3 (Directiva relacionada: se debe designar un máximo de 3 propietarios para su suscripción).

Gravedad: alta

Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure.

Descripción: si solo usa contraseñas para autenticar a los usuarios, deja abierto un vector de ataque. Los usuarios suelen usar contraseñas no seguras para varios servicios. Al habilitar la autenticación multifactor (MFA), proporciona una mejor seguridad para las cuentas, a la vez que permite a los usuarios autenticarse en casi cualquier aplicación con inicio de sesión único (SSO). La autenticación multifactor es un proceso por el que se solicita a los usuarios, durante el proceso de inicio de sesión, otra forma de identificación. Por ejemplo, es posible que un código se envíe a su teléfono móvil o que se les pida un examen de huellas digitales. Se recomienda habilitar MFA para todas las cuentas que tengan permisos de propietario en los recursos de Azure, para evitar infracciones y ataques. Encontrará más detalles y preguntas más frecuentes aquí: Administración del cumplimiento de la autenticación multifactor (MFA) en las suscripciones (no hay ninguna directiva relacionada).

Gravedad: alta

Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure.

Descripción: si solo usa contraseñas para autenticar a los usuarios, deja abierto un vector de ataque. Los usuarios suelen usar contraseñas no seguras para varios servicios. Al habilitar la autenticación multifactor (MFA), proporciona una mejor seguridad para las cuentas, a la vez que permite a los usuarios autenticarse en casi cualquier aplicación con inicio de sesión único (SSO). La autenticación multifactor es un proceso por el que se solicita a los usuarios, durante el proceso de inicio de sesión, una forma adicional de identificación. Por ejemplo, es posible que un código se envíe a su teléfono móvil o que se les pida un examen de huellas digitales. Se recomienda habilitar MFA para todas las cuentas que tengan permisos de lectura en los recursos de Azure, para evitar infracciones y ataques. Aquí encontrará más detalles y preguntas más frecuentes. (Ninguna directiva relacionada)

Gravedad: alta

Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure.

Descripción: si solo usa contraseñas para autenticar a los usuarios, deja abierto un vector de ataque. Los usuarios suelen usar contraseñas no seguras para varios servicios. Al habilitar la autenticación multifactor (MFA), proporciona una mejor seguridad para las cuentas, a la vez que permite a los usuarios autenticarse en casi cualquier aplicación con inicio de sesión único (SSO). La autenticación multifactor es un proceso por el que se solicita a los usuarios, durante el proceso de inicio de sesión, una forma adicional de identificación. Por ejemplo, es posible que un código se envíe a su teléfono móvil o que se les pida un examen de huellas digitales. Se recomienda habilitar MFA para todas las cuentas que tengan permisos de escritura en los recursos de Azure, para evitar infracciones y ataques. Encontrará más detalles y preguntas más frecuentes aquí: Administración del cumplimiento de la autenticación multifactor (MFA) en las suscripciones (no hay ninguna directiva relacionada).

Gravedad: alta

Las cuentas de Azure Cosmos DB deben usar Azure Active Directory como único método de autenticación.

Descripción: la mejor manera de autenticarse en los servicios de Azure es mediante el control de acceso basado en rol (RBAC). RBAC le permite mantener el principio de privilegio mínimo y admite la capacidad de revocar permisos como un método eficaz de respuesta cuando se pone en peligro. Puede configurar la cuenta de Azure Cosmos DB para aplicar RBAC como único método de autenticación. Cuando se configura la aplicación, se denegarán todos los demás métodos de acceso (claves principales o secundarias y tokens de acceso). (Ninguna directiva relacionada)

Gravedad: media

Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure.

Descripción: las cuentas que se han bloqueado para iniciar sesión en Active Directory deben quitarse de los recursos de Azure. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados. (Ninguna directiva relacionada)

Gravedad: alta

Las cuentas bloqueadas con permisos de lectura y escritura en los recursos de Azure deberían quitarse

Gravedad: alta

Las cuentas en desuso se deben quitar de las suscripciones.

Descripción: las cuentas de usuario que se han bloqueado para iniciar sesión deben quitarse de las suscripciones. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados. (Directiva relacionada: Las cuentas en desuso deben quitarse de la suscripción).

Gravedad: alta

Las cuentas en desuso con permisos de propietario deben quitarse de la suscripción.

Gravedad: alta

Los registros de diagnóstico en Key Vault deben estar habilitados

Gravedad: baja

Las cuentas externas con permisos de propietario deben quitarse de las suscripciones.

Descripción: las cuentas con permisos de propietario que tienen nombres de dominio diferentes (cuentas externas) deben quitarse de la suscripción. Esto evita el acceso no supervisado. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados. (Directiva relacionada: Las cuentas externas con permisos de propietario deben quitarse de la suscripción).

Gravedad: alta

Las cuentas externas con permisos de lectura se deben quitar de las suscripciones.

Descripción: las cuentas con permisos de lectura que tienen nombres de dominio diferentes (cuentas externas), deben quitarse de la suscripción. Esto evita el acceso no supervisado. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados. (Directiva relacionada: Las cuentas externas con permisos de lectura deben quitarse de la suscripción).

Gravedad: alta

Las cuentas externas con permisos de escritura se deben quitar de las suscripciones.

Descripción: las cuentas con permisos de escritura que tienen nombres de dominio diferentes (cuentas externas), deben quitarse de la suscripción. Esto evita el acceso no supervisado. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados. (Directiva relacionada: Las cuentas externas con permisos de escritura deben quitarse de la suscripción).

Gravedad: alta

El firewall debe estar habilitado en Key Vault

Descripción: el firewall de Key Vault impide que el tráfico no autorizado llegue al almacén de claves y proporciona una capa adicional de protección para los secretos. Habilite el firewall para asegurarse de que solo el tráfico de las redes permitidas pueda acceder al almacén de claves. (Directiva relacionada: El firewall debe estar habilitado en Key Vault.

Gravedad: media

Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure.

Descripción: las cuentas con permisos de propietario que se han aprovisionado fuera del inquilino de Azure Active Directory (nombres de dominio diferentes), deben quitarse de los recursos de Azure. Las cuentas de invitado no se administran con los mismos estándares que las identidades de inquilino empresarial. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados. (Ninguna directiva relacionada)

Gravedad: alta

Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure.

Descripción: las cuentas con permisos de lectura que se han aprovisionado fuera del inquilino de Azure Active Directory (nombres de dominio diferentes), deben quitarse de los recursos de Azure. Las cuentas de invitado no se administran con los mismos estándares que las identidades de inquilino empresarial. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados. (Ninguna directiva relacionada)

Gravedad: alta

Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure.

Descripción: las cuentas con permisos de escritura que se han aprovisionado fuera del inquilino de Azure Active Directory (nombres de dominio diferentes), deben quitarse de los recursos de Azure. Las cuentas de invitado no se administran con los mismos estándares que las identidades de inquilino empresarial. Estas cuentas pueden ser objetivo de los atacantes que buscan formas de acceder a los datos sin ser detectados. (Ninguna directiva relacionada)

Gravedad: alta

Las claves de Key Vault deben tener una fecha de expiración

Descripción: las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Es una práctica de seguridad recomendada establecer fechas de expiración en claves criptográficas. (Directiva relacionada: Las claves de Key Vault deben tener una fecha de expiración).

Gravedad: alta

Los secretos de Key Vault deben tener una fecha de expiración

Descripción: los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Es una práctica de seguridad recomendada para establecer fechas de expiración en secretos. (Directiva relacionada: Los secretos de Key Vault deben tener una fecha de expiración).

Gravedad: alta

Los almacenes de claves deben tener habilitada la protección contra operaciones de purga

Descripción: la eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar los almacenes de claves. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. (Directiva relacionada: Los almacenes de claves deben tener habilitada la protección de purga).

Gravedad: media

Los almacenes de claves deben tener habilitada la eliminación temporal

Descripción: la eliminación de un almacén de claves sin eliminación temporal habilitada elimina permanentemente todos los secretos, claves y certificados almacenados en el almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. (Directiva relacionada: Los almacenes de claves deben tener habilitada la eliminación temporal).

Gravedad: alta

MFA debe estar habilitado en las cuentas con permisos de propietario en las suscripciones.

Descripción: la autenticación multifactor (MFA) debe estar habilitada para todas las cuentas de suscripción con permisos de propietario para evitar una vulneración de cuentas o recursos. (Directiva relacionada: MFA debe habilitarse en las cuentas con permisos de propietario en la suscripción).

Gravedad: alta

MFA debe estar habilitado en las cuentas con permisos de lectura de las suscripciones.

Descripción: la autenticación multifactor (MFA) debe estar habilitada para todas las cuentas de suscripción con privilegios de lectura para evitar una infracción de cuentas o recursos. (Directiva relacionada: MFA debe habilitarse en cuentas con permisos de lectura en la suscripción).

Gravedad: alta

MFA debe estar habilitado en las cuentas con permisos de escritura de las suscripciones.

Descripción: la autenticación multifactor (MFA) debe estar habilitada para todas las cuentas de suscripción con privilegios de escritura para evitar una vulneración de cuentas o recursos. (Directiva relacionada: MFA debe estar habilitada para las cuentas con permisos de escritura en la suscripción).

Gravedad: alta

Se debe habilitar Microsoft Defender para Key Vault

Descripción: Microsoft Defender for Cloud incluye Microsoft Defender para Key Vault, lo que proporciona una capa adicional de inteligencia de seguridad. Microsoft Defender para Key Vault detecta intentos inusuales y potencialmente perjudiciales de acceder a las cuentas de Key Vault o de vulnerarlas. Importante: Las protecciones de este plan se cobran como se muestra en la página de planes de Defender. Si no tiene ningún almacén de claves en esta suscripción, no se le cobrará. Si más adelante crea almacenes de claves en esta suscripción, se protegerán automáticamente y comenzarán a aplicarse cargos. Más información sobre los detalles de los precios por región Más información en Introducción a Microsoft Defender para Key Vault (Directiva relacionada: Azure Defender para Key Vault debe estar habilitado).

Gravedad: alta

Se debe configurar un punto de conexión privado para Key Vault

Descripción: Private Link proporciona una manera de conectar Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos. (Directiva relacionada: El punto de conexión privado debe configurarse para Key Vault.

Gravedad: media

No se debe permitir el acceso público a la cuenta de almacenamiento

Descripción: el acceso de lectura público anónimo a contenedores y blobs en Azure Storage es una manera cómoda de compartir datos, pero podría presentar riesgos de seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. (Directiva relacionada: No se debe permitir el acceso público de la cuenta de almacenamiento).

Gravedad: media

Debe haber más de un propietario asignado a las suscripciones.

Descripción: designe más de un propietario de la suscripción para tener redundancia de acceso de administrador. (Directiva relacionada: Debe haber más de un propietario asignado a la suscripción).

Gravedad: alta

El período de validez de los certificados almacenados en Azure Key Vault no debe superar los 12 meses

Descripción: asegúrese de que los certificados no tengan un período de validez que supere los 12 meses. (Directiva relacionada: Los certificados deben tener el período de validez máximo especificado).

Gravedad: media

Las identidades sobreaprovisionadas de Azure solo deben tener los permisos necesarios (versión preliminar)

Descripción: las identidades sobreaprovisionadas o las identidades con permisos no usan muchos de sus permisos concedidos. Permisos de tamaño correcto de estas identidades periódicamente para reducir el riesgo de uso indebido de permisos, ya sea accidental o malintencionado. Esta acción reduce el radio potencial de explosión durante un incidente de seguridad.

Gravedad: media

Las super identidades del entorno de Azure deben quitarse (versión preliminar)

Descripción: Super Identity es cualquier identidad humana o de carga de trabajo, como usuarios, entidades de servicio y funciones sin servidor que tienen permisos de administrador y puede realizar cualquier acción en cualquier recurso de toda la infraestructura. Super Identities es extremadamente alto, ya que cualquier uso incorrecto de permisos malintencionados o accidentales puede dar lugar a interrupciones catastróficas del servicio, degradación del servicio o pérdida de datos. Las super identidades suponen una gran amenaza para la infraestructura en la nube. Demasiadas superidentidades pueden crear riesgos excesivos y aumentar el radio de explosión durante una infracción.

Gravedad: media

Las identidades sin usar en el entorno de Azure deben quitarse (versión preliminar)

Descripción: Las identidades inactivas son las identidades que no han realizado ninguna acción en ningún recurso de infraestructura en los últimos 90 días. Las identidades inactivas suponen un riesgo significativo para su organización, ya que los atacantes podrían usarlas para obtener acceso y ejecutar tareas en su entorno.

Gravedad: media

Recomendaciones de IoT

La directiva del filtro de IP predeterminada debe ser Denegar.

Descripción: La configuración del filtro IP debe tener reglas definidas para el tráfico permitido y debe denegar el resto del tráfico de forma predeterminada (no hay ninguna directiva relacionada).

Gravedad: media

Los registros de diagnóstico de IoT Hub deben estar habilitados

Gravedad: baja

Credenciales de autenticación idénticas

Descripción: credenciales de autenticación idénticas a IoT Hub usadas por varios dispositivos. Esto puede indicar que hay un dispositivo ilegítimo que suplanta un dispositivo legítimo. También expone el riesgo de suplantación de dispositivo por parte de un atacante (no hay ninguna directiva relacionada).

Gravedad: alta

Intervalo IP amplio de la regla del filtro de IP.

Descripción: el intervalo IP de origen de la regla Permitir filtro IP es demasiado grande. Las reglas excesivamente permisivas pueden exponer el centro de IoT a los intentos malintencionados (no hay ninguna directiva relacionada).

Gravedad: media

Recomendaciones de redes

Se debe restringir el acceso a las cuentas de almacenamiento con configuraciones de red virtual y firewall

Descripción: revise la configuración del acceso a la red en la configuración del firewall de la cuenta de almacenamiento. Se recomienda configurar reglas de red de modo que solo las aplicaciones de redes permitidas puedan acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. (Directiva relacionada: Las cuentas de almacenamiento deben restringir el acceso a la red).

Gravedad: baja

Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet

Descripción: Defender for Cloud ha analizado los patrones de comunicación de tráfico de Internet de las máquinas virtuales que se enumeran a continuación y ha determinado que las reglas existentes en los NSG asociadas a ellas son excesivamente permisivas, lo que da lugar a un aumento de la superficie expuesta a ataques potencial. Esto suele ocurrir cuando esta dirección IP no se comunica con regularidad con este recurso. Como alternativa, la dirección IP se ha marcado como malintencionada en los orígenes de inteligencia sobre amenazas de Microsoft Defender for Cloud. Más información en Mejora de la posición de seguridad de red con la protección de redes adaptativa (Directiva relacionada: Las recomendaciones de protección de red adaptable deben aplicarse en máquinas virtuales accesibles desde Internet.

Gravedad: alta

Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual

Descripción: Defender for Cloud ha identificado que algunas de las reglas de entrada de los grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. (Directiva relacionada: Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual).

Gravedad: alta

Azure DDoS Protection Standard debe estar habilitado

Descripción: Defender for Cloud ha detectado redes virtuales con recursos de Application Gateway desprotegidos por el servicio de protección contra DDoS. Estos recursos contienen direcciones IP públicas. Permita la mitigación de los ataques volumétricos de red y protocolo. (Directiva relacionada: Azure DDoS Protection Standard debe estar habilitado).

Gravedad: media

Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red

Descripción: proteja la máquina virtual frente a posibles amenazas mediante la restricción del acceso a ella con un grupo de seguridad de red (NSG). Los grupos de seguridad de red contienen reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la máquina virtual desde otras instancias, que se encuentran tanto en la misma subred como fuera de ella. Para mantener la máquina tan protegida como sea posible, se debe restringir su acceso a Internet y se debe habilitar un grupo de seguridad de red en la subred. Las máquinas virtuales con una gravedad "Alta" son aquellas a las que se puede acceder desde Internet. (Directiva relacionada: Las máquinas virtuales accesibles desde Internet deben protegerse con grupos de seguridad de red.

Gravedad: alta

El reenvío de IP en la máquina virtual debe estar deshabilitado

Descripción: Defender for Cloud ha descubierto que el reenvío IP está habilitado en algunas de las máquinas virtuales. Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. (Directiva relacionada: El reenvío IP en la máquina virtual debe estar deshabilitado).

Gravedad: media

Las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque

Descripción: los términos de uso de Azure prohíben el uso de servicios de Azure de maneras que podrían dañar, deshabilitar, sobrecargar o perjudicar cualquier servidor de Microsoft o la red. Esta recomendación enumera los puertos expuestos que deben cerrarse para conseguir una seguridad continuada. También ilustra la amenaza potencial para cada puerto. (Ninguna directiva relacionada)

Gravedad: alta

Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time.

Gravedad: alta

Se deben cerrar los puertos de administración en las máquinas virtuales

Descripción: los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo frente a ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina (Directiva relacionada: Los puertos de administración deben cerrarse en las máquinas virtuales).

Gravedad: media

Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red

Descripción: proteja la máquina virtual sin conexión a Internet frente a posibles amenazas al restringir el acceso a ella con un grupo de seguridad de red (NSG). Los grupos de seguridad de red contienen reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la máquina virtual desde otras instancias, independientemente de que se encuentren en la misma subred o fuera de ella. Tenga en cuenta que para mantener la máquina tan protegida como sea posible, se debe restringir su acceso a Internet y se debe habilitar un grupo de seguridad de red en la subred. (Directiva relacionada: Las máquinas virtuales que no tienen conexión a Internet deben protegerse con grupos de seguridad de red).

Gravedad: baja

Se debe habilitar la transferencia segura a las cuentas de almacenamiento

Descripción: la transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solicitudes solo desde conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión. (Directiva relacionada: Se debe habilitar la transferencia segura a las cuentas de almacenamiento).

Gravedad: alta

Las subredes deben estar asociadas con un grupo de seguridad de red

Descripción: proteja la subred frente a posibles amenazas al restringir el acceso a ella con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. Cuando un grupo de seguridad de red está asociado a una subred, las reglas de ACL se aplican tanto a todas las instancias de la máquina virtual como a los servicios integrados de esa subred, pero no se aplican al tráfico interno de la subred. Para proteger los recursos de la misma subred entre sí, habilite el grupo de seguridad de red directamente en los recursos. Tenga en cuenta que los siguientes tipos de subred se mostrarán como no aplicables: GatewaySubnet, AzureFirewallSubnet y AzureBastionSubnet. (Directiva relacionada: Las subredes deben estar asociadas a un grupo de seguridad de red).

Gravedad: baja

Azure Firewall debe proteger las redes virtuales

Descripción: algunas de las redes virtuales no están protegidas con un firewall. Use Azure Firewall para restringir el acceso a las redes virtuales y evitar posibles amenazas. (Directiva relacionada: Todo el tráfico de Internet se debe enrutar a través de Azure Firewall implementado.

Gravedad: baja

Recomendaciones de API

Se debe habilitar Microsoft Defender para las API

Descripción y directiva relacionada: habilite el plan de Defender para LAS API para detectar y proteger los recursos de API contra ataques y configuraciones incorrectas de seguridad. Más información

Gravedad: alta

Las API de Azure API Management deben incorporarse a Defender para API

Descripción y directiva relacionada: la incorporación de API a Defender para API requiere el uso de memoria y proceso en el servicio Azure API Management. Supervise el rendimiento del servicio Azure API Management al incorporar las API y escale horizontalmente los recursos de Azure API Management según sea necesario.

Gravedad: alta

Los puntos de conexión de API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management

Descripción y directiva relacionada: como procedimiento recomendado de seguridad, los puntos de conexión de API que no han recibido tráfico durante 30 días se consideran sin usar y se deben quitar del servicio Azure API Management. Mantener los puntos de conexión de API sin usar podría suponer un riesgo de seguridad. Pueden tratarse de las API que deberían haber quedado en desuso del servicio Azure API Management, pero que accidentalmente se han dejado activas. Normalmente, estas API no reciben la cobertura de seguridad más actualizada.

Gravedad: baja

Los puntos de conexión de API en Azure API Management deben autenticarse

Descripción y directiva relacionada: los puntos de conexión de API publicados en Azure API Management deben aplicar la autenticación para ayudar a minimizar el riesgo de seguridad. A veces, los mecanismos de autenticación se implementan incorrectamente o faltan. Esto permite a los atacantes aprovechar los errores de implementación y acceder a los datos. En el caso de las API publicadas en Azure API Management, esta recomendación evalúa la autenticación mediante la comprobación de la presencia de claves de suscripción de Azure API Management para las API o productos en los que se requiere la suscripción y la ejecución de directivas para validar tokens JWT, certificados de cliente y Microsoft Entra . Si ninguno de estos mecanismos de autenticación se ejecuta durante la llamada API, la API recibirá esta recomendación.

Gravedad: alta

Recomendaciones de API Management

Las suscripciones de API Management no deben tener como ámbito todas las API

Descripción y directiva relacionada: las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos.

Gravedad: media

Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres

Descripción y directiva relacionada: API Management debe validar el certificado de servidor back-end para todas las llamadas API. Habilite la huella digital del certificado SSL y la validación de nombres para mejorar la seguridad de la API.

Gravedad: media

El punto de conexión de administración directa de API Management no debe estar habilitado

Descripción y directiva relacionada: la API REST de administración directa en Azure API Management omite los mecanismos de control de acceso, autorización y limitación basados en roles de Azure Resource Manager, lo que aumenta la vulnerabilidad del servicio.

Gravedad: baja

Las API de API Management solo deben usar protocolos cifrados

Descripción y directiva relacionada: las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite el uso de protocolos no seguros, como HTTP o WS para garantizar la seguridad de los datos en tránsito.

Gravedad: alta

Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault

Descripción y directiva relacionada: los valores con nombre son una colección de pares de nombre y valor en cada servicio de API Management. Los valores de los secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o mediante referencia a secretos en Azure Key Vault. Haga referencia a los valores con nombre del secreto de Azure Key Vault para mejorar la seguridad de API Management y de los secretos. Azure Key Vault admite directivas pormenorizadas de administración de acceso y rotación de secretos.

Gravedad: media

API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio

Descripción y directiva relacionada: para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración de acceso directo, el punto de conexión de administración de configuración de Configuración de Git o los puntos de conexión de configuración de puertas de enlace autohospedados.

Gravedad: media

La versión mínima de API Management debería establecerse en 01-12-2019 o superior

Descripción y directiva relacionada: para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 2019-12-01 o superior.

Gravedad: media

Las llamadas de API Management a las back-end de API deberían autenticarse

Descripción y directiva relacionada: las llamadas de API Management a los back-end deben usar algún tipo de autenticación, ya sea a través de certificados o credenciales. No se aplica a back-ends de Service Fabric.

Gravedad: media

Recomendaciones de IA

Los registros de recursos del área de trabajo de Azure Machine Learning deben estar habilitados (versión preliminar)

Descripción y directiva relacionada: los registros de recursos permiten volver a crear rutas de actividad para usarlas con fines de investigación cuando se produce un incidente de seguridad o cuando la red está en peligro.

Gravedad: media

Las áreas de trabajo de Azure Machine Learning deben deshabilitar el acceso a la red pública (versión preliminar)

Descripción y directiva relacionada: deshabilitar el acceso a la red pública mejora la seguridad asegurándose de que las áreas de trabajo de Machine Learning no están expuestas en la red pública de Internet. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Para obtener más información, consulte Configurar un punto de conexión privado para un área de trabajo de Azure Machine Learning.

Gravedad: media

Los procesos de Azure Machine Learning deben estar en una red virtual (versión preliminar)

Descripción y directiva relacionada: Las redes virtuales de Azure proporcionan seguridad y aislamiento mejorados para los clústeres e instancias de proceso de Azure Machine Learning, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando se configura un proceso con una red virtual, no es posible acceder a ella públicamente; solamente se podrá acceder a ella desde máquinas virtuales y aplicaciones dentro de la red virtual.

Gravedad: media

Los procesos de Azure Machine Learning deberían tener deshabilitados los métodos de autenticación local (versión preliminar)

Descripción y directiva relacionada: deshabilitar los métodos de autenticación local mejora la seguridad asegurándose de que los procesos de Machine Learning requieren identidades de Azure Active Directory exclusivamente para la autenticación. Para obtener más información, vea los Controles de cumplimiento normativo de Azure Policy para Azure Machine Learning.

Gravedad: media

Las instancias de proceso de Azure Machine Learning se deben recrear para obtener las actualizaciones de software más recientes (versión preliminar)

Descripción y directiva relacionada: asegúrese de que las instancias de proceso de Azure Machine Learning se ejecutan en el sistema operativo disponible más reciente. La seguridad se ha mejorado y se han reducido las vulnerabilidades mediante la ejecución con las revisiones de seguridad más recientes. Para más información, consulte Administración de vulnerabilidades para Azure Machine Learning.

Gravedad: media

Los registros de recursos en las áreas de trabajo de Azure Databricks deben estar habilitados (versión preliminar)

Gravedad: media

Las áreas de trabajo de Azure Databricks deberían deshabilitar el acceso a la red pública (versión preliminar)

Descripción y directiva relacionada: deshabilitar el acceso a la red pública mejora la seguridad asegurándose de que el recurso no está expuesto en la red pública de Internet. En su lugar, puede controlar la exposición de los recursos creando puntos de conexión privados. Para obtener más información, consulte Habilitar Azure Private Link.

Gravedad: media

Los clústeres de Azure Databricks deben deshabilitar la IP pública (versión preliminar)

Descripción y directiva relacionada: deshabilitar la dirección IP pública de los clústeres en áreas de trabajo de Azure Databricks mejora la seguridad asegurándose de que los clústeres no se exponen en la red pública de Internet. Para obtener más información consulte Proteger la conectividad del clúster.

Gravedad: media

Las áreas de trabajo de Azure Databricks deben estar en una red virtual (versión preliminar)

Descripción y directiva relacionada: Las redes virtuales de Azure proporcionan seguridad y aislamiento mejorados para las áreas de trabajo de Azure Databricks, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Para más información, consulte Implementación de Azure Databricks en la red virtual de Azure.

Gravedad: media

Las áreas de trabajo de Azure Databricks deben usar un vínculo privado (versión preliminar)

Descripción y directiva relacionada: Azure Private Link le permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las áreas de trabajo de Azure Databricks, puede reducir el riesgo de pérdida de datos. Para más información, consulte Creación del área de trabajo y de puntos de conexión privados en la interfaz de usuario de Azure Portal.

Gravedad: media

Los recursos de Servicios de Azure AI deben restringir el acceso a la red

Descripción: al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Esto se puede lograr mediante la configuración de reglas de red para que solo las aplicaciones de las redes permitidas puedan acceder al recurso del servicio Azure AI.

Gravedad: media

Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local)

Descripción: se recomienda deshabilitar el acceso a claves (autenticación local) para la seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información.

Gravedad: media

Recomendaciones en desuso

Se deben investigar las identidades sobreaprovisionadas en las suscripciones para reducir el índice de pérdida de permisos (PCI).

Descripción: las identidades sobreaprovisionadas en la suscripción deben investigarse para reducir el Índice de creep de permisos (PCI) y para proteger la infraestructura. Reduzca el PCI quitando las asignaciones de permisos de alto riesgo sin usar. Pci elevado refleja el riesgo asociado a las identidades con permisos que superan su uso normal o necesario (ninguna directiva relacionada).

Gravedad: media

Se deben investigar las identidades sobreaprovisionadas en las cuentas para reducir el índice de autorización de permisos (PCI)

Descripción: las identidades sobreaprovisionadas en cuentas deben investigarse para reducir el Índice de creep de permisos (PCI) y para proteger la infraestructura. Reduzca el PCI quitando las asignaciones de permisos de alto riesgo sin usar. Pci elevado refleja el riesgo asociado a las identidades con permisos que superan su uso normal o necesario.

Gravedad: media

Se debe restringir el acceso a App Services

Descripción y directiva relacionada: restrinja el acceso a app Services cambiando la configuración de red para denegar el tráfico entrante de intervalos que son demasiado amplios. (Directiva relacionada: [versión preliminar]: se debe restringir el acceso a App Services).

Gravedad: alta

Se deben proteger las reglas de las aplicaciones web en los NSG de IaaS

Descripción y directiva relacionada: proteja el grupo de seguridad de red (NSG) de las máquinas virtuales que ejecutan aplicaciones web, con reglas de NSG que son excesivamente permisivas con respecto a los puertos de aplicación web. (Directiva relacionada: se deben proteger las reglas de NSG para aplicaciones web en IaaS).

Gravedad: alta

Las directivas de seguridad de pod deben definirse para reducir el vector de ataque mediante la eliminación de privilegios de aplicación innecesarios (versión preliminar)

Descripción y directiva relacionada: defina directivas de seguridad de pod para reducir el vector de ataque mediante la eliminación de privilegios de aplicación innecesarios. Se recomienda configurar las directivas de seguridad de pod para que los pods solo puedan obtener acceso a los recursos a los que se les permita el acceso. (Directiva relacionada: [versión preliminar]: las directivas de seguridad de pod deben definirse en Kubernetes Services).

Gravedad: media

Instalación de Azure Security Center para el módulo de seguridad de IoT para obtener más visibilidad en los dispositivos de IoT

Descripción y directiva relacionada: instale el módulo de seguridad de Azure Security Center para IoT para obtener más visibilidad sobre los dispositivos IoT.

Gravedad: baja

Las máquinas deben reiniciarse para aplicar las actualizaciones del sistema

Descripción y directiva relacionada: reinicie las máquinas para aplicar las actualizaciones del sistema y proteger la máquina frente a vulnerabilidades. (Directiva relacionada: las actualizaciones del sistema deben instalarse en las máquinas).

Gravedad: media

El agente de supervisión debe instalarse en las máquinas.

Descripción y directiva relacionada: esta acción instala un agente de supervisión en las máquinas virtuales seleccionadas. Seleccione un área de trabajo a la que informará el agente. (Ninguna directiva relacionada)

Gravedad: alta

Java debe actualizarse a la versión más reciente de las aplicaciones web.

Descripción y directiva relacionada: Periódicamente, las versiones más recientes se publican para el software Java debido a errores de seguridad o para incluir funcionalidad adicional. Para las aplicaciones web, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. (Directiva relacionada: asegúrese de que "versión de Java" es la más reciente, si se usa como parte de la aplicación web).

Gravedad: media

Python debe actualizarse a la versión más reciente para las aplicaciones de función.

Descripción y directiva relacionada: Periódicamente, las versiones más recientes se publican para el software de Python debido a errores de seguridad o para incluir funcionalidad adicional. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. (Directiva relacionada: asegúrese de que "versión de Python" es la más reciente, si se usa como parte de la aplicación de funciones).

Gravedad: media

Python debe actualizarse a la versión más reciente de las aplicaciones web.

Descripción y directiva relacionada: Periódicamente, las versiones más recientes se publican para el software de Python debido a errores de seguridad o para incluir funcionalidad adicional. Para las aplicaciones web, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. (Directiva relacionada: asegúrese de que "versión de Python" es la más reciente, si se usa como parte de la aplicación web).

Gravedad: media

Java debe actualizarse a la versión más reciente para las aplicaciones de función.

Descripción y directiva relacionada: Periódicamente, las versiones más recientes se publican para el software Java debido a errores de seguridad o para incluir funcionalidad adicional. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. (Directiva relacionada: asegúrese de que "versión de Java" es la más reciente, si se usa como parte de la aplicación de funciones).

Gravedad: media

PHP debe actualizarse a la versión más reciente de las aplicaciones web.

Descripción y directiva relacionada: Periódicamente, las versiones más recientes se publican para el software PHP debido a errores de seguridad o para incluir funcionalidad adicional. Para las aplicaciones web, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. (Directiva relacionada: asegúrese de que la versión de PHP es la más reciente, si se usa como parte de la aplicación WEB).

Gravedad: media

- Deben resolverse los problemas de estado de Endpoint Protection en las máquinas.

Descripción: resuelva los problemas de estado de Endpoint Protection en las máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades más recientes. Consulte la documentación de las soluciones de Endpoint Protection compatibles con Defender for Cloud y las evaluaciones de Endpoint Protection. (Ninguna directiva relacionada)

Gravedad: media

- Endpoint Protection debe instalarse en máquinas.

Descripción: para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución compatible de Endpoint Protection. Obtenga más información sobre cómo se evalúa Endpoint Protection para máquinas en Evaluación y recomendaciones de Endpoint Protection en Microsoft Defender for Cloud. (Ninguna directiva relacionada)

Gravedad: alta

El acceso a la red pública se debe deshabilitar para las cuentas de Cognitive Services

Descripción: esta directiva audita cualquier cuenta de Cognitive Services en su entorno con el acceso a la red pública habilitado. El acceso a la red pública debe estar deshabilitado, de forma que solo se permitan conexiones desde puntos de conexión privados. (Directiva relacionada: El acceso a la red pública debe deshabilitarse para las cuentas de Cognitive Services.

Gravedad: media