Recomendaciones para establecer una línea base de seguridad
Se aplica a la recomendación de lista de comprobación de seguridad de Azure Well-Architected Framework:
| SE:01 | Establezca una línea base de seguridad alineada con los requisitos de cumplimiento, los estándares del sector y las recomendaciones de plataforma. Mida regularmente la arquitectura y las operaciones de carga de trabajo con respecto a la línea base para mantener o mejorar la posición de seguridad con el tiempo. |
|---|
En esta guía se describen las recomendaciones para establecer una línea base de seguridad. Una línea base de seguridad es un documento que especifica los requisitos de seguridad mínimos y las expectativas de su organización en una variedad de áreas. Una buena línea de base de seguridad le ayuda a:
- Mantenga seguros los datos y los sistemas.
- Cumplir con los requisitos normativos.
- Minimizar el riesgo de supervisión.
- Reduzca la probabilidad de infracciones y los efectos empresariales posteriores.
Las líneas base de seguridad deben publicarse ampliamente en toda la organización para que todas las partes interesadas conozcan las expectativas.
En esta guía se proporcionan recomendaciones sobre cómo establecer una línea base de seguridad basada en factores internos y externos. Entre los factores internos se incluyen los requisitos empresariales, los riesgos y la evaluación de recursos. Entre los factores externos se incluyen las pruebas comparativas del sector y los estándares normativos.
Definiciones
| Término | Definición |
|---|---|
| Línea base | El nivel mínimo de prestaciones de seguridad que debe tener una carga de trabajo para evitar aprovecharse. |
| Prueba comparativa | Estándar que indica la posición de seguridad a la que aspira la organización. Se evalúa, mide y mejora con el tiempo. |
| Controles | Controles técnicos o operativos en la carga de trabajo que ayudan a evitar ataques y aumentar los costos de los atacantes. |
| Requisitos reglamentarios | Un conjunto de requisitos empresariales, impulsados por estándares del sector, que las leyes y las autoridades imponen. |
Estrategias de diseño principales
Una línea base de seguridad es un documento estructurado que define un conjunto de criterios de seguridad y funcionalidades que la carga de trabajo debe cumplir para aumentar la seguridad. En un formulario más maduro, puede ampliar una línea base para incluir un conjunto de directivas que se usan para establecer límites de protección.
La línea base debe considerarse el estándar para medir la posición de seguridad. El objetivo siempre debe ser un logro completo al tiempo que mantiene un amplio alcance.
La línea de base de seguridad nunca debe ser un esfuerzo ad hoc. Los estándares del sector, el cumplimiento (interno o externo) o los requisitos normativos, los requisitos regionales y las pruebas comparativas de la plataforma en la nube son los principales impulsores de la línea base. Entre los ejemplos se incluyen los controles del Centro de seguridad de Internet (CIS), el Instituto Nacional de Estándares y Tecnología (NIST) y los estándares basados en la plataforma, como El banco de pruebas de seguridad en la nube de Microsoft (MCSB). Todos estos estándares se consideran un punto de partida para la línea base. Cree la base mediante la incorporación de requisitos de seguridad a partir de los requisitos empresariales.
Para obtener vínculos a los recursos anteriores, consulte Vínculos relacionados.
Cree la línea base ganando consenso entre los líderes empresariales y técnicos. La línea base no debe restringirse a los controles técnicos. También debe incluir los aspectos operativos de la administración y el mantenimiento de la posición de seguridad. Por lo tanto, el documento de línea de base también actúa como compromiso de la organización con respecto a la inversión en la seguridad de la carga de trabajo. El documento de base de referencia de seguridad debe distribuirse ampliamente dentro de la organización para asegurarse de que hay conocimiento sobre la posición de seguridad de la carga de trabajo.
A medida que crece la carga de trabajo y el ecosistema evoluciona, es fundamental mantener la línea base sincronizada con los cambios para asegurarse de que los controles fundamentales siguen siendo eficaces.
La creación de una línea base es un proceso metódico. Estas son algunas recomendaciones sobre el proceso:
Inventario de recursos. Identifique las partes interesadas de los recursos de carga de trabajo y los objetivos de seguridad de esos recursos. En el inventario de recursos, clasifique por requisitos de seguridad y importancia. Para obtener información sobre los recursos de datos, consulte Recomendaciones sobre la clasificación de datos.
Evaluación de riesgos. Identificar posibles riesgos asociados a cada recurso y priorizarlos.
Requisitos de cumplimiento. Base de referencia de cualquier normativa o cumplimiento para esos recursos y aplique los procedimientos recomendados del sector.
Estándares de configuración. Defina y documente configuraciones y configuraciones de seguridad específicas para cada recurso. Si es posible, templatize or find a repeatable, automated way to apply the settings de forma coherente en todo el entorno.
Control de acceso y autenticación. Especifique los requisitos de control de acceso basado en rol (RBAC) y autenticación multifactor (MFA). Documente lo que significa el acceso suficiente en el nivel de recurso. Comience siempre con el principio de privilegios mínimos.
Administración de revisiones. Aplique las versiones más recientes en todos los tipos de recursos para reforzar contra ataques.
Documentación y comunicación. Documente todas las configuraciones, directivas y procedimientos. Comunique los detalles a las partes interesadas pertinentes.
Cumplimiento y responsabilidad. Establezca mecanismos de cumplimiento claros y consecuencias para la no conformidad con la base de referencia de seguridad. Mantenga a los usuarios y equipos responsables de mantener los estándares de seguridad.
Supervisión continua. Evalúe la eficacia de la línea base de seguridad a través de la observabilidad y realice mejoras en el tiempo extra.
Composición de una línea base
Estas son algunas categorías comunes que deben formar parte de una línea base. La lista siguiente no es exhaustiva. Está pensado como información general sobre el ámbito del documento.
Cumplimiento de normativas
Una carga de trabajo puede estar sujeta a cumplimiento normativo para segmentos específicos del sector, puede haber algunas restricciones geográficas, etc. Es clave comprender los requisitos que se indican en las especificaciones normativas, ya que estos influyen en las opciones de diseño y, en algunos casos, deben incluirse en la arquitectura.
La línea base debe incluir una evaluación regular de la carga de trabajo en función de los requisitos normativos. Aproveche las herramientas proporcionadas por la plataforma, como Microsoft Defender for Cloud, que pueden identificar áreas de incumplimiento. Trabaje con el equipo de cumplimiento de la organización para asegurarse de que se cumplen y mantienen todos los requisitos.
Componentes de la arquitectura
La línea base necesita recomendaciones prescriptivas para los componentes principales de la carga de trabajo. Normalmente se incluyen controles técnicos para redes, identidades, proceso y datos. Haga referencia a las líneas base de seguridad proporcionadas por la plataforma y agregue los controles que faltan a la arquitectura.
Consulte Ejemplo.
Procesos de desarrollo
La línea base debe tener recomendaciones sobre:
- Clasificación del sistema.
- Conjunto aprobado de tipos de recursos.
- Seguimiento de los recursos.
- Aplicar directivas para usar o configurar recursos.
El equipo de desarrollo debe tener un conocimiento claro del ámbito de las comprobaciones de seguridad. Por ejemplo, el modelado de amenazas es un requisito para asegurarse de que las posibles amenazas se identifican en el código y en las canalizaciones de implementación. Sea específico sobre las comprobaciones estáticas y el examen de vulnerabilidades en la canalización y cómo debe realizar esos exámenes con regularidad el equipo.
Para más información, consulte Recomendaciones sobre el análisis de amenazas.
El proceso de desarrollo también debe establecer estándares en diversas metodologías de prueba y su cadencia. Para obtener más información, consulte Recomendaciones sobre las pruebas de seguridad.
Operations
La línea base debe establecer estándares sobre el uso de funcionalidades de detección de amenazas y generar alertas sobre actividades anómalas que indican incidentes reales. La detección de amenazas debe incluir todas las capas de la carga de trabajo, incluidos todos los puntos de conexión accesibles desde redes hostiles.
La línea base debe incluir recomendaciones para configurar procesos de respuesta a incidentes, incluida la comunicación y un plan de recuperación, y cuál de esos procesos se puede automatizar para acelerar la detección y el análisis. Para obtener ejemplos, consulte Líneas base de seguridad para información general de Azure.
La respuesta a incidentes también debe incluir un plan de recuperación y los requisitos de ese plan, como los recursos para realizar y proteger copias de seguridad periódicamente.
Los planes de vulneración de datos se desarrollan mediante los estándares del sector y las recomendaciones proporcionadas por la plataforma. A continuación, el equipo tiene un plan completo que se debe seguir cuando se detecta una infracción. Además, consulte con su organización para ver si hay cobertura a través del seguro cibernético.
Cursos
Desarrolle y mantenga un programa de entrenamiento de seguridad para asegurarse de que el equipo de cargas de trabajo esté equipado con las aptitudes adecuadas para apoyar los requisitos y los objetivos de seguridad. El equipo necesita entrenamiento de seguridad fundamental, pero use lo que puede de su organización para admitir roles especializados. El cumplimiento y la participación en los simulacros de aprendizaje de seguridad basados en roles forman parte de la base de referencia de seguridad.
Uso de la línea base
Use la línea base para impulsar iniciativas, como:
Preparación para las decisiones de diseño. Cree la línea base de seguridad y publíquela antes de iniciar el proceso de diseño de la arquitectura. Asegúrese de que los miembros del equipo son plenamente conscientes de las expectativas de su organización al principio, lo que evita costosas reelaboraciones causadas por una falta de claridad. Puede usar los criterios de línea de base como requisitos de carga de trabajo que la organización ha confirmado y diseñado y validado los controles con esas restricciones.
Mida el diseño. Calificar las decisiones actuales con respecto a la línea base actual. La línea base establece umbrales reales para los criterios. Documente las desviaciones aplazadas o consideradas aceptables a largo plazo.
Mejoras en la unidad. Aunque la línea base establece objetivos alcanzables, siempre hay brechas. Dé prioridad a las brechas en el trabajo pendiente y corrija en función de la priorización.
Realice un seguimiento del progreso en la línea base. La supervisión continua de medidas de seguridad en una línea base establecida es esencial. El análisis de tendencias es una buena manera de revisar el progreso de la seguridad a lo largo del tiempo y puede revelar desviaciones coherentes de la línea base. Use la automatización tanto como sea posible, extraer datos de varios orígenes, internos y externos, para solucionar los problemas actuales y prepararse para futuras amenazas.
Establezca límites de protección. Siempre que sea posible, los criterios de línea de base deben tener límites de protección. Los límites de protección aplican las configuraciones de seguridad, las tecnologías y las operaciones necesarias, en función de factores internos y externos. Entre los factores internos se incluyen los requisitos empresariales, los riesgos y la evaluación de recursos. Entre los factores externos se incluyen puntos de referencia, estándares normativos y entorno de amenazas. Los límites de protección ayudan a minimizar el riesgo de supervisión involuntaria y multas punitivas por incumplimiento.
Explore Azure Policy para opciones personalizadas o use iniciativas integradas, como pruebas comparativas de CIS o Azure Security Benchmark, para aplicar las configuraciones de seguridad y los requisitos de cumplimiento. Considere la posibilidad de crear directivas e iniciativas de Azure fuera de las líneas base.
Evaluación periódica de la línea base
Mejore continuamente los estándares de seguridad de forma incremental hacia el estado ideal para garantizar una reducción continua del riesgo. Realice revisiones periódicas para asegurarse de que el sistema está actualizado y de conformidad con las influencias externas. Cualquier cambio en la línea base debe ser formal, acordado y enviado a través de los procesos adecuados de administración de cambios.
Mida el sistema con la nueva línea base y dé prioridad a las correcciones en función de su relevancia y efecto en la carga de trabajo.
Asegúrese de que la posición de seguridad no se degrada con el tiempo mediante la establecimiento de auditoría y supervisión del cumplimiento de los estándares de la organización.
Facilitación de Azure
La prueba comparativa de seguridad en la nube de Microsoft (MCSB) es un marco de procedimientos recomendados de seguridad completo que puede usar como punto de partida para la línea base de seguridad. Úselo junto con otros recursos que proporcionan la entrada a la línea base.
Para más información, consulte Introducción al banco de pruebas de seguridad en la nube de Microsoft.
Use el panel de cumplimiento normativo de Microsoft Defender for Cloud (MDC) para realizar un seguimiento de esas líneas base y recibir alertas si se detecta un patrón fuera de una línea base. Para obtener más información, consulte el panel Personalización del conjunto de estándares en el panel de cumplimiento normativo.
Otras características que ayudan a establecer y mejorar la línea base:
Ejemplo
En este diagrama lógico se muestra una línea base de seguridad de ejemplo para los componentes arquitectónicos que abarcan la red, la infraestructura, el punto de conexión, la aplicación, los datos y la identidad para demostrar cómo se puede proteger un entorno de TI común de forma segura. Otras guías de recomendaciones se basan en este ejemplo.
Infraestructura
Un entorno de TI común, con una capa local con recursos básicos.
Servicios de seguridad de Azure
Servicios y características de seguridad de Azure por los tipos de recursos que protegen.
Servicios de supervisión de seguridad de Azure
Los servicios de supervisión disponibles en Azure que van más allá de los servicios de supervisión simples, como la administración de eventos de información de seguridad (SIEM) y las soluciones de respuesta automatizada de orquestación de seguridad (SOAR) y Microsoft Defender for Cloud.
Amenazas
Esta capa proporciona una recomendación y un recordatorio de que las amenazas se pueden asignar de acuerdo con las preocupaciones de su organización con respecto a las amenazas, independientemente de la metodología o la matriz de mitre Attack Matrix o cyber kill chain.
Alineación de la organización
Cloud Adoption Framework proporciona instrucciones para los equipos centrales sobre cómo establecer una línea base con una plantilla sugerida:
Vínculos relacionados
Vínculos de la comunidad
Lista de comprobación de seguridad
Consulte el conjunto completo de recomendaciones.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de