Asignación de control del ejemplo de plano técnico de servicios compartidos según la norma ISO 27001Control mapping of the ISO 27001 Shared Services blueprint sample

En el siguiente artículo se detalla cómo se asigna el ejemplo de plano técnico de servicios compartidos según la norma ISO 27001 de Azure Blueprints a los controles de ISO 27001.The following article details how the Azure Blueprints ISO 27001 Shared Services blueprint sample maps to the ISO 27001 controls. Para más información sobre los controles, consulte ISO 27001.For more information about the controls, see ISO 27001.

Las siguientes asignaciones son para los controles de ISO 27001:2013.The following mappings are to the ISO 27001:2013 controls. Use el panel de navegación de la derecha para ir directamente a una asignación de control específica.Use the navigation on the right to jump directly to a specific control mapping. Muchos de los controles asignados se implementan con una iniciativa de Azure Policy.Many of the mapped controls are implemented with an Azure Policy initiative. Para revisar la iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones.To review the complete initiative, open Policy in the Azure portal and select the Definitions page. Después, busque y seleccione la iniciativa de directiva integrada [Versión preliminar] Auditar los controles ISO 27001:2013 e implementar extensiones de VM específicas para admitir los requisitos de auditoría.Then, find and select the [Preview] Audit ISO 27001:2013 controls and deploy specific VM Extensions to support audit requirements built-in policy initiative.

Importante

Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy.Each control below is associated with one or more Azure Policy definitions. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas.These policies may help you assess compliance with the control; however, there often is not a one-to-one or complete match between a control and one or more policies. Como tal, el cumplimiento con Azure Policy solo se refiere a las propias directivas; esto no garantiza que sea totalmente compatible con todos los requisitos de un control.As such, Compliant in Azure Policy refers only to the policies themselves; this doesn't ensure you're fully compliant with all requirements of a control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento.In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento.Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. Las asociaciones entre los controles y las definiciones de Azure Policy para este ejemplo de plano técnico de cumplimiento pueden cambiar con el tiempo.The associations between controls and Azure Policy definitions for this compliance blueprint sample may change over time. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.To view the change history, see the GitHub Commit History.

A.6.1.2 Separación de obligacionesA.6.1.2 Segregation of duties

Tener solo un propietario de la suscripción de Azure no permite la redundancia administrativa.Having only one Azure subscription owner doesn't allow for administrative redundancy. Por el contrario, tener demasiados propietarios de suscripción de Azure aumenta la posibilidad de infracción de seguridad mediante una cuenta de propietario en riesgo.Conversely, having too many Azure subscription owners can increase the potential for a breach via a compromised owner account. Este plano técnico ayuda a mantener un número adecuado de propietarios de suscripción de Azure mediante la asignación de dos definiciones de Azure Policy que auditarán el número de estos.This blueprint helps you maintain an appropriate number of Azure subscription owners by assigning two Azure Policy definitions that audit the number of owners for Azure subscriptions. La administración de permisos de propietario de suscripción ayuda a implementar la separación adecuada de las tareas.Managing subscription owner permissions can help you implement appropriate separation of duties.

  • Debe designar un máximo de tres propietarios para la suscripciónA maximum of 3 owners should be designated for your subscription
  • Debe haber más de un propietario asignado a su suscripciónThere should be more than one owner assigned to your subscription

A.8.2.1 Clasificación de la informaciónA.8.2.1 Classification of information

El servicio de evaluación de vulnerabilidad de SQL de Azure puede ayudarle a detectar información confidencial almacenada en las bases de datos e incluye recomendaciones para clasificar esa información.Azure's SQL Vulnerability Assessment service can help you discover sensitive data stored in your databases and includes recommendations to classify that data. Este plano técnico asigna una definición de Azure Policy para comprobar si las vulnerabilidades identificadas durante el examen de evaluación de vulnerabilidad de SQL se corrigieron.This blueprint assigns an Azure Policy definition to audit that vulnerabilities identified during SQL Vulnerability Assessment scan are remediated.

  • Se deben corregir las vulnerabilidades de las bases de datos SQLVulnerabilities on your SQL databases should be remediated

A.9.1.2 Acceso a redes y servicios de redA.9.1.2 Access to networks and network services

El control de acceso basado en roles (RBAC) de Azure ayuda a administrar quién tiene acceso a los recursos de Azure.Azure role-based access control (Azure RBAC) helps to manage who has access to Azure resources. Este plano técnico ayuda a controlar el acceso a los recursos de Azure mediante la asignación de siete definiciones de Azure Policy.This blueprint helps you control access to Azure resources by assigning seven Azure Policy definitions. Estas directivas auditan el uso de los tipos de recursos y las configuraciones que pueden permitir un acceso más flexible a los recursos.These policies audit use of resource types and configurations that may allow more permissive access to resources. Conocer los recursos que infringen estas directivas ayuda a tomar medidas correctivas para garantizar que el acceso a los recursos de Azure se limita a los usuarios autorizados.Understanding resources that are in violation of these policies can help you take corrective actions to ensure access Azure resources is restricted to authorized users.

  • mostrar los resultados de las auditorías de las máquinas virtuales Linux que tengan cuentas sin contraseñaShow audit results from Linux VMs that have accounts without passwords
  • mostrar los resultados de las auditorías de máquinas virtuales Linux que permitan conexiones remotas desde cuentas sin contraseñaShow audit results from Linux VMs that allow remote connections from accounts without passwords
  • Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource ManagerStorage accounts should be migrated to new Azure Resource Manager resources
  • Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource ManagerVirtual machines should be migrated to new Azure Resource Manager resources
  • Auditar las máquinas virtuales que no utilizan discos administradosAudit VMs that do not use managed disks

A.9.2.3 Administración de los derechos de acceso con privilegiosA.9.2.3 Management of privileged access rights

Este plano técnico ayuda a restringir y controlar los derechos de acceso con privilegios mediante la asignación de cuatro definiciones de Azure Policy para auditar las cuentas externas con propietario, o escribir permisos y cuentas con propietario o permisos que no tienen la autenticación multifactor habilitada.This blueprint helps you restrict and control privileged access rights by assigning four Azure Policy definitions to audit external accounts with owner and/or write permissions and accounts with owner and/or write permissions that don't have multi-factor authentication enabled. El control de acceso basado en roles (RBAC) de Azure ayuda a administrar quién tiene acceso a los recursos de Azure.Azure role-based access control (Azure RBAC) helps to manage who has access to Azure resources. Este plano técnico también asigna tres definiciones de Azure Policy para auditar el uso de la autenticación de Azure Active Directory para SQL Server y Service Fabric.This blueprint also assigns three Azure Policy definitions to audit use of Azure Active Directory authentication for SQL Servers and Service Fabric. El uso de la autenticación de Azure Active Directory simplifica la administración de permisos y centraliza la administración de identidades de usuarios de base de datos y otros servicios de Microsoft.Using Azure Active Directory authentication enables simplified permission management and centralized identity management of database users and other Microsoft services. Este plano técnico también asigna una definición de Azure Policy para auditar el uso de reglas RBAC personalizadas de Azure.This blueprint also assigns an Azure Policy definition to audit the use of custom Azure RBAC rules. Comprender dónde se implementan las reglas RBAC personalizadas de Azure puede ayudarle a determinar la necesidad y correcta implementación, ya que estas reglas suelen producir errores.Understanding where custom Azure RBAC rules are implement can help you verify need and proper implementation, as custom Azure RBAC rules are error prone.

  • MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripciónMFA should be enabled on accounts with owner permissions on your subscription
  • MFA debe estar habilitada en las cuentas con permisos de escritura en la suscripciónMFA should be enabled accounts with write permissions on your subscription
  • Las cuentas externas con permisos de propietario deben quitarse de la suscripciónExternal accounts with owner permissions should be removed from your subscription
  • Las cuentas externas con permisos de escritura deben quitarse de la suscripciónExternal accounts with write permissions should be removed from your subscription
  • El administrador de Azure Active Directory debe aprovisionarse para servidores SQL ServerAn Azure Active Directory administrator should be provisioned for SQL servers
  • Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de clienteService Fabric clusters should only use Azure Active Directory for client authentication
  • Auditar el uso de reglas de RBAC personalizadasAudit usage of custom RBAC rules

A.9.2.4 Administración de la información de autenticación secreta de los usuariosA.9.2.4 Management of secret authentication information of users

Este plano técnico asigna tres definiciones de Azure Policy para auditar cuentas que no tienen la autenticación multifactor habilitada.This blueprint assigns three Azure Policy definitions to audit accounts that don't have multi-factor authentication enabled. La autenticación multifactor ayuda a mantener las cuentas seguras aunque algún dato de la autenticación esté en riesgo.Multi-factor authentication helps keep accounts secure even if one piece of authentication information is compromised. Mediante la supervisión de las cuentas que no tienen la autenticación multifactor habilitada puede identificar las cuentas en mayor o menor riesgo.By monitoring accounts without multi-factor authentication enabled, you can identify accounts that may be more likely to be compromised. Este plano técnico también asigna dos definiciones de Azure Policy que auditan los permisos de los archivos con contraseña de máquina virtual Linux y alertan si la configuración es incorrecta.This blueprint also assigns two Azure Policy definitions that audit Linux VM password file permissions to alert if they're set incorrectly. Esta configuración permite tomar medidas correctivas para garantizar que los autenticadores no están en riesgo.This setup enables you to take corrective action to ensure authenticators aren't compromised.

  • MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripciónMFA should be enabled on accounts with owner permissions on your subscription
  • MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripciónMFA should be enabled on accounts with read permissions on your subscription
  • MFA debe estar habilitada en las cuentas con permisos de escritura en la suscripciónMFA should be enabled accounts with write permissions on your subscription
  • mostrar los resultados de las auditorías de las máquinas virtuales Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644Show audit results from Linux VMs that do not have the passwd file permissions set to 0644

A.9.2.5 Revisión de los derechos de acceso de los usuariosA.9.2.5 Review of user access rights

El control de acceso basado en roles (RBAC) de Azure ayuda a administrar quién tiene acceso a los recursos de Azure.Azure role-based access control (Azure RBAC) helps you manage who has access to resources in Azure. Mediante Azure Portal, puede revisar quién tiene acceso a los recursos de Azure y sus permisos.Using the Azure portal, you can review who has access to Azure resources and their permissions. Este plano técnico asigna cuatro definiciones de Azure Policy para auditar las cuentas que deberían priorizarse para la revisión, incluidas las cuentas en desuso y externas con permisos elevados.This blueprint assigns four Azure Policy definitions to audit accounts that should be prioritized for review, including depreciated accounts and external accounts with elevated permissions.

  • Las cuentas en desuso deben quitarse de la suscripciónDeprecated accounts should be removed from your subscription
  • Las cuentas en desuso con permisos de propietario deben quitarse de la suscripciónDeprecated accounts with owner permissions should be removed from your subscription
  • Las cuentas externas con permisos de propietario deben quitarse de la suscripciónExternal accounts with owner permissions should be removed from your subscription
  • Las cuentas externas con permisos de escritura deben quitarse de la suscripciónExternal accounts with write permissions should be removed from your subscription

A.9.2.6 Eliminación o ajuste de los derechos de accesoA.9.2.6 Removal or adjustment of access rights

El control de acceso basado en roles (RBAC) de Azure ayuda a administrar quién tiene acceso a los recursos de Azure.Azure role-based access control (Azure RBAC) helps you manage who has access to resources in Azure. Mediante Azure Active Directory y Azure RBAC, puede actualizar los roles de usuario para reflejar cambios organizativos.Using Azure Active Directory and Azure RBAC, you can update user roles to reflect organizational changes. Cuando sea necesario, se puede bloquear el inicio de sesión de las cuentas (o eliminar estas), lo cual eliminaría inmediatamente los derechos de acceso a los recursos de Azure.When needed, accounts can be blocked from signing in (or removed), which immediately removes access rights to Azure resources. Este plano técnico asigna dos definiciones de Azure Policy para auditar las cuentas en desuso cuya eliminación debería considerarse.This blueprint assigns two Azure Policy definitions to audit depreciated account that should be considered for removal.

  • Las cuentas en desuso deben quitarse de la suscripciónDeprecated accounts should be removed from your subscription
  • Las cuentas en desuso con permisos de propietario deben quitarse de la suscripciónDeprecated accounts with owner permissions should be removed from your subscription

A.9.4.2 Procedimientos seguros de inicio de sesiónA.9.4.2 Secure log-on procedures

Este plano técnico asigna tres definiciones de Azure Policy para auditar cuentas que no tienen la autenticación multifactor habilitada.This blueprint assigns three Azure Policy definitions to audit accounts that don't have multi-factor authentication enabled. Azure AD Multi-Factor Authentication proporciona más seguridad, ya que requiere una segunda forma de autenticación y ofrece autenticación segura.Azure AD Multi-Factor Authentication provides additional security by requiring a second form of authentication and delivers strong authentication. Mediante la supervisión de las cuentas que no tienen la autenticación multifactor habilitada puede identificar las cuentas en mayor o menor riesgo.By monitoring accounts without multi-factor authentication enabled, you can identify accounts that may be more likely to be compromised.

  • MFA debe estar habilitada en las cuentas con permisos de propietario en la suscripciónMFA should be enabled on accounts with owner permissions on your subscription
  • MFA debe estar habilitada en las cuentas con permisos de lectura en la suscripciónMFA should be enabled on accounts with read permissions on your subscription
  • MFA debe estar habilitada en las cuentas con permisos de escritura en la suscripciónMFA should be enabled accounts with write permissions on your subscription

A.9.4.3 Sistema de administración de contraseñasA.9.4.3 Password management system

Este plano técnico ayuda a instaurar contraseñas seguras mediante la asignación de diez definiciones de Azure Policy que auditan las máquinas virtuales Windows que no tienen unos requisitos mínimos de seguridad de contraseña y de otros tipos.This blueprint helps you enforce strong passwords by assigning 10 Azure Policy definitions that audit Windows VMs that don't enforce minimum strength and other password requirements. Conocer las máquinas virtuales que infringen la directiva de seguridad de las contraseñas ayuda a tomar medidas correctivas para garantizar que las contraseñas de todas las cuentas de usuario de máquina virtual cumplen la directiva.Awareness of VMs in violation of the password strength policy helps you take corrective actions to ensure passwords for all VM user accounts are compliant with policy.

  • mostrar los resultados de las auditorías de las máquinas virtuales Windows que no tengan habilitada la configuración de complejidad de la contraseñaShow audit results from Windows VMs that do not have the password complexity setting enabled
  • mostrar los resultados de las auditorías de las máquinas virtuales Windows cuyas contraseñas no tengan una vigencia máxima de 70 díasShow audit results from Windows VMs that do not have a maximum password age of 70 days
  • mostrar los resultados de las auditorías de las máquinas virtuales Windows cuyas contraseñas no tengan una vigencia mínima de 1 díaShow audit results from Windows VMs that do not have a minimum password age of 1 day
  • mostrar los resultados de las auditorías de las máquinas virtuales Windows que no restrinjan la longitud mínima de las contraseñas en 14 caracteresShow audit results from Windows VMs that do not restrict the minimum password length to 14 characters
  • mostrar los resultados de las auditorías de las máquinas virtuales Windows que permitan volver a usar las 24 contraseñas anterioresShow audit results from Windows VMs that allow re-use of the previous 24 passwords

A.10.1.1 Directiva sobre el uso de controles criptográficosA.10.1.1 Policy on the use of cryptographic controls

Este plano técnico ayuda a instaurar la directiva sobre el uso de controles criptográficos mediante la asignación de trece definiciones de Azure Policy que instauran controles criptográficos específicos y auditan el uso de configuraciones criptográficas poco seguras.This blueprint helps you enforce your policy on the use of cryptograph controls by assigning 13 Azure Policy definitions that enforce specific cryptograph controls and audit use of weak cryptographic settings. Conocer dónde los recursos de Azure pueden tener configuraciones criptográficas subóptimas ayuda a tomar medidas correctivas para garantizar que los recursos se configuran conforme a la directiva de seguridad de la información.Understanding where your Azure resources may have non-optimal cryptographic configurations can help you take corrective actions to ensure resources are configured in accordance with your information security policy. En concreto, las directivas asignadas por este plano técnico requieren cifrado para las cuentas de Blob Storage y Data Lake Storage y cifrado de datos transparente en las bases de datos SQL; auditan el cifrado que falta en las cuentas de almacenamiento, las bases de datos SQL, los discos de máquina virtual y las variables de cuenta de Automation; auditan las conexiones no seguras a cuentas de almacenamiento, Function App, Web Apps, API Apps, y Redis Cache; auditan el cifrado de contraseñas no seguras de las máquinas virtuales y la comunicación sin cifrado de Service Fabric.Specifically, the policies assigned by this blueprint require encryption for blob storage accounts and data lake storage accounts; require transparent data encryption on SQL databases; audit missing encryption on storage accounts, SQL databases, virtual machine disks, and automation account variables; audit insecure connections to storage accounts, Function Apps, Web App, API Apps, and Redis Cache; audit weak virtual machine password encryption; and audit unencrypted Service Fabric communication.

  • Acceso a Function App solo a través de HTTPSFunction App should only be accessible over HTTPS
  • Acceso a la aplicación web solo a través de HTTPSWeb Application should only be accessible over HTTPS
  • Acceso a API App solo a través de HTTPSAPI App should only be accessible over HTTPS
  • mostrar los resultados de las auditorías de las máquinas virtuales Windows que no almacenen contraseñas mediante el cifrado reversibleShow audit results from Windows VMs that do not store passwords using reversible encryption
  • El cifrado de discos debe aplicarse en máquinas virtualesDisk encryption should be applied on virtual machines
  • Las variables de cuenta de automatización deben cifrarseAutomation account variables should be encrypted
  • Solo se deben habilitar las conexiones seguras a su instancia de Azure Cache for Redis.Only secure connections to your Azure Cache for Redis should be enabled
  • Se debe habilitar la transferencia segura a las cuentas de almacenamientoSecure transfer to storage accounts should be enabled
  • Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service FabricService Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign
  • Se debe permitir el cifrado de datos transparente en bases de datos SQLTransparent Data Encryption on SQL databases should be enabled

A.12.4.1 Registro de eventosA.12.4.1 Event logging

Este plano técnico ayuda a garantizar que los eventos del sistema se registran; para ello, se asignan siete definiciones de Azure Policy que auditan las configuraciones de registro de los recursos de Azure.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Los registros de diagnóstico proporcionan conclusiones detalladas sobre las operaciones que se realizaron en recursos de Azure.Diagnostic logs provide insight into operations that were performed within Azure resources.

  • Auditoría de la implementación de Dependency Agent: la imagen (SO) de la máquina virtual no está en la listaAudit Dependency agent deployment - VM Image (OS) unlisted
  • Auditoría de la implementación de Dependency Agent en conjuntos de escalado de máquinas virtuales: la imagen (SO) de la máquina virtual no está en la listaAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [Versión preliminar]: Auditoría de la implementación del agente de Log Analytics: la imagen de la VM (SO) no está en la lista[Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Auditoría de implementación del agente de Log Analytics en conjuntos de escalado de máquinas virtuales: la imagen de máquina virtual (SO) no está en la lista.Audit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Auditar la configuración de diagnósticoAudit diagnostic setting
  • La auditoría de SQL Server debe estar habilitadaAuditing on SQL server should be enabled

A.12.4.3 Registros de administrador y operadorA.12.4.3 Administrator and operator logs

Este plano técnico le permite garantizar que los eventos del sistema se registran. Para ello, se asignan siete definiciones de Azure Policy que auditan las configuraciones de registro de los recursos de Azure.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Los registros de diagnóstico proporcionan conclusiones detalladas sobre las operaciones que se realizaron en recursos de Azure.Diagnostic logs provide insight into operations that were performed within Azure resources.

  • Auditoría de la implementación de Dependency Agent: la imagen (SO) de la máquina virtual no está en la listaAudit Dependency agent deployment - VM Image (OS) unlisted
  • Auditoría de la implementación de Dependency Agent en conjuntos de escalado de máquinas virtuales: la imagen (SO) de la máquina virtual no está en la listaAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [Versión preliminar]: Auditoría de la implementación del agente de Log Analytics: la imagen de la VM (SO) no está en la lista[Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Auditoría de implementación del agente de Log Analytics en conjuntos de escalado de máquinas virtuales: la imagen de máquina virtual (SO) no está en la lista.Audit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Auditar la configuración de diagnósticoAudit diagnostic setting
  • La auditoría de SQL Server debe estar habilitadaAuditing on SQL server should be enabled

A.12.4.4 Sincronización del relojA.12.4.4 Clock synchronization

Este plano técnico le permite garantizar que los eventos del sistema se registran. Para ello, se asignan siete definiciones de Azure Policy que auditan las configuraciones de registro de los recursos de Azure.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Los registros de Azure se basan en relojes internos sincronizados para crear un registro con correlación de tiempo de eventos entre recursos.Azure logs rely on synchronized internal clocks to create a time-correlated record of events across resources.

  • Auditoría de la implementación de Dependency Agent: la imagen (SO) de la máquina virtual no está en la listaAudit Dependency agent deployment - VM Image (OS) unlisted
  • Auditoría de la implementación de Dependency Agent en conjuntos de escalado de máquinas virtuales: la imagen (SO) de la máquina virtual no está en la listaAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [Versión preliminar]: Auditoría de la implementación del agente de Log Analytics: la imagen de la VM (SO) no está en la lista[Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Auditoría de implementación del agente de Log Analytics en conjuntos de escalado de máquinas virtuales: la imagen de máquina virtual (SO) no está en la lista.Audit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Auditar la configuración de diagnósticoAudit diagnostic setting
  • La auditoría de SQL Server debe estar habilitadaAuditing on SQL server should be enabled

A.12.5.1 Instalación de software en sistemas operativosA.12.5.1 Installation of software on operational systems

El control de aplicaciones adaptable es la solución de Azure Security Center que permite controlar qué aplicaciones pueden ejecutarse en sus máquinas virtuales ubicadas en Azure.Adaptive application control is solution from Azure Security Center that helps you control which applications can run on your VMs located in Azure. Este plano técnico asigna una definición de Azure Policy que supervisa los cambios en el conjunto de aplicaciones permitidas.This blueprint assigns an Azure Policy definition that monitors changes to the set of allowed applications. Esta funcionalidad le permite controlar la instalación de software y aplicaciones en VM de Azure.This capability helps you control installation of software and applications on Azure VMs.

  • Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas.Adaptive application controls for defining safe applications should be enabled on your machines

A.12.6.1 Administración de vulnerabilidades técnicasA.12.6.1 Management of technical vulnerabilities

Este plano técnico ayuda a administrar las vulnerabilidades del sistema de información al asignar cinco definiciones de Azure Policy que supervisan si faltan actualizaciones del sistema, o si existen vulnerabilidades del sistema operativo, de SQL o de las máquinas virtuales de Azure Security Center.This blueprint helps you manage information system vulnerabilities by assigning five Azure Policy definitions that monitor missing system updates, operating system vulnerabilities, SQL vulnerabilities, and virtual machine vulnerabilities in Azure Security Center. Azure Security Center proporciona funcionalidades de informes que permiten tener información en tiempo real sobre el estado de seguridad de los recursos de Azure implementados.Azure Security Center provides reporting capabilities that enable you to have real-time insight into the security state of deployed Azure resources.

  • Supervisión de la falta de Endpoint Protection en Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center
  • Se deben instalar actualizaciones del sistema en las máquinasSystem updates should be installed on your machines
  • Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinasVulnerabilities in security configuration on your machines should be remediated
  • Se deben corregir las vulnerabilidades de las bases de datos SQLVulnerabilities on your SQL databases should be remediated
  • Se deben corregir las vulnerabilidades mediante una solución de evaluación de vulnerabilidadesVulnerabilities should be remediated by a Vulnerability Assessment solution

A.12.6.2 Restricciones de instalación de softwareA.12.6.2 Restrictions on software installation

El control de aplicaciones adaptable es la solución de Azure Security Center que permite controlar qué aplicaciones pueden ejecutarse en sus máquinas virtuales ubicadas en Azure.Adaptive application control is solution from Azure Security Center that helps you control which applications can run on your VMs located in Azure. Este plano técnico asigna una definición de Azure Policy que supervisa los cambios en el conjunto de aplicaciones permitidas.This blueprint assigns an Azure Policy definition that monitors changes to the set of allowed applications. Las restricciones de instalación de software pueden ayudar a reducir la probabilidad de que se introduzcan vulnerabilidades de software.Restrictions on software installation can help you reduce the likelihood of introduction of software vulnerabilities.

  • Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas.Adaptive application controls for defining safe applications should be enabled on your machines

A.13.1.1 Controles de redA.13.1.1 Network controls

Este plano técnico ayuda a administrar y controlar las redes; para ello, asigna una definición de Azure Policy que supervisa los grupos de seguridad de red con reglas permisivas.This blueprint helps you manage and control networks by assigning an Azure Policy definition that monitors network security groups with permissive rules. Las reglas demasiado permisivas pueden permitir el acceso de red no deseado y deben revisarse.Rules that are too permissive may allow unintended network access and should be reviewed. Este plano técnico también asigna tres definiciones de Azure Policy que supervisan las aplicaciones, las cuentas de almacenamiento y los puntos de conexión desprotegidos.This blueprint also assigns three Azure Policy definitions that monitor unprotected endpoints, applications, and storage accounts. Los puntos de conexión y las aplicaciones que no están protegidos por firewall y las cuentas de almacenamiento con acceso sin restricciones pueden permitir el acceso no deseado a la información contenida en el sistema de información.Endpoints and applications that aren't protected by a firewall, and storage accounts with unrestricted access can allow unintended access to information contained within the information system.

  • Debe restringirse el acceso a través de un punto de conexión accesible desde InternetAccess through Internet facing endpoint should be restricted
  • Se debe restringir el acceso de red a las cuentas de almacenamiento.Storage accounts should restrict network access

A.13.2.1 Directivas y procedimientos de transferencia de informaciónA.13.2.1 Information transfer policies and procedures

El plano técnico ayuda a garantizar que la transferencia de información con los servicios de Azure es segura; para ello, asigna dos definiciones de Azure Policy para auditar las conexiones no seguras a las cuentas de almacenamiento y a Redis Cache.The blueprint helps you ensure information transfer with Azure services is secure by assigning two Azure Policy definitions to audit insecure connections to storage accounts and Redis Cache.

  • Solo se deben habilitar las conexiones seguras a su instancia de Azure Cache for Redis.Only secure connections to your Azure Cache for Redis should be enabled
  • Se debe habilitar la transferencia segura a las cuentas de almacenamientoSecure transfer to storage accounts should be enabled

Pasos siguientesNext steps

Ahora que ha revisado la asignación de control del plano técnico de los servicios compartidos según la norma ISO 27001, visite los siguientes artículos para obtener información sobre la arquitectura y cómo implementar este ejemplo:Now that you've reviewed the control mapping of the ISO 27001 Shared Services blueprint, visit the following articles to learn about the architecture and how to deploy this sample:

Artículos adicionales sobre planos técnicos y cómo utilizarlos:Additional articles about blueprints and how to use them: