Definiciones de iniciativa integradas de Azure Policy
Esta página es un índice de las definiciones de iniciativa integradas de Azure Policy.
El nombre de cada iniciativa integrada contiene un vínculo al origen de la definición de iniciativa en el Repositorio de GitHub de Azure Policy. Los directivas integradas se agrupan por la propiedad category (categoría) de los metadatos. Para ir a una categoría específica, use Ctrl-F para la característica de búsqueda del explorador.
Automanage
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: auditar la configuración con los procedimientos recomendados de Automanage | Los procedimiento recomendado para la máquina de Automanage garantizan que los recursos administrados se configuren de acuerdo con el estado deseado tal y como se define en el perfil de configuración asignado. | 6 | 1.0.1-preview |
ChangeTrackingAndInventory
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: Habilitar ChangeTracking e inventario para las máquinas virtuales habilitadas para Arc | Habilitar ChangeTracking e inventario para las máquinas virtuales habilitadas para Arc. Toma el identificador de regla de recopilación de datos como parámetro y solicita una opción para introducir las ubicaciones aplicables. | 6 | 1.0.0-preview |
| Habilitar ChangeTracking e inventario para los conjuntos de escalado de máquinas virtuales | Habilitar ChangeTracking e inventario para los conjuntos de escalado de máquinas virtuales. Toma el identificador de regla de recopilación de datos como parámetro y solicita una opción para especificar las ubicaciones aplicables y la identidad asignada por el usuario para el agente de Azure Monitor. | 7 | 1.0.0-preview |
| Habilitar ChangeTracking e inventario para las máquinas virtuales | Habilitar ChangeTracking e inventario para las máquinas virtuales. Toma el identificador de regla de recopilación de datos como parámetro y solicita una opción para especificar las ubicaciones aplicables y la identidad asignada por el usuario para el agente de Azure Monitor. | 7 | 1.0.0-preview |
Cosmos DB
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| Habilitación de la directiva de rendimiento de Azure Cosmos DB | Habilite el control de rendimiento para los recursos de Azure Cosmos DB en el ámbito especificado (grupo de administración, suscripción o grupo de recursos). Se toma el rendimiento máximo como parámetro. Use esta directiva para ayudar a aplicar el control de rendimiento a través del proveedor de recursos. | 2 | 1.0.0 |
General
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| Permitir recursos de costo de uso | Permitir la implementación de recursos excepto MCPP, M365. | 2 | 1.0.0 |
Configuración de invitado
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Vista preliminar]: Implementación de los requisitos previos para habilitar directivas de configuración de invitado en máquinas virtuales con la identidad administrada asignada por el usuario | Esta iniciativa agrega una identidad administrada asignada por el usuario e implementa la extensión de configuración de invitado adecuada para la plataforma en las máquinas virtuales que se puedan supervisar mediante directivas de configuración de invitado. Este es un requisito previo para todas las directivas de configuración de invitado y se debe agregar al ámbito de asignación de directivas antes de usar cualquier directiva de configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | 3 | 1.0.0-preview |
| [Versión preliminar]: las máquinas Windows deben cumplir los requisitos de línea base de seguridad de Azure Compute | Esta iniciativa audita las máquinas Windows con una configuración que no cumple la línea base de seguridad de Azure. Para obtener detalles, consulte: https://aka.ms/gcpol | 29 | 2.0.1-preview |
| Auditar las máquinas que tengan una configuración de seguridad de contraseña no segura | Esta iniciativa implementa los requisitos de la directiva y audita las máquinas que cuenten con una configuración de seguridad de contraseña no segura. Para más información sobre las directivas de configuración de invitado, visite https://aka.ms/gcpol | 9 | 1.1.0 |
| Configurar protocolos de comunicación segura (TLS 1.1 o TLS 1.2) en máquinas de Windows (incluidos los requisitos previos) | Crea una asignación de configuración de invitado (incluidos los requisitos previos) para configurar la versión de protocolo seguro especificada (TLS 1.1 o TLS 1.2) en una máquina de Windows. Para más información, visite https://aka.ms/SetSecureProtocol. | 3 | 1.0.0 |
| Implementar los requisitos previos para habilitar directivas de configuración de invitado en máquinas virtuales | Esta iniciativa agrega una identidad administrada asignada por el sistema e implementa la extensión de configuración de invitado adecuada para la plataforma en las máquinas virtuales que se puedan supervisar mediante directivas de configuración de invitado. Este es un requisito previo para todas las directivas de configuración de invitado y se debe agregar al ámbito de asignación de directivas antes de usar cualquier directiva de configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | 4 | 1.0.0 |
Kubernetes
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: Uso de la directiva de integridad de imagen para garantizar que solo se implementen imágenes de confianza | Use la integridad de la imagen para garantizar que los clústeres de AKS implementen solo imágenes de confianza habilitando la integridad de la imagen y los complementos de Azure Policy en clústeres de AKS. El complemento de integridad de la imagen y el complemento de Azure Policy son requisitos previos para usar la integridad de la imagen para comprobar si la imagen está firmada tras la implementación. Para más información, visite https://aka.ms/aks/image-integrity. | 3 | 1.1.0-preview |
| [Versión preliminar]: las medidas de seguridad para implementación deben guiar a los desarrolladores para que sigan los procedimientos recomendados de AKS | Colección de procedimientos recomendados de Kubernetes recomendados por Azure Kubernetes Service (AKS). Para obtener la mejor experiencia, use las medidas de seguridad de implementación para asignar esta iniciativa de directiva: https://aka.ms/aks/deployment-safeguards. El complemento de Azure Policy para AKS es un requisito previo para aplicar estos procedimientos recomendados a los clústeres. Para obtener instrucciones sobre cómo habilitar el complemento de Azure Policy, vaya a aka.ms/akspolicydoc | 19 | 1.7.0-preview |
| Estándares de referencia de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux | Esta iniciativa incluye las directivas para los estándares de referencia de seguridad de pods de clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. | 5 | 1.4.0 |
| Estándares restringidos de seguridad de pods de clúster de Kubernetes para cargas de trabajo basadas en Linux | Esta iniciativa incluye las directivas para los estándares restringidos de seguridad de pods de clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. | 8 | 2.5.0 |
Identidad administrada
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: las credenciales federadas de identidad administrada deben ser de tipos aprobados de orígenes de federación aprobados | Controle el uso de las credenciales federadas para identidades administradas. Esta iniciativa incluye directivas para bloquear por completo las credenciales de identidad federada, limitar el uso a tipos de proveedor de federación específicos y limitar las relaciones de federación a orígenes aprobados. | 3 | 1.0.0-preview |
Supervisión
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: configurar los agentes de Azure Defender para SQL en máquinas virtuales | Configure las máquinas virtuales para que instalen automáticamente los agentes de Azure Defender para SQL donde está instalado el agente de Azure Monitor. Security Center recopila eventos de los agentes y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina. Esta directiva solo se aplica a las máquinas virtuales en algunas regiones. | 2 | 1.0.0-preview |
| Configurar máquinas Linux para ejecutar el agente de Azure Monitor y asociarlas a una regla de recopilación de datos | Supervise y proteja las máquinas virtuales Linux, los conjuntos de escalado de máquinas virtuales y las máquinas Arc mediante la implementación de la extensión del agente de Azure Monitor y la asociación de las máquinas a una regla de recopilación de datos especificada. La implementación se realizará en máquinas con imágenes de sistema operativo compatibles (o máquinas que coincidan con la lista de imágenes proporcionada) en las regiones admitidas. | 4 | 3.2.0 |
| Configurar máquinas Windows para ejecutar el agente de Azure Monitor y asociarlas a una regla de recopilación de datos | Supervise y proteja las máquinas virtuales de Windows, los conjuntos de escalado de máquinas virtuales y las máquinas de Arc mediante la implementación de la extensión del agente de Azure Monitor y la asociación de las máquinas a una regla de recopilación de datos especificada. La implementación se realizará en máquinas con imágenes de sistema operativo compatibles (o máquinas que coincidan con la lista de imágenes proporcionada) en las regiones admitidas. | 4 | 3.2.0 |
| Implementación del agente de Azure Monitor de Linux con la autenticación basada en identidades administradas asignada por el usuario y asociarla a la regla de recopilación de datos | Supervise las máquinas virtuales Linux y los conjuntos de escalado de máquinas virtuales mediante la implementación de la extensión del agente de Azure Monitor con la autenticación de identidad administrada asignada por el usuario y la asociación a una regla de recopilación de datos especificada. La implementación del agente de Azure Monitor se realizará en máquinas con imágenes de sistema operativo compatibles (o máquinas que coincidan con la lista de imágenes proporcionada) en las regiones admitidas. | 5 | 2.3.0 |
| Implementación del agente de Azure Monitor de Windows con la autenticación basada en identidades administradas asignada por el usuario y asociarla a la regla de recopilación de datos | Supervise las máquinas virtuales Windows y los conjuntos de escalado de máquinas virtuales mediante la implementación de la extensión del agente de Azure Monitor con la autenticación de identidad administrada asignada por el usuario y la asociación a una regla de recopilación de datos especificada. La implementación del agente de Azure Monitor se realizará en máquinas con imágenes de sistema operativo compatibles (o máquinas que coincidan con la lista de imágenes proporcionada) en las regiones admitidas. | 5 | 2.3.0 |
| Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta iniciativa implementa la configuración de diagnóstico mediante el grupo de categorías de auditoría para enrutar los registros a un centro de eventos para todos los recursos admitidos | 33 | 1.0.0 |
| Habilitación del registro de recursos del grupo de categorías de auditoría para los recursos admitidos en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta iniciativa implementa la configuración de diagnóstico mediante el grupo de categorías de auditoría para enrutar los registros a Log Analytics para todos los recursos admitidos. | 33 | 1.0.0 |
| Habilitación del registro de recursos del grupo de categorías de auditoría para almacenar los recursos admitidos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta iniciativa implementa la configuración de diagnóstico mediante el grupo de categorías de auditoría para enrutar los registros al almacenamiento para todos los recursos admitidos. | 33 | 1.0.0 |
| Habilitar Azure Monitor para VM híbridas con AMA | Habilite Azure Monitor para las máquinas virtuales híbridas con AMA. | 6 | 1.0.0 |
| Habilitar Azure Monitor para VM con Azure Monitoring Agent (AMA) | Habilite Azure Monitor para las máquinas virtuales (VM) con AMA. | 7 | 1.0.0 |
| Habilitar Azure Monitor para VMSS con Azure Monitoring Agent (AMA) | Habilite Azure Monitor para el conjunto de escalado de máquinas virtuales (VMSS) con AMA. | 7 | 1.0.0 |
| Heredado: Habilitar Azure Monitor para Virtual Machine Scale Sets | Heredado: se habilita Azure Monitor para los conjuntos de escalado de máquinas virtuales en el ámbito especificado (grupo de administración, suscripción o grupo de recursos). Usa el área de trabajo de Log Analytics como parámetro. Use la nueva iniciativa denominada: Habilitación de Azure Monitor para VMSS con Azure Monitoring Agent(AMA). Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. | 6 | 1.0.2 |
| Heredado: Habilitar Azure Monitor para VM | Heredado: se habilita Azure Monitor para las máquinas virtuales en el ámbito especificado (grupo de administración, suscripción o grupo de recursos). Usa el área de trabajo de Log Analytics como parámetro. Use la nueva iniciativa denominada: Habilitación de Azure Monitor para VM con Azure Monitoring Agent(AMA) | 10 | 2.0.1 |
Red
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| Los registros de flujo se deben configurar y habilitar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se configuran los registros de flujo y si está habilitado el estado de registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | 2 | 1.0.0 |
Cumplimiento normativo
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: PROTECCIÓN de ISM del gobierno de Australia | Esta iniciativa incluye las directivas que abordan un subconjunto de controles del manual de seguridad de la información (ISM) del gobierno australiano. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/auism-initiative. | 54 | 8.2.2-preview |
| [Versión preliminar]: CMMC 2.0 nivel 2 | Esta iniciativa incluye directivas que abarcan un subconjunto de prácticas de CMMC 2.0 de nivel 2. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/cmmc2l2-initiative. | 247 | 2.10.0-versión preliminar |
| [Versión preliminar]: Motion Picture Association of America (MPAA) | Esta iniciativa incluye directivas de extensiones de máquina virtual y auditoría que abordan un subconjunto de controles de seguridad y directrices de Motion Picture Association of America (MPAA). Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/mpaa-init. | 36 | 4.1.0-preview |
| [Versión preliminar]: Banco de la Reserva de la India: marco informático para bancos | Esta iniciativa incluye directivas que abordan un subconjunto del marco informático del Banco de la Reserva de la India para los controles de bancos. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/rbiitfbanks-initiative. | 171 | 1.10.0-preview |
| [Versión preliminar]: Banco de la Reserva de la India: marco informático para NBFC | Esta iniciativa incluye directivas que abordan un subconjunto del marco informático del Banco de la Reserva de la India para los controles de empresas financieras no bancarias (NBFC). Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/rbiitfnbfc-initiative. | 134 | 2.8.0-preview |
| [Versión preliminar]: Línea base de soberanía: directivas confidenciales | Microsoft Cloud for Sovereignty recomienda directivas confidenciales para ayudar a las organizaciones a lograr sus objetivos de soberanía de forma predeterminada al denegar la creación de recursos fuera de las regiones aprobadas, denegar los recursos que no están respaldados por Azure Confidential Computing y denegar los recursos de almacenamiento de datos que no usan claves administradas por el cliente. Puede encontrar más detalles aquí: https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.0-preview |
| [Versión preliminar]: Línea base de soberanía: directivas globales | Microsoft Cloud for Sovereignty recomienda directivas globales para ayudar a las organizaciones a lograr sus objetivos de soberanía de forma predeterminada al denegar la creación de recursos fuera de las regiones aprobadas. Puede encontrar más detalles aquí: https://aka.ms/SovereigntyBaselinePolicies | 3 | 1.0.0-preview |
| [Versión preliminar]: SWIFT CSP CSCF v2020 | Esta iniciativa incluye directivas de implementación de extensiones de máquina virtual y auditoría que abordan un subconjunto de controles SWIFT CSP-CSCF v2020. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/swift2020-init. | 59 | 6.1.0-preview |
| [Versión preliminar]: SWIFT CSP-CSCF v2021 | Esta iniciativa incluye directivas que abordan un subconjunto de controles de SWIFT Customer Security Program's Customer Security Controls Framework v2021. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/swift2021-init. | 138 | 4.6.0-preview |
| ACAT para la certificación de Microsoft 365 | La herramienta de automatización de cumplimiento de aplicaciones para Microsoft 365 (ACAT) simplifica el proceso para lograr la certificación de Microsoft 365, consulte https://aka.ms/acat. Esta certificación garantiza que las aplicaciones tengan prácticas sólidas de seguridad y cumplimiento para proteger los datos, la seguridad y la privacidad de los clientes. Esta iniciativa incluye directivas que abarcan un subconjunto de controles de la certificación de Microsoft 365. Se agregarán directivas adicionales en futuras versiones. | 24 | 1.0.0 |
| Canada Federal PBMM | Esta iniciativa incluye directivas que abarcan un subconjunto de controles PBMM de Canada Federal. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/canadafederalpbmm-init. | 57 | 8.1.0 |
| CIS Microsoft Azure Foundations Benchmark v1.1.0 | Center for Internet Security (CIS) es una entidad sin ánimo de lucro cuya misión es "identificar, desarrollar, validar, promover y mantener soluciones de procedimientos recomendados para la ciberdefensa". Los puntos de referencia de CIS son líneas base de configuración y procedimientos recomendados para configurar de forma segura un sistema. Estas directivas abordan un subconjunto de controles de CIS Microsoft Azure Foundations Benchmark v1.1.0. Para más información, visita https://aka.ms/cisazure110-initiative. | 163 | 16.4.0 |
| CIS Microsoft Azure Foundations Benchmark v1.3.0 | Center for Internet Security (CIS) es una entidad sin ánimo de lucro cuya misión es "identificar, desarrollar, validar, promover y mantener soluciones de procedimientos recomendados para la ciberdefensa". Los puntos de referencia de CIS son líneas base de configuración y procedimientos recomendados para configurar de forma segura un sistema. Estas directivas abordan un subconjunto de controles de CIS Microsoft Azure Foundations Benchmark v1.3.0. Para más información, visita https://aka.ms/cisazure130-initiative. | 176 | 8.6.0 |
| CIS Microsoft Azure Foundations Benchmark v1.4.0 | Center for Internet Security (CIS) es una entidad sin ánimo de lucro cuya misión es "identificar, desarrollar, validar, promover y mantener soluciones de procedimientos recomendados para la ciberdefensa". Los puntos de referencia de CIS son líneas base de configuración y procedimientos recomendados para configurar de forma segura un sistema. Estas directivas abordan un subconjunto de controles de CIS Microsoft Azure Foundations Benchmark v1.4.0. Para más información, visita https://aka.ms/cisazure140-initiative. | 175 | 1.7.0 |
| CIS Microsoft Azure Foundations Benchmark v2.0.0 | Center for Internet Security (CIS) es una entidad sin ánimo de lucro cuya misión es "identificar, desarrollar, validar, promover y mantener soluciones de procedimientos recomendados para la ciberdefensa". Los puntos de referencia de CIS son líneas base de configuración y procedimientos recomendados para configurar de forma segura un sistema. Estas directivas abordan un subconjunto de controles de CIS Microsoft Azure Foundations Benchmark v2.0.0. Para más información, visita https://aka.ms/cisazure200-initiative. | 211 | 1.1.0 |
| CMMC nivel 3 | Esta iniciativa incluye directivas que abordan un subconjunto de requisitos de certificación del modelo de madurez de ciberseguridad (CMMC) de nivel 3. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/cmmc-initiative. | 162 | 11.6.0 |
| Nivel de impacto alto de FedRAMP | FedRAMP es un programa a nivel del gobierno de los Estados Unidos que proporciona un enfoque estandarizado para la evaluación de la seguridad, la concesión de autorizaciones y la supervisión continua de servicios y productos basados en la nube. FedRAMP define un conjunto de controles para sistemas de nivel de impacto de seguridad bajo, moderado o alto en función de los controles de línea base de NIST. Estas directivas abordan un subconjunto de controles FedRAMP (Alto). Para más información, visita https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp. | 732 | 17.11.0 |
| FedRAMP Moderate | FedRAMP es un programa a nivel del gobierno de los Estados Unidos que proporciona un enfoque estandarizado para la evaluación de la seguridad, la concesión de autorizaciones y la supervisión continua de servicios y productos basados en la nube. FedRAMP define un conjunto de controles para sistemas de nivel de impacto de seguridad bajo, moderado o alto en función de los controles de línea base de NIST. Estas directivas abordan un subconjunto de controles FedRAMP (Moderado). Se agregarán directivas adicionales en futuras versiones. Para más información, visita https://www.fedramp.gov/documents-templates/. | 663 | 17.10.0 |
| HITRUST/HIPAA | Health Information Trust Alliance (HITRUST) ayuda a las organizaciones de todos los sectores, pero se centra especialmente en administrar de forma eficaz los datos, el riesgo de la información y el cumplimiento. La certificación HITRUST significa que la organización ha sometido a una evaluación exhaustiva del programa de seguridad de la información. Estas directivas abordan un subconjunto de controles HITRUST. Para más información, visita https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2. | 610 | 14.3.0 |
| IRS1075 September 2016 | Esta iniciativa incluye directivas que abarcan un subconjunto de controles IRS1075 de septiembre de 2016. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/irs1075-init. | 60 | 8.1.0 |
| ISO 27001:2013 | La norma de Organización internacional de normalización (ISO) 27001 proporciona requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de administración de seguridad de la información (ISMS). Estas directivas abordan un subconjunto de controles ISO 27001:2013. Se agregarán directivas adicionales en futuras versiones. Para más información, visita https://aka.ms/iso27001-init. | 460 | 8.1.0 |
| NIST SP 800-171 Rev. 2 | El Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos promueve y mantiene normas y directrices de medición para ayudar a proteger los sistemas de información e información de las agencias federales. En respuesta a la Orden Ejecutiva 13556 sobre la administración de información no clasificada controlada (CUI), publicó NIST SP 800-171. Estas directivas abordan un subconjunto de controles NIST SP 800-171. Para más información, visita https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171. | 462 | 15.10.0 |
| NIST SP 800-53 Rev. 4 | El Instituto Nacional de Estándares y Tecnología (NIST) SP 800-53 R4 proporciona un enfoque estandarizado para evaluar, supervisar y autorizar productos y servicios informáticos en la nube para administrar el riesgo de seguridad de la información. Estas directivas abordan un subconjunto de controles NIST SP 800-53 R4. Se agregarán directivas adicionales en futuras versiones. Para más información, visita https://aka.ms/nist800-53r4-initiative. | 733 | 17.10.0 |
| NIST SP 800-53 Rev. 5 | El Instituto Nacional de Estándares y Tecnología (NIST) SP 800-53 Rev. 5 proporciona un enfoque estandarizado para evaluar, supervisar y autorizar productos y servicios informáticos en la nube para administrar el riesgo de seguridad de la información. Estas directivas abordan un subconjunto de controles NIST SP 800-53 R5. Se agregarán directivas adicionales en futuras versiones. Para más información, visita https://aka.ms/nist800-53r5-initiative. | 718 | 14.10.0 |
| Tema de la nube de NL BIO | Esta iniciativa incluye directivas que abordan los controles de informatiebeveiliging (BIO) de línea base holandesa específicamente para los controles "thema-uitwerking Clouddiensten" e incluyen directivas cubiertas en los controles SOC2 e ISO 27001:2013. | 251 | 1.4.0 |
| PCI DSS v4 | Los Estándares de seguridad de datos (DSS) del Sector de las tarjetas de pago (PCI) son un estándar de seguridad de la información global diseñado para evitar fraudes mediante un mayor control de los datos de las tarjetas de crédito. El cumplimiento de PCI DSS es necesario para cualquier organización que almacene, procese o transmita datos de pago y titulares de tarjetas. Estas directivas abordan un subconjunto de controles PCI-DSS v4. Para más información, visita https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1. | 277 | 1.1.0 |
| PCI v3.2.1:2018 | Esta iniciativa incluye directivas que abarcan un subconjunto de controles PCI v3.2.1:2018. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/pciv321-init. | 36 | 6.1.0 |
| RMIT Malasia | Esta iniciativa incluye directivas que abarcan un subconjunto de requisitos de RMIT. Se agregarán directivas adicionales en futuras versiones. Para obtener más información, visite aka.ms/rmit-initiative. | 208 | 9.7.0 |
| SOC 2 tipo 2 | Un sistema y controles de la organización (SOC) 2 es un informe basado en los criterios y principios de servicio de confianza establecidos por el American Institute of Certified Public Accountants (AICPA). El informe evalúa el sistema de información de una organización relevante para los siguientes principios: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad. Estas directivas abordan un subconjunto de controles SOC 2 de tipo 2. Para más información, visita https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2. | 319 | 1.6.0 |
| SWIFT CSP CSCF v2022 | El Programa de Seguridad del Cliente (CSP) de SWIFT ayuda a las instituciones financieras a garantizar que sus defensas contra los ciberataques estén actualizados y sean eficaces, para proteger la integridad de la red financiera más amplia. Los usuarios comparan las medidas de seguridad que han implementado con las que se detallan en el marco de controles de seguridad del cliente (CSCF). Estas directivas abordan un subconjunto de controles SWIFT. Para más información, visita https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021. | 343 | 2.3.0 |
| UK OFFICIAL y UK NHS | Esta iniciativa incluye directivas de implementación de extensiones de máquina virtual y auditoría que abordan un subconjunto de controles UK OFFICIAL y UK NHS. Se agregarán directivas adicionales en futuras versiones. Para más información, visite https://aka.ms/ukofficial-init y https://aka.ms/uknhs-init. | 57 | 9.1.0 |
Resistencia
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: Los recursos deben ser resistentes a zonas | Algunos tipos de recursos se pueden implementar con redundancia de zona (por ejemplo, bases de datos SQL); algunos pueden implementarse alineados con zona (por ejemplo, máquinas virtuales); y algunos se pueden implementar con alineación de zona o con redundancia de zona (por ejemplo, conjuntos de escalado de máquinas virtuales). La alineación de zona no garantiza resistencia, pero es la base en la que se puede crear una solución resistente (por ejemplo, tres zonas de conjuntos de escalado de máquinas virtuales alineadas con tres zonas diferentes en la misma región con un equilibrador de carga). Consulte https://aka.ms/AZResilience para obtener más información. | 34 | 1.10.0-preview |
SDN
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| Auditoría del acceso a la red pública | Auditar los recursos de Azure que permiten el acceso desde la red pública de Internet | 35 | 4.2.0 |
| Evaluación del uso de Private Link en todos los recursos de Azure admitidos | Los recursos compatibles tienen al menos una conexión de punto de conexión privado aprobada | 30 | 1.1.0 |
Security Center
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión | Implemente el agente de Microsoft Defender para punto de conexión en las imágenes aplicables. | 4 | 1.0.0-preview |
| Configuración de la Protección contra amenazas avanzada para habilitarla en bases de datos relacionales de código abierto | Habilite la Protección contra amenazas avanzada en las bases de datos relacionales de código abierto y de nivel no básico para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos para acceder a bases de datos o aprovechar sus vulnerabilidades. Vea https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configuración de Azure Defender para que esté habilitado en servidores de SQL Server y SQL Managed Instance | Habilite Azure Defender en los servidores de SQL Server y SQL Managed Instance para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. | 3 | 3.0.0 |
| Configurar planes de Microsoft Defender for Cloud | Microsoft Defender for Cloud proporciona protecciones completas nativas de la nube, desde el desarrollo hasta el entorno de ejecución en entornos de varias nubes. Use la iniciativa de directiva para configurar los planes y extensiones de Defender for Cloud que se habilitarán en los ámbitos seleccionados. | 11 | 1.0.0 |
| Configurar Microsoft Defender para bases de datos para habilitarlo | Configure Microsoft Defender para bases de datos para proteger Azure SQL Database, instancias administradas, bases de datos relacionales de código abierto y Cosmos DB. | 4 | 1.0.0 |
| Configurar varias opciones de integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud | Configure las distintas opciones de integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION, etc.). Consulte https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para obtener más información. | 3 | 1.0.0 |
| Configuración de máquinas virtuales de SQL y servidores SQL Server habilitados para Arc a fin de instalar Microsoft Defender para SQL y AMA con un área de trabajo de LA | Microsoft Defender para SQL recopila eventos de agentes y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Crea un grupo de recursos y una regla de recopilación de datos y un área de trabajo de Log Analytics en la misma región que la máquina. | 9 | 1.2.1 |
| Configuración de máquinas virtuales de SQL y servidores SQL Server habilitados para Arc a fin de instalar Microsoft Defender para SQL y AMA con un área de trabajo de LA definida por el usuario | Microsoft Defender para SQL recopila eventos de agentes y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Crea un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. | 8 | 1.1.1 |
| Microsoft Cloud Security Benchmark | La iniciativa de punto de referencia de seguridad en la nube de Microsoft representa las directivas y los controles que implementan las recomendaciones de seguridad definidas en el punto de referencia de seguridad en la nube de Microsoft, consulte https://aka.ms/azsecbm. También sirve como iniciativa de directiva predeterminada de Microsoft Defender for Cloud. Se puede asignar directamente esta iniciativa o administrar sus directivas y resultados de cumplimiento en Microsoft Defender for Cloud. | 241 | 57.37.0 |
SQL
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| Azure SQL Database debe tener autenticación solo de Microsoft Entra | Requerir autenticación solo de Microsoft Entra para Azure SQL Database, deshabilitando los métodos de autenticación locales. Esto permite el acceso exclusivamente a través de identidades de Microsoft Entra, lo que mejora la seguridad con mejoras de autenticación modernas, como MFA, SSO y acceso mediante programación sin secretos con identidades administradas. | 2 | 1.0.0 |
| Instancia administrada de Azure SQL debe tener autenticación solo de Microsoft Entra | Requerir autenticación solo de Microsoft Entra para la Instancia administrada de Azure SQL, deshabilitando los métodos de autenticación local. Esto permite el acceso exclusivamente a través de identidades de Microsoft Entra, lo que mejora la seguridad con mejoras de autenticación modernas, como MFA, SSO y acceso mediante programación sin secretos con identidades administradas. | 2 | 1.0.0 |
Synapse
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| Configurar áreas de trabajo de Synapse para exigir identidades solo de Microsoft Entra para la autenticación | Requerir y configurar la autenticación solo de Microsoft Entra para áreas de trabajo de Synapse, deshabilitando los métodos de autenticación local. Esto permite el acceso exclusivamente a través de identidades de Microsoft Entra, lo que mejora la seguridad con mejoras de autenticación modernas, como MFA, SSO y acceso mediante programación sin secretos con identidades administradas. | 2 | 1.0.0 |
| Las áreas de trabajo de Synapse deben tener autenticación solo de Microsoft Entra | Requerir autenticación solo de Microsoft Entra para las áreas de trabajo de Synapse, deshabilitando los métodos de autenticación local. Esto permite el acceso exclusivamente a través de identidades de Microsoft Entra, lo que mejora la seguridad con mejoras de autenticación modernas, como MFA, SSO y acceso mediante programación sin secretos con identidades administradas. | 2 | 1.0.0 |
Inicio seguro
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: configure los requisitos previos para habilitar la atestación de invitado en máquinas virtuales habilitadas para el inicio seguro | Configure las máquinas virtuales habilitadas para el inicio seguro para instalar automáticamente la extensión de atestación de invitado y la identidad administrada asignada por el sistema a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. Para más información, consulte el siguiente vínculo: https://aka.ms/trustedlaunch. | 7 | 3.0.0-preview |
VirtualEnclaves
| Nombre | Descripción | Directivas | Versión |
|---|---|---|---|
| [Versión preliminar]: Controlar el uso de AKS en un enclave virtual | Esta iniciativa implementa directivas de Azure para AKS, lo que garantiza la protección de límites de este recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 9 | 1.0.0-preview |
| [Versión preliminar]: Controlar el uso de App Service en un enclave virtual | Esta iniciativa implementa directivas de Azure para App Service, lo que garantiza la protección de límites de este recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 44 | 1.0.0-preview |
| [Versión preliminar]: Controlar el uso de Container Registry en un Enclave virtual | Esta iniciativa implementa directivas de Azure para Azure Container Registry, lo que garantiza la protección de límites de este recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Versión preliminar]: Controlar el uso de Cosmos DB en un Enclave virtual | Esta iniciativa implementa directivas de Azure para Cosmos DB, lo que garantiza la protección de límites de este recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 8 | 1.0.0-preview |
| [Versión preliminar]: Control del uso de la configuración de diagnóstico para recursos específicos en un enclave virtual | Esta iniciativa implementa directivas de Azure para garantizar la configuración de tipos de recursos específicos en Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 25 | 1.0.0-preview |
| [Versión preliminar]: Controlar el uso de Key Vault en un Enclave virtual | Esta iniciativa implementa directivas de Azure para instancias de Key Vault, lo que garantiza la protección de límites del recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 2 | 1.0.0-preview |
| [Versión preliminar]: Controlar el uso de Microsoft SQL en un Enclave virtual | Esta iniciativa implementa directivas de Azure para instancias de Microsoft SQL, lo que garantiza la protección de límites del recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 24 | 1.0.0-preview |
| [Versión preliminar]: Controlar el uso de PostgreSql en un Enclave virtual | Esta iniciativa implementa directivas de Azure para instancias de PostgreSql, lo que garantiza la protección de límites del recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 10 | 1.0.0-preview |
| [Versión preliminar]: Controlar el uso de Service Bus en un enclave virtual | Esta iniciativa implementa directivas de Azure para Service Bus, lo que garantiza la protección de límites de este recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 7 | 1.0.0-preview |
| [Versión preliminar]: Controlar el uso de cuentas de almacenamiento en un Enclave virtual | Esta iniciativa implementa directivas de Azure para cuenta de almacenamiento, lo que garantiza la protección de límites de este recurso mientras funciona dentro de la estructura separada lógicamente de Azure Virtual Enclaves. https://aka.ms/VirtualEnclaves | 11 | 1.1.0-preview |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.