Definiciones de directiva integradas de Azure Policy
Esta página es un índice de las definiciones de directiva integradas de Azure Policy.
El nombre de cada uno de los vínculos integrados a la definición de directiva en Azure Portal. Use el vínculo de la columna Origen para ver el origen en el repositorio de GitHub de Azure Policy. Los directivas integradas se agrupan por la propiedad category (categoría) de los metadatos. Para ir a una categoría específica, use Ctrl-F para la característica de búsqueda del explorador.
Azure API for FHIR
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure API for FHIR debe usar una clave administrada por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en Azure API for FHIR cuando exista un requisito normativo o de cumplimiento. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado además de la capa predeterminada que se creó mediante las claves administradas por el servicio. | auditoría, Auditoría, deshabilitado, Deshabilitado | 1.1.0 |
| Azure API for FHIR debe usar un vínculo privado. | Azure API for FHIR debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| CORS no debe permitir que todos los dominios accedan a la API para FHIR. | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a API for FHIR. Para proteger la instancia de API for FHIR, elimine el acceso de todos los dominios y defina explícitamente los dominios que tienen permiso para conectarse. | auditoría, Auditoría, deshabilitado, Deshabilitado | 1.1.0 |
API Management
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las API de API Management solo deben usar protocolos cifrados | Para garantizar la seguridad de los datos en tránsito, las API solo deben estar disponibles a través de protocolos cifrados, como HTTPS o WSS. Evite utilizar protocolos no seguros, como HTTP o WS. | Audit, Disabled, Deny | 2.0.2 |
| Las llamadas de API Management a las back-end de API deberían autenticarse | Las llamadas de API Management a back-ends deberían usar algún tipo de autenticación, ya sea mediante certificados o credenciales. No se aplica a back-ends de Service Fabric. | Audit, Disabled, Deny | 1.0.1 |
| Las llamadas de API Management a las back-end de API no deberían omitir la huella digital del certificado ni la validación de nombres | Para mejorar la seguridad de la API, API Management debe validar el certificado de servidor back-end para todas las llamadas API. Habilite la huella digital del certificado SSL y la validación de nombres. | Audit, Disabled, Deny | 1.0.2 |
| El punto de conexión de administración directa de API Management no debe estar habilitado | La API de REST de administración directa en Azure API Management omite los mecanismos de control de acceso, autorización y limitación basados en rol de Azure Resource Manager, lo que aumenta la vulnerabilidad del servicio. | Audit, Disabled, Deny | 1.0.2 |
| La versión mínima de API Management debería establecerse en 01-12-2019 o superior | Para evitar que los secretos de servicio se compartan con usuarios de solo lectura, la versión mínima de la API debe establecerse en 01-12-2019 o superior. | Audit, Deny, Disabled | 1.0.1 |
| Los valores con nombre del secreto de API Management deben almacenarse en Azure Key Vault | Los valores con nombre son una colección de pares de nombre y valor en cada servicio de API Management. Los valores de los secretos se pueden almacenar como texto cifrado en API Management (secretos personalizados) o mediante referencia a secretos en Azure Key Vault. Para mejorar la seguridad de API Management y secretos, haga referencia a los valores con nombre del secreto de Azure Key Vault. Azure Key Vault admite directivas pormenorizadas de administración de acceso y rotación de secretos. | Audit, Disabled, Deny | 1.0.2 |
| El servicio API Management debe usar una SKU que admita redes virtuales | Con las SKU compatibles de API Management, el servicio de implementación en una red virtual desbloquea las características avanzadas de seguridad y redes de API Management, lo que proporciona un mayor control sobre la configuración de seguridad de red. Más información en: https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de API Management deben usar una red virtual | La implementación de Azure Virtual Network ofrece una seguridad y aislamiento mejorados, y permite colocar el servicio de API Management en una red enrutable sin conexión a Internet cuyo acceso puede controlar. Estas redes se pueden conectar a las redes locales mediante diversas tecnologías de VPN, lo que permite el acceso a los servicios de back-end dentro de la red o de forma local. El portal para desarrolladores y la puerta de enlace de API pueden configurarse para que sea accesible desde Internet o solo dentro de la red virtual. | Audit, Deny, Disabled | 1.0.2 |
| API Management debe deshabilitar el acceso de red pública a los puntos de conexión de configuración del servicio | Para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración directa de acceso, el punto de conexión de administración de configuración de Git o el punto de conexión de configuración de puertas de enlace autohospedadas. | AuditIfNotExists, Disabled | 1.0.1 |
| API Management debe tener deshabilitada la autenticación de nombre de usuario y contraseña | Para proteger mejor el portal para desarrolladores, debe deshabilitarse la autenticación de nombre de usuario y contraseña en API Management. Configure la autenticación de usuario mediante Azure AD o los proveedores de identidades de Azure AD B2C y deshabilite el nombre de usuario y la autenticación de contraseña predeterminados. | Audit, Disabled | 1.0.1 |
| Las suscripciones de API Management no deben tener como ámbito todas las API | Las suscripciones de API Management deben tener como ámbito un producto o una API individual en lugar de todas las API, lo que podría dar lugar a una exposición excesiva a los datos. | Audit, Disabled, Deny | 1.1.0 |
| La versión de la plataforma Azure API Management debe ser stv2 | La versión de la plataforma de proceso stv1 de Azure API Management se retirará a partir del 31 de agosto de 2024, y estas instancias deben migrarse a la plataforma de proceso de stv2 para mantener el soporte técnico. Más información en /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
| Configuración de servicios API Management para deshabilitar el acceso a API Management puntos de conexión de configuración de servicio público | Para mejorar la seguridad de los servicios de API Management, restrinja la conectividad a los puntos de conexión de configuración del servicio, como la API de administración directa de acceso, el punto de conexión de administración de configuración de Git o el punto de conexión de configuración de puertas de enlace autohospedadas. | DeployIfNotExists, Disabled | 1.1.0 |
| Modificar API Management para deshabilitar la autenticación de nombre de usuario y contraseña | Para proteger mejor las cuentas de usuario del portal para desarrolladores y sus credenciales, configure la autenticación de usuario a través de los proveedores de identidades de Azure AD o Azure AD B2C y deshabilite el nombre de usuario y la autenticación de contraseña predeterminados. | Modificar | 1.1.0 |
App Configuration
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| App Configuration debe deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| App Configuration debe usar una clave administrada por el cliente | El uso de claves administradas por el cliente proporciona una mejor protección de los datos al permitirle administrar sus claves de cifrado. Esto suele ser necesario para satisfacer los requisitos de cumplimiento. | Audit, Deny, Disabled | 1.1.0 |
| App Configuration debe usar una SKU que admita Private Link | Cuando se usa una SKU admitida, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| App Configuration debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las instancias de App Configuration en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Los almacenes de App Configuration deben tener deshabilitados los métodos de autenticación local | Deshabilitar los métodos de autenticación local mejora la seguridad, ya que garantiza que los almacenes de App Configuration requieran identidades de Microsoft Entra exclusivamente para la autenticación. Más información en: https://go.microsoft.com/fwlink/?linkid=2161954. | Audit, Deny, Disabled | 1.0.1 |
| Configurar los almacenes de App Configuration para deshabilitar los métodos de autenticación local | Deshabilite los métodos de autenticación local para que los almacenes de App Configuration requieran identidades de Microsoft Entra exclusivamente para la autenticación. Más información en: https://go.microsoft.com/fwlink/?linkid=2161954. | Modificar, Deshabilitado | 1.0.1 |
| Configurar App Configuration para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública en App Configuration de modo que no sea accesible a través de la red pública de Internet. Esta configuración le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/appconfig/private-endpoint. | Modificar, Deshabilitado | 1.0.0 |
| Configurar zonas DNS privadas para puntos de conexión privados conectados a App Configuration | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se puede vincular a la red virtual para resolver las instancias de configuración de aplicaciones. Más información en: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar puntos de conexión privados para App Configuration | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de App Configuration, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Plataforma de aplicaciones
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Auditoría de las instancias de Azure Spring Cloud en las que el seguimiento distribuido no está habilitado | Las herramientas de seguimiento distribuido de Azure Spring Cloud permiten depurar y supervisar las complejas interconexiones entre los microservicios de una aplicación. Las herramientas de seguimiento distribuido deben estar habilitadas y en un estado correcto. | Audit, Disabled | 1.0.0-preview |
| Azure Spring Cloud debe usar la inserción de red | Las instancias de Azure Spring Cloud deberían utilizar la inserción de red virtual con los fines siguientes: 1. Aislar Azure Spring Cloud de Internet. 2. Permitir que Azure Spring Cloud interactúe con sistemas en centros de datos locales o con el servicio de Azure en otras redes virtuales. 3. Permite a los clientes controlar las comunicaciones de red entrantes y salientes para Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
App Service
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las ranuras de la aplicación de App Service se deben insertar en una red virtual | Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como la extracción de imágenes del contenedor y el montaje de almacenamiento de contenido, no se enrutará a través de la integración de la red virtual regional. El uso de la API para establecer opciones de enrutamiento como verdaderas permite el tráfico de configuración a través de la red virtual de Azure. Esta configuración permite que se usen características, como grupos de seguridad de red y rutas definidas por el usuario, y que los puntos de conexión de servicio sean privados. Para más información, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Las ranuras de aplicaciones App Service deberían habilitar el tráfico saliente que no es RFC 1918 con Azure Virtual Network | De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. | Audit, Deny, Disabled | 1.0.0 |
| Las ranuras de aplicación de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicación de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Las ranuras de la aplicación App Service deben tener desactivados los métodos de autenticación local para las implementaciones del sitio SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Las ranuras de aplicaciones de App Service deberían tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.1 |
| Las ranuras de aplicaciones de App Service deberían tener habilitados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de la aplicación de App Service no deberían tener configuradas CORS para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 2.0.0 |
| Las ranuras de la aplicación de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la "versión HTTP" más reciente. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de App Service que usan Java deben usar una 'versión de Java' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de App Service que usan PHP deben usar una 'versión de PHP' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de App Service que usan Python deben usar una 'versión de Python' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service se deben insertar en una red virtual | Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
| Las aplicaciones de App Service deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
| Las aplicaciones de App Service deben habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como la extracción de imágenes del contenedor y el montaje de almacenamiento de contenido, no se enrutará a través de la integración de la red virtual regional. El uso de la API para establecer opciones de enrutamiento como verdaderas permite el tráfico de configuración a través de la red virtual de Azure. Esta configuración permite que se usen características, como grupos de seguridad de red y rutas definidas por el usuario, y que los puntos de conexión de servicio sean privados. Para más información, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben habilitar el tráfico saliente no definido en el RFC 1918 con Azure Virtual Network | De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. | Audit, Deny, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben tener activada la autenticación | La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación web o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación web. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para la implementación de sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben usar una SKU que admita vínculo privado | Con las SKU admitidas, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen ni el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las aplicaciones, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
| Las aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben utilizar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a App Service, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de App Service que usan Java deben usar una “versión de Java” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.1.0 |
| Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.2.0 |
| Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 4.1.0 |
| No se debe tener acceso a las aplicaciones de App Service Environment desde la red pública de Internet | Para asegurarse de que las aplicaciones implementadas en App Service Environment no son accesibles desde la red pública de Internet, se debe implementar App Service Environment con una dirección IP en la red virtual. Para establecer la dirección IP en una dirección IP de red virtual, es necesario implementar App Service Environment con un equilibrador de carga interno. | Audit, Deny, Disabled | 3.0.0 |
| App Service Environment se debe configurar con los conjuntos de cifrado TLS más seguros | Los dos conjuntos de cifrado más débiles y más fuertes necesarios para que App Service Environment funcione correctamente son: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
| App Service Environment se debe aprovisionar con las versiones más recientes | Solo se permite el aprovisionamiento de la versión 2 o 3 de App Service Environment. En las versiones anteriores de App Service Environment se necesita la administración manual de los recursos de Azure y tienen mayores limitaciones de escalado. | Audit, Deny, Disabled | 1.0.0 |
| App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| App Service Environment deben tener TLS 1.0 y 1.1 deshabilitados | TLS 1.0 y 1.1 son protocolos no actualizados que no admiten algoritmos criptográficos modernos. Deshabilitar el tráfico TLS 1.0 y 1.1 entrante ayuda a proteger las aplicaciones en una instancia de App Service Environment. | Audit, Deny, Disabled | 2.0.1 |
| Configurar las ranuras de la aplicación App Service para desactivar la autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configure las ranuras de la aplicación App Service para desactivar la autenticación local para los sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configuración de ranuras de aplicaciones de App Service para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las ranuras de aplicación de App Service para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
| Configuración de ranuras de aplicaciones de App Service para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de ranuras de aplicaciones de App Service para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.1.0 |
| Configure las aplicaciones de App Service para desactivar la autenticación local en las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configure las aplicaciones de App Service para desactivar la autenticación local de los sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configuración de aplicaciones de App Service para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las aplicaciones de App Service para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
| Configurar las aplicaciones de App Service para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de aplicaciones de App Service para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula una red virtual a una instancia de App Service. Más información en: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de aplicaciones de App Service para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de ranuras de aplicaciones de funciones para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
| Configuración de ranuras de aplicación de funciones para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
| Configuración de ranuras de aplicaciones de funciones para desactivar la depuración remota | La depuración remota requiere puertos de entrada que se abran en una aplicación de funciones. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de ranuras de aplicaciones de funciones para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de aplicaciones de funciones para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las aplicaciones de funciones para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
| Configuración de aplicaciones de funciones para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de aplicaciones de función para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.0.1 |
| Las ranuras de las aplicaciones de funciones deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Las ranuras de la aplicación de funciones deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de funciones deberían tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de la aplicación de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones. | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de la aplicación de funciones solo deben ser accesibles a través de HTTPS V2. | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 2.0.0 |
| Las ranuras de aplicación de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de la aplicación de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido. | El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de funciones deberían usar la "versión HTTP" más reciente | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de funciones deberían usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de funciones que usan Java deben usar una 'versión de Java' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de funciones que usan Python deben usar una 'versión de Python' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Las aplicaciones de funciones deben tener habilitada la autenticación | La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación de funciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.1.0 |
| Las aplicaciones de funciones que usan Python deben usar una “versión de Python” especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 4.1.0 |
Atestación
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los proveedores de Azure Attestation deben deshabilitar el acceso desde la red pública | Para reforzar la seguridad del servicio Azure Attestation, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso desde la red pública, tal y como se describe en aka.ms/azureattestation. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Audit, Deny, Disabled | 1.0.0 |
| Los proveedores de Azure Attestation deben usar puntos de conexión privados | Los puntos de conexión privados proporcionan una manera de conectar proveedores de Azure Attestation a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Al impedir el acceso público, los puntos de conexión privados ayudan a proteger contra el acceso anónimo no deseado. | AuditIfNotExists, Disabled | 1.0.0 |
Automanage
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: se debe habilitar una identidad administrada en las máquinas | Los recursos administrados por Automanage deben tener una identidad administrada. | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: la asignación del perfil de configuración de Automanage debe ser Conformant | Los recursos administrados por Automanage deben tener el estado Conforme o ConformantCorrected. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: el diagnóstico de arranque debe estar habilitado en las máquinas virtuales | Las máquinas virtuales de Azure deben tener habilitado el diagnóstico de arranque. | Audit, Disabled | 1.0.0-preview |
| Configurar las máquinas virtuales para incorporarlas a Azure Automanage | Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Administración automática al ámbito seleccionado. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Configuración de las máquinas virtuales que se incorporarán a Azure Automanage con el perfil de configuración personalizado | Azure Automanage inscribe, configura y supervisa las máquinas virtuales con los procedimientos recomendados, tal como se definen en Microsoft Cloud Adoption Framework para Azure. Use esta directiva para aplicar Automanage con su propio perfil de configuración personalizado al ámbito seleccionado. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| La revisión en caliente debe estar habilitada para las máquinas virtuales de Windows Server Azure Edition | Minimice los reinicios e instale las actualizaciones rápidamente con la ayuda de la revisión en caliente. Más información en https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | Audit, Deny, Disabled | 1.0.0 |
Automatización
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La cuenta de Automation debería tener una identidad administrada | Use identidades administradas como método recomendado para autenticarse con recursos de Azure desde los runbooks. La identidad administrada para la autenticación es más segura y elimina la sobrecarga de administración asociada al uso de la cuenta de ejecución en el código de runbook. | Audit, Disabled | 1.0.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de Automation deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos de la cuenta de Automation mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Deny, Disabled | 1.0.0 |
| La cuenta de Azure Automation debe tener el método de autenticación local deshabilitado | Deshabilitar los métodos de autenticación local mejora la seguridad al garantizar que las cuentas de Azure Automation requiera exclusivamente identidades de Azure Active Directory para la autenticación. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Azure Automation deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de sus cuentas de Azure Automation. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| Configurar la cuenta de Azure Automation para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que las cuentas de Azure Automation requieran exclusivamente identidades de Azure Active Directory para la autenticación. | Modificar, Deshabilitado | 1.0.0 |
| Configurar cuentas de Azure Automation para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la cuenta de Azure Automation de modo que no sea accesible a través de la red pública de Internet. Esta configuración le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos de la cuenta de Automation mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las cuentas de Azure Automation con zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Es necesario que la zona DNS privada esté configurada correctamente para conectarse a la cuenta de Azure Automation a través de la Azure Private Link. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar conexiones de punto de conexión privado en cuentas de Azure Automation | Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Azure Automation sin necesidad de direcciones IP públicas en el origen o el destino. Obtenga más información sobre los puntos de conexión privados en Azure Automation en https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Las conexiones de punto de conexión privado en cuentas de Automation deben estar habilitadas | Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Automation sin necesidad de direcciones IP públicas en el origen o el destino. Obtenga más información sobre los puntos de conexión privados en Azure Automation en https://docs.microsoft.com/azure/automation/how-to/private-link-security. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Active Directory
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los dominios administrados de Azure Active Directory Domain Services solo deben usar el modo TLS 1.2. | Use solo el modo TLS 1.2 para los dominios administrados. De manera predeterminada, Azure AD Domain Services permite el uso de cifrados tales como NTLM v1 y TLS v1. Aunque estos cifrados pueden ser necesarios para algunas aplicaciones heredadas, se consideran poco seguros y se pueden deshabilitar si no se necesitan. Cuando solo se habilita el modo TLS 1.2, cualquier cliente que realice una solicitud que no use TLS 1.2 producirá un error. Obtenga más información en https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Audit, Deny, Disabled | 1.1.0 |
Servicios de Azure AI
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los recursos del Servicios de Azure AI deben tener deshabilitado el acceso a claves (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Los recursos de Servicios de Azure AI deben restringir el acceso a la red | Al restringir el acceso a la red, puede asegurarse de que solo las redes permitidas puedan acceder al servicio. Para lograr esto, se pueden configurar reglas de red de modo que solo las aplicaciones de las redes permitidas puedan acceder al servicio Azure AI. | Audit, Deny, Disabled | 3.2.0 |
| Configuración de recursos de Servicios de Azure AI para deshabilitar el acceso a claves locales (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de recursos de Servicios de Azure AI para deshabilitar el acceso a claves locales (deshabilitar la autenticación local) | Se recomienda deshabilitar el acceso a las claves (autenticación local) por temas de seguridad. Azure OpenAI Studio, que normalmente se usa en los entornos de desarrollo y pruebas, requiere acceso a las claves y no funcionará si dicho acceso está deshabilitado. Después de deshabilitarlo, Microsoft Entra ID se convierte en el único método de acceso, lo que permite mantener el principio de privilegios mínimos y el control pormenorizado. Más información en: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Los registros de diagnóstico en los recursos de los servicios de Azure AI deben estar habilitados | Habilite los registros para los recursos de los servicios de Azure AI. Esto le permite volver a crear pistas de actividad con fines de investigación, cuando se produce un incidente de seguridad o la red está en peligro | AuditIfNotExists, Disabled | 1.0.0 |
Azure Arc
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: denegar la creación o modificación de licencias de actualizaciones de seguridad extendidas (ESU). | Esta directiva permite restringir la creación o modificación de licencias de ESU para máquinas Windows Server 2012 Arc. Para obtener más información sobre los precios, visite https://aka.ms/ArcWS2012ESUPricing | Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: habilite la licencia de actualizaciones de seguridad extendidas (ESUs) para mantener las máquinas Windows 2012 protegidas después de que finalice su ciclo de vida de soporte técnico (versión preliminar). | Habilite la licencia de actualizaciones de seguridad extendidas (ESU) para mantener protegidas las máquinas Windows 2012 incluso después de que haya finalizado su ciclo de vida de soporte técnico. Para obtener información sobre cómo preparar la entrega de actualizaciones de seguridad extendidas para Windows Server 2012 a través de AzureArc, visite https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Para obtener más información sobre los precios, visite https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
| Los ámbitos de Private Link para Azure Arc deben configurarse con un punto de conexión privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a ámbitos de Private Link para Azure Arc, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. | Audit, Disabled | 1.0.0 |
| Los ámbitos de Private Link para Azure Arc deben deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que los recursos de Azure Arc no se pueden conectar a través de la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos de Azure Arc. Más información en: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Los clústeres de Kubernetes habilitados para Azure Arc deben configurarse con un ámbito de Private Link de Azure Arc | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Los servidores habilitados para Azure Arc deben configurarse con un ámbito de Private Link para Azure Arc | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Configurar los ámbitos de Private Link de Azure Arc para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el ámbito de Private Link para Azure Arc a fin de que los recursos de Azure Arc asociados no se puedan conectar a servicios de Azure Arc a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/arc/privatelink. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de ámbitos de Private Link de Azure Arc para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en ámbitos de Private Link de Azure Arc. Más información en: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurar los ámbitos de Private Link de Azure Arc con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a ámbitos de Private Link para Azure Arc, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurar clústeres de Kubernetes habilitados para Azure Arc para usar un ámbito de Private Link de Azure Arc | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de servidores habilitados para Azure Arc para usar un ámbito de Private Link de Azure Arc | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar servidores habilitados para Azure Arc a un ámbito de Private Link para Azure Arc configurado con un punto de conexión privado, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/arc/privatelink. | Modificar, Deshabilitado | 1.0.0 |
Explorador de datos de Azure
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se deben deshabilitar todas las Administración de base de datos en Azure Data Explorer | Deshabilite todos los roles de administrador de base de datos para restringir la concesión de un rol de usuario administrativo o con privilegios elevados. | Audit, Deny, Disabled | 1.0.0 |
| El clúster Azure Data Explorer debe utilizar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a los clúster de Azure Data Explorer, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Audit, Disabled | 1.0.0 |
| El cifrado en reposo de Azure Data Explorer debe usar una clave administrada por el cliente | Al habilitar el cifrado en reposo con una clave administrada por el cliente en el clúster de Azure Data Explorer, se proporciona un mayor control sobre la clave que usa el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales y requiere un almacén de claves para administrar las claves. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Explorer debe usar una SKU que admita vínculo privado | Con las SKU admitidas, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen ni el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las aplicaciones, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | Audit, Deny, Disabled | 1.0.0 |
| Configuración de clústeres de Azure Data Explorer con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Azure Data Explorer, se puede reducir el riesgo de pérdida de datos. Obtenga más información en: [ServiceSpecificAKA.ms]. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Azure Data Explorer para deshabilitar el acceso a la red pública | Al deshabilitar la propiedad de acceso a la red pública se cierra la conectividad pública, de modo que solo se puede tener acceso a Azure Data Explorer desde un punto de conexión privado. Esta configuración deshabilita el acceso a la red pública para todos los clústeres de Azure Data Explorer . | Modificar, Deshabilitado | 1.0.0 |
| El cifrado de disco debe estar habilitado en Azure Data Explorer | La habilitación del cifrado de disco ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. | Audit, Deny, Disabled | 2.0.0 |
| El cifrado doble debe estar habilitado en Azure Data Explorer | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 2.0.0 |
| Debe deshabilitarse el acceso a la red pública en Azure Data Explorer | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure Data Explorer desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.0.0 |
| La inserción de red virtual debe estar habilitada para Azure Data Explorer | Proteja el perímetro de la red con la inserción de red virtual, que le permite aplicar reglas de grupo de seguridad de red, conectarse de forma local y proteger los orígenes de la conexión de datos con puntos de conexión de servicio. | Audit, Deny, Disabled | 1.0.0 |
Azure Databricks
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los clústeres de Azure Databricks deben deshabilitar la IP pública | Deshabilitar la IP pública de los clústeres en áreas de trabajo de Azure Databricks mejora la seguridad al garantizar que los clústeres no estén expuestos en la red pública de Internet. Más información en: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Deny, Disabled | 1.0.1 |
| Las áreas de trabajo de Azure Databricks deben estar en una red virtual | Azure Virtual Network brinda seguridad y aislamiento mejorados para las áreas de trabajo de Azure Databricks, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Más información en: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, Disabled | 1.0.2 |
| Los áreas de trabajo de Azure Databricks deben ser SKU Premium que admitan funciones como vínculo privado, clave administrada por el cliente para cifrado | Permitir solo el área de trabajo de Databricks con SKU Premium que su organización puede implementar para admitir características como Private Link, clave administrada por el cliente para el cifrado. Más información en: https://aka.ms/adbpe. | Audit, Deny, Disabled | 1.0.1 |
| Azure Databricks Workspaces debería deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede controlar la exposición de los recursos creando puntos de conexión privados. Más información en: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, Disabled | 1.0.1 |
| Las áreas de trabajo de Azure Databricks deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las áreas de trabajo de Azure Databricks, puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/adbpe. | Audit, Disabled | 1.0.2 |
| Configurar el área de trabajo de Azure Databricks para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las área de trabajo de Azure Databricks. Más información en: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar las áreas de trabajo de Azure Databricks con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las áreas de trabajo de Azure Databricks, puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.2 |
| Configuración de los valores de diagnóstico del área de trabajo de Azure Databricks para el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de las áreas de trabajo de Azure Databricks para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier área de trabajo de Azure Databricks a la que le falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.1 |
| Los registros de recursos en las áreas de trabajo de Azure Databricks deben estar habilitados | Los registros de recursos habilitan que se vuelvan a crear seguimientos de actividad con fines de investigación en caso de que se produzcan incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 1.0.1 |
Azure Edge Hardware Center
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los dispositivos de Azure Edge Hardware Center deben tener habilitada la compatibilidad con el cifrado doble. | Asegúrese de que los dispositivos solicitados desde Azure Edge Hardware Center tienen habilitada la compatibilidad con el cifrado doble para proteger los datos en reposo en el dispositivo. Esta opción agrega una segunda capa de cifrado de datos. | Audit, Deny, Disabled | 2.0.0 |
Azure Load Testing
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El recurso de Azure Load Testing debería usar claves administradas por el cliente para cifrar datos en reposo | Utiliza claves administradas por el cliente (CMK) para administrar el cifrado en reposo del recurso Azure Load Testing. De forma predeterminada, el cifrado se realiza mediante claves administradas por el servicio, las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada y propiedad del usuario. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Audit, Deny, Disabled | 1.0.0 |
Azure Purview
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las cuentas de Azure Purview deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a las cuentas de Azure Purview en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/purview-private-link. | Audit, Disabled | 1.0.0 |
Azure Stack Edge
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los dispositivos Azure Stack Edge deben usar cifrado doble | Para proteger los datos en reposo del dispositivo, asegúrese de que tienen cifrado doble, se controla el acceso a ellos y, una vez desactivado el dispositivo, se borran de los discos de datos de forma segura. El cifrado doble consiste en dos capas de cifrado: XTS-AES de BitLocker de 256 bits en los volúmenes de datos y cifrado integrado en los discos duros. Más información en la documentación de información general sobre seguridad del dispositivo Stark Edge en cuestión. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Administrador de actualizaciones de Azure
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar la comprobación periódica de las actualizaciones del sistema faltantes en servidores habilitados para Azure Arc | Configure la evaluación automática (cada 24 horas) de actualizaciones del sistema operativo en servidores habilitados para Azure Arc. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Más información al respecto en Windows:https://aka.ms/computevm-windowspatchassessmentmode, en Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Configurar la comprobación periódica de las actualizaciones del sistema que faltan en las máquinas virtuales de Azure | Configure la evaluación automática (cada 24 horas) para las actualizaciones del sistema operativo en máquinas virtuales nativas de Azure. Puede controlar el ámbito de asignación según la suscripción, el grupo de recursos, la ubicación o la etiqueta de la máquina. Más información al respecto en Windows:https://aka.ms/computevm-windowspatchassessmentmode, en Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| Las máquinas deben configurarse para que se compruebe periódicamente si faltan actualizaciones del sistema | Para asegurarse de que las evaluaciones periódicas de las actualizaciones del sistema que faltan se desencadenan automáticamente cada 24 horas, la propiedad AssessmentMode debe establecerse en "AutomaticByPlatform". Más información sobre la propiedad AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| Programación de actualizaciones periódicas mediante el Administrador de actualizaciones de Azure | Puede usar el Administrador de actualizaciones de Azure en Azure para guardar programaciones de implementación periódicas para instalar actualizaciones del sistema operativo en las máquinas Windows Server y Linux en Azure, en entornos locales y en otros entornos de nube conectados mediante servidores habilitados para Azure Arc. Esta directiva también cambiará el modo de revisión de la máquina virtual de Azure a «AutomaticByPlatform». Más información: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
Backup
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: La extensión de Azure Backup debe instalarse en clústeres de AKS | Asegúrese de instalar la protección de la extensión de copia de seguridad en los clústeres de AKS para usar Azure Backup. Azure Backup para AKS es una solución de protección de datos segura y nativa de nube para clústeres de AKS | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Backup debe estar habilitado para los clústeres de AKS | Asegúrese de proteger los clústeres de AKS habilitando Azure Backup. Azure Backup para AKS es una solución de protección de datos segura y nativa de nube para clústeres de AKS. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Backup debe estar habilitado para blobs en cuentas de almacenamiento | Para garantizar la protección de las cuentas de almacenamiento, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Backup debe estar habilitado para Managed Disks | Para garantizar la protección de Managed Disks, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los almacenes de Azure Backup deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad. También es una opción para aplicar el cifrado de infraestructura. | Esta directiva sigue el "efecto" si la configuración de cifrado está habilitada para almacenes de Backup en el ámbito. Además, es la opción para comprobar si el almacén de Backup también tiene habilitado el cifrado de infraestructura. Obtenga más información en https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Ten en cuenta que cuando se usa el efecto "Denegar", tendría que habilitar la configuración de cifrado en los almacenes de Backup existentes para permitir que otras operaciones de actualización del almacén pasen. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que el almacén de Recovery Services no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del almacén de Recovery Services. Más información en: https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar claves administradas por el cliente para cifrar los datos de copia de seguridad | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de copia de seguridad. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los almacenes de Azure Recovery Services deben usar Private Link para la copia de seguridad | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| [Versión preliminar]: Configuración de los almacenes de Azure Recovery Services para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el almacén de servicios de recuperación para que no sea accesible a través de Internet de acceso público. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/AB-PublicNetworkAccess-Deny. | Modificar, Deshabilitado | 1.0.0-preview |
| [Versión preliminar]: Configurar la copia de seguridad de cuentas de almacenamiento de blobs con una etiqueta determinada en un almacén de copia de seguridad existente en la misma región | Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: Configurar la copia de seguridad de blobs para todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén de copia de seguridad de la misma región | Permite aplicar la copia de seguridad de blobs en todas las cuentas de almacenamiento que no contienen una etiqueta determinada en un almacén central de copia de seguridad. Esto puede ayudarle a administrar la copia de seguridad de blobs contenidos en varias cuentas de almacenamiento a gran escala. Para obtener más detalles, consulte https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: Configure almacenes de Recovery Services para usar zonas DNS privadas para las copias de seguridad | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el almacén de Recovery Services. Más información en: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: Configuración de almacenes de Recovery Services para usar puntos de conexión privados para copias de seguridad | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a almacenes de Recovery Services, se puede reducir el riesgo de pérdida de datos. Tenga en cuenta que los almacenes deben cumplir determinados requisitos previos para poder optar a la configuración del punto de conexión privado. Más información en: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Deshabilitar la restauración entre suscripciones para almacenes de Azure Recovery Services | Deshabilite o restaure permanentemente la suscripción cruzada para el almacén de Recovery Services, de forma que los destinos de restauración no puedan estar en una suscripción diferente de la suscripción del almacén. Más información en: https://aka.ms/csrenhancements. | Modificar, Deshabilitado | 1.1.0-preview |
| [Versión preliminar]: Deshabilitar la restauración entre suscripciones para almacenes de Backup | Deshabilite o deshabilite permanentemente la restauración entre suscripciones para el almacén de Backup, de forma que los destinos de restauración no puedan estar en una suscripción diferente de la suscripción del almacén. Más información en: https://aka.ms/csrstatechange. | Modificar, Deshabilitado | 1.1.0-preview |
| [Versión preliminar]: no permita la creación de almacenes de Recovery Services de redundancia de almacenamiento elegida. | Los almacenes de Recovery Services se pueden crear con cualquiera de las tres opciones de redundancia de almacenamiento actuales, es decir, almacenamiento con redundancia local, almacenamiento con redundancia de zona y almacenamiento con redundancia geográfica. Si las directivas de la organización requieren que bloquee la creación de almacenes que pertenecen a un tipo de redundancia determinado, puede lograr lo mismo mediante esta directiva de Azure. | Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: la inmutabilidad debe estar habilitada para almacenes de copia de seguridad | Esta directiva audita si la propiedad de almacenes inmutables está habilitada para almacenes de Backup en el ámbito. Esto ayuda a proteger los datos de copia de seguridad de ser eliminados antes de su expiración prevista. Obtenga más información en https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [Versión preliminar]: la inmutabilidad debe estar habilitada para almacenes de Recovery Services | Esta directiva audita si la propiedad de almacenes inmutables está habilitada para almacenes de Recovery Services en el ámbito. Esto ayuda a proteger los datos de copia de seguridad de ser eliminados antes de su expiración prevista. Obtenga más información en https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [Versión preliminar]: La autorización multiusuario (MUA) debe estar habilitada para los almacenes de Backup. | Esta directiva audita si la autorización multiusuario (MUA) está habilitada para los almacenes de Backup. La MUA ayuda a proteger los almacenes de Backup agregando una capa adicional de protección a operaciones críticas. Para obtener más información, visite https://aka.ms/mua-for-bv. | Audit, Disabled | 1.0.0-preview |
| [versión preliminar]: La autorización multiusuario (MUA) debe estar habilitada para almacenes de Recovery Services. | Esta directiva audita si la autorización multiusuario (MUA) está habilitada para almacenes de Recovery Services. MUA ayuda a proteger los almacenes de Recovery Services agregando una capa adicional de protección a operaciones críticas. Para obtener más información, visite https://aka.ms/MUAforRSV. | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: la eliminación temporal debe estar habilitada para almacenes de Recovery Services. | Esta directiva audita si la eliminación temporal está habilitada para almacenes de Recovery Services en el ámbito. La eliminación temporal puede ayudarle a recuperar sus datos incluso después de que se hayan eliminado. Obtenga más información en https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: la eliminación temporal debe estar habilitada para almacenes de Backup | Esta directiva audita si la eliminación temporal está habilitada para almacenes de Backup en el ámbito. La eliminación temporal puede ayudarle a recuperar sus datos después de que se hayan eliminado. Más información en https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0-preview |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada | Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurar la copia de seguridad en las máquinas virtuales con una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede incluir máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un nuevo almacén de Recovery Services con una directiva predeterminada | Aplique la copia de seguridad de todas las máquinas virtuales mediante la implementación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la máquina virtual. Esto resulta útil cuando se asignan grupos de recursos independientes a distintos equipos de aplicación de la organización y es necesario administrar sus propias copias de seguridad y restauraciones. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurar la copia de seguridad en las máquinas virtuales sin una etiqueta específica en un almacén de Recovery Services existente en la misma ubicación | Aplique la copia de seguridad de todas las máquinas virtuales; para ello, realice una copia de seguridad en un almacén de Recovery Services central que se encuentre en la misma ubicación y suscripción que la máquina virtual. Esto resulta útil cuando hay un equipo central en la organización que administra las copias de seguridad de todos los recursos de una suscripción. Opcionalmente, puede excluir las máquinas virtuales que contengan una etiqueta específica para controlar el ámbito de la asignación. Vea https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Implementar la Configuración de diagnóstico para el almacén de Recovery Services para el área de trabajo de Log Analytics con categorías específicas de recursos. | Permite implementar la Configuración de diagnóstico para el almacén de Recovery Services a fin de transmitir en secuencias al área de trabajo de Log Analytics para categorías específicas de recursos. Si alguna de las categorías específicas de recursos no está habilitada, se crea una nueva opción de configuración de diagnóstico. | deployIfNotExists | 1.0.2 |
Batch
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La cuenta de Azure Batch debe usar claves administradas por el cliente para cifrar los datos | Use claves administradas por el cliente para administrar el cifrado en reposo de los datos de la cuenta de Batch. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Los grupos de Azure Batch deben tener habilitado el cifrado de disco | Habilitar el cifrado de disco de Azure Batch garantiza que los datos siempre se cifran en reposo en el nodo de ejecución de Azure Batch. Obtenga más información acerca del cifrado de disco en Batch en https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Disabled, Deny | 1.0.0 |
| Las cuentas de Batch deben tener deshabilitados los métodos de autenticación local | La deshabilitación de métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de Batch requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/batch/auth. | Audit, Deny, Disabled | 1.0.0 |
| Configuración de cuentas de Batch para deshabilitar la autenticación local | Deshabilite los métodos de autenticación de ubicación para que sus cuentas de Batch requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/batch/auth. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las cuentas de Batch para desactivar el acceso a la red pública | Al deshabilitar el acceso a la red pública en una cuenta de Batch, se mejora la seguridad al garantizar que solo se pueda acceder a la cuenta de Batch desde un punto de conexión privado. Obtenga más información sobre cómo deshabilitar el acceso a la red pública en https://docs.microsoft.com/azure/batch/private-connectivity. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las cuentas de Batch con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de Batch, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configurar las zonas DNS privadas de los puntos de conexión privados que se conectan a las cuentas de Batch | Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Batch sin necesidad de direcciones IP públicas en el origen o el destino. Para obtener más información sobre los puntos de conexión y las zonas DNS privados en Batch, vea https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Las reglas de alerta de métricas deben configurarse en las cuentas de Batch | Permite auditar la configuración de reglas de alertas de métricas en una cuenta de Batch para habilitar la métrica requerida. | AuditIfNotExists, Disabled | 1.0.0 |
| Las conexiones de punto de conexión privado en cuentas de Batch deben estar habilitadas | Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Batch sin necesidad de direcciones IP públicas en el origen o el destino. Más información sobre los puntos de conexión privados en Batch en https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Disabled | 1.0.0 |
| El acceso a redes públicas debe estar deshabilitado para las cuentas de Batch | Al deshabilitar el acceso a la red pública en una cuenta de Batch, se mejora la seguridad al garantizar que solo se pueda acceder a la cuenta de Batch desde un punto de conexión privado. Obtenga más información sobre cómo deshabilitar el acceso a la red pública en https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Deny, Disabled | 1.0.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Servicio de bots
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El punto de conexión de Bot Service debe ser un URI de HTTPS válido | Los datos se pueden alterar durante la transmisión. Hay protocolos que proporcionan cifrado para solucionar problemas de uso indebido y manipulación. Para asegurarse de que los bots se comunican solo por canales cifrados, establezca el punto de conexión en un URI de HTTPS válido. Esto garantiza que se usa el protocolo HTTPS para cifrar los datos en tránsito; además, suele ser un requisito de cumplimiento de los estándares normativos o del sector. Visite: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 1.1.0 |
| Bot Service se debe cifrar con una clave administrada por el cliente | Azure Bot Service cifra automáticamente el recurso para proteger sus datos y satisfacer los compromisos de cumplimiento y seguridad de la organización. De forma predeterminada, se usan claves de cifrado administradas por Microsoft. Para una mayor flexibilidad en la administración de claves o el control del acceso a su suscripción, seleccione claves administradas por el cliente, también conocidas como Bring your own key (BYOK). Más información acerca del cifrado de Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Bot Service debe tener el modo aislado habilitado | Los bots deben establecerse en el modo "solo aislado". Este valor configura los canales de Bot Service que requieren que se deshabilite el tráfico a través de la red pública de Internet. | auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 2.1.0 |
| Bot Service debe tener deshabilitados los métodos de autenticación local | Deshabilitar los métodos de autenticación local mejora la seguridad al garantizar que un bot use exclusivamente AAD para la autenticación. | Audit, Deny, Disabled | 1.0.0 |
| Bot Service debe tener deshabilitado el acceso a la red pública | Los bots deben establecerse en el modo "solo aislado". Este valor configura los canales de Bot Service que requieren que se deshabilite el tráfico a través de la red pública de Internet. | Audit, Deny, Disabled | 1.0.0 |
| Los recursos de BotService deben usar private link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al recurso de BotService, se reduce el riesgo de pérdida de datos. | Audit, Disabled | 1.0.0 |
| Configuración de los recursos de BotService para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se vincula una zona DNS privada a la red virtual para resolver los recursos relacionados con BotService. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar recursos de BotService con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados al recurso de BotService, puede reducir el riesgo de pérdida de datos. | DeployIfNotExists, Disabled | 1.0.0 |
Cache
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure Cache for Redis debe deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que garantiza que Azure Cache for Redis no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de Azure Cache for Redis mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cache for Redis debe usar Private Link | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a las instancias de Azure Cache for Redis, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurar Azure Cache for Redis para deshabilitar puertos que no son SSL | Habilite conexiones solo de SSL a Azure Cache for Redis. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Modificar, Deshabilitado | 1.0.0 |
| Configurar Azure Cache for Redis para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de Azure Cache for Redis de modo que no sea accesible a través de la red pública de Internet. Esto ayuda a proteger la memoria caché frente a los riesgos de pérdida de datos. | Modificar, Deshabilitado | 1.0.0 |
| Configurar Azure Cache for Redis para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se puede vincular una zona DNS privada a la red virtual para que se resuelva en Azure Cache for Redis. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Cache for Redis con puntos de conexión privados | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos de Azure Cache for Redis, se puede reducir el riesgo de pérdida de datos. Más información en: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. | Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 1.0.0 |
CDN
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los perfiles de Azure Front Door deben usar el nivel Premium que admite reglas de WAF administradas y Private Link | Azure Front Door Premium admite reglas de WAF administradas de Azure y vínculo privado a orígenes de Azure admitidos. | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door Estándar y Premium deben ejecutar la versión mínima de TLS 1.2 | La configuración de la versión mínima de TLS a 1.2 mejora la seguridad asegurando el acceso a sus dominios personalizados desde clientes que utilizan TLS 1.2 o más reciente. No se recomienda usar versiones de TLS inferiores a 1.2, ya que son débiles y no admiten algoritmos criptográficos modernos. | Audit, Deny, Disabled | 1.0.0 |
| Protección de la conectividad privada entre Azure Front Door Premium y de Azure Storage Blob o Azure App Service | Private Link garantiza la conectividad privada entre AFD Premium y Azure Storage Blob o Azure App Service a través de la red troncal de Azure, sin que Azure Storage Blob ni Azure App Service estén expuestos públicamente a Internet. | Audit, Disabled | 1.0.0 |
ChangeTrackingAndInventory
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Configuración de máquinas habilitadas para Arc en Linux para asociarse a un regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular máquinas habilitadas para Arc en Linux a la regla de recopilación de datos especificada para habilitar Seguimiento de cambios e inventario. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: configuración de máquinas habilitadas para Arc en Linux para instalar AMA para seguimiento de cambios e inventario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Arc en Linux a fin de habilitar el Seguimiento de cambios e inventario. Esta directiva instalará la extensión si se admite la región. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Versión preliminar]: Configuración de Linux Virtual Machines para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular máquinas virtuales Linux a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de las VM Linux para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Linux para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
| [Versión preliminar]: Configuración de VMSS Linux para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Linux a la regla de recopilación de datos especificada para permitir ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de VMSS de Linux para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Linux para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Versión preliminar]: Configuración de máquinas habilitadas para Arc en Windows para asociarlas a una regla de recopilación de datos para el Seguimiento de cambios e inventario | Implemente la asociación para vincular máquinas habilitadas para Arc en Windows a la regla de recopilación de datos especificada para habilitar el Seguimiento de cambios e inventario. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de máquinas habilitadas para Arc en Windows para instalar AMA para el Seguimiento de cambios e inventario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Arc en Windows a fin de habilitar el Seguimiento de cambios e inventario. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configurar Windows Virtual Machines para asociarlas a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular máquinas virtuales Windows a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configuración de máquinas virtuales Windows para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas virtuales Windows para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configurar VMSS de Windows para asociarse a una regla de recopilación de datos para ChangeTracking e Inventario | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Windows a la regla de recopilación de datos especificada para habilitar ChangeTracking e Inventario. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Configuración de VMSS de Windows para instalar AMA para ChangeTracking e Inventario con una identidad administrada asignada por el usuario | Automatice la implementación de la extensión del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para permitir ChangeTracking e Inventario. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
Cognitive Services
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las cuentas de Cognitive Services deben habilitar el cifrado de datos con una clave administrada por el cliente. | Las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos almacenados en Cognitive Services con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Para más información sobre las claves administradas por el cliente, consulte https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Las cuentas de Cognitive Services deben usar una identidad administrada | La asignación de una identidad administrada a su cuenta de Cognitive Services ayuda a garantizar una autenticación segura. Esta cuenta de Cognitive Services usa esta identidad para comunicarse con otros servicios de Azure, como Azure Key Vault, de forma segura sin tener que administrar ninguna credencial. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Cognitive Services deben usar un almacenamiento propiedad del cliente | Use el almacenamiento de propiedad del cliente para controlar los datos almacenados en reposo en Cognitive Services. Para más información sobre el almacenamiento de propiedad del cliente, visite https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Cognitive Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Configurar las cuentas de Cognitive Services para deshabilitar los métodos de autenticación local | Deshabilite los métodos de autenticación local para que las cuentas de Cognitive Services requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/cs/auth. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las cuentas de Cognitive Services para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de Cognitive Services de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://go.microsoft.com/fwlink/?linkid=2129800. | Deshabilitado, Modificar | 3.0.0 |
| Configurar las cuentas de Cognitive Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Cognitive Services. Más información en: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las cuentas de Cognitive Services con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Cognitive Services, reducirá la posibilidad de pérdida de datos. Más información sobre los vínculos privados en https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
Proceso
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| SKU de tamaño de máquina virtual permitidas | Esta directiva permite especificar un conjunto de SKU de tamaño de máquina virtual que la organización puede implementar. | Denegar | 1.0.1 |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados. | auditoría | 1.0.0 |
| Configuración de la recuperación ante desastres en máquinas virtuales habilitando la replicación mediante Azure Site Recovery | Las máquinas virtuales sin configuraciones de recuperación ante desastres pueden verse afectadas por interrupciones. Si la máquina virtual aún no tiene configurada la recuperación ante desastres, esta se iniciará al habilitar la replicación mediante configuraciones predeterminadas para facilitar la continuidad empresarial. Opcionalmente, puede incluir o excluir máquinas virtuales que contengan una etiqueta especificada para controlar el ámbito de la asignación. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurar los recursos de acceso al disco para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el disco administrado. Más información en: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar recursos de acceso al disco con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignación puntos de conexión privados a los recursos de acceso al disco, podrá reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar discos administrados para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de disco administrado para que no sea accesible a través de Internet de acceso público. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/disksprivatelinksdoc. | Modificar, Deshabilitado | 2.0.0 |
| Implementar la extensión IaaSAntimalware predeterminada de Microsoft para Windows Server | Esta directiva implementa una extensión de Microsoft IaaSAntimalware con una configuración predeterminada cuando una VM no está configurada con la extensión de antimalware. | deployIfNotExists | 1.1.0 |
| Los recursos de acceso al disco deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a diskAccesses, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Los discos administrados deben tener un cifrado doble con las claves administradas por el cliente y la plataforma | Los clientes con datos confidenciales de alto nivel de seguridad que están preocupados por el riesgo asociado a cualquier algoritmo de cifrado, implementación o clave en peligro concretos pueden optar por una capa adicional de cifrado con un algoritmo o modo de cifrado diferente en el nivel de infraestructura mediante claves de cifrado administradas por la plataforma. Los conjuntos de cifrado de disco son necesarios para usar el cifrado doble. Obtenga más información en https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Los discos administrados deben deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública mejora la seguridad al garantizar que un disco administrado no esté expuesto en Internet de acceso público. La creación de puntos de conexión privados permite limitar el nivel de exposición de los discos administrados. Más información en: https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| Los discos administrados deben usar un conjunto específico de conjuntos de cifrado de disco para el cifrado de claves administradas por el cliente | Requerir un conjunto específico de los conjuntos de cifrado de disco para usarlo con Managed Disks le ofrece control sobre las claves usadas para el cifrado en reposo. Puede seleccionar los conjuntos cifrados permitidos y todos los demás se rechazan cuando se conectan a un disco. Obtenga más información en https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. | AuditIfNotExists, Disabled | 1.1.0 |
| Solo deben instalarse las extensiones de máquina virtual aprobadas | Esta directiva rige las extensiones de máquina virtual que no están aprobadas. | Audit, Deny, Disabled | 1.0.0 |
| El SO y los discos de datos deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de Managed Disks. De manera predeterminada, los datos se cifran en reposo con claves administradas por la plataforma, pero las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Proteja los datos con requisitos de autenticación al exportar o cargar en un disco o instantánea. | Cuando se usa la dirección URL de exportación o carga, el sistema comprueba si el usuario tiene una identidad en Azure Active Directory y posee los permisos necesarios para exportar o cargar los datos. Consulte aka.ms/DisksAzureADAuth. | Modificar, Deshabilitado | 1.0.0 |
| Exigir la aplicación automática de revisiones de imágenes del sistema operativo en Virtual Machine Scale Sets | Esta directiva requiere que se habilite la aplicación automática de revisiones de imagen de sistema operativo en Virtual Machine Scale Sets para que se apliquen mensualmente las revisiones de seguridad más recientes con el fin de que las máquinas virtuales estén siempre protegidas. | deny | 1.0.0 |
| Las máquinas virtuales y los conjuntos de escalado de máquinas virtuales deben tener habilitado el cifrado en el host | Use el cifrado en el host para obtener el cifrado de un extremo a otro para la máquina virtual y los datos del conjunto de escalado de máquinas virtuales. El cifrado en el host permite el cifrado en reposo para las memorias caché de disco temporal y de sistema operativo y de datos. Los discos temporales y los discos de SO efímeros se cifran con claves administradas por la plataforma cuando se habilita el cifrado en el host. Las memorias caché del disco de datos y de sistema operativo se cifran en reposo con claves administradas por el cliente o por la plataforma, según el tipo de cifrado seleccionado en el disco. Obtenga más información en https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
Aplicaciones de contenedor
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La autenticación debe estar habilitada en Container Apps | La autenticación de Container Apps es una característica que puede impedir que las solicitudes HTTP anónimas lleguen a una instancia de Container Apps o autenticar aquellas que tienen tokens antes de que lleguen a dicha instancia. | AuditIfNotExists, Disabled | 1.0.1 |
| Los entornos de una instancia de Container Apps deben usar la inserción de red | Los entornos de Container Apps deben usar la inserción de red virtual para: 1. Aislar Container Apps de la red pública de Internet 2. Habilitar la integración de red con recursos locales o en otras redes virtuales de Azure 3. Lograr un control más granular sobre el tráfico de red que fluye hacia y desde el entorno. | Audit, Disabled, Deny | 1.0.2 |
| La instancia de Container Apps se debe configurar con el montaje del volumen | Aplique el uso de montajes de volúmenes para Container Apps a fin de garantizar la disponibilidad de la capacidad de almacenamiento persistente. | Audit, Deny, Disabled | 1.0.1 |
| El entorno de Container Apps debe deshabilitar el acceso desde la red pública | Deshabilite el acceso desde la red pública a fin de mejorar la seguridad mediante la exposición del entorno de Container Apps a través de un equilibrador de carga interno. Esto quita la necesidad de una IP pública y evita el acceso a través de Internet a todas las instancias de Container Apps dentro del entorno. | Audit, Deny, Disabled | 1.0.1 |
| Container Apps debe deshabilitar el acceso desde la red externa | Deshabilite el acceso desde la red externa a Container Apps mediante la aplicación de la entrada solo interna. Esto garantizará que la comunicación entrante de Container Apps se limite solo a los autores de llamadas dentro del entorno de Container Apps. | Audit, Deny, Disabled | 1.0.1 |
| Container Apps solo debería ser accesible a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Al deshabilitar "allowInsecure", se producirá el redireccionamiento automático de las solicitudes de conexiones HTTP a HTTPS para las instancias de Container Apps. | Audit, Deny, Disabled | 1.0.1 |
| Container Apps debe tener habilitada la identidad administrada | La aplicación de la identidad administrada garantiza que Container Apps pueda autenticarse de manera segura en cualquier recurso que admita la autenticación de Azure AD. | Audit, Deny, Disabled | 1.0.1 |
Instancia de contenedor
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El grupo de contenedores de la instancia de Azure Container Instances se debe implementar en una red virtual | Proteja la comunicación entre los contenedores con redes virtuales de Azure. Cuando se especifica una red virtual, los recursos de la red virtual pueden comunicarse entre sí de forma segura y privada. | Audit, Disabled, Deny | 2.0.0 |
| El grupo de contenedores de la instancia de Azure Container Instances debe usar una clave administrada por el cliente para el cifrado | Proteja los contenedores con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled, Deny | 1.0.0 |
| Configurar los ajustes de diagnóstico para los grupos de contenedores en el área de trabajo Log Analytics | Implementa la configuración de diagnóstico de la instancia de contenedor para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de contenedor a la que falte esta configuración de diagnóstico. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Azure Container Instances
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de diagnósticos para el grupo de contenedores en el área de trabajo de Log Analytics | Anexa el workspaceId y workspaceKey especificados de Log Analytics cuando se crea o actualiza cualquier grupo de contenedores que falte en estos campos. No modifica los campos de los grupos de contenedores creados antes de que se aplique esta directiva hasta que se cambien esos grupos de recursos. | Anexar, deshabilitar | 1.0.0 |
Container Registry
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configure los registros de contenedor para deshabilitar la autenticación anónima. | Deshabilite la extracción anónima del registro para que el usuario no autenticado no pueda acceder a los datos. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. | Modificar, Deshabilitado | 1.0.0 |
| Configure los registros de contenedor para deshabilitar la autenticación de token de audiencia de ARM. | Deshabilite los tokens de audiencia de ARM de Azure Active Directory para la autenticación en el registro. Solo se usarán tokens de audiencia de Azure Container Registry (ACR) para la autenticación. Esto garantizará que solo se puedan usar tokens destinados al uso en el registro para la autenticación. Deshabilitar los tokens de audiencia de ARM no afecta a la autenticación de los tokens de acceso de usuario administrador o de ámbito. Más información en: https://aka.ms/acr/authentication. | Modificar, Deshabilitado | 1.0.0 |
| Configure los registros de contenedor para deshabilitar la cuenta de administrador local. | Deshabilite la cuenta de administración de su registro para que el administrador local no pueda acceder a ella. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente las identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. | Modificar, Deshabilitado | 1.0.1 |
| Configurar las instancias de Container Registry para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de Container Registry de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en https://aka.ms/acr/portal/public-network y https://aka.ms/acr/private-link. | Modificar, Deshabilitado | 1.0.0 |
| Configure los registros de contenedor para deshabilitar el token de acceso de ámbito de repositorio. | Deshabilite los tokens de acceso de ámbito de repositorio para el registro para que los tokens no puedan acceder a los repositorios. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de las instancias de Container Registry para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en la instancia de Container Registry. Más información en https://aka.ms/privatednszone y https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar las instancias de Container Registry con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos del registro de contenedor prémium, puede reducir los riesgos de pérdida de datos. Más información en https://aka.ms/privateendpoints y https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Los registros de contenedor deben cifrarse con una clave administrada por el cliente | Use claves administradas por el cliente para administrar el cifrado en reposo del contenido de los registros. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Los registros de contenedor deben tener deshabilitada la autenticación anónima. | Deshabilite la extracción anónima del registro para que los usuarios no autenticados no puedan acceder a los datos. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Los registros de contenedor deberían tener deshabilitada la autenticación de token de audiencia de ARM. | Deshabilite los tokens de audiencia de ARM de Azure Active Directory para la autenticación en el registro. Solo se usarán tokens de audiencia de Azure Container Registry (ACR) para la autenticación. Esto garantizará que solo se puedan usar tokens destinados al uso en el registro para la autenticación. Deshabilitar los tokens de audiencia de ARM no afecta a la autenticación de los tokens de acceso de usuario administrador o de ámbito. Más información en: https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Los registros de contenedor deben tener las exportaciones deshabilitadas | Deshabilitar las exportaciones mejora la seguridad al garantizar que se accede a los datos de un registro únicamente a través del plano de datos ("docker pull"). Los datos no se pueden mover fuera del registro a través de "acr import" o a través de "acr transfer". Para deshabilitar las exportaciones, se debe deshabilitar el acceso a la red pública. Más información en: https://aka.ms/acr/export-policy. | Audit, Deny, Disabled | 1.0.0 |
| Los registros de contenedor deben tener deshabilitada la cuenta de administrador local. | Deshabilite la cuenta de administración de su registro para que el administrador local no pueda acceder a ella. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente las identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.1 |
| Los registros de contenedor deben tener deshabilitado el token de acceso de ámbito de repositorio. | Deshabilite los tokens de acceso de ámbito de repositorio para el registro para que los tokens no puedan acceder a los repositorios. Al deshabilitar los métodos de autenticación local, como el usuario administrador, los tokens de acceso de ámbito de repositorio y la extracción anónima, se mejora la seguridad al garantizar que los registros de contenedor requieren exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias de Container Registry deben tener SKU que admitan vínculos privados | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los registros de contenedor en lugar de a todo el servicio, se reducen los riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias de Container Registry no deben permitir el acceso de red sin restricciones | De manera predeterminada, las instancias de Azure Container Registry aceptan conexiones a través de Internet de hosts de cualquier red. Para proteger sus registros de posibles amenazas, permita el acceso solo desde determinados puntos de conexión privados, direcciones IP públicas o intervalos de direcciones. Si su registro no tiene reglas de red configuradas, aparecerá en los recursos no incorrectos. Obtenga más información sobre las reglas de red de Container Registry aquí: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network y https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Los registros de contenedor deben impedir la creación de reglas de caché | Deshabilitar la creación de reglas de caché para Azure Container Registry para evitar que se extraiga a través de las extracciones de caché. Más información en: https://aka.ms/acr/cache. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias de Container Registry deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las instancias de Container Registry en lugar de a todo el servicio, además se protege frente a riesgos de pérdida de datos. Más información en: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| El acceso a la red pública debe estar deshabilitado en las instancias de Container Registry | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que los registros de contenedor no se exponen en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos del registro de contenedor. Más información en https://aka.ms/acr/portal/public-network y https://aka.ms/acr/private-link. | Audit, Deny, Disabled | 1.0.0 |
Cosmos DB
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las cuentas de Azure Cosmos DB deben tener reglas de firewall. | Se deben definir reglas de firewall en las cuentas de Azure Cosmos DB para evitar el tráfico desde orígenes no autorizados. Las cuentas que tienen al menos una regla de IP definida con el filtro de red virtual habilitado se consideran compatibles. Las cuentas que deshabilitan el acceso público también se consideran compatibles. | Audit, Deny, Disabled | 2.0.0 |
| Las cuentas de Azure Cosmos DB no deben superar el número máximo de días permitido desde la última regeneración de la clave de cuenta. | Vuelva a generar las claves en el tiempo especificado para mantener los datos más protegidos. | Audit, Disabled | 1.0.0 |
| Las cuentas de Azure Cosmos DB deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de la instancia de Azure Cosmos DB. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Ubicaciones permitidas de Azure Cosmos DB | Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar recursos de Azure Cosmos DB. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. | [parameters('policyEffect')] | 1.1.0 |
| Se debe deshabilitar el acceso de escritura de metadatos basado en la clave de Azure Cosmos DB | Esta directiva permite asegurarse de que se deshabilita el acceso de escritura de metadatos basado en la clave en todas las cuentas de Azure Cosmos DB. | append | 1.0.0 |
| Azure Cosmos DB debe deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que la cuenta de CosmosDB no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de la cuenta de CosmosDB. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
| El rendimiento de Azure Cosmos DB debe ser limitado | Esta directiva le permite restringir el rendimiento máximo que puede especificar la organización al crear contenedores y bases de datos de Azure Cosmos DB mediante el proveedor de recursos. Bloquea la creación de recursos de escalabilidad automática. | auditoría, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 1.1.0 |
| Configuración de cuentas de base de datos Cosmos DB para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las cuentas de CosmosDB para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de CosmosDB de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modificar, Deshabilitado | 1.0.1 |
| Configurar las cuentas de CosmosDB para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver la cuenta de CosmosDB. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurar las cuentas de CosmosDB con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Las cuentas de la base de datos Cosmos DB deben tener deshabilitados los métodos de autenticación local | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las cuentas de base de datos de Cosmos DB exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
| Las cuentas de CosmosDB deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de CosmosDB, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Implementar Advanced Threat Protection para cuentas de Cosmos DB | Esta directiva habilita Advanced Threat Protection en las cuentas de Cosmos DB. | DeployIfNotExists, Disabled | 1.0.0 |
Proveedor personalizado
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Implementación de asociaciones para proveedores personalizados | Implementa un recurso de asociación que asocia los tipos de recursos seleccionados con el proveedor personalizado especificado. Esta implementación de directiva no admite los tipos de recursos anidados. | deployIfNotExists | 1.0.0 |
Data Box
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los trabajos de Azure Data Box deben habilitar el cifrado doble para los datos en reposo en el dispositivo | Habilite una segunda capa de cifrado basado en software para los datos en reposo en el dispositivo. El dispositivo ya está protegido mediante el Estándar de cifrado avanzado de 256 bits para datos en reposo. Esta opción agrega una segunda capa de cifrado de datos. | Audit, Deny, Disabled | 1.0.0 |
| Los trabajos de Azure Data Box deben usar una clave administrada por el cliente para cifrar la contraseña de desbloqueo del dispositivo | Use una clave administrada por el cliente para controlar el cifrado de la contraseña de desbloqueo del dispositivo para Azure Data Box. Las claves administradas por el cliente también ayudan a administrar el acceso a la contraseña de desbloqueo del dispositivo por parte del servicio Data Box para preparar el dispositivo y copiar los datos de forma automatizada. Los datos del propio dispositivo ya están cifrados en reposo con el Estándar de cifrado avanzado cifrado de 256 bits y la contraseña de desbloqueo del dispositivo se cifra de forma predeterminada con una clave administrada por Microsoft. | Audit, Deny, Disabled | 1.0.0 |
Data Factory
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: las canalizaciones de Azure Data Factory solo deben comunicarse con dominios permitidos | Para evitar la filtración de tokens y datos, establezca los dominios con los que debe permitirse que Azure Data Factory se comunique. Nota: Mientras se encuentre en versión preliminar pública, no se notifica el cumplimiento de esta directiva y, para que la directiva se aplique a Data Factory, habilite la funcionalidad de reglas de salida en ADF Studio. Para más información, visite https://aka.ms/data-exfiltration-policy. | Deny, Disabled | 1.0.0-preview |
| Las instancias de Azure Data Factory deben cifrarse con una clave administrada por el cliente. | Utilice claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de Azure Data Factory. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| El entorno de ejecución de integración de Azure Data Factory debe tener un límite según el número de núcleos. | Para administrar los recursos y los costos, limite el número de núcleos de un entorno de ejecución de integración. | Audit, Deny, Disabled | 1.0.0 |
| El tipo de recurso de servicio vinculado de Azure Data Factory debe estar en la lista de permitidos. | Defina la lista de permitidos de los tipos de servicios vinculados de Azure Data Factory. Restringir los tipos de recursos permitidos permite controlar el límite del movimiento de datos. Por ejemplo, restrinja un ámbito para que solo permita el almacenamiento de blobs con Data Lake Storage Gen1 y Gen2 análisis o un ámbito para permitir solo el acceso de SQL y Kusto para las consultas en tiempo real. | Audit, Deny, Disabled | 1.1.0 |
| Los servicios vinculados de Azure Data Factory deben usar Key Vault para almacenar secretos. | Para asegurarse de que los secretos (como las cadenas de conexión) se administran de forma segura, pida a los usuarios que proporcionen los secretos con una instancia de Azure Key Vault en lugar de especificarlos en los servicios vinculados. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios vinculados de Azure Data Factory deben usar la autenticación de identidad administrada asignada por el sistema cuando se admita. | El uso de la identidad administrada asignada por el sistema al comunicarse con almacenes de datos mediante los servicios vinculados evita el uso de credenciales menos seguras, como contraseñas o cadenas de conexión. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory debe usar un repositorio de Git para el control de código fuente. | Configure solo la factoría de datos de desarrollo con la integración de Git. Los cambios en la prueba y producción deben implementarse a través de CI/CD y NO deben tener la integración de Git. NO aplique esta directiva en las factorías de datos de QA/prueba/producción. | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Data Factory, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurar factorías de datos para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de Data Factory de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las zonas DNS privadas para los puntos de conexión privados que se conectan a Azure Data Factory | Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de los puntos de conexión privados permiten la comunicación segura al habilitar la conectividad privada con la instancia de Azure Data Factory sin necesidad de direcciones IP públicas en el origen o el destino. Para más información sobre los puntos de conexión privados y las zonas DNS en Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los puntos de conexión privados para factorías de datos | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a la instancia de Azure Data Factory, se reduce el riesgo de pérdida de datos. Más información en: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| Debe deshabilitarse el acceso a redes públicas en Azure Data Factory. | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure Data Factory desde un punto de conexión privado. | Audit, Deny, Disabled | 1.0.0 |
| Los entornos de ejecución de integración de SQL Server Integration Services en Azure Data Factory deben unirse a una red virtual | La implementación de Azure Virtual Network proporciona seguridad y aislamiento mejorados para los entornos de ejecución de integración de SQL Server Integration Services en Azure Data Factory, así como subredes, directivas de control de acceso y otras características para restringir aún más el acceso. | Audit, Deny, Disabled | 2.3.0 |
Data Lake
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Requerir cifrado en cuentas de Data Lake Store. | Esta directiva garantiza que el cifrado está habilitado en todas las cuentas de Data Lake Store. | deny | 1.0.0 |
| Los registros de recursos de Azure Data Lake Store deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Data Lake Analytics deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Virtualización de escritorios
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los grupos de hosts de Azure Virtual Desktop deben deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública mejora la seguridad y mantiene los datos seguros al garantizar que el acceso al servicio Azure Virtual Desktop no esté expuesto a la red pública de Internet. Más información en: https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Los grupos de hosts de Azure Virtual Desktop deben deshabilitar el acceso a la red pública solo en los host de sesión | Deshabilitar el acceso a la red pública para los hosts de sesión del grupo de hosts de Azure Virtual Desktop, pero permitir el acceso público a los usuarios finales mejora la seguridad limitando la exposición a la red pública de Internet. Más información en: https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| El servicio Azure Virtual Desktop debe usar vínculo privado | El uso de Azure Private Link con los recursos de Azure Virtual Desktop puede mejorar la seguridad y mantener los datos seguros. Más información sobre los vínculos privados en https://aka.ms/avdprivatelink. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Virtual Desktop deben deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública para el recurso del área de trabajo de Azure Virtual Desktop impide que la fuente sea accesible a través de la red pública de Internet. Permitir solo el acceso a la red privada mejora la seguridad y mantiene los datos seguros. Más información en: https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Configurar los recursos del grupo de hosts de Azure Virtual Desktop para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los recursos de Azure Virtual Desktop. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los grupos de hosts de Azure Virtual Desktop para deshabilitar el acceso a la red pública | Deshabilitar el acceso de red pública para los hosts de sesión y los usuarios finales en el recurso de grupo de hosts de Azure Virtual Desktop para que no sea accesible a través de la red pública de Internet. Esto mejora la seguridad y mantiene tus datos a salvo. Más información en: https://aka.ms/avdprivatelink. | Modificar, Deshabilitado | 1.0.0 |
| Configurar los grupos de hosts de Azure Virtual Desktop para deshabilitar el acceso a la red pública solo para los host de sesión | Deshabilitar el acceso a la red pública para los hosts de sesión del grupo de hosts de Azure Virtual Desktop, pero permita el acceso público a los usuarios finales. Esto permite a los usuarios seguir accediendo al servicio AVD, a la vez que se garantiza que el host de sesión solo sea accesible a través de rutas privadas. Más información en: https://aka.ms/avdprivatelink. | Modificar, Deshabilitado | 1.0.0 |
| Configurar grupos de hosts de Azure Virtual Desktop con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos de Azure Virtual Desktop, puede mejorar la seguridad y mantener los datos seguros. Más información en: https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los recursos del área de trabajo de Azure Virtual Desktop para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los recursos de Azure Virtual Desktop. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las áreas de trabajo de Azure Virtual Desktop para deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública para el recurso del área de trabajo de Azure Virtual Desktop para que la fuente no sea accesible a través de la red pública de Internet. Esto mejora la seguridad y mantiene tus datos a salvo. Más información en: https://aka.ms/avdprivatelink. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las áreas de trabajo de Azure Virtual Desktop con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos de Azure Virtual Desktop, puede mejorar la seguridad y mantener los datos seguros. Más información en: https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
DevCenter
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los grupos de Microsoft Dev Box no deben usar redes hospedadas de Microsoft. | No permite el uso de redes hospedadas de Microsoft al crear recursos de grupo. | Audit, Deny, Disabled | 1.0.0-preview |
ElasticSan
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| ElasticSan debe deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública de ElasticSan para que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. | Audit, Deny, Disabled | 1.0.0 |
| El grupo de volúmenes de ElasticSan debe usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de VolumeGroup. De manera predeterminada, los datos del cliente se cifran con claves administradas por la plataforma, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad, con control total y responsabilidad, incluida la rotación y la administración. | Audit, Disabled | 1.0.0 |
| El grupo de volúmenes de ElasticSan debe usar puntos de conexión privados | Los puntos de conexión privados permiten al administrador conectar redes virtuales a servicios de Azure sin una dirección IP pública en el origen o destino. Mediante la asignación de puntos de conexión privados al grupo de volúmenes, el administrador puede reducir los riesgos de pérdida de dato. | Audit, Disabled | 1.0.0 |
Event Grid
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los dominios de Azure Event Grid deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben tener deshabilitados los métodos de autenticación local | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los dominios de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Los dominios de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al dominio de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| El agente MQTT del espacio de nombres de Azure Event Grid debe usar el vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al espacio de nombres de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/aeg-ns-privateendpoints. | Audit, Disabled | 1.0.0 |
| El agente de temas del espacio de nombres de Azure Event Grid debe usar el vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al espacio de nombres de Event Grid en lugar de a todo el servicio, también estará protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/aeg-ns-privateendpoints. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Event Grid deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/aeg-ns-privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los espacios de nombres de partner de Azure Event Grid deben tener deshabilitados los métodos de autenticación local | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los espacios de nombres de partner de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Los temas de Azure Event Grid deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los temas de Azure Event Grid deben tener deshabilitados los métodos de autenticación local | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los temas de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Los temas de Azure Event Grid deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al tema de Event Grid en lugar de a todo el servicio, estará además protegido frente a riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Configurar dominios de Azure Event Grid para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que los dominios de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. | Modificar, Deshabilitado | 1.0.0 |
| Configuración del agente MQTT del espacio de nombres de Azure Event Grid con puntos de conexión privados | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de espacios de nombres de Azure Event Grid con puntos de conexión privados | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar espacios de nombres de partner de Azure Event Grid para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que los espacios de nombres de partner de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. | Modificar, Deshabilitado | 1.0.0 |
| Configurar temas de Azure Event Grid para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que los temas de Azure Event Grid requieran exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aeg-disablelocalauth. | Modificar, Deshabilitado | 1.0.0 |
| Implementación: configurar los dominios de Azure Event Grid para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Implementación: configurar los dominios de Azure Event Grid con puntos de conexión privados | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configurar los temas de Azure Event Grid para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Implementación: configurar los temas de Azure Event Grid con puntos de conexión privados | Los puntos de conexión privados le permiten conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los recursos, estarán protegidos frente a los riesgos de pérdida de datos. Más información en: https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Modificación: configurar los dominios de Azure Event Grid para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública en el recurso de Azure Event Grid de modo que no sea accesible a través de la red pública de Internet. Esto le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. | Modificar, Deshabilitado | 1.0.0 |
| Modificación: configurar los temas de Azure Event Grid para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública en el recurso de Azure Event Grid de modo que no sea accesible a través de la red pública de Internet. Esto le ayudará a protegerlo contra los riesgos de pérdida de datos. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://aka.ms/privateendpoints. | Modificar, Deshabilitado | 1.0.0 |
Centro de eventos
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todas las reglas de autorización, excepto RootManageSharedAccessKey, se deben eliminar del espacio de nombres del centro de eventos | Los clientes del Centro de eventos no deben usar una directiva de acceso de nivel de espacio de nombres que proporciona acceso a todas las colas y temas de un espacio de nombres. Para alinearse con el modelo de seguridad con privilegios mínimos, debe crear directivas de acceso en las entidades para que las colas y los temas proporcionen acceso solo a la entidad específica. | Audit, Deny, Disabled | 1.0.1 |
| Las reglas de autorización de la instancia del centro de eventos deben definirse. | Permite auditar la existencia de reglas de autorización en entidades de Event Hub para conceder acceso con privilegios mínimos. | AuditIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres de Azure Event Hub deben tener los métodos de autenticación local deshabilitados | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los espacios de nombres de Azure Event Hub requieran exclusivamente identidades de Microsoft Entra ID para la autenticación. Más información en: https://aka.ms/disablelocalauth-eh. | Audit, Deny, Disabled | 1.0.1 |
| Configuración de los espacios de nombres de Azure Event Hub para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que los espacios de nombres de Azure Event Hub requieran exclusivamente identidades de Microsoft Entra ID para la autenticación. Más información en: https://aka.ms/disablelocalauth-eh. | Modificar, Deshabilitado | 1.0.1 |
| Configurar los espacios de nombres del centro de eventos para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver los espacios de nombres del centro de eventos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los espacios de nombres del centro de eventos con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Los espacios de nombres del Centro de eventos deberían deshabilitar el acceso a la red pública | El Centro de eventos de Azure debe tener deshabilitado el acceso a la red pública. Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Deny, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben tener habilitado el cifrado doble | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 1.0.0 |
| Los espacios de nombres deben usar una clave administrada por el cliente para el cifrado | Azure Event Hubs admite la opción de cifrado de datos en reposo con claves administradas por Microsoft (predeterminada) o claves administradas por el cliente. La selección del cifrado de datos mediante claves administradas por el cliente le permite asignar, rotar, deshabilitar y revocar el acceso a las claves que el centro de eventos usará para cifrar los datos en el espacio de nombres. Tenga en cuenta que el centro de eventos solo admite el cifrado con claves administradas por el cliente para los espacios de nombres en clústeres dedicados. | Audit, Disabled | 1.0.0 |
| Los espacios de nombres del centro de eventos deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres del centro de eventos, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Los registros de recursos de la instancia de Event Hubs deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Fluid Relay
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Fluid Relay debe usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo del servidor Fluid Relay. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad, con control total y responsabilidad, incluida la rotación y la administración. Obtenga más información en https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Audit, Disabled | 1.0.0 |
General
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ubicaciones permitidas | Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar los recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. Excluye los grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories, y recursos que usan la región "global". | deny | 1.0.0 |
| Ubicaciones permitidas para grupos de recursos | Esta directiva permite restringir las ubicaciones en las que la organización puede crear grupos de recursos. Úsela para aplicar los requisitos de cumplimiento de replicación geográfica. | deny | 1.0.0 |
| Tipos de recursos permitidos | Esta directiva le permite especificar los tipos de recursos que puede implementar su organización. La directiva solo se aplicará a los tipos de recursos que admitan los valores "tags" y "location". Para restringir todos los recursos, duplique esta directiva y cambie el valor de "mode" a "All". | deny | 1.0.0 |
| La ubicación del recurso de auditoría coincide con la del grupo de recursos | Auditoría cuya ubicación de recursos coincide con la ubicación de su grupo de recursos. | auditoría | 2.0.0 |
| Auditar el uso de roles RBAC personalizados | Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. | Audit, Disabled | 1.0.1 |
| Configuración de suscripciones para configurar características en versión preliminar | Esta directiva evalúa las características en versión preliminar de la suscripción existente. Las suscripciones se pueden corregir para registrarse en una nueva característica en versión preliminar. Las nuevas suscripciones no se registrarán automáticamente. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| No permitir la eliminación de tipos de recursos | Esta directiva permite especificar los tipos de recursos que la organización puede proteger frente a la eliminación accidental con el bloqueo de las llamadas de eliminación mediante el efecto de acción de denegación. | DenyAction, Disabled | 1.0.1 |
| No permitir recursos de M365 | Bloquee la creación de recursos de M365. | Audit, Deny, Disabled | 1.0.0 |
| No permitir recursos de MCPP | Bloquee la creación de recursos de MCPP. | Audit, Deny, Disabled | 1.0.0 |
| Excluir recursos de costos de uso | Esta directiva le permite excluir los recursos de costos de uso. Los costos de uso incluyen elementos como el almacenamiento medido y los recursos de Azure que se facturan en función del uso. | Audit, Deny, Disabled | 1.0.0 |
| Tipos de recursos no permitidos | Restrinja qué tipos de recursos se pueden implementar en el entorno. Limitar los tipos de recursos puede reducir la complejidad y la superficie expuesta a ataques de su entorno a la vez que también ayuda a administrar los costos. Los resultados de cumplimiento solo se muestran para los recursos no compatibles. | Audit, Deny, Disabled | 2.0.0 |
Configuración de invitado
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Agregar una identidad administrada asignada por el usuario para habilitar las asignaciones de configuración de invitado en máquinas virtuales | Esta directiva agrega una identidad administrada asignada por el usuario a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado. Una identidad administrada asignada por el usuario es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: Configuración de Windows Server para deshabilitar los usuarios locales | Crea una asignación de configuración de invitado para configurar la deshabilitación de usuarios locales en Windows Server. Esto garantiza que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios permitidos explícitamente en esta directiva accedan a los servidores de Windows, lo que mejora la posición de seguridad general. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Versión preliminar]: las actualizaciones de seguridad extendidas deben instalarse en las máquinas Windows Server 2012 Arc. | Las máquinas de Windows Server 2012 Arc deben haber instalado todas las actualizaciones de seguridad extendidas publicadas por Microsoft. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: las máquinas Linux deben cumplir los requisitos de línea base de seguridad de Azure para hosts de Docker | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. La máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de Azure para los hosts de Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Versión preliminar]: Las máquinas Linux deben cumplir los requisitos de cumplimiento de STIG del proceso de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Versión preliminar]: Las máquinas Linux con OMI instalado deben tener la versión 1.6.8-1 o posterior | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Debido a una corrección de seguridad incluida en la versión 1.6.8-1 del paquete de OMI para Linux, todas las máquinas deben actualizarse a la versión más reciente. Para resolver el problema, actualice las aplicaciones o los paquetes que usan OMI. Para obtener más información, vea https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Versión preliminar]: Nexus Compute Machines debe cumplir la línea base de seguridad | Usa el agente de configuración de invitado de Azure Policy para la auditoría. Esta directiva garantiza que las máquinas se adhieren a la línea de base de seguridad de proceso Nexus, que incluye varias recomendaciones diseñadas para fortificar máquinas frente a una serie de vulnerabilidades y configuraciones no seguras (solo Linux). | AuditIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: Las máquinas Windows deben cumplir los requisitos de cumplimiento de STIG para el proceso de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si no están configuradas correctamente para una de las recomendaciones de los requisitos de cumplimiento de la STIG para el proceso de Azure. DISA (Agencia de sistemas de información de defensa) proporciona guías técnicas STIG (Guía de implementación técnica de seguridad) para proteger el sistema operativo de proceso según lo requiera el Departamento de Defensa (DoD). Para más detalles, consulte https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Linux que no tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro no están instalados. | AuditIfNotExists, Disabled | 4.2.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Linux que tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el recurso INSPEC de Chef indica que uno o varios de los paquetes proporcionados por el parámetro están instalados. | AuditIfNotExists, Disabled | 4.2.0 |
| Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar la conectividad de red de máquinas Windows | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el estado de una conexión de red con una IP y un puerto TCP no coincide con el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows en las que la configuración de DSC no sea compatible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando de Windows PowerShell Get-DSCConfigurationStatus devuelve que la configuración de DSC de la máquina no es compatible. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows en que los servicios especificados no estén instalados y en ejecución | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el resultado del comando de Windows PowerShell Get-Service no incluye el nombre del servicio con el estado de coincidencia tal y como se especifica en el parámetro de la directiva. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas Windows donde no esté habilitado Serial Console de Windows | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no tiene instalado el software de la consola serie o si el número de puerto de EMS o la velocidad en baudios no están configurados con los mismos valores que los parámetros de la directiva. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no estén unidas al dominio especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad de dominio en la clase WMI win32_computersystem no coincide con el valor del parámetro de directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que no estén establecidas en la zona horaria especificada | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el valor de la propiedad StandardName en la clase WMI Win32_TimeZone no coincide con la zona horaria seleccionada para el parámetro de directiva. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el almacén de certificados raíz de confianza de la máquina (Cert:\LocalMachine\Root) no contiene uno o varios de los certificados enumerados por el parámetro de directiva. | auditIfNotExists | 3.0.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. | AuditIfNotExists, Disabled | 2.0.0 |
| Realizar una auditoría de las máquinas Windows que no tengan instalada la directiva de ejecución específica de Windows PowerShell | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el comando Get-ExecutionPolicy de Windows PowerShell devuelve un valor distinto al seleccionado en el parámetro de directiva. | AuditIfNotExists, Disabled | 3.0.0 |
| Realizar una auditoría de las máquinas Windows que no tengan instalados los módulos específicos de Windows PowerShell | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si un módulo no está disponible en la ubicación especificada por la variable de entorno PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Windows que no tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación no se encuentra en ninguna de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que no se reiniciaron en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la propiedad de WMI LastBootUpTime en la clase Win32_Operatingsystem está fuera del intervalo de días proporcionado por el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que tienen instaladas las aplicaciones especificadas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el nombre de la aplicación se encuentra en cualquiera de las siguientes rutas de acceso del registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. | auditIfNotExists | 2.0.0 |
| Auditar las VM Windows con un reinicio pendiente | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso del registro única. | auditIfNotExists | 2.0.0 |
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Configuración de Linux Server para deshabilitar los usuarios locales. | Crea una asignación de configuración de invitado para configurar la deshabilitación de los usuarios locales en un servidor Linux. Esto garantiza que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. | DeployIfNotExists, Disabled | 1.3.0-preview |
| Configuración de protocolos de comunicación segura (TLS 1.1 o TLS 1.2) en máquinas Windows | Crea una asignación de configuración de invitado para configurar la versión de protocolo seguro especificada (TLS 1.1 o TLS 1.2) en una máquina Windows. | DeployIfNotExists, Disabled | 1.0.1 |
| Configure la zona horaria en las máquinas de Windows. | Esta directiva crea una asignación de configuración de invitado para establecer la zona horaria especificada en Windows Virtual Machines. | deployIfNotExists | 2.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Las máquinas Linux deben tener la extensión de Log Analytics instalada en Azure Arc | Las máquinas no son compatibles si la extensión de Log Analytics no está instalada en el servidor Linux habilitado para Azure Arc. | AuditIfNotExists, Disabled | 1.1.0 |
| Las máquinas Linux deben cumplir los requisitos de la base de referencia de seguridad de procesos de Azure | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Las máquinas Linux solo deben tener cuentas locales permitidas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. | AuditIfNotExists, Disabled | 2.2.0 |
| Las máquinas virtuales de Linux deben habilitar Azure Disk Encryption o EncryptionAtHost. | Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para ponerle remedio. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| Los métodos de autenticación local deben deshabilitarse en máquinas Linux | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Linux no tienen deshabilitados los métodos de autenticación local. Esto es para validar que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a los servidores Linux, lo que mejora la posición de seguridad general. | AuditIfNotExists, Disabled | 1.2.0-preview |
| Los métodos de autenticación local deben deshabilitarse en servidores Windows Server | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los servidores Windows no tienen deshabilitados los métodos de autenticación local. Esto es para validar que solo la cuenta de AAD (Azure Active Directory) o una lista de usuarios con permiso explícito de esta directiva puedan acceder a las instancias de Windows Server, lo que mejora la posición de seguridad general. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Los puntos de conexión privados para las asignaciones de configuración de invitado deben habilitarse. | Las conexiones de punto de conexión privado aplican una comunicación segura, ya que habilitan la conectividad privada con la configuración de invitado para las máquinas virtuales. Las máquinas virtuales serán no compatibles a menos que tengan la etiqueta "EnablePrivateNetworkGC". Esta etiqueta exige una comunicación segura mediante conectividad privada con la configuración de invitado para Virtual Machines. La conectividad privada limita el acceso al tráfico procedente solo de redes conocidas e impide el acceso del resto de direcciones IP, incluidas las de Azure. | Audit, Deny, Disabled | 1.1.0 |
| La Protección contra vulnerabilidades de seguridad de Windows Defender debe estar habilitada en las máquinas. | La protección contra vulnerabilidades de seguridad de Windows Defender utiliza el agente de configuración de invitado de Azure Policy. La protección contra vulnerabilidades de seguridad tiene cuatro componentes diseñados para bloquear dispositivos en una amplia variedad de vectores de ataque y comportamientos de bloque utilizados habitualmente en ataques de malware, al tiempo que permiten a las empresas equilibrar los requisitos de productividad y riesgo de seguridad (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.1.1 |
| Las máquinas Windows deben configurar Windows Defender para que actualice las firmas de protección en un plazo de un día | Para proporcionar una protección adecuada frente al malware recién publicado, las firmas de protección de Windows Defender deben actualizarse periódicamente para que abarquen el malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas Windows deben habilitar la protección en tiempo real de Windows Defender | Las máquinas Windows deben habilitar la protección en tiempo real en Windows Defender para proporcionar una protección adecuada frente al malware recién publicado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas Windows deben tener instalada la extensión de Log Analytics en Azure Arc | Las máquinas no son compatibles si el agente de Log Analytics no está instalado en el servidor de Windows habilitado para Azure Arc. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Panel de control" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Panel de control" para la personalización de entrada y para evitar que se habiliten pantallas de bloqueo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - MSS (heredado)" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - MSS (heredado)" para el inicio de sesión automático, el protector de pantalla, el comportamiento de la red, el archivo DLL seguro y el registro de eventos. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Red" para los inicios de sesión de invitado, las conexiones simultáneas, el puente de red, ICS y la resolución de nombres de multidifusión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Plantillas administrativas - Sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Plantillas administrativas - Sistema" para la configuración que determina la experiencia administrativa y la asistencia remota. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cuentas" para limitar el uso de contraseñas en blanco por parte de cuentas locales y el estado de la cuenta de invitado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Auditar" para aplicar la subcategoría de la directiva de auditoría y apagar si no es posible registrar las auditorías de seguridad. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Dispositivos" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Dispositivos" para desacoplar sin iniciar sesión, instalar controladores de impresión, así como formatear o expulsar medios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y solicitar el uso de Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cliente de redes de Microsoft" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cliente de redes de Microsoft" para el cliente/servidor de red de Microsoft y SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Servidor de red Microsoft" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso de usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Seguridad de red" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Seguridad de la red" para incluir el comportamiento del sistema local, PKU2U, LAN Manager, el cliente LDAP y el portal de autoservicio (SSP) de NTLM. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Consola de recuperación" para permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Apagar" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Apagar" para permitir el apagado sin iniciar sesión y borrar el archivo de paginación de la memoria virtual. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos para "Opciones de seguridad - Objetos del sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Objetos del sistema" sin distinción de mayúsculas y minúsculas para los subsistemas que no son de Windows y los permisos de objetos internos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Configuración del sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Configuración del sistema" para las reglas de certificado en archivos ejecutables del SRP y los subsistemas opcionales. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Control de cuentas de usuario" para el modo de administradores, el comportamiento de la petición de elevación y la virtualización de errores de escritura de archivos y del registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para el historial de contraseñas, la antigüedad, la longitud, la complejidad y el almacenamiento de contraseñas mediante cifrado reversible. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Configuración de seguridad - Directivas de cuenta" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Configuración de seguridad - Directivas de cuenta" para auditar la validación de credenciales y otros eventos de inicio de sesión de cuenta. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Administración de cuentas" para auditar la aplicación, la seguridad y la administración de grupos de usuarios, así como otros eventos de administración. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Iniciar sesión/Cerrar sesión" para auditar IPSec, la directiva de red, las notificaciones, el bloqueo de cuentas, la pertenencia a grupos y los eventos de inicio o cierre de sesión. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Acceso a objetos" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Acceso a objetos" para auditar los sistemas de archivo, registro, SAM, almacenamiento, filtrado, kernel y de otro tipo. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Cambio en directivas" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Cambio en directivas" para auditar los cambios en las directivas de auditoría del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Uso de privilegios" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Uso de privilegios" para auditar el uso no confidencial y de otros privilegios. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Sistema" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Sistema" para auditar el controlador IPsec, la integridad del sistema, la extensión del sistema, el cambio de estado y otros eventos del sistema. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Asignación de derechos de usuario" para permitir el inicio de sesión local, el protocolo RDP, el acceso desde la red y muchas otras actividades de usuario. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Componentes de Windows" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Componentes de Windows" para la autenticación básica, el tráfico no cifrado, las cuentas de Microsoft, la telemetría, Cortana y otros comportamientos de Windows. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Propiedades de Firewall de Windows" para el estado del firewall, las conexiones, la administración de reglas y las notificaciones. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas Windows deben cumplir los requisitos de línea base de seguridad de proceso de Azure. | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina no está configurada correctamente para una de las recomendaciones de la base de referencia de seguridad de procesos de Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows solo deben tener cuentas locales permitidas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Esta definición no se admite en Windows Server 2012 o 2012 R2. Administrar cuentas de usuario mediante Azure Active Directory es un procedimiento recomendado para la administración de identidades. Reducir las cuentas de máquinas locales ayuda a evitar la proliferación de identidades administradas fuera de un sistema central. Las máquinas no son compatibles si existen cuentas de usuario locales que están habilitadas y no aparecen en el parámetro de directiva. | AuditIfNotExists, Disabled | 2.0.0 |
| Las máquinas Windows deben establecer que Windows Defender realice un examen programado todos los días | Para garantizar la detección rápida de malware y minimizar su impacto en el sistema, se recomienda que las máquinas Windows con Windows Defender programen un examen diario. Asegúrese de que Windows Defender sea compatible, esté preinstalado en el dispositivo y se hayan implementado los requisitos previos de la configuración de invitado. El incumplimiento de estos requisitos podría dar lugar a resultados de evaluación inexactos. Obtenga más información sobre la configuración de invitado en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| Las máquinas Windows deben usar el servidor NTP predeterminado | Configure "time.windows.com" como servidor NTP predeterminado para todas las máquinas Windows y asegurarse de que los registros de todos los sistemas tengan relojes del sistema sincronizados. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales Windows deben habilitar Azure Disk Encryption o EncryptionAtHost. | Aunque el sistema operativo y los discos de datos de una máquina virtual están cifrados en reposo de forma predeterminada mediante claves administradas por la plataforma, los discos de recursos (discos temporales), las memorias caché de datos y los datos que fluyen entre los recursos de proceso y almacenamiento no se cifran. Use Azure Disk Encryption o EncryptionAtHost para ponerle remedio. Visite https://aka.ms/diskencryptioncomparison para comparar las ofertas de cifrado. Esta directiva requiere que se implementen dos requisitos previos en el ámbito de asignación de directiva. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
HDInsight
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los clústeres de Azure HDInsight deben insertarse en una red virtual | Al insertar clústeres de Azure HDInsight en una red virtual, se desbloquean las características avanzadas de redes y seguridad de HDInsight y se proporciona control sobre la configuración de seguridad de la red. | Audit, Disabled, Deny | 1.0.0 |
| Los clústeres de Azure HDInsight deben usar claves administradas por el cliente para cifrar los datos en reposo | Utilice claves administradas por el cliente para administrar el cifrado en reposo de los clústeres de Azure HDInsight. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| Los clústeres de Azure HDInsight deben usar el cifrado en el host para cifrar los datos en reposo. | La habilitación del cifrado en el host ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando se habilita el cifrado en el host, los datos almacenados en el host de máquina virtual se cifran en reposo y se transmiten cifrados al servido Storage. | Audit, Deny, Disabled | 1.0.0 |
| Los clústeres de Azure HDInsight deben usar el cifrado en tránsito para cifrar la comunicación entre los nodos del clúster de Azure HDInsight. | Los datos se pueden alterar durante la transmisión entre los nodos de clúster de Azure HDInsight. Al habilitar el cifrado en tránsito se solucionan los problemas de uso indebido y manipulación durante esta transmisión. | Audit, Deny, Disabled | 1.0.0 |
| Azure HDInsight debe usar un vínculo privado. | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los clústeres de Azure HDInsight, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/hdi.pl. | AuditIfNotExists, Disabled | 1.0.0 |
| Configuración de clústeres de Azure HDInsight para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en clústeres de Azure HDInsight. Más información en: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de los clústeres de Azure HDInsight con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los clústeres de Azure HDInsight, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
Health Bot
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure Health Bot debe usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente (CMK) para administrar el cifrado en reposo de los datos de los bots de mantenimiento. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las CMK suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Más información en https://docs.microsoft.com/azure/health-bot/cmk. | Audit, Disabled | 1.0.0 |
Área de trabajo de Health Data Services
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El área de trabajo de Azure Health Data Services debería usar Private Link | El área de trabajo de Health Data Services debe tener al menos una conexión de punto de conexión privado aprobada. Los clientes de una red virtual pueden acceder de forma segura a los recursos que tengan conexiones de punto de conexión privadas mediante vínculos privados. Para más información, visite https://aka.ms/healthcareapisprivatelink. | Audit, Disabled | 1.0.0 |
Healthcare API
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| CORS no debe permitir que todos los dominios accedan a la API para FHIR. | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan al servicio FHIR. Para proteger el servicio FHIR, elimine el acceso de todos los dominios y defina explícitamente los dominios que tienen permiso para conectarse. | auditoría, Auditoría, deshabilitado, Deshabilitado | 1.1.0 |
| El servicio DICOM debe usar una clave administrada por el cliente para cifrar los datos en reposo | Use una clave administrada por el cliente para controlar el cifrado en reposo de los datos almacenados en el servicio DICOM de Azure Health Data Services cuando exista un requisito normativo o de cumplimiento. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado además de la capa predeterminada que se creó mediante las claves administradas por el servicio. | Audit, Disabled | 1.0.0 |
| El servicio FHIR debe usar una clave administrada por el cliente para cifrar los datos en reposo | Use una clave administrada por el cliente para controlar el cifrado en reposo de los datos almacenados en el servicio FHIR de Azure Health Data Services cuando exista un requisito normativo o de cumplimiento. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado además de la capa predeterminada que se creó mediante las claves administradas por el servicio. | Audit, Disabled | 1.0.0 |
Internet de las cosas
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Azure IoT Hub debe usar una clave administrada por el cliente para cifrar los datos en reposo | El cifrado de datos en reposo en IoT Hub con clave administrada por el cliente agrega una segunda capa de cifrado sobre las claves administradas por el servicio predeterminadas, permite que el cliente controle las claves, las directivas de rotación personalizadas y la capacidad para administrar el acceso a los datos a través del control de acceso de claves. Las claves administradas por el cliente deben configurarse durante la creación de IoT Hub. Para más información sobre cómo configurar las claves administradas por el cliente, vea https://aka.ms/iotcmk. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los datos del servicio de aprovisionamiento de dispositivos de IoT Hub se deben cifrar con claves administradas por el cliente (CMK) | Use claves administradas por el cliente para administrar el cifrado en reposo del servicio de aprovisionamiento de dispositivos de IoT Hub. Los datos se cifran automáticamente en reposo con claves administradas por el servicio, pero las claves administradas por el cliente (CMK) suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las CMK permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Más información sobre el cifrado de CMK en https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Las cuentas de Azure Device Update deben usar claves administradas por el cliente para cifrar los datos en reposo. | El cifrado de datos en reposo en Azure Device Update con clave administrada por el cliente agrega una segunda capa de cifrado sobre las claves administradas por el servicio predeterminadas y permite que el cliente controle las claves, las directivas de rotación personalizadas y la capacidad para administrar el acceso a los datos mediante el control de acceso de claves. Más información en: https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Azure Device Update for IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a cuentas de Azure Device Update IoT Hub, se reducen los riesgos de pérdida de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure IoT Hub debe tener deshabilitados los métodos de autenticación local para las API de servicio | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que Azure IoT Hub exija exclusivamente identidades de Azure Active Directory para la autenticación de la API de servicio. Más información en: https://aka.ms/iothubdisablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Configuración de cuentas de Azure Device Update for IoT Hub para deshabilitar el acceso desde la red pública | Al deshabilitar la propiedad de acceso desde la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Device Update for IoT Hub desde un punto de conexión privado. Esta directiva deshabilita el acceso desde la red pública en recursos de Device Update for IoT Hub. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de cuentas de Azure Device Update for IoT Hub para utilizar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de Device Update for IoT Hub. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de cuentas de Azure Device Update for IoT Hub con punto de conexión privado | Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para la instancia de Device Update for IoT Hub a fin de permitir que los servicios que operan en la red virtual llegue a este recurso sin necesidad de enviar el tráfico al punto de conexión público de Device Update for IoT Hub. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de Azure IoT Hub para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que Azure IoT Hub exija exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/iothubdisablelocalauth. | Modificar, Deshabilitado | 1.0.0 |
| Configurar instancias de aprovisionamiento de dispositivos de IoT Hub para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver una instancia de servicio de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las instancias del servicios de aprovisionamiento de dispositivos de IoT Hub para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para su instancia de aprovisionamiento de dispositivos de IoT Hub para que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/iotdpsvnet. | Modificar, Deshabilitado | 1.0.0 |
| Configurar instancias del servicio de aprovisionamiento de dispositivos de IoT Hub con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, puede reducir los riesgos de pérdida de datos. Obtenga más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configurar instancias de Azure IoT Hub para usar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Hub. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Implementación: configurar instancias de Azure IoT Hub con puntos de conexión privados | Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para su IoT Hub, a fin de permitir que los servicios que operan en la red virtual puedan llegar a IoT Hub sin necesidad de enviar el tráfico al punto de conexión público de IoT Hub. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar: configurar IoT Central para usar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar: Configurar instancias de IoT Central con puntos de conexión privados | Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Esta directiva implementa un punto de conexión privado para su IoT Central, a fin de permitir que los servicios que operan en la red virtual puedan llegar a IoT Central sin necesidad de enviar el tráfico al punto de conexión público de IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| IoT Central debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su aplicación IoT Central en lugar de a todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotcentral-network-security-using-pe. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que la instancia del servicio de aprovisionamiento de dispositivos de IoT Hub no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de las instancias de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias del servicio de aprovisionamiento de dispositivos de IoT Hub deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio de aprovisionamiento de dispositivos de IoT Hub, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Modificación: configurar instancias de Azure IoT Hub para deshabilitar el acceso a la red pública | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Azure IoT Hub desde un punto de conexión privado. Esta directiva deshabilita el acceso a la red pública en recursos de IoT Hub. | Modificar, Deshabilitado | 1.0.0 |
| Modificar: configurar IoT Central para deshabilitar el acceso a la red pública | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a IoT Central desde un punto de conexión privado. Esta directiva deshabilita el acceso a la red pública en recursos de IoT Hub. | Modificar, Deshabilitado | 1.0.0 |
| El punto de conexión privado debe estar habilitado para IoT Hub | Las conexiones de punto de conexión privado aplican una comunicación segura mediante la habilitación de la conectividad privada con IoT Hub. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | Audit, Disabled | 1.0.0 |
| El acceso desde la red pública para cuentas de Azure Device Update for IoT Hub se debe deshabilitar | Al deshabilitar la propiedad de acceso desde la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a las cuentas de Azure Device Update for IoT Hub desde un punto de conexión privado. | Audit, Deny, Disabled | 1.0.0 |
| Debe deshabilitarse el acceso a la red pública en Azure IoT Hub | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad, ya que se garantiza que solo se puede acceder a Azure IoT Hub desde un punto de conexión privado. | Audit, Deny, Disabled | 1.0.0 |
| El acceso a las redes públicas debe estar deshabilitado para IoT Central | Para reforzar la seguridad de IoT Central, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/iotcentral-restrict-public-access. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Audit, Deny, Disabled | 1.0.0 |
| Los registros de recursos de IoT Hub deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 3.1.0 |
Key Vault
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Las claves HSM administradas de Azure Key Vault deben tener una fecha de expiración | Para usar esta directiva en versión preliminar, primero debe seguir estas instrucciones en https://aka.ms/mhsmgovernance. Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.1-preview |
| [Versión preliminar]: Las claves HSM administradas de Azure Key Vault deben tener más de la cantidad especificada de días antes de la expiración | Para usar esta directiva en versión preliminar, primero debe seguir estas instrucciones en https://aka.ms/mhsmgovernance. Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. | Audit, Deny, Disabled | 1.0.1-preview |
| [Versión preliminar]: Las claves HSM administradas de Azure Key Vault que utilizan criptografía de curva elíptica deben tener los nombres de curva especificados | Para usar esta directiva en versión preliminar, primero debe seguir estas instrucciones en https://aka.ms/mhsmgovernance. Las claves respaldadas por la criptografía de curva elíptica pueden tener distintos nombres de curva. Algunas aplicaciones solo son compatibles con las claves de curva elíptica específicas. Aplique los tipos de claves de curva elíptica que se pueden crear en el entorno. | Audit, Deny, Disabled | 1.0.1-preview |
| [Versión preliminar]: Las claves HSM administradas de Azure Key Vault que utilizan criptografía RSA deben tener un tamaño de clave mínimo especificado | Para usar esta directiva en versión preliminar, primero debe seguir estas instrucciones en https://aka.ms/mhsmgovernance. Establezca el tamaño mínimo permitido de la clave para usarlo con los almacenes de claves. Tenga en cuenta que no es seguro usar claves RSA con tamaños de clave pequeños, ya que no cumplen muchos requisitos de certificación del sector. | Audit, Deny, Disabled | 1.0.1-preview |
| [Versión preliminar]: HSM administrado de Azure Key Vault debe deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para HSM administrado de Azure Key Vault de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: HSM administrado de Azure Key Vault debe usar un vínculo privado | Private Link proporciona una manera de conectar HSM administrado de Azure Key Vault a los recursos de Azure sin enviar tráfico a través de la red pública de Internet. Un vínculo privado proporciona varios niveles de protección contra la filtración de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
| [versión preliminar]: Una de las entidades de certificación no integradas especificadas debe emitir certificados | Administre los requisitos de cumplimiento de la organización especificando entidades de certificación personalizadas o internas que pueden emitir certificados en el almacén de claves. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: configuración del HSM administrado de Azure Key Vault para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para HSM administrado de Azure Key Vault de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modificar, Deshabilitado | 2.0.0-preview |
| [Versión preliminar]: configuración de HSM administrado de Azure Key Vault con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a HSM administrado de Azure Key Vault, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
| El HSM administrado de Azure Key Vault debe tener habilitada la protección contra purgas. | La eliminación malintencionada de un HSM administrado de Azure Key Vault puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar HSM administrados de Azure Key Vault. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para HSM administrados de Azure Key Vault eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar HSM administrados de Azure Key Vault durante el período de retención de eliminación temporal. | Audit, Deny, Disabled | 1.0.0 |
| Azure Key Vault debe deshabilitar el acceso de red público. | Deshabilite el acceso de red público para el almacén de claves de modo que no sea accesible mediante la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 1.1.0 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault debe usar el modelo de permisos RBAC | Habilite el modelo de permisos de RBAC en Key Vaults. Más información en: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
| Las instancias de Azure Key Vault deben usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Los certificados debe emitirlos la entidad de certificación integrada que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique las entidades de certificación integradas de Azure que pueden emitir certificados en el almacén de claves, como DigiCert o GlobalSign. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Los certificados debe emitirlos la entidad de certificación no integrada que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique una entidad de certificación interna o personalizada que pueda emitir certificados en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
| Los certificados deben disponer de los desencadenadores de acciones de duración que se hayan especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique si se desencadenará una acción de duración del certificado cuando se alcance un porcentaje determinado de duración o un número determinado de días antes de la expiración. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Los certificados deben tener el periodo de máximo de validez que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo que un certificado puede ser válido en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Los certificados no deben expirar en el transcurso del número de días que se haya especificado | Administre los certificados que expirarán en el transcurso del número de días que se haya especificado para asegurarse de que su organización disponga de tiempo suficiente para la rotación del certificado antes de la expiración. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.1 |
| Los certificados deben utilizar tipos de clave admitidos | Administre los requisitos de cumplimiento de su organización. Para ello, restrinja los tipos de clave admitidos para los certificados. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Los certificados que usan la criptografía de curva elíptica deben tener nombres de curva admitidos | Administre los nombres de curva elíptica permitidos para los certificados ECC guardados en el almacén de claves. Dispone de más información en https://aka.ms/akvpolicy. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Los certificados que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique un tamaño mínimo de clave para los certificados RSA guardados en el almacén de claves. | audit, Audit, deny, Deny, disabled, Disabled | 2.1.0 |
| Configurar instancias de Azure Key Vault para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver en el almacén de claves. Más información en: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar instancias de Azure Key Vault con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados al almacén de claves, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar almacenes de claves para habilitar el firewall | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. A continuación, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Modificar, Deshabilitado | 1.1.1 |
| Implementación: configurar las opciones de diagnóstico de Azure Key Vault en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de Azure Key Vault para transmitir los registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de Key Vault a la que le falta esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.1 |
| Implementar: realizar la configuración de diagnóstico en un centro de eventos para que se habilite en el HSM administrado de Azure Key Vault | Permite implementar la configuración de diagnóstico en el HSM administrado de Azure Key Vault para que se transmita a un centro de eventos regional cuando se cree o actualice cualquier HSM administrado de Azure Key Vault en el que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la configuración de diagnóstico para Key Vault en el Centro de eventos | Implementa la configuración de diagnóstico para que Key Vault se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Key Vault a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 3.0.1 |
| Las claves de Key Vault deben tener una fecha de expiración | Las claves criptográficas deben tener una fecha de expiración definida y no ser permanentes. Las claves que no expiran proporcionan a los posibles atacantes más tiempo para hacerse con ellas. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en las claves criptográficas. | Audit, Deny, Disabled | 1.0.2 |
| Los secretos de Key Vault deben tener una fecha de expiración | Los secretos deben tener una fecha de expiración definida y no ser permanentes. Los secretos que no expiran proporcionan a un posible atacante más tiempo para ponerlos en peligro. Por ello, se recomienda como práctica de seguridad establecer fechas de expiración en los secretos. | Audit, Deny, Disabled | 1.0.2 |
| Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
| Los almacenes de claves deben tener habilitada la eliminación temporal | Si se elimina un almacén de claves que no tenga habilitada la eliminación temporal, se eliminarán permanentemente todos los secretos, claves y certificados almacenados en ese almacén de claves. La eliminación accidental de un almacén de claves puede provocar una pérdida de datos permanente. La eliminación temporal permite recuperar un almacén de claves eliminado accidentalmente durante un período de retención configurable. | Audit, Deny, Disabled | 3.0.0 |
| Las claves deben estar respaldadas por un módulo de seguridad de hardware (HSM) | Un HSM es un módulo de seguridad de hardware que almacena claves. Un HSM proporciona una capa física de protección para las claves criptográficas. La clave criptográfica no puede salir de un HSM físico que proporciona un mayor nivel de seguridad que una clave de software. | Audit, Deny, Disabled | 1.0.1 |
| Las claves deben ser del tipo criptográfico especificado, RSA o EC | Algunas aplicaciones requieren el uso de claves respaldadas por un tipo criptográfico específico. Aplique un tipo de clave criptográfica (ya sea RSA o EC) determinado en su entorno. | Audit, Deny, Disabled | 1.0.1 |
| Las claves deben tener una directiva de rotación que garantice que su rotación esté programada en el número de días especificado después de la creación. | Especifique el número máximo de días después de la creación de claves hasta que se deba rotar para administrar los requisitos de cumplimiento de la organización. | Audit, Disabled | 1.0.0 |
| Las claves deben tener más días que los especificados en la expiración | Si una clave está demasiado cerca de la expiración, un retraso de la organización para rotar la clave puede producir una interrupción. Las claves se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. | Audit, Deny, Disabled | 1.0.1 |
| Las claves deben tener un período de validez máximo especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que una clave puede ser válido en el almacén de claves. | Audit, Deny, Disabled | 1.0.1 |
| Las claves no deben estar activas durante más tiempo que el número especificado de días | Especifique el número de días que debe estar activa una clave. Las claves que se usan durante un período de tiempo prolongado aumentan la probabilidad de que un atacante pueda ponerlas en peligro. Por ello, se recomienda como práctica de seguridad que las claves no estén activas durante más de dos años. | Audit, Deny, Disabled | 1.0.1 |
| Las claves que usan criptografía de curva elíptica deben tener especificados los nombres de curva | Las claves respaldadas por la criptografía de curva elíptica pueden tener distintos nombres de curva. Algunas aplicaciones solo son compatibles con las claves de curva elíptica específicas. Aplique los tipos de claves de curva elíptica que se pueden crear en el entorno. | Audit, Deny, Disabled | 1.0.1 |
| Las claves que usan la criptografía RSA deben tener el tamaño de clave mínimo que se haya especificado | Establezca el tamaño mínimo permitido de la clave para usarlo con los almacenes de claves. Tenga en cuenta que no es seguro usar claves RSA con tamaños de clave pequeños, ya que no cumplen muchos requisitos de certificación del sector. | Audit, Deny, Disabled | 1.0.1 |
| Los registros de recursos del HSM administrado de Azure Key Vault deben estar habilitados. | Para volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o cuando la red se ve comprometida, es posible que desee realizar auditorías habilitando los registros de recursos en HSM administrados. Siga las instrucciones que encontrará aquí: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los secretos deben tener establecido el tipo de contenido | Una etiqueta de tipo de contenido le permitirá identificar si un secreto es una contraseña, una cadena de conexión, etc. Los distintos secretos tienen diferentes requisitos de rotación. La etiqueta de tipo de contenido debe establecerse en secretos. | Audit, Deny, Disabled | 1.0.1 |
| Los secretos deben tener más días que los especificados en la expiración | Si un secreto está demasiado cerca de la expiración, un retraso de la organización para rotar el secreto puede producir una interrupción. Los secretos se deben rotar cuando falta un número especificado de días antes de la expiración, para proporcionar el tiempo suficiente para reaccionar ante un error. | Audit, Deny, Disabled | 1.0.1 |
| Los secretos deben tener un período de validez máximo especificado | Administre los requisitos de cumplimiento de su organización. Para ello, especifique la cantidad máxima de tiempo en días que un secreto puede ser válido en el almacén de claves. | Audit, Deny, Disabled | 1.0.1 |
| Los secretos no deben estar activos durante más tiempo que el número especificado de días | Si los secretos se crearon con una fecha de activación establecida en el futuro, debe asegurarse de que esos secretos no hayan estado activos durante más tiempo del especificado. | Audit, Deny, Disabled | 1.0.1 |
Kubernetes
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: [Integridad de la imagen] Los clústeres de Kubernetes solo deben usar imágenes firmadas por notación | Utilice imágenes firmadas por notación para asegurarse de que provengan de fuentes confiables y no se modifiquen maliciosamente. Para más información, visite https://aka.ms/aks/image-integrity | Audit, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los clústeres de Kubernetes con Azure Arc habilitado deben tener instalada la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Versión preliminar]: No se pueden editar nodos individuales | No se pueden editar nodos individuales. Los usuarios no deben editar nodos individuales. Edite los grupos de nodos. La modificación de nodos individuales puede provocar configuraciones incoherentes, desafíos operativos y posibles riesgos de seguridad. | Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: Configurar clústeres de Kubernetes con Azure Arc habilitado para instalar la extensión de Microsoft Defender for Cloud | La extensión Microsoft Defender for Cloud para Azure Arc proporciona protección contra amenazas para los clústeres de Kubernetes habilitados para Arc. La extensión recopila datos de todos los nodos del clúster y los envía al back-end de Azure Defender para Kubernetes en la nube para su posterior análisis. Puede encontrar más información en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Versión preliminar]: Implementar integridad de imagen en AKS | Implemente la integridad de la imagen y los clústeres de Azure Kubernetes de complementos de directiva. Para más información, visite https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-preview |
| [Vista previa]: Las imágenes de contenedor de clúster de Kubernetes deben incluir la tecla para colgar y descolgar preStop | Requiere que las imágenes de contenedor incluyan un enlace preStop para finalizar correctamente los procesos durante los apagados del pod. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vista previa]: Las imágenes de contenedor del clúster de Kubernetes no deberían incluir la etiqueta de imagen más reciente | Requiere que las imágenes de contenedor no usen la etiqueta más reciente de Kubernetes; se trata de un procedimiento recomendado para garantizar la reproducibilidad, evitar actualizaciones no deseadas y facilitar la depuración y reversiones mediante imágenes de contenedor explícitas y con versión. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los contenedores de clúster de Kubernetes solo deben extraer imágenes cuando haya secretos de extracción de imágenes presentes | Restricción de extracciones de imágenes de los contenedores para exigir la presencia de ImagePullSecrets, que garantiza el acceso seguro y autorizado a las imágenes de un clúster de Kubernetes | Audit, Deny, Disabled | 1.1.0-preview |
| [Versión preliminar]: los servicios de clúster de Kubernetes deben usar selectores únicos | Asegúrese de que los servicios en un espacio de nombres tengan selectores únicos. Un selector de servicio único garantiza que cada servicio en un espacio de nombres sea identificable de forma única en función de criterios específicos. Esta directiva sincroniza los recursos de entrada en OPA mediante Gatekeeper. Antes de aplicarla, compruebe que no se superará la capacidad de memoria de pods de Gatekeeper. Los parámetros se aplican a espacios de nombres específicos, pero sincroniza todos los recursos de ese tipo en todos los espacios de nombres. Actualmente está en versión preliminar para Kubernetes Service (AKS). | Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: el clúster de Kubernetes debe implementar presupuestos de interrupciones de pods precisos | Evita los presupuestos defectuosos de interrupción de pods, lo que garantiza un número mínimo de pods operativos. Consulta la documentación oficial de Kubernetes para más información. Se basa en la replicación de datos de Gatekeeper y sincroniza todos los recursos de entrada con ese ámbito en OPA. Antes de aplicar esta directiva, asegúrate de que los recursos de entrada sincronizados no restringen la capacidad de memoria. Aunque los parámetros evalúan espacios de nombres específicos, se sincronizarán todos los recursos de ese tipo entre espacios de nombres. Nota: Actualmente está en versión preliminar para Kubernetes Service (AKS). | Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: Los clústeres de Kubernetes deben restringir la creación del tipo de recurso especificado | Dado el tipo de recurso de Kubernetes no se debe implementar en un determinado espacio de nombres. | Audit, Deny, Disabled | 2.2.0-preview |
| [Versión preliminar]: Conjunto de reglas antiafinidad imprescindible | Esta directiva garantiza que los pods estén programados en distintos nodos del clúster. Al aplicar reglas de antiafinidad, la disponibilidad se mantiene incluso si uno de los nodos deja de estar disponible. Los pods seguirán ejecutándose en otros nodos, lo que mejorará la resistencia. | Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: Sin etiquetas específicas AKS | Impide que los clientes apliquen etiquetas específicas de AKS. AKS usa etiquetas precedidas por kubernetes.azure.com para indicar componentes que son propiedad de AKS. El cliente no debe usar estas etiquetas. |
Audit, Deny, Disabled | 1.1.1-preview |
| [Versión preliminar]: Marcas del grupo del sistema reservado | Restringe la intolerancia CriticalAddonsOnly solo al grupo del sistema. AKS usa la intolerancia CriticalAddonsOnly para mantener los pods del cliente alejados del grupo de sistemas. Garantiza una separación clara entre los componentes de AKS y los pods del cliente, al igual que evita que los pods del cliente se expulsen si no toleran la intolerancia CriticalAddonsOnly. | Audit, Deny, Disabled | 1.1.1-preview |
| [Vista previa]: Restringe la etiqueta CriticalAddonsOnly solo al grupo del sistema. | Para evitar la expulsión de aplicaciones de usuario de grupos de usuarios y mantener la separación de problemas entre los grupos de usuarios y del sistema, la intolerancia "CriticalAddonsOnly" no se debe aplicar a grupos de usuarios. | Mutar, Deshabilitado | 1.1.0-preview |
| [Vista previa]: Establece los límites de CPU de los contenedores de clúster de Kubernetes en valores predeterminados en caso de que no estén presentes o superen los límites. | Establecimiento de límites de CPU de contenedor para evitar ataques de agotamiento de recursos en un clúster de Kubernetes. | Mutar, Deshabilitado | 1.1.0-preview |
| [Vista previa]: Establece los límites de memoria de los contenedores de clúster de Kubernetes en valores predeterminados en caso de que no estén presentes o superen los límites. | Establecimiento de límites de memoria de contenedor para evitar ataques de agotamiento de recursos en un clúster de Kubernetes. | Mutar, Deshabilitado | 1.1.0-preview |
| [Vista previa]: Establece los pods maxUnavailable en 1 para los recursos PodDisruptionBudget | Establecer el valor máximo de pods no disponibles en 1 garantiza que la aplicación o el servicio estén disponibles durante una interrupción | Mutar, Deshabilitado | 1.1.0-preview |
| [Vista previa]: Establece readOnlyRootFileSystem en true en la especificación del pod en los contenedores de inicialización si no se establece. | Al establecer readOnlyRootFileSystem en true, aumenta la seguridad al evitar que los contenedores escriban en el sistema de archivos raíz. Esto solo funciona para contenedores de Linux. | Mutar, Deshabilitado | 1.1.0-preview |
| [Vista previa]: Establece readOnlyRootFileSystem en true en la especificación del pod si no se establece. | Al establecer readOnlyRootFileSystem en true, aumenta la seguridad al evitar que los contenedores escriban en el sistema de archivos raíz | Mutar, Deshabilitado | 1.1.0-preview |
| Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy | La extensión Azure Policy para Azure Arc proporciona medidas de seguridad y cumplimiento a escala en los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Open Service Mesh instalada | La extensión Open Service Mesh proporciona todas las capacidades de malla de servicio estándar para la seguridad, la administración del tráfico y la capacidad de observación de los servicios de aplicación. Más información aquí: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Strimzi Kafka | La extensión Strimzi Kafka proporciona a los operadores la instalación de Kafka para crear canalizaciones de datos en tiempo real y aplicaciones de streaming con funcionalidades de seguridad y observabilidad. Más información aquí: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes deben habilitar Container Storage Interface (CSI) | La interfaz de almacenamiento de contenedores (CSI) es un estándar para exponer sistemas de almacenamiento de archivos y bloques arbitrarios a cargas de trabajo en contenedores en Azure Kubernetes Service. Para obtener más información, https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes deben habilitar el Servicio de administración de claves (KMS) | Use el Servicio de administración de claves (KMS) para cifrar los datos secretos en reposo en etcd con el fin de proteger el clúster de Kubernetes. Más información en: https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes deben usar Azure CNI | Azure CNI es un requisito previo para algunas características de Azure Kubernetes Service, incluidas las directivas de red de Azure, los grupos de nodos de Windows y el complemento de nodos virtuales. Más información en: https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
| Los clústeres de Azure Kubernetes Service deben deshabilitar la invocación de comandos | Deshabilitar la invocación de comandos puede mejorar la seguridad, puesto que evita la omisión del acceso restringido a la red o el control de acceso basado en roles de Kubernetes | Audit, Disabled | 1.0.1 |
| Los clústeres de Azure Kubernetes Service deben habilitar la actualización automática del sistema operativo del clúster | La actualización automática del clúster de AKS puede asegurarse de que los clústeres estén actualizados y no pierda las características o revisiones más recientes de AKS y Kubernetes ascendentes. Más información en: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes Service deben habilitar Image Cleaner | Image Cleaner realiza la identificación y eliminación automáticas de imágenes vulnerables y sin usar, lo que mitiga el riesgo de imágenes obsoletas y reduce el tiempo necesario para limpiarlas. Más información en: https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes Service deben habilitar la integración de Microsoft Entra ID | La integración de Microsoft Entra ID administrada por AKS puede administrar el acceso a los clústeres mediante la configuración del control de acceso basado en roles de Kubernetes (RBAC de Kubernetes) en función de la identidad de un usuario o la pertenencia a grupos de directorios. Más información en: https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
| Los clústeres de Azure Kubernetes Service deben habilitar la actualización automática del sistema operativo del nodo | La actualización automática del sistema operativo del nodo de AKS controla las actualizaciones de seguridad del sistema operativo de nivel de nodo. Más información en: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes Service deben habilitar la identidad de carga de trabajo | La identidad de carga de trabajo permite asignar una identidad única a cada pod de Kubernetes y asociarla a recursos protegidos de Azure AD, como Azure Key Vault, lo que permite el acceso seguro a estos recursos desde el pod. Más información en: https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
| Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender | Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.AzureDefender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Más información sobre Microsoft Defender para registros de contenedor en https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
| Los clústeres de Azure Kubernetes Service deben tener los métodos de autenticación local deshabilitados | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los clústeres de Azure Kubernetes Service deben exigir exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
| Los clústeres de Azure Kubernetes Service deben usar identidades administradas | Use identidades administradas para encapsular entidades de servicio, simplificar la administración de clústeres y evitar la complejidad necesaria para las entidades de servicio administradas. Más información en: https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
| Los clústeres privados de Azure Kubernetes Service deben estar habilitados | Habilite la característica de clúster privado para el clúster de Azure Kubernetes Service a fin de asegurarse de que el tráfico de red entre el servidor de API y los grupos de nodos permanece solo en la red privada. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| El complemento Azure Policy para Kubernetes Service (AKS) debería estar instalado y habilitado en sus clústeres | El complemento Azure Policy para Kubernetes Service (AKS) amplía Gatekeeper v3, un webhook del controlador de admisión de Open Policy Agent (OPA), para aplicar imposiciones y medidas de seguridad a escala en los clústeres de forma centralizada y coherente. | Audit, Disabled | 1.0.2 |
| Los sistemas operativos y los discos de datos de los clústeres de Azure Kubernetes Service deben cifrarse mediante claves administradas por el cliente | El cifrado de los sistemas operativos y los discos de datos mediante claves administradas por el cliente proporciona más control y mayor flexibilidad para la administración de claves. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
| Configurar clústeres de Kubernetes habilitados para Azure Arc para instalar la extensión de Azure Policy | Implemente la extensión de Azure Policy para Azure Arc a fin de proporcionar cumplimientos a escala y proteger los clústeres de Kubernetes habilitados para Arc de forma centralizada y coherente. Obtenga más información en https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurar clústeres de Azure Kubernetes Service para habilitar el perfil de Defender | Microsoft Defender para Contenedores proporciona funcionalidades de seguridad de Kubernetes nativas de la nube, como protección del entorno, protección de cargas de trabajo y protección en tiempo de ejecución. Al habilitar SecurityProfile.Defender en el clúster de Azure Kubernetes Service, se implementa un agente en el clúster para recopilar datos de eventos de seguridad. Obtenga más información sobre Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| Configurar la instalación de la extensión Flux en el clúster de Kubernetes | Instalar la extensión Flux en el clúster de Kubernetes para habilitar la implementación de "fluxconfigurations" en el clúster | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el origen y los secretos del cubo en KeyVault | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere un objeto SecretKey de cubo almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y el certificado de entidad de certificación de HTTPS | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un certificado de entidad de certificación HTTPS. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos HTTPS | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada HTTPS almacenada en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos locales | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT y los secretos SSH | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición requiere un secreto de clave privada SSH almacenado en Key Vault. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de Flux v2 mediante el repositorio GIT público | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio de Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con el origen de cubo de Flux v2 especificado mediante secretos locales | Implemente un objeto "fluxConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del cubo definido. Esta definición requiere secretos de autenticación locales almacenados en el clúster de Kubernetes. Para obtener instrucciones, visite https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos HTTPS | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere que los secretos de usuario y clave de HTTPS estén almacenados en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada sin secretos | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición no requiere ningún secreto. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurar clústeres de Kubernetes con la configuración de GitOps especificada con secretos SSH | Implemente un objeto "sourceControlConfiguration" en los clústeres de Kubernetes para garantizar que los clústeres obtienen su origen de verdad para las cargas de trabajo y las configuraciones del repositorio Git definido. Esta definición requiere un secreto de clave privada SSH en Key Vault. Para obtener instrucciones, visite https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurar clústeres de Azure Kubernetes Service integrados de Microsoft Entra ID con el acceso de grupo de administración necesario | Asegúrese de mejorar la seguridad del clúster mediante un control centralizado del acceso de administrador a los clústeres de AKS integrados de Microsoft Entra ID. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurar la actualización automática del sistema operativo de nodo en el clúster de Azure Kubernetes | Usar la actualización automática del sistema operativo de nodo para controlar las actualizaciones de seguridad del sistema operativo de nivel de nodo de los clústeres de Azure Kubernetes Service (AKS). Para más información, visite https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Implementación: configure las opciones de diagnóstico de Azure Kubernetes Service en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de Azure Kubernetes Service para transmitir los registros de recursos a un área de trabajo de Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
| Implementación del complemento de Azure Policy en los clústeres de Azure Kubernetes Service | Use el complemento de Azure Policy para administrar e informar sobre el estado de cumplimiento de los clústeres de Azure Kubernetes Service (AKS). Para obtener más información, vea https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Implementar Image Cleaner en Azure Kubernetes Service | Implementar Image Cleaner en clústeres de Azure Kubernetes. Para más información, visite https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Implemente el mantenimiento planificado para programar y controlar las actualizaciones del clúster de Azure Kubernetes Service (AKS) | El mantenimiento planeado permite programar ventanas de mantenimiento semanales para realizar actualizaciones y minimizar el impacto en la carga de trabajo. Una vez se programen, las actualizaciones ocurren solo durante la ventana que se seleccionó. Más información en: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Deshabilitar la invocación de comandos en los clústeres de Azure Kubernetes Service | Si deshabilita la invocación de comandos, puede mejorar la seguridad al rechazar el acceso de invoke-command al clúster | DeployIfNotExists, Disabled | 1.2.0 |
| Asegúrese de que los contenedores de clúster tienen configurados sondeos de comprobación o ejecución | Esta directiva exige que todos los pods tengan configurados sondeos de preparación o ejecución. Los sondeos pueden ser cualquiera de tipo tcpSocket, httpGet y exec. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para instrucciones sobre el uso de esta directiva, visite https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| Asegurarse de que los límites de los recursos de memoria y CPU del contenedor no superan los límites especificados en el clúster de Kubernetes | Aplique límites de recursos de CPU y memoria de contenedor en un clúster de Kubernetes para evitar los ataques de agotamiento de recursos. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Los contenedores del clúster de Kubernetes no deben compartir el identificador de proceso del host ni el espacio de nombres IPC del host | No permita que los contenedores de pods compartan el espacio de nombres de id. de proceso de host ni el espacio de nombres de IPC de host en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.2 y 5.2.3 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los contenedores de clúster de Kubernetes no deben usar interfaces sysctl prohibidas | Los contenedores no deben usar interfaces sysctl prohibidas en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de AppArmor permitidos | Los contenedores solo deben usar perfiles de AppArmor permitidos en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar funcionalidades permitidas | Restrinja las funcionalidades para reducir la superficie de contenedores expuesta a ataques en un clúster de Kubernetes. Esta recomendación forma parte de las versiones 5.2.8 y 5.2.9 de CIS, diseñadas para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Asegurarse de que solo se admiten las imágenes de contenedor permitidas en el clúster de Kubernetes | Use imágenes de registros de confianza para reducir el riesgo de exposición del clúster de Kubernetes a vulnerabilidades desconocidas, problemas de seguridad e imágenes malintencionadas. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Los contenedores de clúster de Kubernetes solo deben usar el tipo ProcMountType permitido | Los contenedores de pods solo pueden usar tipos ProcMountType permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.1 |
| Los contenedores de clúster de Kubernetes solo deben usar la directiva de extracción permitida | Restrinja la directiva de extracción de los contenedores para exigir que los contenedores solo usen imágenes permitidas en implementaciones. | Audit, Deny, Disabled | 3.1.0 |
| Los contenedores de clúster de Kubernetes solo deben usar perfiles de seccomp permitidos | Los contenedores de pods solo pueden usar perfiles de seccomp permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los contenedores del clúster de Kubernetes deben ejecutarse con un sistema de archivos raíz de solo lectura | Ejecute contenedores con un sistema de archivos raíz de solo lectura para protegerlos de los cambios en tiempo de ejecución con la incorporación de archivos binarios malintencionados a la ruta de acceso en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Los volúmenes FlexVolume del pod de clúster de Kubernetes solo deben usar controladores permitidos | Los volúmenes FlexVolume del pod solo deben usar controladores permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Los volúmenes hostPath del pod del clúster de Kubernetes solo deben usar rutas de host permitidas | Limite los montajes de volumen hostPath del pod a las rutas de acceso de host permitidas en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y Kubernetes habilitado para Azure Arc. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los contenedores y pods de clúster de Kubernetes solo deben ejecutarse con identificadores de usuario y grupo aprobados | Controle los id. de usuario, grupo principal, grupo adicional y grupo de sistema de archivos que los pods y los contenedores pueden usar para ejecutarse en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Los pods y contenedores de los clústeres de Kubernetes solo deben usar opciones de SELinux permitidas | Los pods y contenedores solo deben usar opciones de SELinux permitidas en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Los pods del clúster de Kubernetes solo pueden usar tipos de volumen permitidos | Los pods solo pueden usar tipos de volúmenes permitidos en los clústeres de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.1 |
| Los pods del clúster de Kubernetes solo pueden usar redes de host e intervalos de puerto permitidos | Restringe el acceso de los pods a la red del host y el intervalo de puertos de host permitidos en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.4 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Los pods del clúster de Kubernetes deben usar etiquetas especificadas | Use las etiquetas especificadas para identificar los pods en un clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los servicios de clúster de Kubernetes solo deben escuchar en los puertos permitidos | Restrinja los servicios para que escuchen solo en puertos permitidos para proteger el acceso al clúster de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Los servicios de clúster de Kubernetes solo deben usar direcciones IP externas permitidas | Use direcciones IP externas permitidas para evitar un ataque potencial (CVE-2020-8554) en un clúster de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| No permitir contenedores con privilegios en el clúster de Kubernetes | No permita la creación de contenedores con privilegios en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.1 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| El clúster de Kubernetes no debe usar pods desnudos | Bloquee el uso de pods desnudos. Los pods desnudos no se volverán a programar en caso de error de nodo. Los pods deben administrarse mediante Deployment, Replicset, DaemonSet o Jobs | Audit, Deny, Disabled | 2.1.0 |
| Los contenedores de Windows del clúster de Kubernetes no deben sobreasignar la CPU y la memoria | Las solicitudes de recursos de contenedores de Windows deben ser menores o iguales que el límite de recursos o no estar especificados para evitar sobreasignaciones. Si la memoria de Windows está sobreaprovisionada, procesará las páginas en el disco, lo que puede ralentizar el rendimiento, en lugar de terminar el contenedor con memoria insuficiente. | Audit, Deny, Disabled | 2.1.0 |
| Los contenedores de Windows del clúster de Kubernetes no deben ejecutarse como ContainerAdministrator | Evite el uso de ContainerAdministrator como usuario para ejecutar los procesos de contenedor para pods o contenedores de Windows. Esta recomendación está pensada para mejorar la seguridad de los nodos Windows. Para obtener más información, consulta https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.1.0 |
| Los contenedores de Windows del clúster de Kubernetes solo deben ejecutarse con un grupo de usuarios de dominio y usuario aprobado | Controle el usuario que los contenedores y pods de Windows pueden usar para ejecutarse en un clúster de Kubernetes. Esta recomendación forma parte de las directivas de seguridad de los pods sobre los nodos de Windows, que están pensadas para mejorar la seguridad de los entornos de Kubernetes. | Audit, Deny, Disabled | 2.1.0 |
| Los clústeres de Kubernetes solo deben ser accesibles mediante HTTPS | El uso de HTTPS garantiza la autenticación y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Esta capacidad está disponible actualmente con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para más información, visite https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Los clústeres de Kubernetes deben deshabilitar las credenciales de la API de montaje automático | Deshabilite las credenciales de la API de montaje automático para evitar que un recurso de pod de riesgo ejecute comandos de la API en clústeres de Kubernetes. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Los clústeres de Kubernetes deben asegurarse de que el rol de administrador del clúster solo se usa cuando sea necesario | El rol "administrador de clústeres" proporciona potencias de gran alcance sobre el entorno y solo se debe usar cuando sea necesario y cuando sea necesario. | Audit, Disabled | 1.0.0 |
| Los clústeres de Kubernetes deben minimizar el uso de caracteres comodín en el rol y en el rol de clúster | El uso de caracteres comodín ("*") puede ser un riesgo de seguridad porque concede permisos amplios que pueden no ser necesarios para un rol específico. Si un rol tiene demasiados permisos, podría ser abusado por un atacante o un usuario comprometido para obtener acceso no autorizado a los recursos del clúster. | Audit, Disabled | 1.0.0 |
| Los clústeres de Kubernetes no deben permitir la elevación de privilegios del contenedor | No permita que los contenedores se ejecuten con elevación de privilegios en la raíz en un clúster de Kubernetes. Esta recomendación forma parte de la versión 5.2.5 de CIS, diseñada para mejorar la seguridad de los entornos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Los clústeres de Kubernetes no deben permitir permisos de edición de puntos de conexión de ClusterRole/System:aggregate-to-edit | ClusterRole/system:aggregate-to-edit no debe permitir permisos de edición de puntos de conexión debido a CVE-2021-25740, los permisos Endpoint & EndpointSlice permiten el reenvío entre espacios de nombres, https://github.com/kubernetes/kubernetes/issues/103675. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.1.0 |
| Los clústeres de Kubernetes no deben conceder funcionalidades de seguridad CAP_SYS_ADMIN. | Para reducir la superficie expuesta a ataques de sus contenedores, restrinja las funcionalidades CAP_SYS_ADMIN de Linux. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los clústeres de Kubernetes no deben usar funcionalidades de seguridad específicas | Evite las funcionalidades de seguridad específicas en los clústeres de Kubernetes para impedir los privilegios no concedidos en el recurso de pod. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Los clústeres de Kubernetes no deben usar el espacio de nombres predeterminado | Evite el uso del espacio de nombres predeterminado en los clústeres de Kubernetes para proteger del acceso no autorizado a los tipos de recurso ConfigMap, Pod, Secret, Service y ServiceAccount. Para más información, consulte https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.1.0 |
| Los clústeres de Kubernetes deben usar el controlador StorageClass de Container Storage Interface (CSI) | La interfaz de almacenamiento de contenedores (CSI) es un estándar para exponer sistemas de almacenamiento de archivos y bloques arbitrarios a cargas de trabajo en contenedores en Kubernetes. El aprovisionador en árbol StorageClass debería estar en desuso desde la versión 1.21 de AKS. Para obtener más información, https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
| Los clústeres de Kubernetes deben usar equilibradores de carga internos | Use equilibradores de carga internos para que un servicio de Kubernetes sea accesible solo para las aplicaciones que se ejecutan en la misma red virtual que el clúster de Kubernetes. Para obtener más información, vea https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Los recursos Kubernetes deben tener las anotaciones necesarias | Asegúrese de que las anotaciones necesarias están asociadas en un tipo de recurso de Kubernetes determinado para mejorar la administración de recursos en los recursos de Kubernetes. Esta directiva está disponible con carácter general para Kubernetes Service (AKS) y en versión preliminar para Kubernetes habilitado para Azure Arc. Para obtener más información, vea https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.1.0 |
| Los registros de recursos de Azure Kubernetes Service se deben habilitar | Los registros de recursos de Azure Kubernetes Service pueden ayudar a volver a crear trazos de actividad al investigar incidentes de seguridad. Habilite esta opción para asegurarse de que los registros existirán cuando sea necesario | AuditIfNotExists, Disabled | 1.0.0 |
| Los discos temporales y la memoria caché de los grupos de nodos agente en los clústeres de Azure Kubernetes Service deben cifrarse en el host | Para mejorar la seguridad de los datos, los datos almacenados en el host de las máquinas virtuales de los nodos de Azure Kubernetes Service deben cifrarse en reposo. Este es un requisito común de muchos estándares de cumplimiento normativo y del sector. | Audit, Deny, Disabled | 1.0.1 |
Lab Services
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Lab Services debe habilitar todas las opciones para el apagado automático | Esta directiva proporciona ayuda con la administración de costos, pues obliga a que todas las opciones de apagado automático estén habilitadas para un laboratorio. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services no debe permitir máquinas virtuales de plantilla para laboratorios | Esta directiva impide la creación y personalización de máquinas virtuales de plantilla para laboratorios administrados a través de Lab Services. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services debe requerir un usuario que no sea administrador para los laboratorios | Esta directiva requiere que se creen cuentas de usuario que no sean de administrador para los laboratorios administrados a través de lab-services. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services debe restringir los tamaños de SKU de máquina virtual permitidos | Esta directiva le permite restringir determinadas SKU de máquina virtual de proceso para laboratorios administrados a través de Lab Services. Esto restringirá determinados tamaños de máquina virtual. | Audit, Deny, Disabled | 1.1.0 |
Lighthouse
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Permite administrar los id. de inquilino que se incorporarán mediante Azure Lighthouse | La restricción de las delegaciones de Azure Lighthouse a inquilinos de administración concretos aumenta la seguridad, ya que limita los usuarios que pueden administrar los recursos de Azure. | deny | 1.0.1 |
| Auditar la delegación de ámbitos a un inquilino de administración. | Audita la delegación de los ámbitos a un inquilino de administración a través de Azure Lighthouse. | Audit, Disabled | 1.0.0 |
Logic Apps
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El Entorno del servicio de integración de Logic Apps se debe cifrar con claves administradas por el cliente. | Realice la implementación en el Entorno del servicio de integración para administrar el cifrado en reposo de los datos de Logic Apps con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Audit, Deny, Disabled | 1.0.0 |
| Logic Apps debe implementarse en el Entorno del servicio de integración. | La implementación de Logic Apps en el Entorno del servicio de integración en una red virtual desbloquea las características avanzadas de redes y seguridad de Logic Apps y proporciona un mayor control sobre la configuración de la red. Más información en: https://aka.ms/integration-service-environment. La implementación en el Entorno del servicio de integración también permite el cifrado con claves administradas por el cliente, que proporciona protección de datos mejorada al permitirle administrar sus claves de cifrado. Esto suele ser necesario para satisfacer los requisitos de cumplimiento. | Audit, Deny, Disabled | 1.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
Machine Learning
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: las implementaciones del registro de modelos de Azure Machine Learning están restringidas, excepto para el registro permitido | Implemente solo los modelos del registro en el registro permitido y que no estén restringidos. | Deny, Disabled | 1.0.0-preview |
| La instancia de proceso de Azure Machine Learning debe tener un apagado por inactividad. | Al tener una programación de apagado por inactividad, se reduce el coste al cerrar los procesos que están inactivos después de un período de actividad predeterminado. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias de proceso de Azure Machine Learning se deben volver a crear para obtener las actualizaciones de software más recientes | Asegúrese de que las instancias de proceso de Azure Machine Learning se ejecutan en el sistema operativo disponible más reciente. La seguridad se ha mejorado y se han reducido las vulnerabilidades mediante la ejecución con las revisiones de seguridad más recientes. Para más información, visite https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Los procesos de Azure Machine Learning deben estar en una red virtual | Las instancias de Azure Virtual Network aportan mayor seguridad y aislamiento a sus instancias y clústeres de proceso de Azure Machine Learning, así como a subredes, directivas de control de acceso y otras características para restringir aún más el acceso. Cuando se configura un proceso con una red virtual, no es posible acceder a ella públicamente; solamente se podrá acceder a ella desde máquinas virtuales y aplicaciones dentro de la red virtual. | Audit, Disabled | 1.0.1 |
| Los procesos de Azure Machine Learning deberían tener deshabilitados los métodos de autenticación local | Deshabilitar los métodos de autenticación local mejora la seguridad ya que garantiza que los procesos de Machine Learning requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
| Las áreas de trabajo de Azure Machine Learning deben cifrarse con una clave administrada por el cliente. | Administre el cifrado en reposo de los datos del área de trabajo de Azure Machine Learning con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Las áreas de trabajo de Azure Machine Learning deberían deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el área de trabajo de Machine Learning no se exponga en la red pública de Internet. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Obtenga más información en: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
| Las áreas de trabajo de Azure Machine Learning deben habilitar V1LegacyMode para admitir la compatibilidad con versiones anteriores de aislamiento de red | Azure ML realiza una transición a una nueva plataforma de API V2 en Azure Resource Manager y puede controlar la versión de la plataforma de API mediante el parámetro V1LegacyMode. La habilitación del parámetro V1LegacyMode le permitirá mantener las áreas de trabajo en el mismo aislamiento de red que V1, aunque no tendrá el uso de las nuevas características V2. Se recomienda activar el modo heredado V1 solo cuando desee mantener los datos del plano de control de AzureML dentro de las redes privadas. Más información en: https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Machine Learning deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a áreas de trabajo de Azure Machine Learning, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Machine Learning deben usar la identidad administrada asignada por el usuario | Administre el acceso al área de trabajo de Azure Machine Learning y a los recursos asociados, Azure Container Registry, KeyVault, Storage y App Insights mediante la identidad administrada asignada por el usuario. De forma predeterminada, el área de trabajo de Azure Machine Learning usa la identidad administrada asignada por el sistema para acceder a los recursos asociados. La identidad administrada asignada por el usuario le permite crear la identidad como recurso de Azure y mantener el ciclo de vida de esa identidad. Obtenga más información en https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
| Configurar los procesos de Azure Machine Learning para deshabilitar los métodos de autenticación local | Deshabilite los métodos de autenticación de ubicación para que los procesos de Machine Learning requieran identidades de Azure Active Directory exclusivamente para la autenticación. Más información en: https://aka.ms/azure-ml-aad-policy. | Modificar, Deshabilitado | 2.1.0 |
| Configuración del área de trabajo de Azure Machine Learning para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Machine Learning. Más información en: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de las áreas de trabajo de Azure Machine Learning para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública de las áreas de trabajo de Azure Machine Learning para que estas no sean accesibles a través de la red pública de Internet. Esto ayuda a proteger las áreas de trabajo frente a riesgos de pérdida de datos. Se puede controlar la exposición de las áreas de trabajo mediante la creación de puntos de conexión privados. Obtenga más información en: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Modificar, Deshabilitado | 1.0.3 |
| Configuración de áreas de trabajo de Azure Machine Learning con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a su área de trabajo de Azure Machine Learning, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de la configuración de diagnóstico del área de trabajo de Azure Machine Learning en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico del área de trabajo de Azure Machine Learning para que transmita los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier área de trabajo de Azure Machine Learning a la que le falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.1 |
| Los registros de recursos del área de trabajo de Azure Machine Learning deben estar habilitados | Los registros de recursos habilitan que se vuelvan a crear seguimientos de actividad con fines de investigación en caso de que se produzcan incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 1.0.1 |
Aplicación administrada
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La definición de aplicación para la aplicación administrada debe usar la cuenta de almacenamiento proporcionada por el cliente. | Use su propia cuenta de almacenamiento para controlar los datos de definición de la aplicación cuando se trate de un requisito de cumplimiento normativo. Puede optar por almacenar la definición de aplicación administrada en la cuenta de almacenamiento que ha proporcionado durante la creación para que pueda administrar totalmente su ubicación y acceso para cumplir con los requisitos de cumplimiento normativo. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Implementación de asociaciones para aplicaciones administradas | Implementa un recurso de asociación que asocia los tipos de recursos seleccionados con la aplicación administrada especificada. Esta implementación de directiva no admite los tipos de recursos anidados. | deployIfNotExists | 1.0.0 |
Managed Grafana
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure Managed Grafana debe usar vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Managed Grafana, se puede reducir el riesgo de pérdida de datos. | Audit, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Managed Grafana deberían deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública mejora la seguridad, ya que garantiza que el área de trabajo de Azure Managed Grafana no esté expuesto en la Internet pública. La creación de puntos de conexión privados puede limitar la exposición de sus áreas de trabajo. | Audit, Deny, Disabled | 1.0.0 |
| Configurar paneles de Azure Managed Grafana con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Azure Managed Grafana, puede reducir los riesgos de pérdida de datos. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las áreas de trabajo de Azure Managed Grafana para deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública para su área de trabajo Azure Managed Grafana para que no sea accesible a través de la Internet pública. Esto puede reducir los riesgos de pérdida de datos. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las áreas de trabajo de Azure Managed Grafana para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Managed Grafana. | DeployIfNotExists, Disabled | 1.0.0 |
Identidad administrada
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: las credenciales federadas de identidad administrada de Azure Kubernetes deben proceder de fuentes de confianza | Esta directiva limita la federación con clústeres de Azure Kubernetes solo a clústeres de inquilinos aprobados, regiones aprobadas y una lista de excepciones específica de clústeres adicionales. | Audit, Disabled, Deny | 1.0.0-preview |
| [Versión preliminar]: las credenciales Federadas de identidad administrada de GitHub deben ser de propietarios de repositorios de confianza | Esta directiva limita la federación con repositorios de GitHub solo a los propietarios de repositorio aprobados. | Audit, Disabled, Deny | 1.0.1-preview |
| [Versión preliminar]: las credenciales federadas de identidad administrada deben ser de los tipos de emisores permitidos | Esta directiva limita si las identidades administradas pueden usar credenciales federadas, qué tipos de emisor comunes se permiten y proporciona una lista de excepciones de emisor permitidas. | Audit, Disabled, Deny | 1.0.0-preview |
| [Versión preliminar]: Asignación de identidad administrada integrada asignada por el usuario a Virtual Machine Scale Sets | Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a los conjuntos de escalado de máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-preview |
| [Versión preliminar]: Asignar una identidad administrada integrada asignada por el usuario a Virtual Machines | Cree y asigne una identidad administrada asignada por el usuario integrada o asigne una identidad administrada asignada por el usuario creada previamente a gran escala a máquinas virtuales. Para documentación más detallada, visite aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-preview |
Maps
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| CORS no debe permitir que todos los recursos accedan a la cuenta de mapa. | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la cuenta de mapa. Permita la interacción con la cuenta de mapa solo de los dominios requeridos. | Disabled, Audit, Deny | 1.0.0 |
Media Services
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las cuentas de Azure Media Services deben desactivar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que los recursos de Media Services no se exponen en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de los recursos de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de Azure Media Services deben usar una API que admita Private Link | Las cuentas de Media Services se deben crear con una API que admita vínculo privado. | Audit, Deny, Disabled | 1.0.0 |
| Se deben bloquear las cuentas de Azure Media Services que permitan el acceso a la v2 API heredada | La API v2 (heredada) de Media Services permite solicitudes que no se pueden administrar mediante Azure Policy. Los recursos de Media Services creados mediante la API 2020-05-01 o posterior bloquean el acceso a la API v2 heredada. | Audit, Deny, Disabled | 1.0.0 |
| Las directivas de clave de contenido de Azure Media Services deben usar la autenticación por tokens | Las directivas de clave de contenido definen las condiciones que se deben cumplir para acceder a las claves de contenido. Una restricción de token garantiza que solo los usuarios que tengan tokens válidos de un servicio de autenticación puedan acceder a las claves de contenido, por ejemplo, Microsoft Entra ID. | Audit, Deny, Disabled | 1.0.1 |
| Los trabajos de Azure Media Services con entradas HTTPS deben limitar los URI de entrada a patrones de URI permitidos | Restrinja las entradas HTTPS que usan los trabajos de Media Services a puntos de conexión conocidos. Las entradas de los puntos de conexión HTTPS se pueden deshabilitar completamente estableciendo una lista vacía de patrones de entrada de trabajos permitidos. Cuando las entradas del trabajo especifican un elemento "baseUri", los patrones se comparan con este valor; cuando no se establece "baseUri", el patrón se compara con la propiedad "files". | Deny, Disabled | 1.0.1 |
| Azure Media Services debe usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para administrar el cifrado en reposo de las cuentas de Media Services. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información en https://aka.ms/mediaservicescmkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Azure Media Services debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Media Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Media Services con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Migrate
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar los recursos de Azure Migrate para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el proyecto de Azure Migrate. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
Red móvil
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar el acceso de diagnóstico del plano de control de Packet Core para usar el tipo de autenticación Microsoft EntraID | El tipo de autenticación debe ser Microsoft EntraID para el acceso de diagnóstico principal de paquetes a través de las API locales. | Modificar, Deshabilitado | 1.0.0 |
| El acceso de diagnóstico del plano de control de Packet Core solo debe usar el tipo de autenticación Microsoft EntraID | El tipo de autenticación debe ser Microsoft EntraID para el acceso de diagnóstico principal de paquetes a través de las API locales. | Audit, Deny, Disabled | 1.0.0 |
| El grupo SIM debe usar claves administradas por el cliente para cifrar los datos en reposo | Usa claves administradas por el cliente para administrar el cifrado en reposo de los secretos SIM de un grupo SIM. Las claves administradas por el cliente suelen ser necesarias para cumplir los estándares de cumplimiento normativo y permiten cifrar los datos con una clave de Azure Key Vault creada por ti y de tu propiedad. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Audit, Deny, Disabled | 1.0.0 |
Supervisión
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: configuración de máquinas Linux habilitadas para Azure Arc con agentes de Log Analytics conectados al área de trabajo predeterminada de Log Analytics | Proteja sus máquinas Linux habilitadas para Azure Arc con las funcionalidades de Microsoft Defender for Cloud mediante la instalación de agentes de Log Analytics que envían datos a un área de trabajo predeterminada de Log Analytics creada por Microsoft Defender for Cloud. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: configuración de máquinas Windows habilitadas para Azure Arc con agentes de Log Analytics conectados al área de trabajo predeterminada de Log Analytics | Proteja sus máquinas Windows habilitadas para Azure Arc con las funcionalidades de Microsoft Defender for Cloud mediante la instalación de agentes de Log Analytics que envían datos a un área de trabajo predeterminada de Log Analytics creada por Microsoft Defender for Cloud. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Versión preliminar]: configuración de la identidad administrada asignada por el sistema para habilitar las asignaciones de Azure Monitor en máquinas virtuales | Configure una identidad administrada asignada por el sistema en las máquinas virtuales hospedadas en Azure compatibles con Azure Monitor que no tengan una identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de Azure Monitor y debe agregarse a las máquinas antes de usar cualquier extensión de Azure Monitor. Las máquinas virtuales de destino deben estar en una ubicación admitida. | Modificar, Deshabilitado | 6.0.0 (preliminar) |
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Linux de Azure Arc | Esta directiva audita las máquinas Linux de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Vista previa]: La extensión de Log Analytics debe estar instalada en las máquinas Windows de Azure Arc | Esta directiva audita las máquinas Windows de Azure Arc si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| El registro de actividad debe conservarse durante al menos un año | Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para operaciones administrativas específicas | Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de la directiva | Esta directiva audita las operaciones específicas de la directiva sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe existir una alerta de registro de actividad para las operaciones específicas de seguridad | Esta directiva audita las operaciones específicas de seguridad sin alertas de registro de actividad configuradas. | AuditIfNotExists, Disabled | 1.0.0 |
| Los componentes de Application Insights deberían bloquear la ingesta y consulta de registros desde redes públicas | Mejore la seguridad de Application Insights mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de este componente. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los componentes de Application Insights deberían bloquear la ingesta no basada en Azure Active Directory. | La aplicación de la ingesta de registros para requerir la autenticación de Azure Active Directory evita los registros no autenticados de un atacante, que podrían provocar un estado incorrecto, alertas falsas y almacenamiento de registros incorrectos en el sistema. | Deny, Audit, Disabled | 1.0.0 |
| Los componentes de Application Insights con Private Link habilitado deberían usar sus propias cuentas de almacenamiento para el generador de perfiles y el depurador. | Para admitir directivas de claves administradas por el cliente y vínculos privados, cree su propia cuenta de almacenamiento para el generador de perfiles y el depurador. Puede encontrar más información en https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Deny, Audit, Disabled | 1.0.0 |
| Audite la configuración de diagnóstico para los tipos de recursos seleccionados. | Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. | AuditIfNotExists | 2.0.1 |
| Azure Application Gateway debe tener habilitados los registros de recursos | Habilite los registros de recursos para Azure Application Gateway (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Front Door debe tener habilitados los registros de recursos | Habilite los registros de recursos para Azure Front Door (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Front Door Estándar o Premium (más el WAF) debe tener habilitados los registros de recursos | Habilite los registros de recursos para Azure Front Door Estándar o Premium (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. | AuditIfNotExists, Disabled | 1.0.0 |
| Las alertas de búsqueda de registros de Azure sobre las áreas de trabajo de Log Analytics deben usar claves administradas por el cliente | Asegúrese de que las alertas de búsqueda de registros de Azure estén implementando claves administradas por el cliente. Para ello, almacene el texto de la consulta mediante la cuenta de almacenamiento que el cliente había proporcionado para el área de trabajo de Log Analytics consultada. Para más información, visite https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Audit, Disabled, Deny | 1.0.0 |
| El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". | AuditIfNotExists, Disabled | 1.0.0 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente | Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los registros de Azure Monitor para Application Insights deben vincularse a un área de trabajo de Log Analytics | Vincule el componente de Application Insights a un área de trabajo de Log Analytics para el cifrado de los registros. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a los datos en Azure Monitor. La vinculación del componente a un área de trabajo de Log Analytics habilitada con una clave administrada por el cliente garantiza que los registros de Application Insights satisfacen este requisito de cumplimiento; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| El ámbito de Private Link de Azure Monitor debe bloquear el acceso a recursos que no sean de vínculos privados | Azure Private Link permite conectar las redes virtuales a los recursos de Azure a través de un punto de conexión privado a un ámbito de Private Link de Azure Monitor (AMPLS). Los modos de acceso de Private Link se establecen en AMPLS para controlar si las solicitudes de ingesta y consulta de las redes pueden llegar a todos los recursos o solo a los recursos de Private Link (para evitar la filtración de datos). Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Audit, Deny, Disabled | 1.0.0 |
| El ámbito de Private Link de Azure Monitor debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al ámbito de Private Link de Azure Monitor, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe implementar la solución "Security and Audit" de Azure Monitor | Esta directiva garantiza que se implementa Security and Audit. | AuditIfNotExists, Disabled | 1.0.0 |
| Las suscripciones a Azure deben tener un perfil de registro para el registro de actividad | Esta directiva garantiza que un perfil de registro esté habilitado para la exportación de registros de actividad. Audita si no hay ningún perfil de registro creado para exportar los registros a una cuenta de almacenamiento o a un centro de eventos. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurar registros de actividad de Azure para transmitirlos al área de trabajo especificada de Log Analytics | Implementa la configuración de diagnóstico de actividad de Azure para hacer streaming en los registros de auditoría de suscripciones de suscripción a un área de trabajo de Log Analytics para supervisar los eventos en el nivel de suscripción. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de los componentes de Azure Application Insights para deshabilitar el acceso de la red pública para la ingesta y consulta de registros | Deshabilite el acceso de redes públicas para la ingesta y consulta de registros de componentes a fin de mejorar la seguridad. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-application-insights. | Modificar, Deshabilitado | 1.1.0 |
| Configuración de áreas de trabajo de Azure Log Analytics para deshabilitar el acceso de la red pública para la ingesta y consulta de registros | Mejore la seguridad del área de trabajo mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Modificar, Deshabilitado | 1.1.0 |
| Configurar el ámbito de Private Link de Azure Monitor para bloquear el acceso a recursos que no sean de vínculos privados | Azure Private Link permite conectar las redes virtuales a los recursos de Azure a través de un punto de conexión privado a un ámbito de Private Link de Azure Monitor (AMPLS). Los modos de acceso de Private Link se establecen en AMPLS para controlar si las solicitudes de ingesta y consulta de las redes pueden llegar a todos los recursos o solo a los recursos de Private Link (para evitar la filtración de datos). Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de su ámbito de Private Link de Azure Monitor para utilizar las zonas de DNS privado | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el ámbito de Private Link de Azure Monitor. Más información en: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de los ámbitos de Private Link de Azure Monitor con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los ámbitos de Private Link de Azure Monitor, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Dependency Agent en servidores Linux con Azure Arc habilitado | Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurar Dependency Agent en servidores de Linux habilitados con Azure Arc con la configuración del agente de Azure Monitor | Habilite la información de las máquinas virtuales en servidores y máquinas conectadas a Azure a través de servidores habilitados con Arc habilitado mediante la instalación de la extensión de máquina virtual de Dependency Agent con la configuración del agente de Azure Monitor. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Configurar el agente de dependencias en servidores Windows con Microsoft Azure Arc habilitados | Habilite la información de las VM en servidores y máquinas conectadas a Azure a través de servidores habilitados para Arc mediante la instalación de la extensión Dependency Agent para máquinas virtuales. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurar Dependency Agent en servidores de Windows habilitados con Azure Arc con la configuración del agente de Azure Monitor | Habilite la información de las máquinas virtuales en servidores y máquinas conectadas a Azure a través de servidores habilitados con Arc habilitado mediante la instalación de la extensión de máquina virtual de Dependency Agent con la configuración del agente de Azure Monitor. La información de las VM usa Dependency Agent para recopilar métricas de red y datos detectados sobre los procesos que se ejecutan en la máquina y las dependencias de procesos externos. Más información: https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Configuración de máquinas habilitadas para Arc en Linux para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas habilitadas para Arc en Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 2.2.0 |
| Configuración de máquinas habilitadas para Linux Arc para ejecutar el agente de Azure Monitor | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Linux Arc a fin de recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite la región. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Configuración de máquinas Linux para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Linux, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 6.3.0 |
| Configurar Virtual Machine Scale Sets de Linux para asociarlo a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 4.2.0 |
| Configuración de conjuntos de escalado de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el sistema | Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de sus máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Configuración de conjuntos de escalado de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el usuario | Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de sus máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Configurar Linux Virtual Machines para asociarse a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Linux a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 4.2.0 |
| Configuración de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidad administrada asignada por el sistema | Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Configuración de máquinas virtuales Linux para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignada por el usuario | Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Linux para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Configurar la extensión de Log Analytics en servidores Linux con Azure Arc habilitado. Consulte el aviso de desuso a continuación | Habilite la información de las máquinas virtuales en servidores y máquinas conectados a Azure mediante servidores habilitados para Arc instalando la extensión de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha | DeployIfNotExists, Disabled | 2.1.1 |
| Configurar la extensión de Log Analytics en servidores Windows con Azure Arc habilitado | Habilite la información de las máquinas virtuales en servidores y máquinas conectados a Azure mediante servidores habilitados para Arc instalando la extensión de Log Analytics para máquinas virtuales. La información de las VM usa el agente de Log Analytics para recopilar los datos de rendimiento del sistema operativo invitado, y proporciona información sobre su rendimiento. Más información: https://aka.ms/vminsightsdocs. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. | DeployIfNotExists, Disabled | 2.1.1 |
| Configuración del área de trabajo de Log Analytics y la cuenta de Automation para centralizar los registros y la supervisión | Implemente un grupo de recursos que contenga el área de trabajo de Log Analytics y la cuenta de automatización vinculada para centralizar los registros y la supervisión. La cuenta de Automation es un requisito previo para soluciones como Actualizaciones y Change Tracking. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Configurar las máquinas Windows Arc para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas habilitadas para Arc en Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 2.2.0 |
| Configuración de máquinas habilitadas de Windows Arc para ejecutar el Agente de Azure Monitor | Automatice la implementación de la extensión del agente de Azure Monitor en las máquinas habilitadas para Windows Arc a fin de recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Configuración de máquinas Windows para asociarlas a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Windows, conjuntos de escalado de máquinas virtuales y máquinas habilitadas para Arc a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 4.5.0 |
| Configurar Virtual Machine Scale Sets de Windows para asociarlo a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular conjuntos de escalado de máquinas virtuales Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 3.3.0 |
| Configuración de los conjuntos de escalado de máquinas virtuales de Windows para ejecutar el agente de Azure Monitor mediante una identidad administrada asignada por el sistema | Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Configuración de los conjuntos de escalado de máquinas virtuales de Windows para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignadas por el usuario | Automatice la implementación del agente de Azure Monitor en los conjuntos de escalado de máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Configurar Windows Virtual Machines para asociarse a una regla de recopilación de datos o a un punto de conexión de recopilación de datos | Implemente la asociación para vincular máquinas virtuales Windows a la regla de recopilación de datos especificada o al punto de conexión de recopilación de datos especificado. La lista de ubicaciones e imágenes del sistema operativo se actualiza con el tiempo a medida que aumenta la compatibilidad. | DeployIfNotExists, Disabled | 3.3.0 |
| Configuración de Windows Virtual Machines para ejecutar el agente de Azure Monitor mediante una identidad administrada asignada por el sistema | Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión si se admite el sistema operativo y la región y la identidad administrada asignada por el sistema está habilitada, y omitirá la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Configuración de Windows Virtual Machines para ejecutar el agente de Azure Monitor con autenticación basada en identidades administradas asignadas por el usuario | Automatice la implementación del agente de Azure Monitor en las máquinas virtuales Windows para recopilar datos de telemetría del sistema operativo invitado. Esta directiva instalará la extensión y la configurará para usar la identidad administrada asignada por el usuario especificada si se admite el sistema operativo y la región, y omita la instalación en caso contrario. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Auditar la implementación de Dependency Agent: imagen de VM (SO) no mostrada | Informa que las máquinas virtuales no son compatibles si la imagen de la máquina virtual no está en la lista definida y el agente no está instalado. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar la implementación de Dependency Agent en los conjuntos de escalado de máquinas virtuales: imagen de VM (SO) no mostrada | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de VM (SO) no está en la lista definida y el agente no está instalado. La lista de imágenes de SO se actualizará con el tiempo a medida que se actualice la compatibilidad. La lista de imágenes de sistema operativo se actualiza con el tiempo a medida que se actualiza la compatibilidad. | AuditIfNotExists, Disabled | 2.0.0 |
| Implementación: configurar Dependency Agent para habilitarlo en los conjuntos de escalado de máquinas virtuales Windows | Permite implementar Dependency Agent en conjuntos de escalado de máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementación: configurar Dependency Agent para habilitarlo en máquinas virtuales Windows | Permite implementar Dependency Agent en máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementar: realizar la configuración de diagnóstico en un área de trabajo de Log Analytics para que se habilite en el HSM administrado de Azure Key Vault | Permite implementar la configuración de diagnóstico en un HSM administrado de Azure Key Vault para que la transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier HSM administrado de Azure Key Vault en el que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configuración de la extensión de Log Analytics para habilitarla en los conjuntos de escalado de máquinas virtuales Windows | Implemente la extensión de Log Analytics en conjuntos de escalado de máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y la extensión no está instalada. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementación: configuración de la extensión de Log Analytics para habilitarla en máquinas virtuales Windows | Implemente la extensión de Log Analytics en máquinas virtuales Windows si la imagen de la máquina virtual está en la lista definida y la extensión no está instalada. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux | Implemente Dependency Agent para conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Implementación de Dependency Agent para conjuntos de escalado de máquinas virtuales Linux con la configuración del agente de Azure Monitor | Permite implementar Dependency Agent para conjuntos de escalado de máquinas virtuales de Linux con la configuración del agente de Azure Monitor si la imagen de la máquina virtual (SO) está en la lista definida y el agente no está instalado. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. | DeployIfNotExists, Disabled | 3.1.1 |
| Implementación de Dependency Agent para máquinas virtuales Linux | Permite implementar Dependency Agent para las máquinas virtuales Linux si la imagen de VM (SO) está en la lista definida y el agente no está instalado. | deployIfNotExists | 5.0.0 |
| Implementación de Dependency Agent para máquinas virtuales de Linux con la configuración del agente de Azure Monitor | Permite implementar Dependency Agent para máquinas virtuales de Linux con la configuración del agente de Azure Monitor si la imagen de la máquina virtual (SO) está en la lista definida y el agente no está instalado. | DeployIfNotExists, Disabled | 3.1.1 |
| Implementación de Dependency Agent para habilitarlo en los conjuntos de escalado de máquinas virtuales Windows con la configuración del agente de Azure Monitor | Permite implementar Dependency Agent en máquinas virtuales de Windows con la configuración del agente de Azure Monitor si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante su actualización. | DeployIfNotExists, Disabled | 1.2.2 |
| Implementación de Dependency Agent para habilitarlo en las máquinas virtuales Windows con la configuración del agente de Azure Monitor | Permite implementar Dependency Agent en máquinas virtuales de Windows con la configuración del agente de Azure Monitor si la imagen de la máquina virtual está en la lista definida y el agente no está instalado. | DeployIfNotExists, Disabled | 1.2.2 |
| Implementar la configuración de diagnóstico para una cuenta de Batch en un centro de eventos | Implementa la configuración de diagnóstico para que la cuenta de Batch se transmita a un centro de eventos regional cuando se cree o actualice cualquier cuenta de Batch a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico para una cuenta de Batch en un área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que la cuenta de Batch se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier cuenta de Batch a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la configuración de diagnóstico de Data Lake Analytics en un centro de eventos | Implementa la configuración de diagnóstico para que la instancia de Data Lake Analytics se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Data Lake Analytics a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico de Data Lake Analytics en un área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que la instancia de Data Lake Analytics se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Data Lake Analytics a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la configuración de diagnóstico de Data Lake Storage Gen1 en un centro de eventos | Implementa la configuración de diagnóstico para que la instancia de Data Lake Storage Gen1 se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Data Lake Storage Gen1 a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico de Data Lake Storage Gen1 en un área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que la instancia de Data Lake Storage Gen1 se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Data Lake Storage Gen1 a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la configuración de diagnóstico para Event Hubs en un centro de eventos | Implementa la configuración de diagnóstico para que Event Hubs se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Event Hubs a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.1.0 |
| Implementar la configuración de diagnóstico para Event Hubs en un área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que Event Hubs se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Event Hubs a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico para Key Vault en un área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que Key Vault se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Key Vault a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 3.0.0 |
| Implementar la configuración de diagnóstico para Logic Apps en un centro de eventos | Implementa la configuración de diagnóstico para que Logic Apps se transmita a un centro de eventos regional cuando se cree o actualice cualquier instancia de Logic Apps a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico de Logic Apps en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que Logic Apps se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Logic Apps a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la configuración de diagnóstico para grupos de seguridad de red | Esta directiva implementa automáticamente la configuración de diagnóstico en los grupos de seguridad de red. Se creará automáticamente una cuenta de almacenamiento con el nombre "{ParámetroPrefijoAlmacenamiento}{UbicaciónDeNSG}". | deployIfNotExists | 2.0.1 |
| Implementar la configuración de diagnóstico de los servicios de búsqueda en el centro de eventos | Implementa la configuración de diagnóstico para que Search Services se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Search Services a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico de los servicios de búsqueda en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que Search Services se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Search Services a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la configuración de diagnóstico de Service Bus en el Centro de eventos | Implementa la configuración de diagnóstico para que Service Bus se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Service Bus a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico de Service Bus en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que Service Bus se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Service Bus a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.1.0 |
| Implementar la configuración de diagnóstico de Stream Analytics en el Centro de eventos | Implementa la configuración de diagnóstico para que Stream Analytics se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Stream Analytics a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 2.0.0 |
| Implementar la configuración de diagnóstico de Stream Analytics en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que Stream Analytics se transmita a un área de trabajo de Log Analytics regional cuando se cree o actualice cualquier instancia de Stream Analytics a la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación de la extensión de Log Analytics para conjuntos de escalado de máquinas virtuales Linux. Consulte el aviso de desuso a continuación | Implemente la extensión de Log Analytics en conjuntos de escalado de máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y la extensión no está instalada. Nota: Si establece upgradePolicy del conjunto de escalado en Manual, debe aplicar la extensión a todas las máquinas virtuales del conjunto mediante una llamada a la actualización. En la CLI, se usaría az vmss update-instances. Aviso de desuso: El agente de Log Analytics no se admitirá a partir del 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha | deployIfNotExists | 3.0.0 |
| Implementación de la extensión de Log Analytics para máquinas virtuales Linux. Consulte el aviso de desuso a continuación | Implemente la extensión de Log Analytics en máquinas virtuales Linux si la imagen (SO) de la máquina virtual está en la lista definida y la extensión no está instalada. Aviso de desuso: los agentes de Log Analytics están en ruta de desuso y dejarán de tener soporte técnico el 31 de agosto de 2024. Debe migrar al "agente de Azure Monitor" de reemplazo antes de esa fecha | deployIfNotExists | 3.0.0 |
| Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los servicios de API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los servicios de API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para servicios de API Management (microsoft.apimanagement/service) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los servicios de API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para App Configuration (microsoft.appconfiguration/configurationstores) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para App Configuration (microsoft.appconfiguration/configurationstores) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para App Configuration (microsoft.appconfiguration/configurationstores) en Azure Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para App Service (microsoft.web/sites) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para el grupo de aplicaciones (microsoft.desktopvirtualization/applicationgroups) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el grupo de aplicaciones de Azure Virtual Desktop (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Application Insights (Microsoft.Insights/components) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Application Insights (Microsoft.Insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para proveedores de atestación (microsoft.attestation/attestationproviders) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para proveedores de atestación (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para proveedores de atestación (microsoft.attestation/attestationproviders) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para proveedores de atestación (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para proveedores de atestación (microsoft.attestation/attestationproviders) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para proveedores de atestación (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para cuentas de Automation (microsoft.automation/automationaccounts) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cuentas de Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para cuentas de Automation (microsoft.automation/automationaccounts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cuentas de Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para cuentas de Automation (microsoft.automation/automationaccounts) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cuentas de Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para nubes privadas de AVS (microsoft.avs/privateclouds) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para nubes privadas de AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para nubes privadas de AVS (microsoft.avs/privateclouds) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para nubes privadas de AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para nubes privadas de AVS (microsoft.avs/privateclouds) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para nubes privadas de AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Azure Cache for Redis (microsoft.cache/redis) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Azure Cache for Redis (microsoft.cache/redis) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Azure Cache for Redis (microsoft.cache/redis) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Azure Cosmos DB (microsoft.documentdb/databaseaccounts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Azure FarmBeats (microsoft.agfoodplatform/farmbeats) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Azure FarmBeats (microsoft.agfoodplatform/farmbeats) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Azure FarmBeats (microsoft.agfoodplatform/farmbeats) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Azure Machine Learning (microsoft.machinelearningservices/workspaces) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Azure Machine Learning (microsoft.machinelearningservices/workspaces) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Azure Machine Learning (microsoft.machinelearningservices/workspaces) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Cognitive Services (microsoft.cognitiveservices/accounts) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los registros de contenedor (microsoft.containerregistry/registries) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los registros de contenedor (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para los registros de contenedor (microsoft.containerregistry/registries) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los registros de contenedor (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los registros de contenedor (microsoft.containerregistry/registries) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los registros de contenedor (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para dominios de Event Grid (microsoft.eventgrid/domains) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los dominios de Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para dominios de Event Grid (microsoft.eventgrid/domains) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los dominios de Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para dominios de Event Grid (microsoft.eventgrid/domains) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los dominios de Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los espacios de nombres de partners de Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para temas de Event Grid (microsoft.eventgrid/topics) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los temas de Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para temas de Event Grid (microsoft.eventgrid/topics) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los temas de Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para temas de Event Grid (microsoft.eventgrid/topics) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los temas de Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para los espacios de nombres de Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para firewalls (microsoft.network/azurefirewalls) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.cdn/profiles) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para perfiles de CDN y Front Door (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.cdn/profiles) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para perfiles de CDN y Front Door (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.cdn/profiles) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para perfiles de CDN y Front Door (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Function App (microsoft.web/sites) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Function App (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para el grupo de hosts (microsoft.desktopvirtualization/hostpools) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el grupo de hosts de Azure Virtual Desktop (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para IoT Hub (microsoft.devices/iothubs) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para almacenes de claves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para almacenes de claves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para almacenes de claves (microsoft.keyvault/vaults) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para almacenes de claves (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para áreas de trabajo de Log Analytics (microsoft.operationalinsights/workspaces) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para un área de trabajo de Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para áreas de trabajo de Log Analytics (microsoft.operationalinsights/workspaces) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para un área de trabajo de Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para áreas de trabajo de Log Analytics (microsoft.operationalinsights/workspaces) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para un área de trabajo de Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para HSM administrados (microsoft.keyvault/managedhsms) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para HSM administrados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para HSM administrados (microsoft.keyvault/managedhsms) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para HSM administrados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para HSM administrados (microsoft.keyvault/managedhsms) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para HSM administrados (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Media Services (microsoft.media/mediaservices) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Media Services (microsoft.media/mediaservices) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Media Services (microsoft.media/mediaservices) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para cuentas de Microsoft Purview (microsoft.purview/accounts) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para cuentas de Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para cuentas de Microsoft Purview (microsoft.purview/accounts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para cuentas de Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para cuentas de Microsoft Purview (microsoft.purview/accounts) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para cuentas de Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para el servidor flexible de PostgreSQL (microsoft.dbforpostgresql/flexibleservers) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el servidor flexible de Azure Database for PostgreSQL (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para espacios de nombres de Service Bus (microsoft.servicebus/namespaces) en el centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para espacios de nombres de Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para espacios de nombres de Service Bus (microsoft.servicebus/namespaces) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para espacios de nombres de Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para espacios de nombres de Service Bus (microsoft.servicebus/namespaces) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para espacios de nombres de Service Bus (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para SignalR (microsoft.signalrservice/signalr) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para SignalR (microsoft.signalrservice/signalr) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para SignalR (microsoft.signalrservice/signalr) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para bases de datos SQL (microsoft.sql/servers/databases) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para bases de datos SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para bases de datos SQL (microsoft.sql/servers/databases) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para bases de datos SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para bases de datos SQL (microsoft.sql/servers/databases) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para bases de datos SQL (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para instancias administradas de SQL (microsoft.sql/managedinstances) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para instancias administradas de SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para instancias administradas de SQL (microsoft.sql/managedinstances) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para instancias administradas de SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para instancias administradas de SQL (microsoft.sql/managedinstances) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para instancias administradas de SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Video Analyzer (microsoft.media/videoanalyzers) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Video Analyzer (microsoft.media/videoanalyzers) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Video Analyzer (microsoft.media/videoanalyzers) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para volúmenes (microsoft.netapp/netappaccounts/capacitypools/volumes) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para volúmenes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para volúmenes (microsoft.netapp/netappaccounts/capacitypools/volumes) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para volúmenes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para volúmenes (microsoft.netapp/netappaccounts/capacitypools/volumes) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para volúmenes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para el servicio de Web PubSub (microsoft.signalrservice/webpubsub) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para el servicio de Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para el servicio de Web PubSub (microsoft.signalrservice/webpubsub) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el servicio de Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para el servicio de Web PubSub (microsoft.signalrservice/webpubsub) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para el servicio de Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para el área de trabajo (microsoft.desktopvirtualization/workspaces) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para el área de trabajo de Azure Virtual Desktop (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas habilitadas para Linux Arc deben tener instalado el agente de Azure Monitor | Las máquinas habilitadas para Linux Arc deben supervisarse y protegerse mediante el agente implementado de Azure Monitor. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará las máquinas habilitadas para Arc en las regiones admitidas. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Los conjuntos de escalado de máquinas virtuales Linux deben tener el agente de Azure Monitor instalado | Los conjuntos de escalado de máquinas virtuales Linux deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará los conjuntos de escalado de máquinas virtuales con imágenes de sistema operativo admitidas en las regiones admitidas. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Las máquinas virtuales Linux deben tener el agente de Azure Monitor instalado | Las máquinas virtuales Linux deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Esta directiva auditará las máquinas virtuales con imágenes de sistema operativo admitidas en las regiones admitidas. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| Las áreas de trabajo de Log Analytics deberían bloquear la ingesta y consulta de registros desde redes públicas | Mejore la seguridad del área de trabajo mediante el bloqueo de la ingesta y consulta de registros de redes públicas. Solo las redes conectadas a un vínculo privado podrán ingerir y consultar los registros de esta área de trabajo. Obtenga más información en https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Las áreas de trabajo de Log Analytics deberían bloquear la ingesta no basada en Azure Active Directory. | La aplicación de la ingesta de registros para requerir la autenticación de Azure Active Directory evita los registros no autenticados de un atacante, que podrían provocar un estado incorrecto, alertas falsas y almacenamiento de registros incorrectos en el sistema. | Deny, Audit, Disabled | 1.0.0 |
| Las direcciones IP públicas deben tener los registros de recursos habilitados para Azure DDoS Protection. | Habilite los registros de recursos de las direcciones IP públicas en la configuración de diagnóstico para transmitirlos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico de ataque y las acciones realizadas para mitigar los ataques DDoS mediante las notificaciones, informes y registros de flujo. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Los registros de recursos deben estar habilitados para Auditar en recursos admitidos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. La existencia de una configuración de diagnóstico para el grupo de categorías Auditar en los tipos de recursos seleccionados garantiza que estos registros estén habilitados y capturados. Los tipos de recursos aplicables son aquellos que admiten el grupo de categorías "Auditar". | AuditIfNotExists, Disabled | 1.0.0 |
| Las consultas guardadas de Azure Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros | Vincule la cuenta de almacenamiento al área de trabajo de Log Analytics para proteger las consultas guardadas con el cifrado de la cuenta de almacenamiento. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a las consultas guardadas en Azure Monitor. Para más información sobre lo anterior, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK | Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión heredada de Log Analytics no debe instalarse en servidores Linux habilitados para Azure Arc | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en servidores Linux habilitados para Azure Arc. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión heredada de Log Analytics no debe instalarse en servidores Windows habilitados para Azure Arc | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en servidores Windows habilitados para Azure Arc. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión de Log Analytics heredada no debe instalarse en conjuntos de escalado de máquinas virtuales Linux | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en conjuntos de escalado de máquinas virtuales Linux. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión heredada de Log Analytics no debe instalarse en máquinas virtuales Linux | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en máquinas virtuales Linux. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión heredada de Log Analytics no debe instalarse en conjuntos de escalado de máquinas virtuales | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en conjuntos de escalado de máquinas virtuales Windows. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión heredada de Log Analytics no debe instalarse en máquinas virtuales | Evite la instalación automática del agente de Log Analytics heredado como último paso para migrar de agentes heredados al agente de Azure Monitor. Después de desinstalar las extensiones heredadas existentes, esta directiva denegará todas las instalaciones futuras de la extensión del agente heredado en máquinas virtuales Windows. Más información: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| Las máquinas virtuales deben conectarse a un área de trabajo especificada | Notifica que las máquinas virtuales no son compatibles si no se registran en el área de trabajo de Log Analytics especificada en la asignación de la directiva o iniciativa. | AuditIfNotExists, Disabled | 1.1.0 |
| Las máquinas virtuales deben tener la extensión de Log Analytics instalada | Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| Las máquinas habilitadas para Windows Arc deben tener instalado el agente de Azure Monitor | Las máquinas habilitadas para Windows Arc deben supervisarse y protegerse mediante el agente implementado de Azure Monitor. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Las máquinas habilitadas para Windows Arc en las regiones admitidas se supervisan para la implementación del Agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Los conjuntos de escalado de máquinas virtuales Windows deben tener el agente de Azure Monitor instalado | Los conjuntos de escalado de máquinas virtuales Windows deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. Los conjuntos de escalado de máquinas virtuales con el sistema operativo compatible y en las regiones admitidas se supervisan para la implementación del agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Las máquinas virtuales Windows deben tener el agente de Azure Monitor instalado | Las máquinas virtuales Windows deben supervisarse y protegerse mediante el agente de Azure Monitor implementado. El agente de Azure Monitor recopila datos de telemetría del sistema operativo invitado. 00000000Las máquinas virtuales Windows con el sistema operativo compatible y en las regiones admitidas se supervisan para la implementación del agente de Azure Monitor. Más información: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Los libros se deben guardar en las cuentas de almacenamiento que se controlan | Con Traiga su propio almacenamiento (BYOS), los libros se cargan en una cuenta de almacenamiento que usted controla. Esto significa que controla la directiva de cifrado en reposo, la directiva de administración de la vigencia y el acceso a la red. Sin embargo, será responsable de los costos asociados a esa cuenta de almacenamiento. Para más información, visita https://aka.ms/workbooksByos. | denegar, Denegar, auditoría, Auditoría, deshabilitado, Deshabilitado | 1.1.0 |
Red
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0-preview |
| Se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual de Azure. | Esta directiva garantiza que todas las conexiones de puerta de enlace de Azure Virtual Network usen una directiva personalizada de protocolo de seguridad de Internet (IPsec) o Intercambio de claves por red (IKE). Consulte los algoritmos y los niveles de seguridad de las claves compatibles en https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Configuración de registros de flujo de auditoría para cada red virtual | Audite la red virtual para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de red virtual. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Azure Application Gateway debe implementarse con el WAF de Azure | Requiere que los recursos de Azure Application Gateway se implementen con el WAF de Azure. | Audit, Deny, Disabled | 1.0.0 |
| La directiva de Azure Firewall debe habilitar la inspección de TLS dentro de las reglas de aplicación | Se recomienda habilitar la inspección de TLS para que todas las reglas de aplicación detecten, alerten y mitiguen la actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Azure Firewall Premium debería configurar un certificado intermedio válido para habilitar la inspección de TLS | Configure un certificado intermedio válido y habilite la inspección de TLS de Azure Firewall Premium para detectar, mitigar y alertar por actividad malintencionada en HTTPS. Para más información sobre la inspección de TLS con Azure Firewall, visite https://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Las instancias de Azure VPN Gateway no deben usar la SKU "básica". | Esta directiva garantiza que las instancias de VPN Gateway no usan la SKU "básica". | Audit, Disabled | 1.0.0 |
| Azure Web Application Firewall en Azure Application Gateway debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que Web Application Firewall asociado a Azure Application Gateway tenga habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall en Azure Front Door debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que Web Application Firewall asociado a Azure Front Door tenga habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| La protección contra bots debe estar habilitada para el WAF de Azure Application Gateway | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas del Firewall de aplicaciones web (WAF) de Azure Application Gateway | Audit, Deny, Disabled | 1.0.0 |
| La protección contra bots debe estar habilitada para el WAF de Azure Front Door | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas del Firewall de aplicaciones web (WAF) de Azure Front Door | Audit, Deny, Disabled | 1.0.0 |
| La lista de omisión del Sistema de detección y prevención de intrusiones (IDPS) debe estar vacía en Firewall Policy Premium | La lista de omisión del Sistema de detección y prevención de intrusiones (IDPS) le permite no filtrar el tráfico a ninguna de las direcciones IP, los intervalos y las subredes especificados en la lista de omisión. Sin embargo, se recomienda habilitar el IDPS para que todos los flujos de tráfico identifiquen mejor las amenazas conocidas. Para más información sobre las firmas del Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| Definición de la configuración de diagnóstico de los grupos de seguridad de red de Azure para un área de trabajo de Log Analytics | Implemente la configuración de diagnóstico en grupos de seguridad de red de Azure para transmitir registros de recursos a un área de trabajo de Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar grupos de seguridad de red para habilitar el análisis de tráfico | El análisis de tráfico se puede habilitar para todos los grupos de seguridad de red hospedados en una región determinada con la configuración proporcionada durante la creación de la directiva. Si ya tiene habilitado el análisis de tráfico, la directiva no sobrescribe su configuración. Los registros de flujo también están habilitados para los grupos de seguridad de red que no lo tienen. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.2.0 |
| Configure los grupos de seguridad de red para usar un área de trabajo, una cuenta de almacenamiento y una directiva de retención de registros de flujo específicas para análisis de tráfico | Si ya tiene habilitado el análisis de tráfico, la directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.2.0 |
| Configuración de la red virtual para habilitar el registro de flujo y el análisis de tráfico | El análisis de tráfico y el registro de flujo se pueden habilitar para todas las redes virtuales hospedadas en una región determinada con la configuración proporcionada durante la creación de la directiva. Esta directiva no sobrescribe la configuración actual de las redes virtuales que ya tienen habilitada esta característica. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.1.1 |
| Configure las redes virtuales para aplicar el área de trabajo, la cuenta de almacenamiento y el intervalo de retención para Registros de flujo y Análisis de tráfico | Si una red virtual ya tiene habilitado el análisis de tráfico, esta directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.1.2 |
| Cosmos DB debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Implementación de un recurso de registro de flujo con el grupo de seguridad de red de destino | Configura el registro de flujo para un grupo de seguridad de red específico. Permitirá registrar información sobre el flujo de tráfico IP mediante un grupo de seguridad de red. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | deployIfNotExists | 1.1.0 |
| Implementación de un recurso de registro de flujo con la red virtual de destino | Configura el registro de flujo para una red virtual específica. Permitirá registrar información sobre el flujo de tráfico IP mediante una red virtual. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | DeployIfNotExists, Disabled | 1.1.1 |
| Implementar Network Watcher al crear redes virtuales. | Esta directiva crea un recurso de Network Watcher en las regiones con redes virtuales. Debe asegurarse de la existencia de un grupo de recursos denominado networkWatcherRG, que se usará para implementar las instancias de Network Watcher. | DeployIfNotExists | 1.0.0 |
| Habilitación de la regla de límite de frecuencia para protegerse frente a ataques DDoS en WAF de Azure Front Door | La regla de límite de frecuencia del firewall de aplicaciones web (WAF) de Azure para Azure Front Door controla el número de solicitudes permitidas desde una IP de cliente determinada a la aplicación durante la duración de la limitación de frecuencia. | Audit, Deny, Disabled | 1.0.0 |
| El centro de eventos debe usar un punto de conexión del servicio de red virtual | Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. | AuditIfNotExists, Disabled | 1.0.0 |
| La directiva de firewall Premium debe habilitar todas las reglas de firma del IDPS para supervisar todos los flujos de tráfico entrante y saliente | Se recomienda habilitar todas las reglas de firma del Sistema de detección y prevención de intrusiones (IDPS) para identificar mejor las amenazas conocidas en los flujos de tráfico. Para más información sobre las firmas del Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| La directiva de firewall Premium debería habilitar el Sistema de detección y prevención de intrusiones (IDPS) | Activar el Sistema de detección y prevención de intrusiones en la red (IDPS) que permite supervisar la actividad malintencionada de la red, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla. Para obtener más información sobre el Sistema de detección y prevención de intrusiones (IDPS) con Azure Firewall Premium, consulte https://aka.ms/fw-idps | Audit, Deny, Disabled | 1.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red | Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. | deny | 1.0.0 |
| Key Vault debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Migración de WAF de la configuración de WAF a la directiva de WAF en Application Gateway | Si solo tiene una configuración de WAF en lugar de una directiva de WAF, entonces es posible que quiera cambiar a la nueva directiva de WAF. En el futuro, la directiva de Firewall admitirá la configuración de directiva de WAF, los conjuntos de reglas administrados, las exclusiones y los grupos de reglas deshabilitados. | Audit, Deny, Disabled | 1.0.0 |
| Las interfaces de red deben deshabilitar el reenvío IP | Esta directiva deniega las interfaces de red que habilitaron el reenvío IP. El valor de reenvío IP deshabilita la comprobación que realiza Azure del origen y destino en una interfaz de red. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Las interfaces de red no deben tener direcciones IP públicas. | Esta directiva deniega las interfaces de red que están configuradas con cualquier dirección IP pública. Las direcciones IP públicas permiten la comunicación entrante de los recursos de Internet con los recursos de Azure y la comunicación saliente de los recursos de Azure con Internet. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | El análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en su nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. | Audit, Disabled | 1.0.1 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| SQL Server debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. | AuditIfNotExists, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual | Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| La suscripción debería configurar Azure Firewall Premium para proporcionar una capa adicional de protección | Azure Firewall Premium proporciona una protección contra amenazas avanzada que satisface las necesidades de entornos altamente confidenciales y regulados. Implemente Azure Firewall Premium en su suscripción y asegúrese de que todo el tráfico del servicio está protegido por Azure Firewall Premium. Para más información sobre Azure Firewall Premium, consulte https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas virtuales deben estar conectadas a una red virtual aprobada | Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. | Audit, Deny, Disabled | 1.0.0 |
| Las redes virtuales deben protegerse con Azure DDoS Protection. | Proteja sus redes virtuales contra ataques volumétricos y de protocolo con Azure DDoS Protection. Para más información, visite https://aka.ms/ddosprotectiondocs. | Modificación, auditoría y deshabilitación | 1.0.1 |
| Las redes virtuales deben usar la puerta de enlace de red virtual especificada | Esta directiva audita cualquier red virtual cuya ruta predeterminada no apunte a la puerta de enlace de red virtual especificada. | AuditIfNotExists, Disabled | 1.0.0 |
| Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las instancias de VPN Gateway usen exclusivamente identidades de Azure Active Directory para la autenticación. Puede encontrar más información sobre la autenticación de Azure AD en https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) debe habilitar todas las reglas de firewall para Application Gateway | Habilitar todas las reglas de Web Application Firewall (WAF) refuerza la seguridad de las aplicaciones y protege las aplicaciones web frente a vulnerabilidades comunes. Para obtener más información sobre Web Application Firewall (WAF) con Application Gateway, visite https://aka.ms/waf-ag | Audit, Deny, Disabled | 1.0.1 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Portal
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los paneles compartidos no deben tener iconos de Markdown con contenido alineado | No permitir la creación de un panel compartido que tenga contenido alineado en iconos de Markdown y exigir que el contenido se almacene como un archivo Markdown hospedado en línea. Si usa el contenido insertado en el icono de Markdown, no podrá administrar el cifrado del contenido. Mediante la configuración de su propio almacenamiento, puede aplicar cifrado y cifrado doble, e incluso aportar sus propias claves. Al habilitar esta directiva, se impide que los usuarios usen 2020-09-01-preview o una versión anterior de la API de REST de paneles compartidos. | Audit, Deny, Disabled | 1.0.0 |
Resistencia
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [versión preliminar]: el servicio API Management debe ser con redundancia de zona | El servicio API Management se puede configurar para que sea con redundancia de zona o no. Un servicio de API Management tiene redundancia de zona si el nombre de la SKU es "Premium" y tiene al menos dos entradas en su matriz de zonas. Esta directiva identifica los servicios de API Management que carecen de la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.1-preview |
| [Versión preliminar]: los planes de App Service deben tener redundancia de zona | Los planes de App Service pueden configurarse para tener redundancia de zona o no. Cuando la propiedad "zoneRedundant" se establece en "false" para un plan de App Service, no se configura para la redundancia de zona. Esta directiva identifica y aplica la configuración de redundancia de zona para planes de App Service. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Las puertas de enlace de aplicaciones deben ser resistentes a zonas | Las puertas de enlace de aplicaciones se pueden configurar como alineadas con zonas, con redundancia de zona o ninguna de estas opciones. Las puertas de enlace de aplicaciones que tienen exactamente una entrada en su matriz de zonas se consideran alineadas con zonas. En cambio, las puertas de enlace de aplicaciones con tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: El servicio de búsqueda de Azure AI debe tener redundancia de zona | El servicio Búsqueda de Azure AI se puede configurar como con redundancia de zona o no. Las zonas de disponibilidad se usan al agregar dos o más réplicas al servicio de búsqueda. Cada réplica se coloca en una zona de disponibilidad distinta dentro de la región. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Cache for Redis Enterprise & Flash debe tener redundancia de zona | Azure Cache for Redis Enterprise & Flash se puede configurar para que tenga Redundancia de zona, o no. Las instancias de Azure Cache for Redis Enterprise & Flash con menos de tres entradas en su matriz de zonas no tienen redundancia de zona. Esta directiva identifica las instancias de Azure Cache for Redis Enterprise & Flash que carecen de la redundancia necesaria para resistir la interrupción de una zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Cache for Redis debe tener redundancia de zona | Azure Cache for Redis se puede configurar para que tenga redundancia de zona. Las instancias de Azure Cache for Redis con menos de dos entradas en su matriz de zonas no tienen redundancia de zona. Esta directiva identifica las instancias de Azure Cache for Redis que carecen de la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [versión preliminar]: los clústeres de Azure Data Explorer deben ser clústeres con redundancia de zona | Los clústeres de Azure Data Explorer se pueden configurar para que tengan redundancia de zona o no. Un clúster de Azure Data Explorer se considera con redundancia de zona si tiene al menos dos entradas en su matriz de zonas. Esta directiva ayuda a garantizar que los clústeres de Azure Data Explorer tengan redundancia de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: El servidor flexible de Azure Database for MySQL debe ser resistente a zonas | El servidor flexible de Azure Database for MySQL se puede configurar como alineado con zonas, con redundancia de zona o ninguna de estas opciones. El servidor de MySQL que tiene un servidor en espera seleccionado en la misma zona para lograr alta disponibilidad se considera alineado con zonas. En cambio, el servidor de MySQL que tiene un servidor en espera seleccionado para estar en una zona diferente para lograr alta disponibilidad se reconoce como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: El servidor flexible de Azure Database for PostgreSQL debe ser resistente a zonas | El servidor flexible de Azure Database for PostgreSQL se puede configurar como alineado con zonas, con redundancia de zona o ninguna de estas opciones. El servidor de PostgreSQL que tiene un servidor en espera seleccionado en la misma zona para lograr alta disponibilidad se considera alineado con zonas. En cambio, el servidor de PostgreSQL que tiene un servidor en espera seleccionado para estar en una zona diferente para lograr alta disponibilidad se reconoce como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure HDInsight debe ser alineado con zonas | Azure HDInsight se puede configurar como alineado con zonas o no. Azure HDInsight que tiene exactamente una entrada en su matriz de zonas se considera alineado con zonas. Esta directiva garantiza que un clúster de Azure HDInsight esté configurado para funcionar dentro de una sola zona de disponibilidad. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los clústeres administrados de Azure Kubernetes Service deben ser clústeres con redundancia de zona | Los clústeres administrados de Azure Kubernetes Service se pueden configurar para que tengan redundancia de zona o no. La directiva comprueba los grupos de nodos del clúster y garantiza que las zonas de disponibilidad estén establecidas para todos los grupos de nodos. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Azure Managed Grafana debe tener redundancia de zona | Azure Managed Grafana se puede configurar para que tenga redundancia de zona. Una instancia de Azure Managed Grafana tiene redundancia de zona si la propiedad "zoneRedundancy" está establecida en "Enabled". La aplicación de esta directiva ayuda a garantizar que Azure Managed Grafana está configurado correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Backup and Site Recovery debe tener redundancia de zona | Backup and Site Recovery se puede configurar como con redundancia de zona o no. Backup and Site Recovery tiene redundancia de zona si la propiedad "standardTierStorageRedundancy" está establecida en "ZoneRedundant". La aplicación de esta directiva ayuda a garantizar que Backup and Site Recovery está configurado correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los almacenes de copia de seguridad deben tener redundancia de zona | Los almacenes de copia de seguridad se pueden configurar como con redundancia de zona o no. Los almacenes de copia de seguridad tienen redundancia de zona si su tipo de configuración de almacenamiento se establece en "ZoneRedundant" y se consideran resistentes. Los almacenes de copia de seguridad con redundancia geográfica o con redundancia local no se consideran resistentes. La aplicación de esta directiva ayuda a garantizar que los almacenes de copia de seguridad están configurados correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: La aplicación de contenedor debe tener redundancia de zona | La aplicación contenedora se puede configurar como con redundancia de zona o no. Una aplicación contenedora tiene redundancia de zona si la propiedad ”ZoneRedundant” de su entorno administrado está establecida en true. Esta directiva identifica la aplicación contenedora que carece de la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Container Instances debe estar alineado con la zona | Container Instances se puede configurar para que esté alineado con zonas o no. Se consideran alineadas por zonas si solo tienen una entrada en su matriz de zonas. Esta directiva garantiza que estén configuradas para funcionar dentro de una sola zona de disponibilidad. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Container Registry debe redundante de zona. | Container Registry se puede configurar para que sea redundante de zona o no. Cuando la propiedad zoneRedundancy de una instancia de Container Registry se establece en "Disabled", significa que el registro no es redundante de zona. La aplicación de esta directiva ayuda a garantizar que Container Registry está configurado correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: las cuentas de base de datos de Cosmos deben tener redundancia de zona | Las cuentas de base de datos de Cosmos se pueden configurar para tener redundancia de zona o no. Si "enableMultipleWriteLocations" está establecido en "true", todas las ubicaciones deben tener una propiedad "isZoneRedundant" y debe establecerse en "true". Si "enableMultipleWriteLocations" está establecido en "false", la ubicación principal ("failoverPriority" establecida en 0) debe tener una propiedad "isZoneRedundant" y debe establecerse en "true". La aplicación de esta directiva garantiza que las cuentas de base de datos de Cosmos estén configuradas correctamente para la redundancia de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Event Hubs debe tener redundancia de zona | Event Hubs puede configurarse para tener redundancia de zona o no. Event Hubs tiene redundancia de zona si la propiedad "zoneRedundant" está establecida en "true". La aplicación de esta directiva ayuda a garantizar que Event Hubs está configurado correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los firewalls deben ser resistentes a zonas | Los firewalls se pueden configurar como alineados con zonas, con redundancia de zona o ninguna de estas opciones. Los firewalls que tienen exactamente una entrada en su matriz de zonas se consideran alineados con zonas. En cambio, los firewalls con 3 o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los equilibradores de carga deben ser resistentes a zonas | Los equilibradores de carga con una SKU distinta de Básica heredan la resistencia de las direcciones IP públicas en su front-end. Cuando se combina con la directiva "Las direcciones IP públicas deben ser resistentes a zonas", este enfoque garantiza la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Managed Disks debe ser resistente a zonas | Managed Disks se puede configurar para alinearse por zona, con redundancia de zona o ninguna de estas opciones. Managed Disks con exactamente una asignación de zona está alineado por zonas. Managed Disks con un nombre de SKU que termina en ZRS tiene redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia para Managed Disks. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: La puerta de enlace NAT debe estar alineada con la zona | La puerta de enlace NAT se puede configurar como alineada con zonas o no. La puerta de enlace NAT que tiene exactamente una entrada en su matriz de zonas se considera alineada con zonas. Esta directiva garantiza que una puerta de enlace NAT esté configurada para funcionar dentro de una sola zona de disponibilidad. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: las direcciones IP públicas deben ser resistentes a zonas | Las direcciones IP públicas se pueden configurar para alinearse por zona, tener redundancia de zona o ninguna de estas opciones. Las direcciones IP públicas que son regionales y tienen exactamente una entrada en su matriz de zonas se consideran como alineadas con zonas. En cambio, las direcciones IP públicas que son regionales y tienen tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.1.0-preview |
| [Versión preliminar]: los prefijos de IP pública deben ser resistentes a zonas | Los prefijos de IP pública se pueden configurar para alinearse por zona, tener redundancia de zona o ninguna de estas opciones. Los prefijos de IP pública que tienen exactamente una entrada en su matriz de zonas se consideran como alineados por zonas. En cambio, los prefijos de IP pública con tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Service Bus debe ser con Redundancia de zona | Service Bus puede configurarse para que sea con Redundancia de zona o no. Cuando la propiedad 'zoneRedundant' está establecida en 'false' para un Service Bus, significa que no está configurada para Redundancia de zona. Esta directiva identifica y aplica la configuración de redundancia de zona para las instancias de Service Bus. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los clústeres de Service Fabric deben tener redundancia de zona | Los clústeres de Service Fabric se pueden configurar para que tengan redundancia de zona o no. Los clústeres de Servicefabric cuyo nodeType no tiene el valor multipleAvailabilityZones establecido en true no tienen redundancia de zona. Esta directiva identifica los clústeres de Servicefabric que carecen de la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: las bases de datos SQL deben tener redundancia de zona | Las bases de datos SQL pueden configurarse para que tengan redundancia de zona o no. Las bases de datos con el valor "zoneRedundant" establecido en "false" no están configurados para la redundancia de zona. Esta directiva ayuda a identificar las bases de datos SQL que necesitan una configuración de redundancia de zona para mejorar la disponibilidad y la resistencia en Azure. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: los grupos de bases de datos elásticas de SQL deben tener redundancia de zona | Los grupos de bases de datos elásticas de SQL se pueden configurar para que tengan redundancia de zona o no. Los grupo de bases de datos elásticas de SQL tienen redundancia de zona si la propiedad "zoneRedundant" está establecida en "true". La aplicación de esta directiva ayuda a garantizar que Event Hubs está configurado correctamente para la resistencia de zona, lo que reduce el riesgo de tiempo de inactividad durante las interrupciones de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: las instancias administradas de SQL deben tener redundancia de zona | Las instancias administradas de SQL se pueden configurar para que tengan redundancia de zona. Las instancias con el valor "zoneRedundant" establecido en "false" no están configurados para la redundancia de zona. Esta directiva ayuda a identificar las instancias administradas de SQL que necesitan una configuración de redundancia de zona para mejorar la disponibilidad y la resistencia en Azure. | Audit, Deny, Disabled | 1.0.0-preview |
| [versión preliminar]: las cuentas de almacenamiento deben ser con redundancia de zona | Las cuentas de almacenamiento se pueden configurar para que sean con redundancia de zona o no. Si el nombre de la SKU de una cuenta de almacenamiento no termina en "ZRS" o su tipo es "Storage", no tiene redundancia de zona. Esta directiva garantiza que las cuentas de almacenamiento usen una configuración con redundancia de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: las instancias de Virtual Machine Scale Sets deben ser resistentes a zonas | Las instancias de Virtual Machine Scale Sets se pueden configurar para alinearse por zona, con redundancia de zona o ninguna de estas opciones. Las instancias de Virtual Machine Scale Sets que tienen exactamente una entrada en su matriz de zonas se consideran como alineadas por zonas. En cambio, las instancias de Virtual Machine Scale Sets con 3 o más entradas en su matriz de zonas y una capacidad mínima de 3 se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: las máquinas virtuales deben estar alineadas por zonas | Las máquinas virtuales se pueden configurar para alinearse por zonas o no. Se consideran alineadas por zonas si solo tienen una entrada en su matriz de zonas. Esta directiva garantiza que estén configuradas para funcionar dentro de una sola zona de disponibilidad. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Las puertas de enlace de red virtual deben tener redundancia de zona | Las puertas de enlace de red virtual pueden configurarse para tener redundancia de zona o no. Las puertas de enlace de red virtual cuyo nombre o nivel de SKU no termina en "AZ" no son redundantes de zona. Esta directiva identifica las puertas de enlace de red virtual que carecen de la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
Búsqueda
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El servicio Azure Cognitive Search debe usar una SKU que admita Private Link | Con las SKU admitidas de Azure Cognitive Search, Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su servicio Search, se reduce el riesgo de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el servicio de Azure Cognitive Search no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben tener deshabilitados los métodos de autenticación local | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que el servicio de Azure Cognitive Search requiera exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/azure-cognitive-search/rbac. Tenga en cuenta que aunque el parámetro de deshabilitación de la autenticación local todavía está en versión preliminar, el efecto de denegación de esta directiva puede dar lugar a una funcionalidad limitada del portal de Azure Cognitive Search, ya que algunas características del portal usan la API de disponibilidad general que no admite el parámetro. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben usar claves administradas por el cliente para cifrar los datos en reposo | Al habilitar el cifrado en reposo con una clave administrada por el cliente en los servicios de Azure Cognitive Search, se proporciona un mayor control sobre la clave que se usa para el cifrado en reposo. Esta característica se suele aplicar a los clientes con requisitos de cumplimiento especiales para gestionar claves de cifrado de datos con un almacén de claves. | Audit, Deny, Disabled | 1.0.0 |
| Los servicios de Azure Cognitive Search deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a Azure Cognitive Search, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que los servicios de Azure Cognitive Search exijan exclusivamente identidades de Azure Active Directory para la autenticación. Más información en: https://aka.ms/azure-cognitive-search/rbac. | Modificar, Deshabilitado | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el servicio Azure Cognitive Search de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modificar, Deshabilitado | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver el servicio Azure Cognitive Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a su instancia del servicio Azure Cognitive Search, puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
Security Center
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: El agente de seguridad de Azure debe estar instalado en las máquinas de Linux Arc | Instale el agente de seguridad de Azure en las máquinas virtuales Linux Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en los conjuntos de escalado de máquinas virtuales Linux | Instale el agente de seguridad de Azure en los conjuntos de escalado de máquinas virtuales Linux con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas virtuales Linux | Instale el agente de seguridad de Azure en las máquinas virtuales Linux con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas de Windows Arc | Instale el agente de seguridad de Azure en las máquinas virtuales Windows Arc con el fin de supervisar las configuraciones de seguridad y las vulnerabilidades de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en los conjuntos de escalado de máquinas virtuales Windows | Instale el agente de seguridad de Azure en los conjuntos de escalado de máquinas virtuales Windows con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: el agente de seguridad de Azure debe estar instalado en las máquinas virtuales Windows | Instale el agente de seguridad de Azure en las máquinas virtuales Windows con el fin de supervisar las configuraciones y vulnerabilidades de seguridad de las máquinas. Los resultados de las valoraciones se pueden ver y administrar en Azure Security Center. | AuditIfNotExists, Disabled | 2.1.0-preview |
| La extensión ChangeTracking debe instalarse en la máquina de Arc para Linux. | Instale la extensión ChangeTracking en máquinas de Arc para Linux a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en la máquina virtual Linux | Instale la extensión ChangeTracking en máquinas virtuales Linux para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux | Instale la extensión ChangeTracking en conjunto de escalado de máquinas virtuales Linux para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 2.0.0-preview |
| La extensión ChangeTracking debe estar instalada en la máquina de Arc para Windows | Instale la extensión ChangeTracking en máquinas de Arc para Windows a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: a extensión ChangeTracking debe estar instalada en la máquina virtual Windows | Instale la extensión ChangeTracking en máquinas virtuales Windows para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: la extensión ChangeTracking debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows | Instale la extensión ChangeTracking en conjunto de escalado de máquinas virtuales Windows para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con Azure Monitoring Agent. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configurar Azure Defender para Agente SQL en máquinas virtuales | Configure las máquinas Windows para que instalen automáticamente el agente de Azure Defender para SQL en el agente de Azure Monitor instalado. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina. Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Configurar la extensión ChangeTracking para las máquinas de Linux Arc | Configure máquinas de Arc para Linux para instalar automáticamente la extensión ChangeTracking a fin de habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: Configuración de la extensión ChangeTracking para conjuntos de escalado de máquinas virtuales Linux | Configure conjuntos de escalado de máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configuración de la extensión ChangeTracking para máquinas virtuales Linux | Configure máquinas virtuales Linux para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| Configurar la extensión ChangeTracking para las máquinas de Windows Arc | Configure máquinas de Arc para Windows para instalar automáticamente la extensión ChangeTracking a fin de habilitar la supervisión de integridad de archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configuración de la extensión ChangeTracking para conjuntos de escalado de máquinas virtuales Windows | Configure conjuntos de escalado de máquinas virtuales Windows para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configuración de la extensión ChangeTracking para máquinas virtuales Windows | Configure máquinas virtuales Windows para instalar automáticamente la extensión ChangeTracking para habilitar la supervisión de la integridad de los archivos (FIM) en Azure Security Center. FIM examina los archivos del sistema operativo, los registros de Windows, el software de aplicación, los archivos del sistema Linux, etc., en busca de cambios que puedan indicar un ataque. La extensión se puede instalar en máquinas virtuales y ubicaciones compatibles con el agente de Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configurar las máquinas de Linux Arc para instalar automáticamente el agente de seguridad de Azure | Configure máquinas Linux Arc para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Linux Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: configurar conjuntos de escalado de máquinas virtuales Linux para instalar automáticamente el agente de seguridad de Azure | Configure conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados | Configure conjuntos de escalado de máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 6.1.0-preview |
| [Versión preliminar]: configurar máquinas virtuales Linux compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales Linux admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Linux para instalar automáticamente el agente de seguridad de Azure | Configure máquinas virtuales Linux compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 7.0.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados | Configure máquinas virtuales Linux compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales compatibles para habilitar automáticamente vTPM | Configure las máquinas virtuales admitidas para habilitar automáticamente vTPM para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configurar las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure | Configure las máquinas Windows Arc admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas Windows Arc de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: configurar las máquinas Windows admitidas para instalar automáticamente el agente de seguridad de Azure | Configure las máquinas Windows admitidas para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Las máquinas virtuales de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Windows para instalar automáticamente el agente de seguridad de Azure | Configure conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente el agente de seguridad de Azure. Security Center recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Los conjuntos de escalado de máquinas virtuales Windows de destino deben estar en una ubicación admitida. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: configurar los conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados | Configure conjuntos de escalado de máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 4.1.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Windows compatibles para habilitar automáticamente el arranque seguro | Configure las máquinas virtuales Windows admitidas para habilitar automáticamente el arranque seguro para mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: configurar las máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados | Configure máquinas virtuales Windows compatibles para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Versión preliminar]: Configuración de máquinas virtuales creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitados | Configure máquinas virtuales creadas con Shared Image Gallery para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Versión preliminar]: configuración de VMSS creadas con imágenes de Shared Image Gallery para instalar la extensión de atestación de invitados | Configure VMSS creadas con Shared Image Gallery para instalar automáticamente la extensión de atestación de invitados a fin de permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. La integridad del arranque se atestigua a través de la atestación remota. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas híbridas de Linux | Implementa el agente de Microsoft Defender para punto de conexión en máquinas híbridas de Linux. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Linux | Implementa el agente de Microsoft Defender para punto de conexión en las imágenes de VM de Linux aplicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas de Azure Arc con sistema Windows | Implementa el agente de Microsoft Defender para punto de conexión en máquinas de Azure Arc con sistema Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: Implementación del agente de Microsoft Defender para punto de conexión en máquinas virtuales de Windows | Implementa Microsoft Defender para punto de conexión en las imágenes de VM de Windows aplicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Linux admitidas | Instale la extensión de atestación de invitados en máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Disabled | 6.0.0 (preliminar) |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Linux admitidos | Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales Linux compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a los conjuntos de escalado de máquinas virtuales Linux confidenciales y de inicio seguro. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en las máquinas virtuales Windows admitidas | Instale la extensión de atestación de invitados en máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a las máquinas virtuales Windows confidenciales y de inicio seguro. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Versión preliminar]: la extensión de atestación de invitados debe estar instalada en los conjuntos de escalado de máquinas virtuales Windows admitidos | Instale la extensión de atestación de invitados en conjuntos de escalado de máquinas virtuales compatibles para permitir que Azure Security Center atestigüe y supervise proactivamente la integridad del arranque. Una vez instalada, la integridad del arranque se atestiguará mediante la atestación remota. Esta evaluación se aplica a los conjuntos de escalado de máquinas virtuales Windows confidenciales y de inicio seguro. | AuditIfNotExists, Disabled | 3.1.0: versión preliminar |
| [Versión preliminar]: las máquinas virtuales Linux solo deberían usar componentes de arranque firmados y de confianza | Todos los componentes de arranque del sistema operativo (cargador de arranque, kernel y controladores de kernel) deben estar firmados por editores de confianza. Defender for Cloud ha identificado componentes de arranque del sistema operativo que no son de confianza en una o varias máquinas Linux. Para proteger las máquinas de componentes potencialmente malintencionados, agréguelas a la lista de permitidos o quite los componentes identificados. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: las máquinas virtuales Linux deben usar el arranque seguro | Para protegerse contra la instalación de rootkits y bootkits basados en malware, habilite el arranque seguro en las máquinas virtuales Linux admitidas. El arranque seguro garantiza que solo se permitirá la ejecución de controladores y sistemas operativos firmados. Esta evaluación solo se aplica a las máquinas virtuales Linux que tienen instalado el agente de Azure Monitor. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: las máquinas deben tener puertos cerrados que puedan exponer vectores de ataque | Los Términos de uso de Azure prohíben el uso de servicios de Azure de maneras que puedan dañar, deshabilitar, sobrecargar o afectar a cualquier servidor de Microsoft o a la red. Los puertos expuestos identificados por esta recomendación deben cerrarse por motivos de seguridad continuados. Para cada puerto identificado, la recomendación también proporciona una explicación de la posible amenaza. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: el arranque seguro debe estar habilitado en las máquinas virtuales Windows admitidas | La habilitación del arranque seguro en máquinas virtuales Windows admitidas ayuda a mitigar los cambios malintencionados y no autorizados en la cadena de arranque. Una vez habilitado, solo se permitirá la ejecución de cargadores de arranque de confianza, del kernel y de controladores de kernel. Esta evaluación se aplica a las máquinas virtuales Windows confidenciales y de inicio seguro. | Audit, Disabled | 4.0.0-preview |
| [Preview]: Se deben instalar las actualizaciones del sistema en las máquinas (con la tecnología del Centro de actualización) | A las máquinas les faltan actualizaciones del sistema, de seguridad y actualizaciones críticas. Las actualizaciones de software a menudo incluyen revisiones críticas para las vulnerabilidades de seguridad. Dichas vulnerabilidades se aprovechan con frecuencia en ataques de malware, por lo que es fundamental mantener el software actualizado. Para instalar todas las revisiones pendientes y proteger las máquinas, siga los pasos de corrección. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: el estado de atestación de invitado de las máquinas virtuales debe ser correcto | La atestación de invitado se realiza mediante el envío de un registro de confianza (TCGLog) a un servidor de atestación. El servidor usa estos registros para determinar si los componentes de arranque son de confianza. Esta evaluación está pensada para detectar riesgos de la cadena de arranque que podrían ser el resultado de una infección por bootkit o rootkit. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro de confianza que tengan instalada la extensión de atestación de invitado. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: vTPM debe estar habilitado en las máquinas virtuales admitidas | Habilite el dispositivo TPM virtual en máquinas virtuales compatibles para facilitar el arranque medido y otras características de seguridad del sistema operativo que requieren un TPM. Una vez habilitado, vTPM se puede usar para atestiguar la integridad del arranque. Esta evaluación solo se aplica a las máquinas virtuales habilitadas para el inicio seguro. | Audit, Disabled | 2.0.0-preview |
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet | Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. | AuditIfNotExists, Disabled | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Los puntos de conexión de API en Azure API Management deben autenticarse | Los puntos de conexión de las API publicados en Azure API Management deben aplicar la autenticación para minimizar el riesgo de seguridad. A veces, los mecanismos de autenticación se implementan incorrectamente o faltan. Esto permite a los atacantes aprovechar los errores de implementación y acceder a los datos. Obtenga más información sobre la amenaza de la API de OWASP para la autenticación de usuario rota aquí: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Los puntos de conexión de API que no se usan deben deshabilitarse y quitarse del servicio Azure API Management | Como procedimiento recomendado de seguridad, los puntos de conexión de las API que no han recibido tráfico durante 30 días se consideran sin usar y se deben quitar del servicio Azure API Management. Mantener los puntos de conexión de API sin usar puede suponer un riesgo de seguridad para su organización. Puede tratarse de las API que deberían haber quedado en desuso del servicio Azure API Management, pero que se han podido dejar activas accidentalmente. Normalmente, estas API no reciben la cobertura de seguridad más actualizada. | AuditIfNotExists, Disabled | 1.0.1 |
| Los intervalos IP autorizados deben definirse en los servicios de Kubernetes | Restrinja el acceso a la API de administración de servicios de Kubernetes mediante la concesión de acceso de API solo a direcciones IP en intervalos específicos. Se recomienda limitar el acceso a los intervalos IP autorizados para garantizar que solo las aplicaciones de las redes permitidas puedan acceder al clúster. | Audit, Disabled | 2.0.1 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure DDoS Protection debe estar habilitado | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.1 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores de Azure SQL Database | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para bases de datos relacionales de código abierto. | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores SQL Server en las máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender para SQL debe estar habilitado para servidores flexibles de PostgreSQL desprotegidos | Auditoría de servidores flexibles de PostgreSQL sin Advanced Data Security | AuditIfNotExists, Disabled | 1.0.0 |
| Las vulnerabilidades de las imágenes del contenedor del registro de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | AuditIfNotExists, Disabled | 1.0.1 |
| El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes | Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. | Audit, Disabled | 1.0.3 |
| Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | AuditIfNotExists, Disabled | 1.0.1 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben configurarse de forma segura | Proteja las instancias de rol de Cloud Service (soporte extendido) de los ataques asegurándose de que no se expongan a ninguna vulnerabilidad del sistema operativo. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben tener instalada una solución de Endpoint Protection | Para proteger las instancias de rol de Cloud Services (soporte extendido) de amenazas y vulnerabilidades, asegúrese de que tiene instalada en ellas una solución de Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de rol de Cloud Services (soporte extendido) deben tener instaladas las actualizaciones del sistema | Proteja sus instancias de rol de Cloud Services (soporte extendido) asegurándose de que las actualizaciones críticas y de seguridad más recientes estén instaladas en ellas. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurar la Protección contra amenazas avanzada para habilitarla en servidores flexibles de Azure Database for MySQL | Habilita la Protección contra amenazas avanzada en los servidores flexibles de Azure Database for MySQL para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos de obtener acceso a bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar la Protección contra amenazas avanzada para habilitarla en servidores flexibles de Azure Database for PostgreSQL | Habilite la Protección contra amenazas avanzada en los servidores flexibles de Azure Database for PostgreSQL para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos de obtener acceso a bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de servidores SQL Server habilitados para Arc para instalar automáticamente el agente de Azure Monitor | Automatizar la implementación de la extensión Agente de Azure Monitor en instancias de SQL Server habilitadas para Arc en Windows. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Configuración de servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL | Configurar instancias de SQL Server habilitadas para Arc en Windows para instalar automáticamente el agente Microsoft Defender para SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | DeployIfNotExists, Disabled | 1.2.0 |
| Configuración de servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de Log Analytics | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y un área de trabajo de Log Analytics en la misma región que la máquina. | DeployIfNotExists, Disabled | 1.3.0 |
| Configuración de servidores SQL Server habilitados para Arc para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de LA definida por el usuario | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. | DeployIfNotExists, Disabled | 1.4.0 |
| Configuración de servidores SQL Server habilitados para Arc con asociación de reglas de recopilación de datos para DCR de Microsoft Defender para SQL | Configurar la asociación entre servidores SQL Server habilitados para Arc y DCR de Microsoft Defender para SQL. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta instancia de SQL Server habilitada para Arc. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de servidores SQL Server habilitados para Arc con asociación de reglas de recopilación de datos para DCR de Microsoft Defender para SQL definido por el usuario | Configurar la asociación entre servidores SQL Server habilitados para Arc y DCR de Microsoft Defender para SQL definido por el usuario. La eliminación de esta asociación interrumpirá la detección de vulnerabilidades de seguridad en esta instancia de SQL Server habilitada para Arc. | DeployIfNotExists, Disabled | 1.2.0 |
| Configuración para habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración para habilitar Azure Defender para una base de datos de Azure SQL | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | DeployIfNotExists, Disabled | 1.0.1 |
| La configuración de Azure Defender para las bases de datos relacionales de código abierto debería estar habilitada | Azure Defender para bases de datos relacionales de código abierto detecta actividades anómalas que indican intentos poco habituales y posiblemente dañinos de acceder a sus bases de datos o de aprovechar sus vulnerabilidades. Obtenga más información sobre las funcionalidades de Azure Defender para bases de datos relacionales de código abierto en https://aka.ms/AzDforOpenSourceDBsDocu. Importante: La habilitación de este plan dará lugar a cargos por la protección de las bases de datos relacionales de código abierto. Obtenga información sobre los precios en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración para habilitar Azure Defender para Resource Manager | Azure Defender para Resource Manager supervisa automáticamente las operaciones de administración de recursos de la organización. Azure Defender detecta amenazas y alerta sobre actividades sospechosas. Obtenga más información sobre las funcionalidades de Azure Defender para Resource Manager en https://aka.ms/defender-for-resource-manager. La habilitación de este plan de Azure Defender conlleva cargos. Obtenga información sobre los detalles de los precios por región en la página de precios de Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración para habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración para habilitar Azure Defender para servidores SQL en máquinas | Azure Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración básica de Microsoft Defender para Storage para que esté habilitado (solo Supervisión de actividad) | Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta posibles amenazas a sus cuentas de almacenamiento. Esta directiva habilitará las funcionalidades básicas de Defender para Storage (Supervisión de actividad). Para habilitar la protección completa, que también incluye el escaneo de malware al cargar y la detección de amenazas de datos confidenciales, use la directiva de habilitación completa: aka.ms/DefenderForStoragePolicy. Para más información sobre las funcionalidades y ventajas de Defender para Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de las máquinas para recibir un proveedor de valoración de vulnerabilidades | Azure Defender incluye el examen de vulnerabilidades de las máquinas sin costo adicional. No se necesita ninguna licencia ni cuenta de Qualys, ya que todo se administra sin problemas en Security Center. Al habilitar esta directiva, Azure Defender implementa automáticamente el proveedor de valoración de vulnerabilidades Qualys en todas las máquinas compatibles que todavía no lo tengan instalado. | DeployIfNotExists, Disabled | 4.0.0 |
| Configuración del plan Microsoft Defender CSPM | La administración de la posición de seguridad en la nube (CSPM) de Defender proporciona funcionalidades de posición mejoradas y un nuevo gráfico de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible junto con las capacidades gratuitas de posición de seguridad de base activadas de manera predeterminada en Defender for Cloud. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Microsoft Defender CSPM que se va a habilitar | La administración de la posición de seguridad en la nube (CSPM) de Defender proporciona funcionalidades de posición mejoradas y un nuevo gráfico de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible junto con las capacidades gratuitas de posición de seguridad de base activadas de manera predeterminada en Defender for Cloud. | DeployIfNotExists, Disabled | 1.0.2 |
| Configuración de Microsoft Defender para Azure Cosmos DB para habilitarlo | Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración del plan de Microsoft Defender para contenedores | Continuamente se agregan nuevas funcionalidades al plan de Defender para contenedores, lo que puede requerir la habilitación explícita del usuario. Use esta directiva para asegurarse de que se habilitarán todas las nuevas funcionalidades. | DeployIfNotExists, Disabled | 1.0.0 |
| La configuración de Microsoft Defender para contenedores debería estar habilitada | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de las opciones de integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configura las opciones de integración de Microsoft Defender para punto de conexión, en Microsoft Defender for Cloud (también conocido como WDATP_EXCLUDE_LINUX_...), para habilitar el aprovisionamiento automático de MDE para servidores Linux. La configuración de WDATP debe estar activada para que se aplique esta configuración. Consulte https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para más información. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configura las opciones de integración de Microsoft Defender para punto de conexión, en Microsoft Defender for Cloud (también conocida como WDATP_UNIFIED_SOLUTION), para habilitar el aprovisionamiento automático del Agente unificado de MDE para Windows Server 2012R2 y 2016. La configuración de WDATP debe estar activada para que se aplique esta configuración. Consulte https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para más información. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de la integración de Microsoft Defender para punto de conexión con Microsoft Defender for Cloud (WDATP) | Configura las opciones de integración de Microsoft Defender para punto de conexión, dentro de Microsoft Defender for Cloud (también conocido como WDATP), para las máquinas de nivel inferior de Windows incorporadas a MDE a través de MMA y el aprovisionamiento automático de MDE en Windows Server 2019, Windows Virtual Desktop y versiones posteriores. Debe estar activada para que funcione la otra configuración (WDATP_UNIFIED, etc.). Consulte https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para más información. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración del plan de Microsoft Defender para Key Vault | Microsoft Defender para Key Vault proporciona un nivel adicional de protección y de inteligencia de seguridad, con la detección de intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración del plan de Microsoft Defender para servidores | Continuamente se agregan nuevas funcionalidades al plan de Defender para servidores, lo que puede requerir la habilitación explícita del usuario. Use esta directiva para asegurarse de que se habilitarán todas las nuevas funcionalidades. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Microsoft Defender para SQL para habilitarlo en áreas de trabajo de Synapse | Habilite Microsoft Defender para SQL en las áreas de trabajo de Azure Synapse para detectar actividades anómalas que revelen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos de SQL o de explotarlas. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Microsoft Defender para Storage (Clásico) para que esté habilitado | Microsoft Defender para Storage (Clásico) proporciona detecciones de intentos inusuales y potencialmente dañinos para acceder a las cuentas de almacenamiento o aprovechar alguna vulnerabilidad de seguridad. | DeployIfNotExists, Disabled | 1.0.2 |
| Configuración de Microsoft Defender para Storage para que esté habilitado | Microsoft Defender para Storage es una capa de inteligencia de seguridad nativa de Azure que detecta posibles amenazas a sus cuentas de almacenamiento. Esta directiva habilitará todas las funcionalidades de Defender para Storage: supervisión de actividad, detección de malware y detección de amenazas de datos confidenciales. Para más información sobre las funcionalidades y ventajas de Defender para Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.2.0 |
| Configuración de máquinas virtuales de SQL para instalar automáticamente el agente de Azure Monitor | Automatice la implementación de la extensión Agente de Azure Monitor en las máquinas virtuales de SQL en Windows. Más información: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Configuración de máquinas virtuales de SQL para instalar automáticamente Microsoft Defender para SQL | Configure máquinas virtuales de SQL en Windows para instalar automáticamente la extensión Microsoft Defender para SQL. Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). | DeployIfNotExists, Disabled | 1.3.0 |
| Configuración de máquinas virtuales de SQL para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de Log Analytics | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos, una regla de recopilación de datos y un área de trabajo de Log Analytics en la misma región que la máquina. | DeployIfNotExists, Disabled | 1.4.0 |
| Configuración de máquinas virtuales de SQL para instalar automáticamente Microsoft Defender para SQL y DCR con un área de trabajo de LA definida por el usuario | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y una regla de recopilación de datos en la misma región que el área de trabajo de Log Analytics definida por el usuario. | DeployIfNotExists, Disabled | 1.4.0 |
| Configuración del área de trabajo de Log Analytics de Microsoft Defender para SQL | Microsoft Defender para SQL recopila eventos del agente y los usa para proporcionar alertas de seguridad y tareas de protección personalizadas (recomendaciones). Cree un grupo de recursos y un área de trabajo de Log Analytics en la misma región que la máquina. | DeployIfNotExists, Disabled | 1.2.0 |
| Creación y asignación de una identidad administrada integrada asignada por el usuario | Crear y asignar una identidad administrada integrada asignada por el usuario a máquinas virtuales de SQL a escala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Implementación: configuración de reglas de eliminación de alertas de Azure Security Center | Elimine las alertas de Azure Security Center para reducir la fatiga que estas ocasionan, mediante la implementación de reglas de eliminación en el grupo de administración o la suscripción. | deployIfNotExists | 1.0.0 |
| Implementación de la exportación al centro de eventos como un servicio de confianza para los datos de Microsoft Defender for Cloud | Habilite la exportación al centro de eventos como un servicio de confianza para los datos de Microsoft Defender for Cloud. Esta directiva implementa la exportación al centro de eventos como parte de la configuración de servicio de confianza con sus condiciones y centro de eventos de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementar la exportación al centro de eventos para los datos de Microsoft Defender for Cloud | Habilite la exportación al centro de eventos de los datos de Microsoft Defender for Cloud. Esta directiva implementa una exportación a la configuración del centro de eventos con sus condiciones y centro de eventos de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.2.0 |
| Implementar la exportación al área de trabajo de Log Analytics para los datos de Microsoft Defender for Cloud | Habilite la exportación al área de trabajo de Log Analytics de los datos de Microsoft Defender for Cloud. Esta directiva implementa una exportación a la configuración del área de trabajo de Log Analytics con sus condiciones y área de trabajo de destino en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 4.1.0 |
| Implementación de la automatización de flujos de trabajo para alertas de Microsoft Defender for Cloud | Habilite la automatización de las alertas de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| Implementación de la automatización de flujos de trabajo para recomendaciones de Microsoft Defender for Cloud | Habilite la automatización de las recomendaciones de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| Implementación de la automatización de flujos de trabajo para el cumplimiento normativo de Microsoft Defender for Cloud | Habilite la automatización del cumplimiento normativo de Microsoft Defender for Cloud. Esta directiva implementa una automatización de flujos de trabajo con sus condiciones y desencadenadores en el ámbito asignado. Para implementar esta directiva en las suscripciones recién creadas, abra la pestaña Compatibilidad, seleccione la asignación no conforme pertinente y cree una tarea de corrección. | deployIfNotExists | 5.0.1 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.1.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Habilitación de los planes de Microsoft Defender for Cloud en la suscripción | Identifica las suscripciones existentes que Microsoft Defender for Cloud no supervisa y las protege con las características gratuitas de Defender for Cloud. Las suscripciones ya supervisadas se considerarán compatibles. Para registrar las suscripciones recién creadas, abra la pestaña Cumplimiento, seleccione la asignación no compatible pertinente y cree una tarea de corrección. | deployIfNotExists | 1.0.1 |
| Habilite el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con un área de trabajo personalizada. | Permite a Security Center aprovisionar automáticamente el agente de Log Analytics en sus suscripciones para supervisar y recopilar datos de seguridad mediante un área de trabajo personalizada. | DeployIfNotExists, Disabled | 1.0.0 |
| Habilite el aprovisionamiento automático de Security Center del agente de Log Analytics en sus suscripciones con el área de trabajo predeterminada. | Permite a Security Center aprovisionar automáticamente el agente de Log Analytics en sus suscripciones para supervisar y recopilar datos de seguridad mediante el área de trabajo predeterminada de ASC. | DeployIfNotExists, Disabled | 1.0.0 |
| Los problemas de estado de protección de puntos de conexión se deben resolver en las máquinas | Resuelva los problemas del estado de la protección de los puntos de conexión en las máquinas virtuales para protegerlas frente a amenazas y vulnerabilidades más recientes. Las soluciones de protección de puntos de conexión que admite Azure Security Center se documentan aquí: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valoración de la protección del punto de conexión se documenta aquí: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La protección de los puntos de conexión debe instalarse en las máquinas | Para proteger las máquinas frente a amenazas y vulnerabilidades, instale una solución Endpoint Protection compatible. | AuditIfNotExists, Disabled | 1.0.0 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión "Configuración de invitado" debe estar instalada en las máquinas | Para garantizar la seguridad de la configuración de invitado, instale la extensión "Configuración de invitado". La configuración de invitado supervisada en la extensión engloba la configuración del sistema operativo, la configuración o presencia de las aplicaciones y la configuración del entorno. Una vez instaladas, las directivas de invitado estarán disponibles como "La protección contra vulnerabilidades de Windows debe estar habilitada.". Obtenga más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Kubernetes Services se debe actualizar a una versión de Kubernetes no vulnerable | Actualice el clúster de servicio de Kubernetes a una versión de Kubernetes posterior para protegerse frente a vulnerabilidades conocidas en la versión actual de Kubernetes. La vulnerabilidad CVE-2019-9946 se ha revisado en las versiones de Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ y 1.14.0+ | Audit, Disabled | 1.0.2 |
| El agente de Log Analytics debe instalarse en las instancias de rol de Cloud Services (soporte extendido) | Security Center recopila datos de las instancias de rol de Cloud Services (soporte extendido) para supervisar las vulnerabilidades y amenazas de seguridad. | AuditIfNotExists, Disabled | 2.0.0 |
| El agente de Log Analytics debe instalarse en la máquina virtual para la supervisión de Azure Security Center. | Esta directiva audita cualquier máquina virtual Windows o Linux si el agente de Log Analytics no está instalado y Security Center la utiliza para supervisar las amenazas y vulnerabilidades de seguridad | AuditIfNotExists, Disabled | 1.0.0 |
| El agente de Log Analytics debe instalarse en sus conjuntos de escalado de máquinas virtuales para supervisar Azure Security Center. | Security Center recopila datos de las máquinas virtuales de Azure para supervisar las amenazas y vulnerabilidades de la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Las máquinas deberían tener conclusiones de secretos resueltas | Audita las máquinas virtuales para detectar si contienen resultados de secretos de las soluciones de análisis de secretos en las máquinas virtuales. | AuditIfNotExists, Disabled | 1.0.2 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben cerrar los puertos de administración en las máquinas virtuales | Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender CSPM debe estar habilitado | La administración de la posición de seguridad en la nube (CSPM) de Defender proporciona funcionalidades de posición mejoradas y un nuevo gráfico de seguridad en la nube inteligente para ayudar a identificar, priorizar y reducir el riesgo. Defender CSPM está disponible junto con las capacidades gratuitas de posición de seguridad de base activadas de manera predeterminada en Defender for Cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para las API | Microsoft Defender para API ofrece nuevas funciones de detección, protección, detección y cobertura de respuesta para supervisar ataques basados en API comunes y errores de configuración de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender para Azure Cosmos DB debe estar habilitado | Microsoft Defender para Azure Cosmos DB es una capa de seguridad nativa de Azure que detecta intentos de aprovechar una vulnerabilidad de seguridad de las bases de datos de las cuentas de Azure Cosmos DB. Defender para Azure Cosmos DB detecta posibles ataques por inyección de código SQL, actores malintencionados conocidos basados en Inteligencia sobre amenazas de Microsoft, patrones de acceso sospechosos y posibles vulnerabilidades de seguridad de la base de datos mediante identidades en peligro o usuarios malintencionados. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender para contenedores debería estar habilitado | Microsoft Defender para contenedores proporciona protección, evaluación de vulnerabilidades y protecciones en tiempo de ejecución para los entornos de Kubernetes de Azure, híbridos y multinube. | AuditIfNotExists, Disabled | 1.0.0 |
| Se debe habilitar Microsoft Defender para SQL para las áreas de trabajo de Synapse | Habilite Defender para SQL para proteger las áreas de trabajo de Synapse. Defender for SQL supervisa el Synapse SQL para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. | AuditIfNotExists, Disabled | 1.0.0 |
| El estado de Microsoft Defender para SQL debe ser protegido para los servidores de SQL Server habilitados para Arc | Microsoft Defender para SQL proporciona funcionalidad para mostrar y mitigar posibles vulnerabilidades de base de datos, detectar actividades anómalas que podrían indicar amenazas para bases de datos SQL, y detectar y clasificar datos confidenciales. Una vez habilitado, el estado de protección indica que el recurso se supervisa activamente. Incluso cuando Defender está habilitado, se deben validar varias opciones de configuración en el agente, la máquina, el área de trabajo y SQL Server para garantizar la protección activa. | Audit, Disabled | 1.0.1 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Es necesario seleccionar el plan de tarifa estándar de Security Center. | El plan de tarifa estándar le permite detectar amenazas en redes y máquinas virtuales, lo que proporciona inteligencia sobre amenazas, detección de anomalías y análisis de comportamiento en Azure Security Center. | Audit, Disabled | 1.1.0 |
| Configuración de suscripciones para realizar la transición a una solución de evaluación de vulnerabilidades alternativa | Microsoft Defender for Cloud ofrece el examen de vulnerabilidades de las máquinas sin costo adicional. La habilitación de esta directiva hará que Defender for Cloud propague automáticamente los resultados de la solución integrada de administración de vulnerabilidades Microsoft Defender a todas las máquinas compatibles. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. | Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. | AuditIfNotExists, Disabled | 4.1.0 |
| El aprovisionamiento automático dirigido al servidor SQL debería estar habilitado para el plan de servidores SQL en máquinas | Para garantizar la protección de las máquinas virtuales SQL y servidores SQL habilitados para Arc, asegúrese de que el agente de supervisión de Azure orientado a SQL esté configurado para implementarse automáticamente. Esto también es necesario si ha configurado previamente el aprovisionamiento automático de Microsoft Monitoring Agent, ya que ese componente está en desuso. Más información: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| Los servidores SQL de las máquinas deben tener resueltos los hallazgos de vulnerabilidades. | La evaluación de vulnerabilidades de SQL examina la base de datos en busca de vulnerabilidades de seguridad y expone las posibles desviaciones de los procedimientos recomendados, como errores de configuración, permisos excesivos y datos confidenciales sin protección. La corrección de las vulnerabilidades detectadas puede mejorar considerablemente la posición de seguridad de la base de datos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| La extensión "Configuración de invitado" de las máquinas virtuales debe implementarse con una identidad administrada asignada por el sistema | La extensión Configuración de invitado requiere una identidad administrada asignada por el sistema. Si las máquinas virtuales de Azure incluidas en el ámbito de esta directiva tienen instalada la extensión "Configuración de invitado" pero no tienen una identidad administrada asignada por el sistema, no cumplirán los requisitos establecidos. Más información en https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
Security Center: precios pormenorizados
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configuración de Azure Defender para servidores para que se deshabilite para todos los recursos (nivel de recurso) | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva deshabilitará el plan de Defender para servidores para todos los recursos (máquinas virtuales, VMSS y máquinas ARC) en el ámbito seleccionado (suscripción o grupo de recursos). | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Defender para servidores para que se deshabilite para los recursos (nivel de recurso) con la etiqueta seleccionada | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva deshabilitará el plan de Defender para servidores para todos los recursos (máquinas virtuales, VMSS y máquinas ARC) que tengan el nombre de etiqueta y los valores de etiqueta seleccionados. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Defender para servidores para habilitar (subplan "P1") para todos los recursos (nivel de recurso) con la etiqueta seleccionada | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva habilitará el plan de Defender para servidores (con el subplan "P1") para todos los recursos (máquinas virtuales y máquinas ARC) que tengan el nombre de etiqueta y los valores de etiqueta seleccionados. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Defender para servidores para habilitar (con el subplan "P1") para todos los recursos (nivel de recurso) | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. Esta directiva habilitará el plan de Defender para servidores (con el subplan "P1") para todos los recursos (máquinas virtuales y máquinas ARC) en el ámbito seleccionado (suscripción o grupo de recursos). | DeployIfNotExists, Disabled | 1.0.0 |
Service Bus
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Todas las reglas de autorización, excepto RootManageSharedAccessKey, se deben eliminar del espacio de nombres de Service Bus | Los clientes de Service Bus no deben usar una directiva de acceso de nivel de espacio de nombres que proporciona acceso a todas las colas y temas de un espacio de nombres. Para alinearse con el modelo de seguridad con privilegios mínimos, debe crear directivas de acceso en las entidades para que las colas y los temas proporcionen acceso solo a la entidad específica. | Audit, Deny, Disabled | 1.0.1 |
| Los espacios de nombres de Azure Service Bus deben tener los métodos de autenticación local deshabilitados | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que los espacios de nombres de Azure Service Bus requieran exclusivamente identidades de Microsoft Entra ID para la autenticación. Más información en: https://aka.ms/disablelocalauth-sb. | Audit, Deny, Disabled | 1.0.1 |
| Los espacios de nombres de Azure Service Bus deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, se reducen los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Configuración de los espacios de nombres de Azure Service Bus para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que los espacios de nombres de Azure Service Bus requieran exclusivamente identidades de Microsoft Entra ID para la autenticación. Más información en: https://aka.ms/disablelocalauth-sb. | Modificar, Deshabilitado | 1.0.1 |
| Configurar los espacios de nombres de Service Bus para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los espacios de nombres de Service Bus. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los espacios de nombres de Service Bus con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a los espacios de nombres de Service Bus, puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los espacios de nombres de Service Bus deberían deshabilitar el acceso a la red pública | Azure Service Bus debe tener deshabilitado el acceso a la red pública. Al deshabilitar el acceso a la red pública, se mejora la seguridad ya que el recurso no se expone en la red pública de Internet. En su lugar, puede limitar la exposición de los recursos mediante la creación de puntos de conexión privados. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Deny, Disabled | 1.1.0 |
| Los espacios de nombres de Service Bus deben tener habilitado el cifrado doble | La habilitación del cifrado doble ayuda a custodiar y proteger sus datos con el fin de satisfacer los compromisos de cumplimiento y seguridad de la organización. Cuando está habilitado el cifrado doble, los datos de las cuentas de almacenamiento se cifran dos veces, una vez en el nivel de servicio y otra en el nivel de infraestructura, con dos algoritmos de cifrado y dos claves diferentes. | Audit, Deny, Disabled | 1.0.0 |
| Los espacios de nombres prémium de Service Bus deben usar una clave administrada por el cliente para el cifrado | Azure Service Bus permite cifrar los datos en reposo con claves administradas por Microsoft (opción predeterminada) o claves administradas por el cliente. Si decide cifrar los datos con claves administradas por el cliente, podrá asignar, rotar, deshabilitar y revocar el acceso a las claves que Service Bus utiliza para cifrar los datos en el espacio de nombres. Tenga en cuenta que Service Bus solo admite el cifrado con claves administradas por el cliente en los espacios de nombres prémium. | Audit, Disabled | 1.0.0 |
Service Fabric
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe establecer la propiedad ClusterProtectionLevel en EncryptAndSign en los clústeres de Service Fabric | Service Fabric proporciona tres niveles de protección (None, Sign y EncryptAndSign) para la comunicación de nodo a nodo mediante un certificado de clúster principal. Establezca el nivel de protección para asegurarse de que todos los mensajes de nodo a nodo se cifran y se firman digitalmente. | Audit, Deny, Disabled | 1.1.0 |
| Los clústeres de Service Fabric solo deben usar Azure Active Directory para la autenticación de cliente | Permite auditar el uso de la autenticación de clientes solo mediante Azure Active Directory en Service Fabric | Audit, Deny, Disabled | 1.1.0 |
SignalR
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Azure SignalR Service debe deshabilitar el acceso a la red pública | Para reforzar la seguridad del recurso de Azure SignalR Service, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/asrs/networkacls. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Audit, Deny, Disabled | 1.1.0 |
| Azure SignalR Service debe habilitar los registros de diagnóstico | Permite auditar la habilitación de registros de diagnóstico. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service debe tener deshabilitados los métodos de autenticación local. | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que Azure SignalR Service requiera exclusivamente identidades de Azure Active Directory para la autenticación. | Audit, Deny, Disabled | 1.0.0 |
| Azure SignalR Service debe usar una SKU habilitada para Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. Así se protegen sus recursos frente al riesgo de pérdida de datos públicos. La directiva establece límites en las SKU habilitadas mediante Private Link para Azure SignalR Service. Obtenga más información sobre Private Link en: https://aka.ms/asrs/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Azure SignalR Service debe usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su recurso de Azure SignalR Service en lugar todo el servicio, reducirá los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Configuración Azure SignalR Service para deshabilitar la autenticación local | Deshabilite los métodos de autenticación local para que Azure SignalR Service exija exclusivamente identidades de Azure Active Directory para la autenticación. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de puntos de conexión privados en Azure SignalR Service | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a recursos de Azure SignalR Service, puede reducir los riesgos de pérdida de datos. Obtenga más información en https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configuración de zonas DNS privadas para conectar puntos de conexión privados a Azure SignalR Service | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el recurso de Azure SignalR Service. Más información en: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Modificación de recursos de Azure SignalR Service para deshabilitar el acceso a la red pública | Para reforzar la seguridad del recurso de Azure SignalR Service, asegúrese de que no está expuesto a la red pública de Internet y que únicamente se pueda acceder a él desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/asrs/networkacls. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Modificar, Deshabilitado | 1.1.0 |
Site Recovery
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Configurar almacenes de Azure Recovery Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los almacenes de Recovery Services. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configurar puntos de conexión privados en los almacenes de Azure Recovery Services | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a los recursos de recuperación del sitio de los almacenes de Recovery Services, puede reducir los riesgos de pérdida de datos. Para usar vínculos privados, la identidad de servicio administrada debe asignarse a los almacenes de Recovery Services. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los almacenes de Recovery Services deben usar un vínculo privado | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a Azure Recovery Services almacenes, se reduce el riesgo de pérdida de datos. Obtenga más información sobre los vínculos privados para Azure Site Recovery en https://aka.ms/HybridScenarios-PrivateLink y https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0-preview |
SQL
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe proporcionar un administrador de Microsoft Entra para servidores MySQL | Permite aprovisionar un administrador de Microsoft Entra para el servidor de MySQL a fin de habilitar la autenticación de Microsoft Entra. La autenticación de Microsoft Entra permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.1.1 |
| Se debe proporcionar un administrador de Microsoft Entra para servidores de PostgreSQL | Permite aprovisionar un administrador de Microsoft Entra para el servidor de PostgreSQL a fin de habilitar la autenticación de Microsoft Entra. La autenticación de Microsoft Entra permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.1 |
| El administrador de Azure Active Directory debe aprovisionarse para servidores SQL Server | Permite aprovisionar un administrador de Azure Active Directory para SQL Server a fin de habilitar la autenticación de Azure AD. La autenticación de Azure AD permite la administración simplificada de permisos y la administración centralizada de identidades de usuarios de base de datos y otros servicios de Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| La auditoría de SQL Server debe estar habilitada | La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe habilitar Azure Defender para SQL en las instancias de Azure SQL Server desprotegidas | Auditoría de los servidores de SQL sin Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender para SQL debe habilitarse en las instancias de SQL Managed Instances desprotegidas. | Permite auditr cada servicio SQL Managed Instance sin Advanced Data Security. | AuditIfNotExists, Disabled | 1.0.2 |
| El servidor flexible Azure MySQL debe tener habilitada la autenticación solo de Microsoft Entra | Deshabilitar los métodos de autenticación local y permitir solo la autenticación de Microsoft Entra mejora la seguridad asegurándose de que las identidades de Microsoft Entra puedan acceder exclusivamente al servidor flexible de Azure MySQL. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure SQL Database should be running TLS version 1.2 or newer | Si la versión de TLS se establece en 1.2 o una versión posterior, la seguridad mejora al garantizar que solo se tenga acceso a Azure SQL Database desde clientes que utilicen TLS 1.2 o una versión posterior. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. | Audit, Disabled, Deny | 2.0.0 |
| Azure SQL Database debe tener habilitada solo la autenticación de Microsoft Entra | Requerir que los servidores lógicos de Azure SQL usen solo autenticación de Microsoft Entra. Esta directiva no impide que los servidores se creen con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
| Azure SQL Database debe tener habilitada la autenticación solo de Microsoft Entra durante la creación | Requerir que los servidores lógicos de Azure SQL se creen con la autenticación solo de Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
| Azure SQL Managed Instance debe tener habilitada solo la autenticación de Microsoft Entra | Requerir que Azure SQL Managed Instance use la autenticación solo de Microsoft Entra. Esta directiva no impide que las instancias administradas de Azure SQL se creen con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
| Azure SQL Managed Instances debería deshabilitar el acceso a la red pública | Deshabilitar el acceso a la red pública (punto de conexión público) en Azure SQL Managed Instance mejora la seguridad al garantizar que solo se pueda acceder desde dentro de las redes virtuales o a través de puntos de conexión privados. Para más información sobre el acceso a la red pública, visite https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Las instancias administradas de Azure SQL deben tener habilitada la autenticación solo de Microsoft Entra durante la creación | Requerir que Azure SQL Managed Instance se cree con la autenticación solo de Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
| Configurar la Protección contra amenazas avanzada para habilitarla en los servidores de Azure Database for MariaDB | Habilite la Protección contra amenazas avanzada en los servidores de Azure Database for MariaDB de nivel no básico para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos de obtener acceso a bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists, Disabled | 1.2.0 |
| Configure la Protección contra amenazas avanzada para habilitarla en los servidores de Azure Database for MySQL | Habilite la Protección contra amenazas avanzada en los servidores de Azure Database for MySQL de nivel no básico para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos de obtener acceso a bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists, Disabled | 1.2.0 |
| Configure la Protección contra amenazas avanzada para habilitarla en los servidores de Azure Database for PostgreSQL | Habilite la Protección contra amenazas avanzada en los servidores de Azure Database for PostgreSQL de nivel no básico para detectar actividades anómalas que indiquen intentos inusuales o potencialmente dañinos de obtener acceso a bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists, Disabled | 1.2.0 |
| Configuración de Azure Defender para que se habilite en instancias de SQL Managed Instance | Habilite Azure Defender en las instancias de Azure SQL Managed Instance para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists, Disabled | 2.0.0 |
| Configuración de Azure Defender para que se habilite en servidores SQL Server | Habilite Azure Defender en los servidores de Azure SQL para detectar actividades anómalas que indiquen intentos inusuales y potencialmente peligrosos de acceder a las bases de datos o de aprovechar sus vulnerabilidades. | DeployIfNotExists | 2.1.0 |
| Configurar los servidores de Azure SQL Database para el espacio de trabajo de Log Analytics | Permite habilitar los registros de auditoría del servidor de Azure SQL Database y transmitir registros de diagnóstico a un área de trabajo de Log Analytics cuando se cree o actualice cualquier instancia de SQL Server en la que falte esta auditoría. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurar Azure SQL Server para deshabilitar el acceso a la red pública | Al deshabilitar la propiedad de acceso a la red pública se cierra la conectividad pública, de modo que solo se puede tener acceso a Azure SQL Server desde un punto de conexión privado. Esta configuración deshabilita el acceso a la red pública para todas las bases de datos de Azure SQL Server. | Modificar, Deshabilitado | 1.0.0 |
| Configurar Azure SQL Server para habilitar conexiones de punto de conexión privado | Una conexión de punto de conexión privado habilita la conectividad privada con Azure SQL Database a través de una dirección IP privada dentro de una red virtual. Esta configuración mejora su posición de seguridad y admite las herramientas y los escenarios de redes de Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar instancias de SQL Server para habilitar la auditoría | Para asegurarse de que se capturan las operaciones realizadas en los recursos de SQL, las instancias de SQL Server deben tener habilitada la auditoría. A veces, es necesario para cumplir con los estándares normativos. | DeployIfNotExists, Disabled | 3.0.0 |
| Configuración de los servidores de SQL Server para que tengan habilitada la auditoría en el área de trabajo de Log Analytics | Para asegurarse de que se capturan las operaciones realizadas en los recursos de SQL, las instancias de SQL Server deben tener habilitada la auditoría. Si la auditoría no está habilitada, esta directiva configurará los eventos de auditoría para que fluyan al área de trabajo especificada de Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| La limitación de conexiones debe estar habilitada para los servidores de bases de datos PostgreSQL | Esta directiva permite realizar una auditoría de las bases de datos de PostgreSQL del entorno sin la limitación de conexiones habilitada. Esta configuración habilita la limitación de conexiones temporales por IP si hay demasiados errores de inicio de sesión con una contraseña no válida. | AuditIfNotExists, Disabled | 1.0.0 |
| Implementación: configuración de diagnóstico para instancias de SQL Database en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para que las instancias de SQL Database transmitan los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier instancia de SQL Database en la que falte esta configuración de diagnóstico. | DeployIfNotExists, Disabled | 4.0.0 |
| Implementar Advanced Data Security en los servidores de SQL Server | Esta directiva habilita Advanced Data Security en los servidores de SQL Server. Esta opción también habilita la detección de amenazas y la evaluación de vulnerabilidades. Asimismo, creará automáticamente una cuenta de almacenamiento en la misma región y grupo de recursos que el servidor de SQL Server, para así almacenar los resultados del análisis con un prefijo "sqlva". | DeployIfNotExists | 1.3.0 |
| Implementar la configuración de diagnóstico para Azure SQL Database en el Centro de eventos | Implementa la configuración de diagnóstico para que Azure SQL Database se transmita a un Centro de eventos regional cuando se cree o actualice cualquier instancia de Azure SQL Database a la que falte esta configuración de diagnóstico. | DeployIfNotExists | 1.2.0 |
| Implementar el cifrado de datos transparente de SQL Database | Habilita el cifrado de datos transparente en bases de datos SQL. | DeployIfNotExists, Disabled | 2.2.0 |
| Las desconexiones se deben registrar para los servidores de base de datos de PostgreSQL. | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
| Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL | Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL | Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB | Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL | Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL | Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. | Audit, Disabled | 1.0.1 |
| El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for MySQL | Habilite el cifrado de infraestructura para que los servidores de Azure Database for MySQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas de Microsoft compatibles con FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| El cifrado de infraestructura debe estar habilitado para los servidores de Azure Database for PostgreSQL | Habilite el cifrado de infraestructura para que los servidores de Azure Database for PostgreSQL tengan mayor garantía de que los datos están seguros. Cuando se habilita el cifrado de infraestructura, los datos en reposo se cifran dos veces con las claves administradas por Microsoft compatibles con FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| Los puntos de control del registro se deben habilitar para los servidores de base de datos de PostgreSQL | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
| Las conexiones del registro deben estar habilitadas para los servidores de bases de datos de PostgreSQL | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
| La duración del registro debe estar habilitada para los servidores de bases de datos de PostgreSQL | Esta directiva ayuda a realizar una auditoría de las bases de datos de PostgreSQL del entorno sin habilitar la opción log_duration. | AuditIfNotExists, Disabled | 1.0.0 |
| La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database | Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. | AuditIfNotExists, Disabled | 2.0.0 |
| El servidor MariaDB debe usar un punto de conexión del servicio de red virtual | Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica en Azure Database for MariaDB y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. Esta directiva proporciona una manera de auditar si Azure Database for MariaDB tiene un punto de conexión de servicio de red virtual que se está usando. | AuditIfNotExists, Disabled | 1.0.2 |
| El servidor MySQL debe usar un punto de conexión de servicio de red virtual | Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica en Azure Database for MySQL y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. Esta directiva proporciona una manera de auditar si Azure Database for MySQL tiene un punto de conexión de servicio de red virtual que se está usando. | AuditIfNotExists, Disabled | 1.0.2 |
| Los servidores MySQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores MySQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Disabled | 1.0.4 |
| El servidor PostgreSQL debe usar un punto de conexión de servicio de red virtual | Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica en Azure Database for PostgreSQL y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. Esta directiva proporciona una manera de auditar si Azure Database for PostgreSQL tiene un punto de conexión de servicio de red virtual que se está usando. | AuditIfNotExists, Disabled | 1.0.2 |
| Los servidores PostgreSQL deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los servidores PostgreSQL. De manera predeterminada, los datos se cifran en reposo con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | AuditIfNotExists, Disabled | 1.0.4 |
| Las conexiones de punto de conexión privado en Azure SQL Database deben estar habilitadas | Las conexiones de punto de conexión privado garantizan una comunicación segura al habilitar la conectividad privada con Azure SQL Database. | Audit, Disabled | 1.1.0 |
| El punto de conexión privado debe estar habilitado para servidores MariaDB | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for MariaDB. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores MySQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada a Azure Database for MySQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| El punto de conexión privado debe estar habilitado para servidores PostgreSQL | Las conexiones de punto de conexión privado garantizan una comunicación segura al permitir la conectividad privada con Azure Database for PostgreSQL. Configure una conexión de punto de conexión privado para permitir el acceso al tráfico que solo proviene de redes conocidas y evitar el acceso desde todas las demás direcciones IP, incluido desde Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Debe deshabilitarse el acceso a redes públicas en Azure SQL Database | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a la instancia de Azure SQL Database desde un punto de conexión privado. Esta configuración deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o redes virtuales. | Audit, Deny, Disabled | 1.1.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores MariaDB | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MariaDB desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a las redes públicas debe estar deshabilitado para los servidores flexibles de MySQL | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a los servidores flexibles de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o en la red virtual. | Audit, Deny, Disabled | 2.1.0 |
| El acceso a las redes públicas debe estar deshabilitado para los servidores MySQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for MySQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en IP o en red virtual. | Audit, Deny, Disabled | 2.0.0 |
| El acceso a redes públicas debe estar deshabilitado para los servidores flexibles de PostgreSQL | Al deshabilitar la propiedad de acceso a la red pública, se mejora la seguridad al garantizar que solo se pueda acceder a los servidores flexibles de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita estrictamente el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o en la red virtual. | Audit, Deny, Disabled | 3.0.1 |
| El acceso a redes públicas debe estar deshabilitado para los servidores PostgreSQL | Deshabilite la propiedad de acceso a la red pública para mejorar la seguridad y garantizar que solo se pueda acceder a la instancia de Azure Database for PostgreSQL desde un punto de conexión privado. Esta configuración deshabilita el acceso desde cualquier espacio de direcciones público que esté fuera del intervalo de direcciones IP de Azure y deniega todos los inicios de sesión que coinciden con las reglas de firewall basadas en la IP o en la red virtual. | Audit, Deny, Disabled | 2.0.1 |
| La configuración de auditoría de SQL debe tener grupos de acción configurados para capturar actividades críticas | La propiedad AuditActionsAndGroups debe contener al menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP para garantizar un registro de auditoría exhaustivo. | AuditIfNotExists, Disabled | 1.0.0 |
| SQL Database debe evitar el uso de la redundancia de copia de seguridad con almacenamiento con redundancia geográfica | Las bases de datos deben evitar el uso del almacenamiento con redundancia geográfica para las copias de seguridad si las reglas de residencia de datos requieren que estos permanezcan en una región específica. Nota: Azure Policy no se aplica al crear una base de datos mediante T-SQL. A menos que se especifique explícitamente, las bases de datos con almacenamiento de copia de seguridad con redundancia geográfica se crean mediante T-SQL. | Deny, Disabled | 2.0.0 |
| SQL Managed Instance debe tener la versión mínima de TLS 1.2 | Si la versión mínima de TLS se establece en 1.2, la seguridad mejora al garantizar que solo se tenga acceso a SQL Managed Instance desde clientes que utilicen TLS 1.2. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. | Audit, Disabled | 1.0.1 |
| Las instancias administradas de SQL deben evitar el uso de redundancia de copia de seguridad con almacenamiento con redundancia geográfica | Las instancias administradas deben evitar el uso del almacenamiento con redundancia geográfica predeterminado para las copias de seguridad si las reglas de residencia de datos requieren que estos permanezcan en una región específica. Nota: Azure Policy no se aplica al crear una base de datos mediante T-SQL. A menos que se especifique explícitamente, las bases de datos con almacenamiento de copia de seguridad con redundancia geográfica se crean mediante T-SQL. | Deny, Disabled | 2.0.0 |
| Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.0 |
| Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo | La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. | Audit, Deny, Disabled | 2.0.1 |
| Los servidores SQL Server con auditoría en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL Server en el destino de la cuenta de almacenamiento en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 3.0.0 |
| El cifrado de datos transparente en bases de datos SQL debe estar habilitado | El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. | AuditIfNotExists, Disabled | 2.0.0 |
| La regla de firewall de redes virtuales de Azure SQL Database debe estar habilitada para permitir el tráfico de la subred especificada | Las reglas de firewall basadas en redes virtuales se usan para habilitar el tráfico de una subred específica a Azure SQL Database y, al mismo tiempo, garantizar que el tráfico permanece dentro del límite de Azure. | AuditIfNotExists | 1.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL | Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 1.0.1 |
| La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server | Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. | AuditIfNotExists, Disabled | 3.0.0 |
Instancia administrada de SQL
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El cifrado de claves administradas por el cliente debe usarse como parte del cifrado de CMK para instancias administradas de SQL de Arc. | Como parte del cifrado de CMK, se debe usar el cifrado de clave administrada por el cliente. Obtenga más información en https://aka.ms/EnableTDEArcSQLMI. | Audit, Disabled | 1.0.0 |
| El protocolo TLS 1.2 se debe usar para las instancias administradas de SQL de Arc. | Como parte de la configuración de red, Microsoft recomienda permitir solo TLS 1.2 para protocolos TLS en servidores de SQL Server. Obtenga más información sobre la configuración de red para SQL Server en https://aka.ms/TlsSettingsSQLServer. | Audit, Disabled | 1.0.0 |
| El cifrado de datos transparente debe estar habilitado para las instancias administradas de SQL de Arc. | Habilite el cifrado de datos transparente (TDE) en reposo en una instancia administrada de SQL habilitada por Azure Arc. Obtenga más información en https://aka.ms/EnableTDEArcSQLMI. | Audit, Disabled | 1.0.0 |
SQL Server
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: habilitación de la identidad asignada por el sistema a una máquina virtual SQL | Habilite la identidad asignada por el sistema a gran escala en las máquinas virtuales SQL. Debe asignar esta directiva en el nivel de suscripción. La asignación en el nivel de grupo de recursos no funcionará según lo previsto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Configurar servidores habilitados para Arc con la extensión de SQL Server instalada para habilitar o deshabilitar la valoración de procedimientos recomendados de SQL. | Habilite o deshabilite la evaluación de procedimientos recomendados de SQL en las instancias de SQL Server en los servidores habilitados para Arc para evaluar los procedimientos recomendados. Obtenga más información en https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Suscripción de instancias aptas de SQL Server habilitadas para Arc a actualizaciones de seguridad extendidas. | Suscriba instancias aptas de SQL Server habilitadas para Arc con el tipo de licencia establecido en Pagado o PAYG a actualizaciones de seguridad extendidas. Más información sobre las actualizaciones de seguridad extendidas https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, Disabled | 1.0.0 |
Stack HCI
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Los servidores de Azure Stack HCI deben tener directivas de control de aplicaciones aplicadas de forma coherente. | Como mínimo, aplique la directiva base WDAC de Microsoft en modo aplicado en todos los servidores de Azure Stack HCI. Las directivas de Control de aplicaciones de Windows Defender (WDAC) aplicadas deben ser coherentes entre los servidores del mismo clúster. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Versión preliminar]: Los servidores de Azure Stack HCI deben cumplir los requisitos de núcleos protegidos. | Asegúrese de que todos los servidores de Azure Stack HCI cumplan los requisitos de núcleo protegido. Para habilitar los requisitos del servidor de núcleo protegido: 1. En la página Clústeres de Azure Stack HCI, vaya a Windows Admin Center y seleccione Conectar. 2. Vaya a la extensión Seguridad y seleccione Núcleo protegido. 3. Seleccione cualquier configuración que no esté habilitada y haga clic en Habilitar. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Versión preliminar]: Los sistemas de Azure Stack HCI deben tener volúmenes cifrados | Use BitLocker para cifrar el sistema operativo y los volúmenes de datos en sistemas de Azure Stack HCI. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Versión preliminar]; Las redes de VM y host deben protegerse en los sistemas de Azure Stack HCI | Proteja los datos en la red del host de Azure Stack HCI y en las conexiones de red de máquina virtual. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
Storage
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: No se debe permitir el acceso público a la cuenta de almacenamiento | El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0: versión preliminar |
| Azure File Sync debe usar Private Link | Si crea un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado, podrá dirigirse al recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de la organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La creación de un punto de conexión privado por sí mismo no deshabilita el punto de conexión público. | AuditIfNotExists, Disabled | 1.0.0 |
| Los volúmenes SMB de Azure NetApp Files deben usar cifrado SMB3 | No permitir la creación de volúmenes SMB sin cifrado SMB3 para garantizar la integridad y la privacidad de los datos. | Audit, Deny, Disabled | 1.0.0 |
| Los volúmenes de Azure NetApp Files de tipo NFSv4.1 deben usar el cifrado de datos Kerberos | Permitir solo el uso del modo de seguridad de privacidad Kerberos (5p) para garantizar el cifrado de los datos. | Audit, Deny, Disabled | 1.0.0 |
| Volúmenes de Azure NetApp Files de tipo NFSv4.1 deben usar la integridad de los datos Kerberos o la privacidad de los datos | Asegúrese de que se selecciona al menos la integridad Kerberos (krb5i) o la privacidad Kerberos (krb5p) para garantizar la integridad y la privacidad de los datos. | Audit, Deny, Disabled | 1.0.0 |
| Los volúmenes de Azure NetApp Files no debe usar el tipo de protocolo NFSv3 | No permitir el uso del tipo de protocolo NFSv3 para evitar el acceso no seguro a los volúmenes. Se debe usar NFSv4.1 con el protocolo Kerberos para acceder a volúmenes NFS con el fin de garantizar la integridad y el cifrado de los datos. | Audit, Deny, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para blob groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado blob groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para blob_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado blob_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para dfs groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado dfs groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para dfs_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado dfs_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para file groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado file groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para queue groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado queue groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para queue_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado queue_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para table groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado table groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para table_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado table_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para web groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado web groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para web_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado web_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Azure File Sync para usar zonas DNS privadas | Para tener acceso a los puntos de conexión privados de las interfaces de recursos del servicio de sincronización de almacenamiento desde un servidor registrado, debe configurar DNS para resolver los nombres correctos en las direcciones IP privadas del punto de conexión privado. Esta directiva crea la zona de DNS privado de Azure y los registros A necesarios para las interfaces de los puntos de conexión privados del servicio de sincronización de almacenamiento. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurar Azure File Sync con puntos de conexión privados | Se implementa un punto de conexión privado para el recurso del servicio de sincronización de almacenamiento indicado. Esto le permite direccionar el recurso del servicio de sincronización de almacenamiento desde el espacio de direcciones IP privadas de la red de su organización, en lugar de hacerlo a través del punto de conexión público accesible desde Internet. La existencia de uno o varios puntos de conexión privados por sí solos no deshabilita el punto de conexión público. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar ajustes de diagnóstico para Blob Services en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de Blob Services para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia de Blob Service a la que falte esta configuración de diagnóstico. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurar los ajustes de diagnóstico para los servicios de archivos en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de Servicios de archivo para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de archivos al que falte esta configuración de diagnóstico. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurar los ajustes de diagnóstico para los servicios de cola en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico para los servicios de cola para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier servicio de cola al que le falta esta configuración de diagnóstico. Nota: Esta directiva no se desencadena tras la creación de la cuenta de almacenamiento y requiere la creación de una tarea de corrección para actualizar la cuenta. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Establecer la configuración de diagnóstico de las cuentas de almacenamiento en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de las Cuentas de almacenamiento para transmitir los registros de recursos a un área de trabajo de Log Analytics cuando se cree o actualice cualquier cuenta de almacenamiento a la que falte dicha configuración de diagnóstico. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurar los ajustes de diagnóstico para los Servicios de tablas en el área de trabajo de Log Analytics | Implementa la configuración de diagnóstico de los Servicios de tablas para transmitir registros de recursos a un área de trabajo de Log Analytics cuando se crea o actualiza cualquier instancia del Servicio de tablas a la que falte esta configuración de diagnóstico. Nota: Esta directiva no se desencadena tras la creación de la cuenta de almacenamiento y requiere la creación de una tarea de corrección para actualizar la cuenta. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configuración de la transferencia segura de datos en una cuenta de almacenamiento | La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Modificar, Deshabilitado | 1.0.0 |
| Configurar la cuenta de almacenamiento para usar una conexión de vínculo privado | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de las cuentas de almacenamiento para deshabilitar el acceso desde la red pública | Para mejorar la seguridad de las cuentas de almacenamiento, asegúrese de que no están expuestas a la red pública de Internet y que únicamente se puedan acceder desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/storageaccountpublicnetworkaccess. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Modificar, Deshabilitado | 1.0.1 |
| Configurar el acceso público de la cuenta de almacenamiento para que no esté permitido | El acceso de lectura público anónimo a contenedores y blobs de Azure Storage es una manera cómoda de compartir datos, pero también puede plantear riesgos para la seguridad. Para evitar las infracciones de datos producidas por el acceso anónimo no deseado, Microsoft recomienda impedir el acceso público a una cuenta de almacenamiento a menos que su escenario lo requiera. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de la cuenta de Storage para habilitar el control de versiones de blobs | Puede habilitar el control de versiones de almacenamiento de blobs para conservar automáticamente las versiones anteriores de un objeto. Cuando el control de versiones de blobs está habilitado, puede acceder a una versión anterior de un blob para recuperar los datos si se modifican o eliminan. | Audit, Deny, Disabled | 1.0.0 |
| Implementación de Defender para Storage (Clásico) en cuentas de almacenamiento | Esta directiva habilita Defender para Storage (clásico) en cuentas de almacenamiento. | DeployIfNotExists, Disabled | 1.0.1 |
| El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento | Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. | Audit, Disabled | 1.0.0 |
| Las cuentas de HPC Cache deben usar la clave administrada por el cliente para el cifrado | Administre el cifrado en reposo de Azure HPC Cache con claves administradas por el cliente. De manera predeterminada, los datos del cliente se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para cumplir estándares de cumplimiento normativo. Las claves administradas por el cliente permiten cifrar los datos con una clave de Azure Key Vault creada por el usuario y propiedad de este. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. | Audit, Disabled, Deny | 2.0.0 |
| Modificación: configurar Azure File Sync para deshabilitar el acceso a la red pública | La directiva de la organización deshabilita el punto de conexión público accesible a Internet de Azure File Sync. Todavía puede acceder al servicio de sincronización de almacenamiento a través de sus puntos de conexión privados. | Modificar, Deshabilitado | 1.0.0 |
| Modificar: Configuración de la cuenta de Storage para habilitar el control de versiones de blobs | Puede habilitar el control de versiones de almacenamiento de blobs para conservar automáticamente las versiones anteriores de un objeto. Cuando el control de versiones de blobs está habilitado, puede acceder a una versión anterior de un blob para recuperar los datos si se modifican o eliminan. Tenga en cuenta que las cuentas de almacenamiento existentes no se modificarán para habilitar el control de versiones de Blob Storage. Solo las cuentas de almacenamiento recién creadas tendrán habilitado el control de versiones de Blob Storage | Modificar, Deshabilitado | 1.0.0 |
| El acceso a las redes públicas debe estar deshabilitado para Azure File Sync | Deshabilitar el punto de conexión público le permite restringir el acceso al recurso del servicio de sincronización de almacenamiento a las solicitudes destinadas a puntos de conexión privados aprobados en la red de su organización. No hay nada que sea intrínsecamente inseguro en permitir solicitudes al punto de conexión público; no obstante, puede ser aconsejable deshabilitarlas para cumplir los requisitos normativos, legales o de directiva de la organización. Puede deshabilitar el punto de conexión público para un servicio de sincronización de almacenamiento estableciendo el valor de incomingTrafficPolicy del recurso en AllowVirtualNetworksOnly. | Audit, Deny, Disabled | 1.0.0 |
| Queue Storage debería usar la clave administrada por el cliente para el cifrado | Proteja su instancia de Queue Storage con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Deny, Disabled | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Los ámbitos de cifrado de la cuenta de almacenamiento deben usar claves administradas por el cliente para cifrar los datos en reposo. | Use claves administradas por el cliente para administrar el cifrado en reposo de los ámbitos de cifrado de su cuenta de almacenamiento. Las claves administradas por el cliente le permiten cifrar los datos con una clave de Azure Key Vault que haya creado y sea de su propiedad. Tiene control y responsabilidad totales del ciclo de vida de la clave, incluidos la rotación y administración. Obtenga más información sobre los ámbitos de cifrado de la cuenta de almacenamiento en https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Los ámbitos de cifrado de la cuenta de almacenamiento deben usar el cifrado doble para los datos en reposo. | Habilite el cifrado de infraestructura para el cifrado en reposo de los ámbitos de cifrado de la cuenta de almacenamiento para mayor seguridad. El cifrado de infraestructura garantiza que los datos se cifren dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Las claves de la cuenta de almacenamiento no deben haber expirado | Asegúrese de que las claves de la cuenta de almacenamiento del usuario no hayan expirado cuando la directiva de expiración de claves esté establecida; con el fin de mejorar la seguridad de las claves de cuenta, adopte medidas cuando estas expiren. | Audit, Deny, Disabled | 3.0.0 |
| Las cuentas de almacenamiento deben permitir el acceso desde los servicios de Microsoft de confianza | Algunos servicios de Microsoft que interactúan con las cuentas de almacenamiento funcionan desde redes a las que no se puede conceder acceso a través de reglas de red. Para ayudar a que este tipo de servicio funcione según lo previsto, permita que el conjunto de servicios de Microsoft de confianza omita las reglas de red. Estos servicios usarán luego una autenticación sólida para acceder a la cuenta de almacenamiento. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento se deben limitar por SKU permitidas | Restrinja el conjunto de SKU de cuenta de almacenamiento que la organización puede implementar. | Audit, Deny, Disabled | 1.1.0 |
| Se deben migrar las cuentas de almacenamiento a los nuevos recursos de Azure Resource Manager | Use el nuevo Azure Resource Manager para las cuentas de almacenamiento a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a las identidades administradas, acceso a los secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con las etiquetas y los grupos de recursos para facilitar la administración de seguridad. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben deshabilitar el acceso desde la red pública | Para mejorar la seguridad de las cuentas de almacenamiento, asegúrese de que no están expuestas a la red pública de Internet y que únicamente se puedan acceder desde un punto de conexión privado. Deshabilite la propiedad acceso a la red pública, tal y como se describe en https://aka.ms/storageaccountpublicnetworkaccess. Esta opción deshabilita el acceso desde cualquier espacio de direcciones públicas que esté fuera del intervalo IP de Azure y deniega todos los inicios de sesión que coincidan con las reglas de firewall basadas en la IP o la red virtual. De este modo, se reducen los riesgos de pérdida de datos. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben tener un cifrado de infraestructura | Habilite el cifrado de la infraestructura para aumentar la garantía de que los datos son seguros. Cuando el cifrado de infraestructura está habilitado, los datos de las cuentas de almacenamiento se cifran dos veces. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben tener configuradas directivas de firma de acceso compartido (SAS) | Asegúrese de que las cuentas de almacenamiento tengan habilitada la directiva de expiración de firma de acceso compartido (SAS). Los usuarios utilizan una SAS para delegar el acceso a los recursos de la cuenta de Azure Storage. Además, la directiva de expiración de SAS recomienda un límite de expiración superior cuando un usuario crea un token de SAS. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben tener la versión mínima de TLS especificada | Configure una versión mínima de TLS para la comunicación segura entre la aplicación cliente y la cuenta de almacenamiento. Para minimizar el riesgo de seguridad, la versión mínima recomendada de TLS es la versión más reciente publicada, que actualmente es TLS 1.2. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben evitar la replicación de objetos entre inquilinos | Realice una auditoría de la restricción de replicación de objetos de la cuenta de almacenamiento. De manera predeterminada, los usuarios pueden configurar la replicación de objetos con una cuenta de almacenamiento de origen en un inquilino de Azure AD y una cuenta de destino en un inquilino diferente. Se trata de un problema de seguridad porque los datos del cliente se pueden replicar en una cuenta de almacenamiento propiedad del cliente. Al establecer el valor de allowCrossTenantReplication en false, la replicación de objetos solo se puede configurar si las cuentas de origen y de destino están en el mismo inquilino de Azure AD. | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben evitar el acceso a claves compartidas | Requisito de auditoría de Azure Active Directory (Azure AD) para autorizar las solicitudes de la cuenta de almacenamiento. De forma predeterminada, las solicitudes se pueden autorizar con credenciales de Azure Active Directory o mediante la clave de acceso de la cuenta para la autorización con clave compartida. De estos dos tipos de autorización, Azure AD proporciona mayor seguridad y facilidad de uso a través de la clave compartida y es el que Microsoft recomienda. | Audit, Deny, Disabled | 2.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben restringir el acceso a la red mediante el uso de reglas de red virtual | Proteja las cuentas de almacenamiento frente a amenazas potenciales mediante reglas de red virtual como método preferente en lugar de filtrado basado en IP. La deshabilitación del filtrado basado en IP evita que las direcciones IP públicas accedan a las cuentas de almacenamiento. | Audit, Deny, Disabled | 1.0.1 |
| Las cuentas de almacenamiento deben utilizar una clave administrada por el cliente para el cifrado. | Proteja su cuenta de almacenamiento de blobs y archivos con mayor flexibilidad mediante claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Disabled | 1.0.3 |
| Las cuentas de almacenamiento deben usar un vínculo privado. | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a su cuenta de almacenamiento, se reduce el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Table Storage debería usar una clave administrada por el cliente para el cifrado | Proteja su instancia de Table Storage con mayor flexibilidad mediante el uso de claves administradas por el cliente. Cuando se especifica una clave administrada por el cliente, esa clave se usa para proteger y controlar el acceso a la clave que cifra los datos. El uso de claves administradas por el cliente proporciona funcionalidades adicionales para controlar la rotación de la clave de cifrado de claves o para borrar datos mediante criptografía. | Audit, Deny, Disabled | 1.0.0 |
Stream Analytics
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los trabajos de Azure Stream Analytics deben usar claves administradas por el cliente para cifrar los datos | Use las claves administradas por el cliente cuando quiera almacenar de forma segura los recursos de datos privados y los metadatos de sus trabajos de Stream Analytics en la cuenta de almacenamiento. De esta forma, dispondrá de un control total sobre la forma en que se cifran los datos de Stream Analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los registros de recursos de Azure Stream Analytics deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| El trabajo de Stream Analytics debe conectarse a entradas y salidas de confianza | Asegúrese de que los trabajos de Stream Analytics no tienen conexiones de entrada o salida arbitrarias que no estén definidas en la lista de permitidos. Esto comprueba que los trabajos de Stream Analytics no filtran datos mediante la conexión a receptores arbitrarios fuera de la organización. | Deny, Disabled, Audit | 1.1.0 |
| El trabajo de Stream Analytics debe usar la identidad administrada para autenticar los puntos de conexión | Asegúrese de que los trabajos de Stream Analytics solo se conectan a los puntos finales utilizando la autenticación de identidad administrada. | Deny, Disabled, Audit | 1.0.0 |
Synapse
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Se debe habilitar la auditoría en el área de trabajo de Synapse | La auditoría en el área de trabajo de Synapse debe estar habilitada para realizar el seguimiento de las actividades de todas las bases de datos de los grupos de SQL dedicados y guardarlas en un registro de auditoría. | AuditIfNotExists, Disabled | 1.0.0 |
| Los grupos de SQL dedicados de Azure Synapse Analytics deben habilitar el cifrado | Habilite el cifrado de datos transparente para grupos de SQL dedicados de Azure Synapse Analytics para proteger los datos en reposo y cumplir los requisitos de cumplimiento. Tenga en cuenta que habilitar el cifrado de datos transparente del grupo puede afectar al rendimiento de las consultas. Puede consultar más detalles en https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
| El área de trabajo de Azure Synapse de SQL Server debe ejecutar TLS versión 1.2 o posterior | Si la versión de TLS se establece en 1.2 o una versión posterior, la seguridad mejora al garantizar que solo se tenga acceso al servidor de SQL del área de trabajo de Azure Synapse desde clientes que utilicen TLS 1.2 o una versión posterior. El uso de versiones de TLS anteriores a la versión 1.2 no se recomienda, ya que presentan vulnerabilidades de seguridad bien documentadas. | Audit, Deny, Disabled | 1.1.0 |
| Las áreas de trabajo de Azure Synapse deben permitir el tráfico de datos de salida únicamente a destinos aprobados. | Permita el tráfico de datos de salida únicamente a destinos aprobados para aumentar la seguridad del área de trabajo de Synapse. Esto ayuda a evitar la exfiltración de datos mediante la validación del destino antes de enviar los datos. | Audit, Disabled, Deny | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deberían deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que se garantiza que el área de trabajo de Synapse no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición de las áreas de trabajo de Synapse. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar claves administradas por el cliente para cifrar los datos en reposo | Use claves administradas por el cliente para controlar el cifrado en reposo de los datos almacenados en las áreas de trabajo de Azure Synapse. Las claves administradas por el cliente también proporcionan cifrado doble, ya que agregan una segunda capa de cifrado a partir del cifrado predeterminado que se creó mediante las claves administradas por el servicio. | Audit, Deny, Disabled | 1.0.0 |
| Las áreas de trabajo de Azure Synapse deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al área de trabajo de Azure Synapse, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Configuración de la versión mínima de TLS del área de trabajo dedicada de Azure Synapse de SQL Server | Los clientes pueden generar o reducir la versión mínima de TLS mediante la API, tanto para las nuevas áreas de trabajo de Synapse como para las áreas de trabajo existentes. De este modo, los usuarios que tengan que usar una versión de cliente inferior en las áreas de trabajo puedan conectarse, mientras que los usuarios que tengan requisitos de seguridad puedan aumentar la versión mínima de TLS. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las áreas de trabajo de Azure Synapse para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública del área de trabajo de Synapse de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificar, Deshabilitado | 1.0.0 |
| Configurar las áreas de trabajo de Azure Synapse para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver las áreas de trabajo de Azure Synapse. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurar las áreas de trabajo de Azure Synapse con puntos de conexión privados | Los puntos de conexión privados conectan la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados a las áreas de trabajo de Azure Synapse, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las áreas de trabajo de Synapse para habilitar la auditoría | Para que se capturen las operaciones realizadas en los recursos de SQL, las áreas de trabajo de Synapse deben tener habilitada la auditoría. A veces, es necesario para cumplir con los estándares normativos. | DeployIfNotExists, Disabled | 2.0.0 |
| Configuración de las áreas de trabajo para que tengan habilitada la auditoría en el área de trabajo de Log Analytics | Para que se capturen las operaciones realizadas en los recursos de SQL, las áreas de trabajo de Synapse deben tener habilitada la auditoría. Si la auditoría no está habilitada, esta directiva configurará los eventos de auditoría para que fluyan al área de trabajo especificada de Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de las áreas de trabajo de Synapse para usar solo identidades de Microsoft Entra para la autenticación | Requerir y volver a configurar áreas de trabajo de Synapse para usar la autenticación solo de Microsoft Entra. Esta directiva no impide que se creen áreas de trabajo con la autenticación local habilitada. Impide que la autenticación local se habilite y vuelva a habilitar la autenticación solo de Microsoft Entra en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Modificar, Deshabilitado | 1.0.0 |
| Configuración de las áreas de trabajo de Synapse para usar solo identidades de Microsoft Entra para la autenticación | Requerir y volver a configurar áreas de trabajo de Synapse para crearlas con la autenticación solo de Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Modificar, Deshabilitado | 1.2.0 |
| Se deben quitar las reglas de firewall de IP en las áreas de trabajo de Azure Synapse. | La eliminación de todas las reglas de firewall de IP mejora la seguridad al garantizar que solo se puede acceder a su área de trabajo de Azure Synapse desde un punto de conexión privado. Esta configuración audita la creación de reglas de firewall que permiten el acceso a la red pública en el área de trabajo. | Audit, Disabled | 1.0.0 |
| La red virtual del área de trabajo administrada en las áreas de trabajo de Azure Synapse debe estar habilitada. | La habilitación de una red virtual en el área de trabajo administrada garantiza el aislamiento por red de esta última respecto a las demás. La integración de datos y los recursos de Spark implementados en esta red virtual también proporcionan aislamiento de nivel de usuario para las actividades de Spark. | Audit, Deny, Disabled | 1.0.0 |
| Los puntos de conexión privados que administra Synapse solo deben conectarse a recursos de inquilinos aprobados de Azure Active Directory | Proteja su área de trabajo de Synapse. Para ello, permita solo conexiones a los recursos de los inquilinos de Azure Active Directory (Azure AD) aprobados. Los inquilinos de Azure AD aprobados se pueden definir durante la asignación de la directiva. | Audit, Disabled, Deny | 1.0.0 |
| La configuración de auditoría del área de trabajo de Synapse debe tener grupos de acciones configurados para capturar actividades críticas | Para asegurarse de que los registros de auditoría son lo más exhaustivos posible, la propiedad AuditActionsAndGroups debe incluir todos los grupos pertinentes. Se recomienda agregar al menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP y BATCH_COMPLETED_GROUP. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 1.0.0 |
| Áreas de trabajo de Synapsee deben tener habilitada la autenticación solo entra de Microsoft | Requerir que las áreas de trabajo de Synapse usen la autenticación solo de Microsoft Entra. Esta directiva no impide que se creen áreas de trabajo con la autenticación local habilitada. Impide que la autenticación local se habilite en los recursos después de crearla. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
| Las áreas de trabajo de Synapse solo deben usar identidades de Microsoft Entra para la autenticación durante la creación del área de trabajo | Requerir que las áreas de trabajo de Synapse se creen con la autenticación solo de Microsoft Entra. Esta directiva no impide que la autenticación local se vuelva a habilitar en los recursos después de su creación. Considere la posibilidad de usar la iniciativa "Autenticación solo de Microsoft Entra" en su lugar para requerir ambos. Más información en: https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
| Las áreas de trabajo de Synapse con auditoría de SQL en el destino de la cuenta de almacenamiento se deben configurar con una retención de 90 días o superior. | Con fines de investigación de incidentes, se recomienda establecer la retención de datos de auditoría de las instancias de SQL del área de trabajo de Synapse en la cuenta de almacenamiento de destino en al menos 90 días. Confirme que cumple las reglas de retención necesarias para las regiones en las que trabaja. A veces, es necesario para cumplir con los estándares normativos. | AuditIfNotExists, Disabled | 2.0.0 |
| La evaluación de vulnerabilidades debe estar habilitada en las áreas de trabajo de Synapse | Para detectar, seguir y corregir posibles vulnerabilidades, configure exámenes periódicos de evaluación de las vulnerabilidades de SQL en las áreas de trabajo de Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Directiva del sistema
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Regiones de implementación de recursos permitidas | Esta directiva mantiene un conjunto de mejores regiones disponibles en las que la suscripción puede implementar recursos. El objetivo de esta directiva es asegurarse de que la suscripción tiene acceso total a los servicios de Azure con un rendimiento óptimo. Si necesitas regiones adicionales o diferentes, ponte en contacto con el soporte técnico. | denegar | 1.0.0 |
Etiquetas
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una etiqueta a los grupos de recursos | Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Agregar una etiqueta a los recursos | Agrega la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. No modifica las etiquetas de los grupos de recursos. | modify | 1.0.0 |
| Agregar una etiqueta a las suscripciones | Agrega la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en los grupos de recursos | Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier grupo de recursos. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en los recursos | Agrega o reemplaza la etiqueta y el valor especificados cuando se crea o se actualiza cualquier recurso. Los recursos existentes se pueden corregir con una tarea de corrección. No modifica las etiquetas de los grupos de recursos. | modify | 1.0.0 |
| Agregar o reemplazar una etiqueta en las suscripciones | Agrega o reemplaza la etiqueta y el valor especificados a las suscripciones mediante una tarea de corrección. Los grupos de recursos existentes se pueden corregir con una tarea de corrección. Vea https://aka.ms/azurepolicyremediation para obtener más información sobre la corrección de directivas. | modify | 1.0.0 |
| Anexar una etiqueta y su valor desde el grupo de recursos | Anexa la etiqueta especificada y su valor del grupo de recursos cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar una etiqueta y su valor a los grupos de recursos | Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un grupo de recursos que no tiene esta etiqueta. Solo modifica las etiquetas de los grupos de recursos creados antes de que se aplicase esta directiva cuando se cambian esos grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Anexar una etiqueta y su valor a los recursos | Anexa la etiqueta y el valor especificados cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Solo modifica las etiquetas de los recursos creados antes de que se aplicase esta directiva cuando se cambian esos recursos. No se aplica a los grupos de recursos. Hay disponibles nuevas directivas de efecto "modify" que admiten la corrección de etiquetas en recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.1 |
| Heredar una etiqueta del grupo de recursos | Agrega o reemplaza la etiqueta y el valor especificados del grupo de recursos primario cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Heredar una etiqueta del grupo de recursos si falta | Agrega la etiqueta especificada y su valor del grupo de recursos primario cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Heredar una etiqueta de la suscripción | Agrega o reemplaza la etiqueta y el valor especificados de la suscripción contenedora cuando se crea o actualiza un recurso. Los recursos existentes se pueden corregir con una tarea de corrección. | modify | 1.0.0 |
| Heredar una etiqueta de la suscripción si falta | Agrega la etiqueta especificada y su valor en la suscripción contenedora cuando se crea o se actualiza un recurso que no tiene esta etiqueta. Los recursos existentes se pueden corregir con una tarea de corrección. Si la etiqueta existe con un valor diferente, no se cambiará. | modify | 1.0.0 |
| Requerir una etiqueta y su valor en los grupos de recursos | Aplica una etiqueta obligatoria y su valor en los grupos de recursos. | deny | 1.0.0 |
| Requerir una etiqueta y su valor en los recursos | Aplica una etiqueta obligatoria y su valor. No se aplica a los grupos de recursos. | deny | 1.0.1 |
| Solicitar una etiqueta en los grupos de recursos | Requiere que se use una etiqueta en los grupos de recursos. | deny | 1.0.0 |
| Solicitar una etiqueta en los recursos | Requiere que haya una etiqueta. No se aplica a los grupos de recursos. | deny | 1.0.1 |
| Requiere que los recursos no tengan ninguna etiqueta específica. | Deniega la creación de un recurso que contiene la etiqueta especificada. No se aplica a los grupos de recursos. | Audit, Deny, Disabled | 2.0.0 |
Inicio seguro
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Los discos y la imágenes del sistema operativo deben admitir TrustedLaunch | TrustedLaunch mejora la seguridad de una máquina virtual que requiere un disco del sistema operativo y una imagen del sistema operativo para admitirla (Gen 2). Para obtener más información sobre TrustedLaunch, visita https://aka.ms/trustedlaunch. | Audit, Disabled | 1.0.0 |
| Máquina virtual debe tener habilitado TrustedLaunch | Habilita TrustedLaunch en la máquina virtual para mejorar la seguridad, usa la SKU de máquina virtual (Gen 2) que admita TrustedLaunch. Para obtener más información sobre TrustedLaunch, visita https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch. | Audit, Disabled | 1.0.0 |
VirtualEnclaves
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar cuentas de almacenamiento para restringir el acceso a la red únicamente mediante la configuración de omisión de ACL de red | Para mejorar la seguridad de las cuentas de almacenamiento, habilita el acceso solo mediante la omisión de ACL de red. Esta directiva debe usarse en combinación con un punto de conexión privado para el acceso a la cuenta de almacenamiento. | Modificar, Deshabilitado | 1.0.0 |
| No permitir la creación de tipos de recursos fuera de la lista de permitidos | Esta directiva impide la implementación de tipos de recursos fuera de los permitidos explícitamente, con el fin de mantener la seguridad en un enclave virtual. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| No permitir la creación de tipos o tipos de recursos especificados en proveedores específicos | Los proveedores de recursos y los tipos especificados a través de la lista de parámetros no pueden crearse sin la aprobación explícita del equipo de seguridad. Si se concede una exención a la asignación de directiva, el recurso se puede aprovechar dentro del enclave. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Las interfaces de red deben estar conectadas a una subred aprobada de la red virtual aprobada | Esta directiva impide que las interfaces de red se conecten a una red virtual o subred que no esté aprobada. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Las cuentas de almacenamiento deben restringir el acceso a la red únicamente mediante la configuración de omisión de ACL de red | Para mejorar la seguridad de las cuentas de almacenamiento, habilita el acceso solo mediante la omisión de ACL de red. Esta directiva debe usarse en combinación con un punto de conexión privado para el acceso a la cuenta de almacenamiento. | Audit, Deny, Disabled | 1.0.0 |
Generador de imágenes de máquina virtual
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Web PubSub
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| El servicio de Azure Web PubSub debe deshabilitar el acceso a la red pública | Al deshabilitar el acceso a la red pública, se mejora la seguridad, ya que el servicio Azure Web PubSub no se expone en la red pública de Internet. La creación de puntos de conexión privados puede limitar la exposición del servicio Azure Web PubSub. Más información en: https://aka.ms/awps/networkacls. | Audit, Deny, Disabled | 1.0.0 |
| El servicio Azure Web PubSub debe habilitar los registros de diagnóstico | Permite auditar la habilitación de registros de diagnóstico. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 1.0.0 |
| El servicio Azure Web PubSub debe tener deshabilitados los métodos de autenticación local | Deshabilitar los métodos de autenticación local mejora la seguridad al garantizar que Azure Web PubSub Service requiera exclusivamente identidades de Azure Active Directory para la autenticación. | Audit, Deny, Disabled | 1.0.0 |
| El servicio Azure Web PubSub debe usar una SKU que sea compatible con un vínculo privado | Con una SKU admitida, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados al servicio Azure Web PubSub, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| El servicio Azure Web PubSub debe usar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a su servicio Azure Web PubSub, puede reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Configurar el servicio Azure Web PubSub para deshabilitar la autenticación local | Deshabilitar los métodos de autenticación local para que su servicio Azure Web PubSub requiera exclusivamente las identidades de Azure Active Directory para la autenticación. | Modificar, Deshabilitado | 1.0.0 |
| Configurar el servicio Azure Web PubSub para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para el recurso de Azure Web PubSub de modo que no sea accesible a través de la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/awps/networkacls. | Modificar, Deshabilitado | 1.0.0 |
| Configurar el servicio Azure Web PubSub para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el servicio de Azure Web PubSub. Más información en: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar el servicio Azure Web PubSub con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Mediante la asignación de puntos de conexión privados al servicio Azure Web PubSub, se pueden reducir los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.