Seguridad, gobernanza y cumplimiento a escala empresarialEnterprise-scale security, governance, and compliance

En este artículo se explica cómo definir el cifrado y la administración de claves, el planeamiento de la gobernanza, la definición de la supervisión de seguridad y una directiva de auditoría, así como el planeamiento de la seguridad de la plataforma.This article covers defining encryption and key management, planning for governance, defining security monitoring and an audit policy, and planning for platform security. Al final del artículo, puede consultar una tabla que describe un marco para evaluar la preparación de la seguridad empresarial de los servicios de Azure.At the end of the article, you can refer to a table that describes a framework to assess enterprise security readiness of Azure services.

Definición del cifrado y administración de clavesDefine encryption and key management

El cifrado es un paso fundamental para garantizar la privacidad de los datos, el cumplimiento normativo y la residencia de los datos en Microsoft Azure.Encryption is a vital step toward ensuring data privacy, compliance, and data residency in Microsoft Azure. También es una de las preocupaciones de seguridad más importantes de muchas empresas.It's also one of the most important security concerns of many enterprises. En esta sección, se tratan las consideraciones de diseño y las recomendaciones en relación con el cifrado y la administración de claves.This section covers design considerations and recommendations as they pertain to encryption and key management.

Consideraciones de diseño:Design considerations:

  • Límites de suscripción y escala en relación a su aplicación a Azure Key Vault: Key Vault tiene límites de transacciones de claves y secretos.Subscription and scale limits as they apply to Azure Key Vault: Key Vault has transaction limits for keys and secrets. Para limitar las transacciones por almacén en un período determinado, consulte Límites de Azure.To throttle transactions per vault in a certain period, see Azure limits.

  • Key Vault actúa como límite de seguridad, ya que los permisos para acceder a las claves, los secretos y los certificados se encuentran en los almacenes.Key Vault serves a security boundary because access permissions for keys, secrets, and certificates are at the vault level. Las asignaciones de las directivas de acceso de Key Vault conceden permisos independientes a las claves, los secretos o los certificados.Key Vault access policy assignments grant permissions separately to keys, secrets, or certificates. No admiten los permisos de nivel de objeto pormenorizados, como una clave, un secreto o una administración de claves de certificado específicos.They don't support granular, object-level permissions like a specific key, secret, or certificate key management.

  • Puede aislar los secretos específicos de la aplicación y de la carga de trabajo, y los secretos compartidos, con el control de acceso apropiado.You can isolate application-specific and workload-specific secrets and shared secrets, as appropriate control access.

  • Puede optimizar las SKU Premium cuando se requieran claves protegidas por el módulo de seguridad de hardware.You can optimize Premium SKUs where hardware-security-module-protected keys are required. Los módulos de seguridad de hardware (HSM) subyacentes son compatibles con el nivel 2 de FIPS 140-2.Underlying hardware security modules (HSMs) are FIPS 140-2 Level 2 compliant. Administre el HSM dedicado de Azure para el cumplimiento del nivel 3 de FIPS 140-2, teniendo en cuenta los escenarios admitidos.Manage Azure dedicated HSM for FIPS 140-2 Level 3 compliance by considering the supported scenarios.

  • Rotación de claves y expiración de secretos.Key rotation and secret expiration.

    • Adquisición y firma de certificados con certificados de Key Vault.Certificate procurement and signing by using Key Vault about certificates.
    • Alertas, notificaciones y renovaciones de certificados automatizadas.Alerting/notifications and automated certificate renewals.
  • Requisitos de recuperación ante desastres para claves, certificados y secretos.Disaster recovery requirements for keys, certificates, and secrets.

    Funcionalidades de replicación y conmutación por error del servicio Key Vault: disponibilidad y redundancia.Key Vault service replication and failover capabilities: availability and redundancy.

  • La clave de supervisión, el certificado y el uso de secretos.Monitoring key, certificate, and secret usage.

    Detección del acceso no autorizado mediante un almacén de claves o un área de trabajo de Log Analytics de Azure Monitor: supervisión y alertas.Detecting unauthorized access by using a key vault or Azure Monitor Log Analytics workspace: monitoring and alerting.

  • Creación delegada de instancias de Key Vault y acceso con privilegios: acceso seguro.Delegated Key Vault instantiation and privileged access: secure access.

  • Requisitos relacionados con el uso de claves administradas por el cliente para los mecanismos de cifrado nativos como el cifrado de Azure Storage:Requirements for using customer-managed keys for native encryption mechanisms such as Azure Storage encryption:

Recomendaciones de diseño:Design recommendations:

  • Use un modelo de Azure Key Vault federado para evitar límites de escala de transacciones.Use a federated Azure Key Vault model to avoid transaction scale limits.

  • Aprovisione Azure Key Vault con las directivas de eliminación temporal y purga habilitadas para permitir la protección de retención de los objetos eliminados.Provision Azure Key Vault with the soft delete and purge policies enabled to allow retention protection for deleted objects.

  • Siga un modelo de privilegios mínimos y limite a los roles de Azure Active Directory (Azure AD) personalizados y especializados la autorización para eliminar de forma permanente claves, secretos y certificados.Follow a least privilege model by limiting authorization to permanently delete keys, secrets, and certificates to specialized custom Azure Active Directory (Azure AD) roles.

  • Automatice el proceso de renovación y administración de certificados con entidades de certificación públicas para facilitar la administración.Automate the certificate management and renewal process with public certificate authorities to ease administration.

  • Establezca un proceso automatizado para la rotación de claves y certificados.Establish an automated process for key and certificate rotation.

  • Habilite el firewall y el punto de conexión de servicio de red virtual en el almacén para controlar el acceso al almacén de claves.Enable firewall and virtual network service endpoint on the vault to control access to the key vault.

  • Use el área de trabajo de Log Analytics de Azure Monitor central de la plataforma para auditar el uso de claves, certificados y secretos en cada instancia de Key Vault.Use the platform-central Azure Monitor Log Analytics workspace to audit key, certificate, and secret usage within each instance of Key Vault.

  • Delegue la creación de instancias de Key Vault y el acceso con privilegios, y use Azure Policy para aplicar una configuración compatible coherente.Delegate Key Vault instantiation and privileged access and use Azure Policy to enforce a consistent compliant configuration.

  • Use de forma predeterminada las claves administradas por Microsoft para la funcionalidad de cifrado de entidad de seguridad y use las claves administradas por el cliente cuando sea necesario.Default to Microsoft-managed keys for principal encryption functionality and use customer-managed keys when required.

  • No use instancias de Key Vault centralizadas para claves o secretos de aplicación.Don't use centralized instances of Key Vault for application keys or secrets.

  • No comparta instancias de Key Vault entre aplicaciones para evitar el uso compartido de secretos entre entornos.Don't share Key Vault instances between applications to avoid secret sharing across environments.

Planeación para la gobernanzaPlan for governance

La gobernanza proporciona mecanismos y procesos para mantener el control de las aplicaciones y recursos de Azure.Governance provides mechanisms and processes to maintain control over your applications and resources in Azure. Azure Policy es esencial para garantizar la seguridad y el cumplimiento en medios técnicos de la empresa.Azure Policy is essential to ensuring security and compliance within enterprise technical estates. Puede aplicar convenciones vitales de administración y seguridad en los servicios de la plataforma Azure, así como el control de acceso basado en roles de Azure (RBAC de Azure) complementario que controla qué acciones pueden realizar los usuarios autorizados.It can enforce vital management and security conventions across Azure platform services and supplement Azure role-based access control (Azure RBAC) that controls what actions authorized users can perform.

Consideraciones de diseño:Design considerations:

  • Determine qué directivas de Azure son necesarias.Determine what Azure policies are needed.

  • Aplique convenciones de administración y seguridad, como el uso de puntos de conexión privados.Enforce management and security conventions, such as the use of private endpoints.

  • La administración y creación de asignaciones de directivas mediante definiciones de directiva se pueden reutilizar en varios ámbitos de asignación heredados.Manage and create policy assignments by using policy definitions can be reused at multiple inherited assignment scopes. Puede tener asignaciones de directivas de referencia centralizadas en los ámbitos de grupo de administración, suscripción y grupo de recursos.You can have centralized, baseline policy assignments at management group, subscription, and resource group scopes.

  • Garantice el cumplimiento continuo con informes de cumplimiento y auditorías.Ensure continuous compliance with compliance reporting and auditing.

  • Sepa que Azure Policy tiene límites, como la restricción de definiciones en cualquier ámbito dado: límites de las directivas.Understand that Azure Policy has limits, such as the restriction of definitions at any particular scope: policy limits.

  • Conozca las directivas de cumplimiento normativo.Understand regulatory compliance policies. Estas podrían incluir los principios de servicio de confianza HIPAA, PCI-DSS o SOC 2.These might include HIPAA, PCI-DSS, or SOC 2 trust service principles.

Recomendaciones de diseño:Design recommendations:

  • Identifique las etiquetas de Azure necesarias y use el modo de directiva de anexión para aplicar el uso.Identify required Azure tags and use the append policy mode to enforce usage.

  • Asigne requisitos legislativos y de cumplimiento normativo a las definiciones de Azure Policy y a las asignaciones de roles de Azure.Map regulatory and compliance requirements to Azure Policy definitions and Azure role assignments.

  • Establezca definiciones de Azure Policy en el grupo de administración raíz de nivel superior para que se puedan asignar en ámbitos heredados.Establish Azure Policy definitions at the top-level root management group so that they can be assigned at inherited scopes.

  • Administre las asignaciones de directivas en el nivel más alto adecuado, con exclusiones en los niveles inferiores si es necesario.Manage policy assignments at the highest appropriate level with exclusions at bottom levels, if required.

  • Use Azure Policy para controlar los registros de proveedores de recursos en el nivel de suscripción o de grupo de administración.Use Azure Policy to control resource provider registrations at the subscription and/or management group levels.

  • Use directivas integradas siempre que sea posible para reducir al mínimo la sobrecarga operativa.Use built-in policies where possible to minimize operational overhead.

  • Asigne el rol Colaborador de directiva integrada en un ámbito determinado para habilitar la gobernanza en las aplicaciones.Assign the built-in Policy Contributor role at a particular scope to enable application-level governance.

  • Limite el número de asignaciones de Azure Policy realizadas en el ámbito del grupo de administración raíz para evitar la administración mediante exclusiones en ámbitos heredados.Limit the number of Azure Policy assignments made at the root management group scope to avoid managing through exclusions at inherited scopes.

Definir la supervisión de seguridad y una directiva de auditoríaDefine security monitoring and an audit policy

Una empresa debe tener visibilidad sobre lo que está ocurriendo dentro de su patrimonio tecnológico en la nube.An enterprise must have visibility into what's happening within their technical cloud estate. La supervisión de seguridad y el registro de auditoría de los servicios de la plataforma Azure es un componente clave de un marco escalable.Security monitoring and audit logging of Azure platform services is a key component of a scalable framework.

Consideraciones de diseño:Design considerations:

  • Períodos de retención de datos para los datos de auditoría.Data retention periods for audit data. Los informes de Azure AD Premium tienen un período de retención de 30 días.Azure AD Premium reports have a 30-day retention period.

  • El archivo a largo plazo de registros como los registros de actividad de Azure, de máquina virtual y de plataforma como servicio (PaaS).Long-term archiving of logs such as Azure activity logs, VM logs, and platform as a service (PaaS) logs.

  • Base de referencia de configuración de la seguridad mediante una directiva de máquina virtual invitada de Azure.Baseline security configuration via Azure in-guest VM policy.

  • Revisión de emergencia de los puntos vulnerables críticos.Emergency patching for critical vulnerabilities.

  • Revisión de las máquinas virtuales desconectadas durante largos períodos de tiempo.Patching for VMs that are offline for extended periods of time.

  • Requisitos de supervisión y alertas en tiempo real.Requirements for real-time monitoring and alerting.

  • Integración de la información de seguridad y la administración de eventos con Azure Security Center y Azure Sentinel.Security information and event management integration with Azure Security Center and Azure Sentinel.

  • Evaluación de los puntos vulnerables de las máquinas virtuales.Vulnerability assessment of VMs.

Recomendaciones de diseño:Design recommendations:

  • Use las funcionalidades de informe de Azure AD para generar informes de auditoría de control de acceso.Use Azure AD reporting capabilities to generate access control audit reports.

  • Exporte los registros de actividad de Azure a los registros de Azure Monitor para la retención de datos a largo plazo.Export Azure activity logs to Azure Monitor Logs for long-term data retention. Exporte a Azure Storage para el almacenamiento a más allá de dos años, si es necesario.Export to Azure Storage for long-term storage beyond two years, if necessary.

  • Habilite Security Center Standard para todas las suscripciones y use Azure Policy para garantizar el cumplimiento.Enable Security Center Standard for all subscriptions, and use Azure Policy to ensure compliance.

  • Supervise el desfase de revisiones del sistema operativo base mediante los registros de Azure Monitor y Azure Security Center.Monitor base operating system patching drift via Azure Monitor Logs and Azure Security Center.

  • Use directivas de Azure para implementar automáticamente las configuraciones de software con extensiones de máquina virtual y aplicar una base de referencia de configuración de máquina virtual compatible.Use Azure policies to automatically deploy software configurations through VM extensions and enforce a compliant baseline VM configuration.

  • Supervise el desfase en la configuración de seguridad de máquina virtual a través de Azure Policy.Monitor VM security configuration drift via Azure Policy.

  • Conecte las configuraciones de los recursos predeterminados a un área de trabajo de Log Analytics de Azure Monitor centralizada.Connect default resource configurations to a centralized Azure Monitor Log Analytics workspace.

  • Use una solución basada en Azure Event Grid para las alertas en tiempo real orientadas a registros.Use an Azure Event Grid-based solution for log-oriented, real-time alerting.

Plan de la seguridad de la plataformaPlan for platform security

Debe mantener unos principios de seguridad correctos en su adopción de Azure.You must maintain a healthy security posture as you adopt Azure. Además de la visibilidad, tiene que ser capaz de controlar la configuración inicial y los cambios a medida que evolucionen los servicios de Azure.Besides visibility, you have to be able to control the initial settings and changes as the Azure services evolve. Por lo tanto, el planeamiento de la seguridad de la plataforma es fundamental.Therefore, planning for platform security is key.

Consideraciones de diseño:Design considerations:

  • Responsabilidad compartida.Shared responsibility.

  • Alta disponibilidad y recuperación ante desastres.High availability and disaster recovery.

  • Seguridad coherente entre los servicios de Azure en cuanto a la administración de datos y las operaciones del plano de control.Consistent security across Azure services in terms of data management and control plane operations.

  • Multiinquilino para los componentes clave de la plataforma.Multitenancy for key platform components. Esto incluye Hyper-V, los HSM que hospedan Key Vault y los motores de base de datos.This includes Hyper-V, the HSMs underpinning Key Vault, and database engines.

Recomendaciones de diseño:Design recommendations:

  • En el contexto de sus requisitos subyacentes, realice un examen conjunto de cada servicio necesario.In the context of your underlying requirements, conduct a joint examination of each required service. Si quiere emplear sus propias claves, es posible que no se admita en todos los servicios considerados.If you want to bring your own keys, this might not be supported across all considered services. Implemente la mitigación pertinente para que las incoherencias no impidan los resultados deseados.Implement relevant mitigation so that inconsistencies don't hinder desired outcomes. Elija los pares de regiones adecuados y las regiones de recuperación ante desastres que minimicen la latencia.Choose appropriate region pairs and disaster recovery regions that minimize latency.

  • Desarrolle un plan de listas de permitidos de seguridad para evaluar la configuración de seguridad de los servicios, la supervisión, las alertas y cómo integrarlas con los sistemas existentes.Develop a security allow-list plan to assess services security configuration, monitoring, alerts, and how to integrate these with existing systems.

  • Determine el plan de respuesta a incidentes para los servicios de Azure antes de permitirlo en producción.Determine the incident response plan for Azure services before allowing it into production.

  • Use las funcionalidades de informe de Azure AD para generar informes de auditoría de control de acceso.Use Azure AD reporting capabilities to generate access control audit reports.

  • Alinee sus requisitos de seguridad con las hojas de ruta de la plataforma Azure para mantenerse al día con los controles de seguridad publicados recientemente.Align your security requirements with Azure platform roadmaps to stay current with newly released security controls.

  • Implemente un enfoque de confianza cero para el acceso a la plataforma Azure, cuando sea necesario.Implement a zero-trust approach for access to the Azure platform, where appropriate.

Prueba comparativa de la seguridad de AzureAzure Security Benchmark

La prueba comparativa de seguridad de Azure incluye una recopilación de recomendaciones de seguridad de gran impacto que puede usar para ayudar a proteger la mayoría de los servicios que usa en Azure.The Azure Security Benchmark includes a collection of high-impact security recommendations you can use to help secure most of the services you use in Azure. Puede considerar estas recomendaciones como "generales" u "organizativas", ya que son aplicables a la mayoría de los servicios de Azure.You can think of these recommendations as "general" or "organizational" as they are applicable to most Azure services. Las recomendaciones de las pruebas comparativas de seguridad de Azure se personalizan después para cada servicio de Azure y esta guía personalizada se incluye en los artículos de recomendaciones de servicio.The Azure Security Benchmark recommendations are then customized for each Azure service, and this customized guidance is contained in service recommendations articles.

La documentación de las pruebas comparativas de seguridad de Azure especifica controles de seguridad y recomendaciones de servicio.The Azure Security Benchmark documentation specifies security controls and service recommendations.

  • Controles de seguridad: Las recomendaciones de las pruebas comparativas de seguridad de Azure se clasifican por controles de seguridad.Security controls: The Azure Security Benchmark recommendations are categorized by security controls. Los controles de seguridad representan requisitos de seguridad independientes del proveedor de alto nivel, como la seguridad de red y la protección de datos.Security controls represent high-level vendor-agnostic security requirements, such as network security and data protection. Cada control de seguridad tiene un conjunto de recomendaciones de seguridad e instrucciones que le ayudan a implementar esas recomendaciones.Each security control has a set of security recommendations and instructions that help you implement those recommendations.
  • Recomendaciones de servicio: Cuando estén disponibles, las recomendaciones de las pruebas comparativas de los servicios de Azure incluirán recomendaciones de pruebas comparativas de seguridad exclusivas para el servicio en concreto.Service recommendations: When available, benchmark recommendations for Azure services will include Azure Security Benchmark recommendations that are tailored specifically for that service.

Marco de habilitación del servicioService enablement framework

A medida que las unidades de negocio soliciten la implementación de cargas de trabajo en Azure, necesitará una visibilidad adicional de la carga de trabajo para determinar cómo lograr los niveles adecuados de gobernanza, seguridad y cumplimiento.As business units request to deploy workloads to Azure, you need additional visibility into a workload to determine how to achieve appropriate levels of governance, security, and compliance. Cuando se requiera un nuevo servicio, debe permitirlo.When a new service is required, you need to allow it. En la tabla siguiente se proporciona un marco para evaluar la preparación de la seguridad empresarial de los servicios de Azure:The following table provides a framework to assess enterprise security readiness of Azure services:

EvaluaciónAssessment CategoryCategory CriteriosCriteria
SeguridadSecurity Punto de conexión de redNetwork endpoint ¿Tiene el servicio un punto de conexión público que es accesible fuera de una red virtual?Does the service have a public endpoint that is accessible outside of a virtual network?
¿Admite puntos de conexión de servicio de red virtual?Does it support virtual network service endpoints?
¿Pueden los servicios de Azure interactuar directamente con el punto de conexión de servicio?Can Azure services interact directly with the service endpoint?
¿Admite puntos de conexión de Private Link?Does it support Azure Private Link endpoints?
¿Se puede implementar en una red virtual?Can it be deployed within a virtual network?
Prevención de la filtración de datosData exfiltration prevention ¿Tiene el servicio PaaS una comunidad de protocolo de puerta de enlace de borde (BGP) diferente en el emparejamiento de Microsoft de Azure ExpressRoute?Does the PaaS service have a separate Border Gateway Protocol (BGP) community in Azure ExpressRoute Microsoft peering? ¿ExpressRoute expone un filtro de ruta para el servicio?Does ExpressRoute expose a route filter for the service?
¿Admite el servicio puntos de conexión de Private Link?Does the service support Private Link endpoints?
Aplicar el flujo de tráfico de red para las operaciones de administración y de plano de datosEnforce network traffic flow for management and data plane operations ¿Es posible inspeccionar el tráfico que entra y sale del servicio?Is it possible to inspect traffic entering/exiting the service? ¿Se puede forzar el tráfico por túnel con el enrutamiento definido por el usuario?Can traffic be force-tunnelled with user-defined routing?
¿Usan las operaciones de administración rangos de direcciones IP públicas compartidas de Azure?Do management operations use Azure shared public IP ranges?
¿Se dirige el tráfico de administración a través de un punto de conexión local de vínculo expuesto en el host?Is management traffic directed via a link-local endpoint exposed on the host?
Cifrado de datos en reposoData encryption at-rest ¿Se aplica el cifrado de forma predeterminada?Is encryption applied by default?
¿Se puede deshabilitar el cifrado?Can encryption be disabled?
¿Se realiza el cifrado con claves administradas por Microsoft o claves administradas por el cliente?Is encryption performed with Microsoft-managed keys or customer-managed keys?
Cifrado de datos en tránsitoData encryption in-transit ¿Está cifrado el tráfico que se dirige al servicio en un nivel de protocolo (SSL/TLS)?Is traffic to the service encrypted at a protocol level (SSL/TLS)?
¿Hay algún punto de conexión HTTP y se puede deshabilitar?Are there any HTTP endpoints, and can they be disabled?
¿Está también cifrada la comunicación del servicio subyacente?Is underlying service communication also encrypted?
¿Se realiza el cifrado con claves administradas por Microsoft o claves administradas por el cliente?Is encryption performed with Microsoft-managed keys or customer-managed keys? (¿Se admite el cifrado propio?)(Is bring your own encryption supported?)
Implementación de softwareSoftware deployment ¿Se puede implementar software de aplicaciones o productos de terceros en el servicio?Can application software or third-party products be deployed to the service?
¿Cómo se realiza y administra la implementación de software?How is software deployment performed and managed?
¿Se pueden aplicar directivas para controlar la integridad del origen o del código?Can policies be enforced to control source or code integrity?
Si el software se puede implementar, ¿se puede usar la funcionalidad antimalware, la administración de puntos vulnerables y las herramientas de supervisión de la seguridad?If software is deployable, can antimalware capability, vulnerability management, and security monitoring tools be used?
¿El servicio proporciona estas funcionalidades de forma nativa, como con Azure Kubernetes Service?Does the service provide such capabilities natively, such as with Azure Kubernetes Service?
Administración de identidades y accesoIdentity and access management Autenticación y control de accesoAuthentication and access control ¿Se rigen todas las operaciones del plano de control por Azure AD?Are all control plane operations governed by Azure AD? ¿Hay un plano de control anidado, como con Azure Kubernetes Service?Is there a nested control plane, such as with Azure Kubernetes Service?
¿Qué métodos existen para proporcionar acceso al plano de datos?What methods exist to provide access to the data plane?
¿Se integra el plano de datos con Azure AD?Does the data plane integrate with Azure AD?
¿La autenticación entre los servicios de Azure usa identidades administradas o entidades de servicio?Does authentication bwtween Azure services use managed identities or service principals?
¿Se realiza la autenticación de Azure en IaaS (servicio a red virtual) a través de Azure AD?Is Azure-to-IaaS (service-to-virtual-network) authentication via Azure AD?
¿Cómo se administran las firmas de acceso compartido o las claves aplicables?How are any applicable keys or shared access signatures managed?
¿Cómo se puede revocar el acceso?How can access be revoked?
Segregación de obligacionesSegregation of duties ¿Separa el servicio las operaciones de plano de control y de plano de datos dentro Azure AD?Does the service separate control plane and data plane operations within Azure AD?
Autenticación multifactor y acceso condicionalMulti-factor authentication and conditional access ¿Se aplica la autenticación multifactor para las interacciones entre el usuario y el servicio?Is multi-factor authentication enforced for user to service interactions?
GobernanzaGovernance Exportación e importación de datosData export and import ¿Permite el servicio importar y exportar datos de forma segura y cifrada?Does service allow you to import and export data securely and encrypted?
Privacidad y uso de datosData privacy and usage ¿Pueden los ingenieros de Microsoft acceder a los datos?Can Microsoft engineers access the data?
¿Hay alguna interacción de soporte técnico de Microsoft con el servicio auditado?Is any Microsoft Support interaction with the service audited?
Residencia de datosData residency ¿Están los datos contenidos en la región de implementación del servicio?Is data contained to the service deployment region?
OperacionesOperations SupervisiónMonitoring ¿Se integra el servicio con Azure Monitor?Does the service integrate with Azure Monitor?
Administración de copias de seguridadBackup management ¿De qué datos de carga de trabajo se debe hacer una copia de seguridad?Which workload data need to be backed up?
¿Cómo se capturan las copias de seguridad?How are backups captured?
¿Con qué frecuencia se pueden realizar copias de seguridad?How frequently can backups be taken?
¿Durante cuánto tiempo se pueden conservar las copias de seguridad?How long can backups be retained for?
¿Se cifran las copias de seguridad?Are backups encrypted?
¿El cifrado de las copias de seguridad se realiza con claves administradas por Microsoft o con claves administradas por el cliente?Is backup encryption performed with Microsoft-managed keys or customer-managed keys?
Recuperación ante desastresDisaster recovery ¿Cómo se puede usar el servicio en un modo redundante regional?How can the service be used in a regional redundant fashion?
¿Cuál es el objetivo de tiempo de recuperación y el objetivo de punto de recuperación que se pueden lograr?What is the attainable recovery time objective and recovery point objective?
SKUSKU ¿Qué SKU están disponibles?What SKUs are available? ¿Y cómo difieren?And how do they differ?
¿Hay alguna característica relacionada con la seguridad para la SKU Premium?Are there any features related to security for Premium SKU?
Administración de la capacidadCapacity management ¿Cómo se supervisa la capacidad?How is capacity monitored?
¿Cuál es la unidad de escala horizontal?What is the unit of horizontal scale?
Administración de revisiones y actualizacionesPatch and update management ¿El servicio requiere una actualización activa o las actualizaciones se realizan de forma automática?Does the service require active updating or do updates happen automatically?
¿Con qué frecuencia se aplican las actualizaciones?How frequently are updates applied? ¿Se pueden automatizar?Can they be automated?
AuditoríaAudit ¿Se capturan las operaciones de plano de control anidadas (por ejemplo, Azure Kubernetes Service o Azure Databricks)?Are nested control plane operations captured (for example, Azure Kubernetes Service or Azure Databricks)?
¿Se registran las actividades de plano de datos clave?Are key data plane activities recorded?
Administración de configuraciónConfiguration management ¿Admite etiquetas y proporciona un esquema de put para todos los recursos?Does it support tags and provide a put schema for all resources?
Cumplimiento de servicio de AzureAzure service compliance Confirmación de servicio, certificación y auditorías externasService attestation, certification, and external audits ¿Es compatible el servicio con PCI/ISO/SOC?Is the service PCI/ISO/SOC compliant?
Disponibilidad del servicioService availability ¿El servicio es una versión preliminar privada, una versión preliminar pública o está disponible con carácter general?Is the service a private preview, a public preview, or generally available?
¿En qué regiones está disponible el servicio?In what regions is the service available?
¿Cuál es el ámbito de implementación del servicio?What is the deployment scope of the service? ¿Es un servicio regional o global?Is it a regional or global service?
Contratos de nivel de servicio (SLA)Service-level agreements (SLAs) ¿Cuál es el contrato de nivel de servicio para la disponibilidad del servicio?What is the SLA for service availability?
Si es aplicable, ¿cuál es el contrato de nivel de servicio para el rendimiento?If applicable, what is the SLA for performance?